Visio Services のデータ認証
適用先: SharePoint Server 2010
トピックの最終更新日: 2016-11-30
Microsoft SharePoint Server 2010 の Visio Services は、次のような各種データ ソースに接続された Web 図面をサポートしています。
Microsoft Excel ブック、SharePoint リストなど、SharePoint ファーム内でホストされるデータ。
Microsoft SQL Server データや OLE DB または ODBC データ ソースなどの外部データ。
データ ソースからデータを取得するには、ユーザーがデータ ソースに認証され、さらに、そのデータ ソース内のデータへのアクセスが許可される必要があります。Web 図面の場合、図面の接続先データを更新するには、その図面を表示するユーザーの代わりに Visio Services がデータ ソースに認証されます。
データを取得するために Visio Services で使用できる認証方法は、以下の表に示す、基のデータ ソースの種類によって異なります。データ ソースが複数の認証方法をサポートしている場合は、データ接続でどの認証方法を使用するかを指定する必要があります。
データ ソース | 認証方法 |
---|---|
SharePoint リスト |
SharePoint ユーザー権限 |
Excel ブック |
SharePoint ユーザー権限 |
SQL Server |
次のいずれか:
|
OLE DB/ODBC |
データ ソースごとに異なります。一般的には、接続文字列に格納されたユーザー名とパスワードのペアを使用します。 |
また、カスタム データ プロバイダーを使用することもできます。詳細については、「Visio Services でのカスタム データ プロバイダーの作成」(https://go.microsoft.com/fwlink/?linkid=196860&clcid=0x411) を参照してください。
以下のデータ ソースは、Microsoft Visio でサポートされていますが、Visio Services ではサポートされていません。
Access データベース
SharePoint Server でホストされていない Excel ブック
OLAP
SharePoint Server でホストされるデータへの接続
Visio Services は、SharePoint ファーム内でホストされるデータに接続された Web 図面をサポートしています。このようなデータには次のものがあります。
ドキュメント ライブラリ内の Excel ブック
SharePoint リストのデータ
Excel ブックへの接続
Visio Services では、Web 図面表示者の SharePoint Server 資格情報を使用して, .xlsx 形式の Excel ブックに接続します。認証操作を正常に行うには、以下の条件を満たす必要があります。
Excel Services が適切に準備されて、SharePoint ファームに構成されている。
ブックが Web 図面と同じファームでホストされている。
Web 図面表示者が Excel ブックに対して少なくとも "読み取り" 権限を持っている。
このようなデータ接続を有効にする場合は、その他の構成手順は必要ありません。
注意
Excel ブックへの接続の一環として、Visio Services は、ブックに外部データへの接続が含まれている場合は、Excel Services にブックの更新を要求します。この場合、図面表示者の ID が Excel Services に渡されます。その結果、Excel Services は基のデータ ソースに認証されてブックを更新できます。
SharePoint リストへの接続
Visio Services は、Web 図面表示者の SharePoint Server 資格情報を使用して、SharePoint リストに接続します。認証操作を正常に行うには、以下の条件を満たす必要があります。
SharePoint リストが Web 図面と同じファームでホストされている。
Web 図面表示者が SharePoint リストに対して少なくとも "読み取り" 権限を持っている。
このようなデータ接続を有効にするために必要なその他の構成手順はありません。
外部データへの接続
Visio Services は、SQL Server、OLE DB/ODBC、カスタム データ プロバイダーなどの各種外部データ ソースに接続できます。Visio Services はデータ ソースへの接続に、各データ ソースの特定のデータ プロバイダーを使用します。
セキュリティ上の理由により、Visio Services は、データ プロバイダーを使用する前に、そのデータ プロバイダーを明示的に信用する必要があります。信頼できるデータ プロバイダーの詳細については、「Visio Graphics Service の信頼できるデータ プロバイダーを構成する (SharePoint Server 2010)」を参照してください。
Microsoft SQL Server データ ソースには、次のどちらかの方法で接続できます。
Windows 認証
SQL Server 認証
その他のデータ ソースでは接続文字列を使用します。通常、接続文字列は、ユーザー名とパスワードで構成されます。
データ接続
Visio Web 図面では、次の 2 種類のどちらかの接続を使用します。
埋め込み接続
リンク接続
埋め込み接続は Visio Web 図面の一部として格納されます。リンク接続は、Web 図面の一部としてではなく、Office データ接続 (ODC) ファイルに格納されます。Web 図面でリンク接続を使用するには、Web 図面と同じファーム内に格納される .odc ファイルを参照する必要があります。各データ接続は、次の要素で構成されます。
接続文字列
クエリ文字列
認証方法
外部データの取得に必要なメタデータ (オプション)
以下で説明するように、どちらの接続にも長所と短所があります。状況に応じて、最適な接続を選択してください。
接続の種類 | 埋め込み接続 | ODC ファイル |
---|---|---|
サポートされているデータ ソース |
|
|
利点 |
|
|
欠点 |
|
|
SQL Server などのエンタープライズ規模のリレーショナル データ ソースに接続する必要があるシナリオでは、ODC ファイルを使用したリンク データ接続を選択してください。リンク データ接続が最も効果的なのは、リンク データ接続を多数のユーザー間で共有したり、接続を管理者が制御する必要がある場合です。
注意
ODC ファイルを Visio Services で使用できるようにするには、最初に Excel で作成してから、SharePoint Server にエクスポートする必要があります。
一部のユーザーのみが使用する小規模またはファイルベースのデータ ソースへのクイック データ接続が必要なシナリオでは、埋め込み接続を選択してください。
ODC ファイルは、特殊な SharePoint ドキュメント ライブラリであるデータ接続ライブラリに格納できます。このようなドキュメント ライブラリでデータ接続を一元管理すると、いくつかの利点があります。
管理者は、データ接続ライブラリへの書き込みアクセスを、信頼できるデータ接続作成者のみに制限できます。こうすることで、Web 図面作成者は、綿密なテストが実施済みで、かつセキュリティ保護されたデータ接続のみを使用できるようになります。
管理者は、単一の場所から大規模なユーザー グループのデータ接続を管理できます。
管理者は、ドキュメント ライブラリのバージョン管理およびワークフロー機能を使用して、データ接続ファイルを容易に承認、監査、復元、および管理できます。
データ接続ライブラリは、Excel、Excel Services、Microsoft InfoPath 2010、InfoPath Forms Services、Microsoft Word などの他の Office アプリケーション間で再使用できます。
エンドユーザーは単一の場所でのみ図面データを検索します。したがって、混乱が少なく、ユーザー トレーニングを実施する手間を省くことができます。
データ接続ライブラリの作成方法については、「[方法] データ接続ライブラリを作成および使用する」(https://go.microsoft.com/fwlink/?linkid=188117&clcid=0x411) を参照してください。ODC ファイルの作成方法については、「外部データへの接続を作成、編集、および管理する」(https://go.microsoft.com/fwlink/?linkid=196894&clcid=0x411) を参照してください。
Windows 認証
Windows 認証では、Visio Services は SQL Server に Windows 資格情報を渡す必要があります。このような資格情報は Windows ネットワークで一般的なもので、Windows ドメインへのログオン時や、Exchange Server を実行するコンピューターへの接続時に使用する資格情報と同じです。Windows 資格情報は、SQL Server データベースへのアクセスを制御する方法として、最も安全で最も管理性の高い方法であると認識されています。ただし、Visio Services で Windows 認証を使用する場合は 1 つだけ障害があります。それは、Windows ダブル ホップ セキュリティ対策です。これが障害となり、ユーザーの資格情報を Windows ネットワーク内の複数のコンピューターに渡すことができません。そのため、Visio Services が多層システムの場合は、Visio Services がエンドユーザーに代わってデータを取得できるように特殊な認証方法が必要です。
どの認証方法を選択するかは、以下の表で説明するさまざまな要因によって異なります。状況に応じて、最適な認証方法を選択してください。
認証方法 | Kerberos 委任 | Secure Store | 無人サービス アカウント |
---|---|---|---|
説明 |
Kerberos の制約付き委任を使用して、図面表示者の Windows 資格情報はデータ ソースに直接送信されます。 |
Secure Store Service を使用して、表示者の Windows 資格情報は Secure Store のターゲット アプリケーションに指定された別の資格情報にマップされます。 |
Secure Store Service を使用して、表示者はすべて、Visio Services のグローバル設定に指定された特定の Secure Store のターゲット アプリケーションに格納される一意の資格情報 (無人サービス アカウントと呼ばれる) にマップされます。 |
データ接続資格情報 |
Web 図面表示者の Windows 資格情報。 |
Secure Store のターゲット アプリケーションに指定された資格情報。 |
無人サービス アカウントの資格情報。 |
利点 |
|
|
|
欠点 |
|
|
|
認証操作を正常に行うには |
|
|
|
Kerberos 委任
Windows 認証をサポートするエンタープライズ規模のリレーショナル データ ソースに対する迅速、かつセキュリティ保護された認証には、Kerberos 委任を選択してください。Kerberos 委任の構成については、次の資料を参照してください。
『Configuring Kerberos Authentication for Microsoft SharePoint 2010 Products (英語)』(https://go.microsoft.com/fwlink/?linkid=196600&clcid=0x411) (英語)
Secure Store
Windows 認証をサポートしない可能性があるエンタープライズ規模のリレーショナル データ ソースに対する認証には、Secure Store を選択してください。また、Secure Store は、ユーザー資格情報のマッピングを制御するシナリオでも役立ちます。
Visio Services での Secure Store の使用については、「ビジネス インテリジェンス サービス アプリケーション用の Secure Store」を参照してください。
ビデオ デモ
このデモでは、Visio Services での Secure Store の構成手順について説明します。
ビデオを見る (英語) (https://go.microsoft.com/fwlink/?linkid=196864&clcid=0x411) (英語)。ビデオ ファイルをダウンロードするには、このリンクを右クリックして [対象をファイルに保存] をクリックします。
無人サービス アカウント
構成を容易にするために、Visio Graphics Service は特殊な構成を備えています。この構成を使用すると、管理者は、すべてのユーザーを単一の資格情報にマップする一意のマッピングを作成できます。
このアカウントは無人サービス アカウントと呼ばれ、低い権限の Windows ドメイン アカウントである必要があります。Visio Service は、Web 図面表示者の代わりにデータ ソースに接続するときに、このアカウントを偽装します。
このアカウントにはネットワーク権限をできるだけ与えないことをお勧めします。一般的には、ネットワークへのログインのアクセスと、ユーザーの接続先データ ソースへのアクセス以外は与えません。最適なセキュリティを確保するには、無人サービス アカウントに SharePoint 構成およびコンテンツ データベースへのアクセスを与えないでください。
次の場合、Visio Services は無人サービス アカウントを使用します。
ODC ファイルに、Windows 認証または SQL Server 認証のどちらかで無人サービス アカウントを使用するように指定されている。
ODC が使用されず、Kerberos 認証が失敗した。
注意
無人アカウントは Windows タイプのローカル コンピューター アカウントとして使用できます。無人サービス アカウントをローカル コンピューター アカウントとして構成する場合は、Visio Services を実行するすべてのアプリケーション サーバーを同じ構成にします。管理上の理由により、ドメイン アカウントを使用するのがベスト プラクティスです。
セキュリティの重要性が低い、または迅速な展開が求められる小規模なアドホック展開に接続するときは、無人サービス アカウントを選択してください。
Visio Services での無人サービス アカウントの使用については、「ビジネス インテリジェンス サービス アプリケーション用の Secure Store」を参照してください。
ビデオ デモ
このデモでは、Visio Services での無人サービス アカウントの構成手順について説明します。
ビデオを見る (英語) (https://go.microsoft.com/fwlink/?linkid=196865&clcid=0x411) (英語)。ビデオ ファイルをダウンロードするには、このリンクを右クリックして [対象をファイルに保存] をクリックします。
SQL Server 認証
SQL Server 認証では、Visio Services は、認証対象となる SQL Server データ ソースに SQL Server ユーザー名とパスワードを提示する必要があります。Visio Services は、このユーザー名とパスワードをデータ接続の接続文字列から抽出してデータ ソースに渡します。
このようなデータ ソースに接続する場合、Visio Services は、セキュリティの危険性を抑えるために無人サービス アカウントを偽装します。
OLEDB/ODBC データ ソースに対する認証
一般に、サードパーティのデータ ソースに対する認証では、Visio Services は、データ ソースにユーザー名とパスワードを提示する必要があります。SQL Server 認証と同様、Visio Services は、このユーザー名とパスワードをデータ接続の接続文字列から抽出してデータ ソースに渡します。
このようなデータ ソースに接続する場合、Visio Services は、セキュリティの危険性を抑えるために無人サービス アカウントを偽装します。
データの更新
Visio Services は、次のいずれか、またはいくつかのデータ ソースに接続された図面の更新をサポートしています。
SQL Server
SharePoint リスト
SharePoint Server でホストされる Excel ブック
Oracle 9i、9iR2、10g、10gR2、11g、11gR2、および DB2 9.2
注意
上記の一覧に、接続先データ ソースが含まれていない場合は、Visio カスタム データ プロバイダーを作成して、データ ソースのサポートを追加できます。Visio カスタム データ プロバイダーを使用すると、Visio Services で使用できる 1 つのデータ ソースに既存のデータ ソースをまとめることができます。詳細については、MSDN ライブラリ オンラインの「Visio Services でのカスタム データ プロバイダーの作成」(https://go.microsoft.com/fwlink/?linkid=191029&clcid=0x411) を参照してください。
Visio Services を介して次の手順が実行されることにより、外部データが更新されます。
図面の作成: 図面作成者が、SharePoint Server 2010 にデータ接続された Web 図面をアップロードします。
更新の発生: 図面表示者が、データ接続された Web 図面の更新を開始します。
データ接続: Visio Services が、図面内の個々の外部データ ソースのデータ接続情報を取得します。
信頼できるデータ プロバイダー: Visio Services が、データの取得に使用できる、信頼できるデータ プロバイダーの存在の有無を確認します。
認証: Visio Services が、データ ソースに認証され、要求されたデータを図面表示者の代わりに取得します。
図面の更新: Visio Services が、データ ソースのデータに基づいて Web 図面を更新し、その図面を表示者に返します。
更新は、ブラウザー内から次のいずれかの場合に開始できます。
エンドユーザーが Web 図面を開く。
既に開いている Web 図面内でエンドユーザーが更新ボタンをクリックする。
サイト デザイナーによって自動更新が構成された Visio Web Access Web パーツを含むページをエンドユーザーが読み込む。
注意
SharePoint サイト デザイナーは、Visio Web Access Web パーツをページに配置して、その定期的な更新を構成する必要があります。
また、Visio Web Access Web パーツのマッシュアップ API である JavaScript の vwaControl.Refresh() メソッドを呼び出すことによっても、サードパーティ ソリューションで更新を開始できます。詳細については、MSDN ライブラリ オンラインの「Visio Web Access Web パーツの Visio Web 図面のカスタマイズ」(https://go.microsoft.com/fwlink/?linkid=196503&clcid=0x411) を参照してください。
この Web 図面がまだ一度もキャッシュされていない場合は、上記のいずれの操作が行われても Web 図面は更新されます。Visio Services のキャッシュ設定の構成については、「Visio Graphics Service のグローバル設定を構成する (SharePoint Server 2010)」を参照してください。