Pianificare la sicurezza di Servizi Visio (SharePoint Server 2010)

  • Articolo

 

Si applica a: SharePoint Server 2010

Ultima modifica dell'argomento: 2012-05-21

Oltre ai requisiti di sicurezza relativi alla distribuzione di Microsoft SharePoint Server 2010, è consigliabile tenere conto delle considerazioni sulla sicurezza per una distribuzione che include Visio Services in Microsoft SharePoint Server 2010. Visio Services consente di eseguire il rendering dei disegni Web di Visio pubblicati. Questi disegni possono essere connessi a dati esterni e i relativi elementi possono essere aggiornati in base a tali dati. La sicurezza è un aspetto importante per questi scenari di rendering dei dati. Servizio grafica di Visio offre un livello significativo di controllo specifico sull'elaborazione e la visualizzazione dei disegni Web di Visio e sulle origini dati a cui possono connettersi.

Disegni Web non connessi a dati

I disegni di Visio (file con estensione VDW) pubblicati devono essere archiviati in raccolte documenti di SharePoint che devono essere aperte da Visio Services. In SharePoint Server 2010 viene gestito un elenco di controllo di accesso (ACL) per i file inclusi nella raccolta documenti. Impostando correttamente le regole per la raccolta, è possibile limitare l'accesso a un determinato disegno.

Disegni Web di Visio connessi a dati

Servizio grafica di Visio è in grado di connettersi a origini dati, tra cui elenchi di SharePoint, cartelle di lavoro di Excel ospitate nella farm o database come Microsoft SQL Server, e a origini dati personalizzate. È possibile controllare l'accesso a origini dati specifiche definendo in modo esplicito i provider di dati attendibili e configurandoli nell'elenco dei provider di dati attendibili.

Quando Visio Services carica un disegno Web connesso a dati, il servizio verifica le informazioni sulla connessione archiviate nel disegno Web per stabilire se il provider di dati specificato è attendibile. Se il provider è incluso nell'elenco, verrà eseguito un tentativo di connessione, altrimenti la richiesta di connessione verrà ignorata.

Dopo che l'amministratore ha configurato Visio Services per consentire le connessioni a una determinata origine dati, è necessario effettuare ulteriori configurazioni di sicurezza, a seconda del tipo di origine dati. Visio Services supporta le origini dati seguenti:

  • Cartelle di lavoro di Excel archiviate in SharePoint Server con Excel Services

  • Elenchi di SharePoint

  • Database come i database di SQL Server

  • Provider di dati personalizzati

Disegni Web di Visio connessi a elenchi di SharePoint

I disegni di Visio pubblicati possono essere connessi a elenchi di SharePoint nella stessa farm in cui è ospitato il disegno. L'utente che visualizza il disegno Web deve disporre dell'accesso sia al disegno che all'elenco di SharePoint a cui il disegno è connesso. Tali autorizzazioni e credenziali vengono gestite da SharePoint Server 2010.

Disegni Web di Visio connessi a Excel Services

I disegni di Visio pubblicati possono essere connessi a cartelle di lavoro di Excel ospitate nella stessa farm del disegno Web con Excel Services in esecuzione e configurato correttamente. Per visualizzare il disegno Web, l'utente deve disporre dell'accesso sia al disegno che alla cartella di lavoro di Excel a cui il disegno è connesso. Tali autorizzazioni e credenziali vengono gestite da SharePoint Server 2010.

Disegni Web di Visio connessi a database di SQL Server

Quando un diagramma di Visio pubblicato è connesso a un database di SQL Server, Visio Services utilizza ulteriori opzioni di configurazione della sicurezza per stabilire una connessione tra Servizio grafica di Visio e il database. I disegni Web di Visio possono utilizzare le connessioni archiviate in file ODC (Office Data Connection). Per poter creare disegni Web connessi a dati che utilizzino l'account automatico e il servizio di archiviazione sicura, gli utenti devono innanzitutto creare i file ODC tramite Microsoft Excel.

I metodi di autenticazione supportati da Visio Services sono i seguenti:

  • Autenticazione integrata di Windows   In questo modello di sicurezza Servizio grafica di Visio utilizza l'identità dell'utente che visualizza il disegno per eseguire l'autenticazione nel database. L'autenticazione integrata di Windows con la delega vincolata Kerberos è più utile per aumentare il livello di sicurezza rispetto agli altri metodi di autenticazione riportati in questo elenco. Tale configurazione richiede l'attivazione della delega vincolata Kerberos tra il server applicazioni che esegue Servizio grafica di Visio e il server di database. Lo stesso database, per attivare l'autenticazione Kerberos, potrebbe richiedere ulteriori attività di configurazione che esulano dall'ambito di questo documento.

  • Servizio di archiviazione sicura   In questo modello di sicurezza Servizio grafica di Visio utilizza il servizio di archiviazione sicura per mappare le credenziali dell'utente a una credenziale diversa dotata dell'accesso al database. Il servizio di archiviazione sicura supporta i mapping di utenti singoli e gruppi per l'autenticazione integrata di Windows e altre forme di autenticazione. In questo modo gli amministratori possono usufruire di una maggiore flessibilità nella definizione di relazioni uno-a-uno, molti-a-uno o molti-a-molti. Tale modello di autenticazione può essere utilizzato solo da disegni che si avvalgono di un file ODC per specificare la connessione. Il file ODC specifica l'applicazione di destinazione che verrà utilizzata per il mapping delle credenziali.

  • Account di servizio automatico   Per facilitare la configurazione, Servizio grafica di Visio offre una speciale configurazione in cui l'amministratore può creare un mapping univoco che associa tutti gli utenti a un singolo account tramite un'applicazione di destinazione nell'archivio sicuro. Tale account mappato, noto come account di servizio automatico, deve essere un account di dominio di Windows con privilegi di basso livello a cui viene concesso l'accesso ai database. Servizio grafica di Visio rappresenta questo account al momento della connessione al database se non viene specificato un altro metodo di autenticazione. Questo approccio non consente l'esecuzione di query personalizzate su un database e non offre il controllo delle chiamate al database. Questo metodo di autenticazione è il metodo predefinito utilizzato quando ci si connette a database di SQL Server. Se non viene utilizzato un file ODC nel disegno Web di Visio in cui viene specificato un altro metodo di autenticazione, Visio Services utilizza le credenziali specificate dall'account automatico per connettersi al database di SQL Server.

In una server farm di dimensioni più estese è probabile che per i disegni di Visio venga utilizzata una combinazione dei metodi di autenticazione qui descritti. È importante tenere presente quanto segue:

  • Visio Services supporta l'utilizzo del servizio di archiviazione sicura e dell'account di servizio automatico nella stessa farm. Nei disegni Web connessi a dati di SQL Server ma che non utilizzano file ODC l'account automatico è obbligatorio e viene sempre utilizzato.

  • Se l'autenticazione integrata di Windows viene configurata tramite l'autenticazione Kerberos, Visio Services non eseguirà il rendering dei disegni per i quali viene utilizzata la modalità di autenticazione con account automatico.

  • L'autenticazione integrata di Windows può essere utilizzata insieme all'archiviazione sicura configurando i disegni in modo che utilizzino un file ODC in cui è specificata un'applicazione di destinazione per l'archiviazione sicura di tali disegni. Saranno necessarie credenziali specifiche.