Planification de la sécurité de Visio Services dans SharePoint Server

**Sapplique à :**SharePoint Server 2013, SharePoint Server 2016

**Dernière rubrique modifiée :**2017-07-06

Résumé : En savoir plus sur les considérations relatives à la sécurité des diagrammes connectés aux données affichés dans Visio Services.

Outre la configuration de la sécurité requise pour déployer SharePoint Server, vous devez également vérifier les considérations relatives à la sécurité pour un déploiement qui comporte Visio Services. Visio Services vous permet d’effectuer le rendu de diagrammes Visio dans une fenêtre de navigateur. Ces diagrammes peuvent être liés à des données externes et leurs éléments peuvent être mis à jour en fonction de ces données. La sécurité est un élément important pour activer ces scénarios de rendu des données. Visio Services vous permet de contrôler avec une grande précision le traitement et l’affichage des diagrammes Visio ainsi que les sources de données auxquelles ils peuvent se connecter.

Stocker des diagrammes Visio dans des bibliothèques de documents SharePoint

Les diagrammes Visio doivent être stockés dans des bibliothèques de documents SharePoint pour être ouverts par Visio Services. SharePoint Server gère une liste de contrôle d’accès pour les fichiers contenus dans la bibliothèque de documents. En définissant correctement les règles de la bibliothèque, vous pouvez limiter l’accès à un diagramme particulier.

Diagrammes Visio connectés à des données

Le Service Graphiques Visio peut se connecter à des sources de données. Celles-ci incluent les listes SharePoint (y compris les listes externes), les bases de données telles que SQL Server et les sources de données personnalisées. Vous pouvez contrôler l’accès à des sources de données spécifiques en définissant explicitement les fournisseurs de données qui sont approuvés et en les configurant dans la liste des fournisseurs de données approuvés.

Quand Visio Services charge un diagramme connecté aux données, le service vérifie les informations de connexion qui sont stockées dans le diagramme afin de déterminer si le fournisseur de données spécifié est un fournisseur de données approuvé. Si le fournisseur est spécifié dans la liste des fournisseurs de données approuvés Visio Services, une tentative de connexion est effectuée ; sinon, la demande de connexion est ignorée.

Une fois que l’administrateur a configuré Visio Services pour autoriser les connexions à une source de données particulière, des configurations de sécurité supplémentaires doivent être effectuées, selon le type de source de données. Les sources de données suivantes sont prises en charge par Visio Services :

• Listes SharePoint, y compris les listes externes, activées via Services Microsoft Business Connectivity

• Bases de données telles que des bases de données SQL Server

• Fournisseurs de données personnalisés

Diagrammes Visio connectés à des listes SharePoint

Les diagrammes Visio peuvent être connectés aux listes SharePoint sur la même batterie de serveurs qui héberge le diagramme. L’utilisateur qui affiche le diagramme doit avoir accès à la fois au diagramme et à la liste SharePoint à laquelle le diagramme est connecté. Ces autorisations et informations d’identification sont gérées par SharePoint Server

Il est également possible de connecter des diagrammes Visio à des listes externes à l’aide de Services Microsoft Business Connectivity. Les listes externes exposées via un type de contenu externe Services Microsoft Business Connectivity peuvent être connectées à un diagramme Visio dans Visio et les données peuvent être actualisées via Visio Services. Afin qu’un utilisateur puisse accéder aux données dans une liste externe, il doit posséder des autorisations d’accès au type de contenu externe et des autorisations d’accès à la source de données externe.

Diagrammes Visio connectés aux bases de données SQL Server

Quand un diagramme Visio est connecté à une base de données SQL Server, Visio Services utilise des options de configuration de sécurité supplémentaires pour établir une connexion entre Service Graphiques Visio et la base de données.

Les méthodes d’authentification prises en charge par Visio Services sont les suivantes :

• Authentification Windows intégrée   Dans ce modèle de sécurité, Service Graphiques Visio utilise l’identité de la visionneuse du diagramme pour s’authentifier auprès de la base de données. L’authentification Windows intégrée avec délégation Kerberos contrainte est plus utile pour accroître la sécurité que les autres méthodes d’authentification indiquées dans cette liste. Cette configuration nécessite l’activation d’une délégation Kerberos contrainte entre le serveur d’applications qui exécute Service Graphiques Visio et le serveur de base de données. La base de données elle-même peut nécessiter une configuration supplémentaire pour permettre l’authentification Kerberos.

• Service Banque d’informations sécurisé   Dans ce modèle de sécurité, Service Graphiques Visio utilise le Service Banque d’informations sécurisé pour mapper les informations d’identification de l’utilisateur à des informations d’identification différentes qui ont accès à la base de données. La Banque d’informations sécurisée prend en charge des mappages individuels et de groupe à la fois pour l’authentification Windows intégrée et d’autres formes d’authentification telles que l’authentification SQL Server. Cela donne aux administrateurs plus de souplesse pour définir des relations un-à-un, plusieurs-à-un ou un-à-plusieurs.

• Compte de service automatisé   Pour faciliter la configuration, Service Graphiques Visio fournit une configuration spéciale permettant à un administrateur de créer un mappage unique associant tous les utilisateurs à un compte unique en utilisant une application cible de la Banque d’informations sécurisée. Ce compte mappé, appelé compte de service automatisé, doit être un compte de domaine Windows à faibles privilèges qui est autorisé à accéder aux bases de données. Le Service Graphiques Visio emprunte ce compte quand il se connecte à la base de données si aucune autre méthode d’authentification n’est spécifiée. Il est à noter que cette approche ne permet pas les requêtes personnalisées portant sur une base de données et ne fournit pas d’audit d’appels de base de données. Cette méthode d’authentification est la méthode d’authentification par défaut utilisée lorsque vous vous connectez aux bases de données SQL Server : si aucun fichier ODC n’est utilisé dans le diagramme Visio qui spécifie une autre méthode d’authentification, Visio Services utilise alors les informations d’identification spécifiées par le compte automatisé pour se connecter à la base de données SQL Server.

Dans une batterie de serveurs plus grande, il est probable que les diagrammes Visio utilisent un mélange des méthodes d’authentification décrites ici. Il est important de savoir que :

• Visio Services prend en charge à la fois le Banque d’informations sécurisée et le compte de service automatisé dans la même batterie de serveurs. Dans les diagrammes connectés à des données SQL Server mais qui n’utilisent pas de fichiers ODC, le compte automatisé est requis et toujours utilisé.

• Si l’authentification Windows intégrée est sélectionnée, et que l’authentification de la source de données échoue, Visio Services n’essaie pas de restituer le diagramme à l’aide du compte de service automatisé.

• Il est possible d’utiliser l’authentification Windows intégrée avec la Banque d’informations sécurisée en configurant les diagrammes pour qu’ils utilisent une application cible de la Banque d’informations sécurisée pour ces diagrammes qui requièrent des informations d’identification spécifiques.

See also

Service de banque d’informations sécurisé pour les applications de services d’aide à la décision