Authentification de données pour Visio Services

 

S’applique à : SharePoint Server 2010

Dernière rubrique modifiée : 2016-11-30

Visio Services dans Microsoft SharePoint Server 2010 prend en charge les dessins Web connectés à des données connectés à diverses sources de données, dont :

  • des données hébergées dans la batterie de serveurs SharePoint, par exemple un classeur Microsoft Excel ou une liste SharePoint ;

  • des données externes, comme des données Microsoft SQL Server ou une source de données OLE DB ou ODBC.

Pour extraire des données d’une source de données, un utilisateur doit être authentifié par la source de données, puis autorisé à accéder aux données qu’elle contient. Dans le cas d’un dessin Web, Visio Services authentifie la source de données pour l’utilisateur qui l’affiche de façon à actualiser les données auxquelles le dessin est connecté.

Récupération des données d’une source de données

La méthode d’authentification utilisable par Visio Services pour extraire les données dépend du type de la source de données sous-jacente, comme indiqué dans le tableau suivant. Les connexions de données doivent indiquer la méthode d’authentification à utiliser lorsque les sources de données en prennent plusieurs en charge.

Source de données Méthode d’authentification

Listes SharePoint

Autorisations des utilisateurs SharePoint

Classeurs Excel

Autorisations des utilisateurs SharePoint

SQL Server

Au choix :

  • Authentification Windows (sécurité intégrée)

    • à l’aide de la délégation Kerberos contrainte

    • à l’aide de la Banque d’informations sécurisée

    • à l’aide du compte de service automatisé

  • Authentification SQL Server

OLE DB/ODBC

Varie selon la source de données, en général une paire formée par le nom d’utilisateur et le mot de passe, stockée dans la chaîne de connexion.

Des fournisseurs de données personnalisés peuvent également être utilisés. Pour plus d’informations, voir Création d’un fournisseur de données personnalisées avec Visio Services (https://go.microsoft.com/fwlink/?linkid=196860&clcid=0x40C).

Les sources de données suivantes sont prises en charge dans Microsoft Visio, mais pas dans Visio Services :

  • bases de données Accès ;

  • classeurs Excel non hébergés sur SharePoint Server ;

  • OLAP.

Connexion aux données hébergées sur SharePoint Server

Visio Services prend en charge les dessins Web connectés aux données qui sont connectés aux données hébergées dans la batterie de serveurs SharePoint, dont :

  • les classeurs Excel qui résident dans une bibliothèque de documents ;

  • les données dans des listes SharePoint.

Connexion aux classeurs Excel

Visio Services utilise les informations d’identification SharePoint Server de l’afficheur de dessins Web pour se connecter à un classeur Excel .xlsx. Pour que l’opération d’authentification aboutisse, les conditions suivantes sont nécessaires :

  • Excel Services doit être approvisionné correctement et configuré sur la batterie de serveurs SharePoint.

  • Le classeur doit être hébergé sur la même batterie de serveurs que le dessin Web.

  • L’afficheur de dessins Web doit disposer au moins de l’autorisation de « lecture » sur le classeur Excel.

Aucune autre étape de configuration n’est nécessaire pour activer ce genre de connexion de données.

Notes

Dans le cadre de la connexion à un classeur Excel, Visio Services demande à Excel Services d’actualiser le classeur s’il contient des connexions aux données externes. Le cas échéant, l’identité de l’afficheur de dessins est passée à Excel Services de façon que Excel Services puisse s’authentifier aux sources de données sous-jacentes pour actualiser le classeur.

Connexion aux listes SharePoint

Visio Services utilise les informations d’identification SharePoint Server de l’afficheur de dessins Web pour se connecter à une liste SharePoint. Pour que l’opération d’authentification aboutisse, les conditions suivantes sont nécessaires :

  • La liste SharePoint doit être hébergée sur la même batterie de serveurs que le dessin Web.

  • L’afficheur de dessins Web doit disposer au moins de l’autorisation de « lecture » sur la liste SharePoint.

Aucune autre étape de configuration n’est nécessaire pour activer ce genre de connexion de données.

Connexion aux données externes

Visio Services peut se connecter à différentes sources de données externes, dont SQL Server, OLE DB/ODBC et des fournisseurs de données personnalisés. Pour se connecter à la source de données, Visio Services utilise un fournisseur de données spécifique pour chaque source de données.

Par mesure de sécurité, Visio Services doit explicitement approuver les fournisseurs de données avant de les utiliser. Pour plus d’informations sur les fournisseurs de données approuvés, voir Configuration de fournisseurs de données approuvés pour le service Graphiques Visio (SharePoint Server 2010).

La connexion à une source de données Microsoft SQL Server peut être effectuée en utilisant au choix :

  • l’authentification Windows ;

  • l’authentification SQL Server.

D’autres sources de données utilisent une chaîne de connexion habituellement formée d’un nom d’utilisateur et d’un mot de passe.

Connexions de données

Les dessins Web Visio utilisent l’un des deux types de connexions :

  • les connexions incorporées ;

  • les connexions liées.

Les connexions intégrées sont stockées dans le cadre du dessin Web Visio. Les connexions liées sont stockées en externe à un dessin Web dans des fichiers Office Data Connection (ODC). Pour utiliser une connexion liée, un dessin Web doit faire référence à un fichier .odc qui est également stocké dans la même batterie de serveurs que le dessin Web. Chaque connexion de données est composée des éléments suivants :

  • une chaîne de connexion ;

  • une chaîne de requête ;

  • une méthode d’authentification ;

  • éventuellement, des métadonnées nécessaires pour extraire des données externes.

Chaque type de connexion présente ses avantages et ses inconvénients, traités ici ; choisissez celui qui s’adapte le mieux à votre scénario.

Type de connexion Connexions incorporées Fichiers ODC

Sources de données prises en charge

  • SQL Server (prend en charge uniquement la délégation Kerberos et le Compte de service automatisé)

  • OLE DB/ODBC

  • Classeurs Excel

  • Listes SharePoint

  • Fournisseurs de données personnalisés

  • SQL Server (prend en charge toutes les méthodes d’authentification)

  • OLE DB/ODBC

Avantages

  • Toutes les informations de connexion sont stockées dans le dessin Web.

  • Les connexions incorporées nécessitent peu de tâches d’administration.

  • Les connexions incorporées sont faciles à créer.

  • Les connexions liées peuvent être stockées, gérées, auditées et partagées de façon centralisée et leur accès peut être contrôlé en utilisant une bibliothèque de connexions de données.

  • Les auteurs de dessin peuvent utiliser des connexions existantes sans devoir créer de requêtes ni de chaînes de connexion.

  • En cas de modification des détails de la connexion de données d’une source de données, un administrateur doit simplement mettre à jour un fichier ODC. Avec cette modification, tous les dessins Web qui font référence au fichier ODC utilisent les informations de connexion mises à jour à l'actualisation suivante (ce scénario est vérifié lorsque le serveur de bases de données est déplacé ou que le nom de la base de données est modifié, par exemple).

Inconvénients

  • Si les détails de le connexion de données d’une source de données changent, tous les dessins Web avec des connexions intégrées à cette source de données doivent être republiés avec les informations de connexion mises à jour.

  • Les connexions de données intégrées sont plus difficiles à auditer par les administrateurs SharePoint.

  • Pour créer une connexion liée, il faut utiliser Excel.

  • Les connexions liées peuvent exiger l’aide d’un administrateur SharePoint pour le partage, les gestion et la sécurité.

  • Les connexions liées sont sauvegardées en texte clair et peuvent contenir des mots de passe de base de données. Une attention particulière doit être apportée à la sécurisation de ces fichiers.

Choisissez une connexion de données liée, en utilisant un fichier ODC, pour les scénarios dans lesquels vous devez disposer d’une connexion de données à une source de données relationnelles à l’échelle de l’entreprise, telle que SQL Server. Les connexions de données liées sont très utiles dans les cas où elles doivent être partagées entre plusieurs utilisateurs et où contrôle de l’administrateur sur la connexion est important.

Notes

Les fichiers ODC doivent d’abord être créés dans Excel et exporté vers SharePoint Server avant d’être utilisés avec Visio Services.

Choisissez une connexion intégrée pour les scénarios dans lesquels vous devez disposer d’une connexion de données rapide à une petite source de données ou à base de fichiers, qui sera utilisée uniquement par quelques utilisateurs.

Les fichiers ODC peuvent être stockés dans une bibliothèque de connexion de données, un type spécial de bibliothèque de documents SharePoint. Centraliser les connexions de données dans une telle bibliothèque de documents présente plusieurs avantages :

  • les administrateurs peuvent limiter l’accès en écriture à une bibliothèque de connexion de données à des auteurs de connexion de données approuvés pour garantir que seules des connexions de données dûment testés et sécurisées sont utilisées par les auteurs de dessins Web ;

  • les administrateurs gèrent les connexions de données d’un groupe important d’utilisateurs à partir d’un seul emplacement ;

  • les administrateurs peuvent facilement approuver, auditer, rétablir et gérer des fichiers de connexion de données en utilisant les fonctions de contrôle de version et de flux de travail de la bibliothèque de documents ;

  • les bibliothèques de connexion de données peuvent être réutilisées sur d’autres applications Office telles que Excel, Excel Services, Microsoft InfoPath 2010, InfoPath Forms Services et Microsoft Word ;

  • les utilisateurs finaux cherchent les données de dessin dans un seul emplacement, ce qui limite la confusion et la formation des utilisateurs.

Pour plus d’informations sur la création des bibliothèques de connexion de données, voir Procédure : créer et utiliser une bibliothèque de connexions de données (https://go.microsoft.com/fwlink/?linkid=188117&clcid=0x40C). Pour plus d’informations sur la création de fichiers ODC, voir Créer, éditer et gérer les connexions aux données externes (https://go.microsoft.com/fwlink/?linkid=196894&clcid=0x40C).

Authentification Windows

Pour l’authentification Windows, Visio Services doit présenter un ensemble d’informations d’identification Windows à SQL Server. Ces informations d’identification sont courantes sur les réseaux Windows et sont les mêmes que celles utilisées pour se connecter sur les ordinateurs sur un domaine Windows ou sur un ordinateur qui exécute Exchange Server. Les informations d’identification Windows sont considérées comme le moyen le plus sûr et le plus facile à gérer de contrôler l’accès aux bases de données SQL Server. Cependant, la mesure de sécurité Windows à double saut représente un obstacle à l’utilisation de l’authentification Windows avec Visio Services, car les informations d’identification d’un utilisateur ne peuvent pas être passées sur plusieurs ordinateurs dans un réseau Windows. Visio Services étant un système multiniveau, des méthodes d’authentification spéciales sont nécessaires pour que Visio Services puisse extraire des données pour l’utilisateur final.

Authentification Windows

Le choix de la méthode d’authentification dépend de divers facteurs comme indiqué dans le tableau suivant. Choisissez celle qui est la mieux adaptée à votre scénario.

Méthode d’authentification Délégation Kerberos Banque d’informations sécurisée Compte de service automatisé

Description

À l’aide de la délégation Kerberos contrainte, les informations d’identification Windows de l’afficheur de dessins sont envoyées directement à la source de données.

À l’aide du service Banque d’informations sécurisée, les informations d’identification Windows de l’afficheur sont mappées à un autre jeu d’informations d’identification indiqué dans une application cible de banque sécurisée.

À l’aide du service Banque d’informations sécurisée, tous les afficheurs sont mappés à un ensemble unique d’informations d’identification appelé Compte de service automatisé et stocké dans une application cible spécifique de la banque d’informations sécurisée indiquée dans les Paramètres globaux de Visio Services.

Informations d’identification de connexion de données

Les informations d’identification Windows de l’afficheur de dessins Web.

Les informations d’identification indiquées dans l’application cible de banque sécurisée.

Les informations d’identification du Compte de service automatisé.

Avantages

  • Le protocole Kerberos est un standard de l’industrie dans la Gestion des informations d’identification.

  • Kerberos est étroitement lié à l’infrastructure Active Directory existante.

  • La délégation Kerberos permet l’audit des accès individuels à une source de données.

  • À condition que l’identité de l’afficheur du dessin Web soit connue, les créateurs de dessin Web peuvent intégrer des requêtes de base de données personnalisées dans des dessins Web.

  • Le service Banque d’informations sécurisée fait partie de SharePoint Server et est plus simple à configurer que Kerberos.

  • Les mappages sont souples : un utilisateur peut être mappé dans une relation un-à-un ou plusieurs-à-un.

  • Les informations d’identification qui n’appartiennent pas à Windows peuvent être utilisées pour se connecter aux sources de données qui n’acceptent pas les informations d’identification Windows.

  • Les mappages créés pour Visio peuvent être réutilisés par d’autres applications d’aide à la décision comme Excel Services.

  • Le Compte de service automatisé est la méthode d’authentification la plus simple à déployer et à configurer.

  • Le Compte de service automatisé exige un minimum de tâches d’administration.

Inconvénients

  • Tâche d’administration supplémentaire nécessaire pour la configuration SharePoint Server et Visio Services.

  • Établir et gérer des tables de mappage impose des tâches d’administration.

  • La Banque sécurisée permet un audit limité. Dans le scénario plusieurs-à-un, des utilisateurs entrants individuels sont mappés aux mêmes informations d’identification via une application cible, ce qui les transforme en un seul utilisateur.

  • Tous les utilisateurs étant mappés aux mêmes informations d’identification, un administrateur ne peut pas savoir qui a accédé à une source de données.

Pour que l’opération d’authentification aboutisse…

  • La délégation Kerberos doit être configurée sur une batterie de serveurs SharePoint.

  • La Banque d’informations sécurisée doit être approvisionnée et configurée sur la batterie de serveurs. Elle doit également contenir les informations de mappage appropriées pour un utilisateur entrant donné. En outre, les informations de mappage peuvent avoir besoin d’être mises à jour régulièrement pour refléter les changements de mot de passe sur le compte mappé.

  • La Banque d’informations sécurisée doit être approvisionnée et configurée sur la batterie de serveurs. Elle doit également contenir les informations d’identification appropriées pour le Compte de service automatisé. En outre, les informations de mappage peuvent avoir besoin d’être mises à jour régulièrement pour refléter les changements de mot de passe sur le compte mappé.

  • Visio Services doit être configuré pour utiliser le Compte de service automatisé.

Délégation Kerberos

Choisissez la délégation Kerberos pour une authentification sécurisée et rapide aux sources de données relationnelles à l’échelle de l’entreprise qui prend en charge l’authentification Windows. Pour plus d’informations sur la configuration de la délégation Kerberos, voir :

Banque d’informations sécurisée

Choisissez la Banque d’informations sécurisée pour une authentification aux sources de données relationnelles à l’échelle de l’entreprise qui prend en charge ou non l’authentification Windows. La Banque d’informations sécurisée est également utile dans les cas où vous souhaitez contrôler les mappages des informations d’identification de l’utilisateur.

Pour plus d’informations sur l’utilisation de la Banque d’informations sécurisée avec Visio Services, voir Applications de service Banque sécurisée pour le Décisionnel.

Démonstration vidéo

Capture de vidéo

Cette démonstration illustre les étapes de la configuration de Visio Services avec la Banque d’informations sécurisée.

Regarder la vidéo (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=196864&clcid=0x40C). Pour télécharger le fichier vidéo, cliquez avec le bouton droit sur le lien, puis cliquez sur Enregistrer la cible sous.

Compte de service automatisé

Pour faciliter la configuration, Visio Graphics Service fournit une configuration spéciale permettant à un administrateur de créer un mappage unique associant tous les utilisateurs à un même ensemble d’informations d’identification.

Ce compte, appelé Compte de service automatisé, doit être un compte de domaine Windows à faibles privilèges. Visio Service emprunte ce compte quand il se connecte à une source de données pour un afficheur de dessins Web.

Il est d’usage de donner à ce compte aussi peu d’autorisations réseau que possible, en général uniquement l’accès pour se connecter au réseau et l’accès à la source de données à laquelle cous souhaitez que les utilisateurs se connectent. Pour une sécurité accrue, veillez à ce que le Compte de service automatisé n’ait pas accès aux bases de données de configuration et de contenu SharePoint.

Le Compte de service automatisé est utilisé par Visio Services :

  • lorsqu’un fichier ODC indique l’usage du Compte de service automatisé pour l’authentification Windows ou SQL Server ;

  • lorsqu’aucun fichier ODC n’est utilisé et que l’authentification Kerberos échoue.

Notes

Le compte automatisé peut être un compte d’ordinateur local de type Windows. Si le compte de service automatisé est configuré en tant que compte d’ordinateur local, assurez-vous que la configuration est identique sur chaque serveur d’application qui exécute Visio Services. Pour des raisons de simplicité de gestion, il est recommandé d’utiliser un compte de domaine.

Choisissez le Compte de service automatisé pour les connexions à de petits déploiements ad hoc pour lesquels la sécurité est moins importante ou pour lesquels la vitesse de déploiement est essentielle.

Pour plus d’informations sur l’utilisation du Compte de service automatisé avec Visio Services, voir Applications de service Banque sécurisée pour le Décisionnel.

Démonstration vidéo

Capture de vidéo

Cette démonstration affiche les étapes de la configuration de Visio Services avec le Compte de service automatisé.

Regarder la vidéo (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=196865&clcid=0x40C). Pour télécharger le fichier vidéo, cliquez avec le bouton droit sur le lien, puis cliquez sur Enregistrer la cible sous.

Authentification SQL Server

L’authentification SQL Server exige que Visio Services présente un nom d’utilisateur et un mot de passe SQL Server à une source de données SQL Server pour l’authentifier. Visio Services extrait ce nom d’utilisateur et ce mot de passe de la chaîne de connexion de données et les passe à la source de données.

Pour réduire les risques de sécurité, Visio Services emprunte l’identité du Compte de service automatisé lors de la connexion à une source de données de ce genre.

Authentification dans des sources de données OLEDB/ODBC

L’authentification aux sources de données tierces exige généralement que Visio Services présente un nom d’utilisateur et un mot de passe à une source de données. Comme l’authentification SQL Server, Visio Services extrait ce nom d’utilisateur et ce mot de passe de la chaîne de connexion de données et les passe à la source de données.

Pour réduire les risques de sécurité, Visio Services emprunte l’identité du Compte de service automatisé lors de la connexion à une source de données de ce genre.

Actualisation de données

Visio Services prend en charge l’actualisation des dessins connectés à une ou plusieurs des sources de données suivantes :

  • SQL Server

  • Listes SharePoint

  • Classeurs Excel hébergés dans SharePoint Server

  • Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 et DB2 9.2

Notes

Si la source de données à laquelle vous souhaitez vous connecter n’est pas dans la liste ci-dessus, vous pouvez ajouter sa prise en charge en créant un un fournisseur de données personnalisées Visio. Cette technique vous permet d’encapsuler vos sources de données existantes dans une source consommable par Visio Services. Pour plus d’informations, voir Création d’un fournisseur de données personnalisées avec Visio Services (https://go.microsoft.com/fwlink/?linkid=191029&clcid=0x40C) dans MSDN Library Online.

L’actualisation des données externes est le résultat des étapes suivantes exécutées dans Visio Services.

Actualisation des données externes

  1. Création d’un dessin :   l’auteur d’un dessin télécharge un dessin Web connecté aux données dans SharePoint Server 2010.

  2. Déclenchement d’une actualisation :   l’afficheur de dessins déclenche l’actualisation sur un dessin Web connecté aux données.

  3. Connexions de données :   Visio Services extrait les informations de connexion de données de chaque source de données externe dans le dessin.

  4. Fournisseurs de données approuvés :   Visio Services vérifie s’il existe un fournisseur de données approuvé utilisable pour extraire les données.

  5. Authentification :   Visio Services s’authentifie dans la source de données et extrait les données demandées pour l’afficheur de dessins.

  6. Actualisation des dessins :   Visio Services met à jour le dessin Web basé sur les données de la source de données et le renvoie à l’afficheur.

L’actualisation peut être déclenchée de l’une des manières suivantes à partir du navigateur :

  • L’utilisateur final ouvre le dessin Web.

  • L’utilisateur final clique sur le bouton d’actualisation sur un dessin Web déjà ouvert.

  • L’utilisateur final charge une page qui contient le composant WebPart Visio Web Access, configuré pour être actualisé automatiquement par un concepteur de site.

    Notes

    Un concepteur de site SharePoint doit placer le composant WebPart Visio Web Access sur une page et le configurer pour être actualisé régulièrement.

L’actualisation peut également être déclenchée dans des solutions tierces en appelant via JavaScript la méthode vwaControl.Refresh() de l’API de modification du composant WebPart Visio Web Access. Pour plus d’informations, voir Personnalisation des dessins Web Visio dans le composant WebPart Visio Web Access (https://go.microsoft.com/fwlink/?linkid=196503&clcid=0x40C) dans MSDN Library Online.

En l’absence de versions précédemment mises en cache de ce dessin Web, n’importe laquelle de ces actions déclenche une actualisation et met à jour le dessin Web. Pour plus d’informations sur la configuration des paramètres de cache pour Visio Services, voir Configurer les paramètres globaux du service Graphiques Visio (SharePoint Server 2010).