Visio Services のデータ認証

  • [アーティクル]

 

適用先: SharePoint Server 2010

トピックの最終更新日: 2016-11-30

Microsoft SharePoint Server 2010 の Visio Services は、次のような各種データ ソースに接続された Web 図面をサポートしています。

  • Microsoft Excel ブック、SharePoint リストなど、SharePoint ファーム内でホストされるデータ。

  • Microsoft SQL Server データや OLE DB または ODBC データ ソースなどの外部データ。

データ ソースからデータを取得するには、ユーザーがデータ ソースに認証され、さらに、そのデータ ソース内のデータへのアクセスが許可される必要があります。Web 図面の場合、図面の接続先データを更新するには、その図面を表示するユーザーの代わりに Visio Services がデータ ソースに認証されます。

データ ソースからのデータの取得

データを取得するために Visio Services で使用できる認証方法は、以下の表に示す、基のデータ ソースの種類によって異なります。データ ソースが複数の認証方法をサポートしている場合は、データ接続でどの認証方法を使用するかを指定する必要があります。

データ ソース 認証方法

SharePoint リスト

SharePoint ユーザー権限

Excel ブック

SharePoint ユーザー権限

SQL Server

次のいずれか:

  • Windows 認証 (統合セキュリティ)

    • Kerberos の制約付き委任の使用

    • Secure Store の使用

    • 無人サービス アカウントの使用

  • SQL Server 認証

OLE DB/ODBC

データ ソースごとに異なります。一般的には、接続文字列に格納されたユーザー名とパスワードのペアを使用します。

また、カスタム データ プロバイダーを使用することもできます。詳細については、「Visio Services でのカスタム データ プロバイダーの作成」(https://go.microsoft.com/fwlink/?linkid=196860&clcid=0x411) を参照してください。

以下のデータ ソースは、Microsoft Visio でサポートされていますが、Visio Services ではサポートされていません。

  • Access データベース

  • SharePoint Server でホストされていない Excel ブック

  • OLAP

SharePoint Server でホストされるデータへの接続

Visio Services は、SharePoint ファーム内でホストされるデータに接続された Web 図面をサポートしています。このようなデータには次のものがあります。

  • ドキュメント ライブラリ内の Excel ブック

  • SharePoint リストのデータ

Excel ブックへの接続

Visio Services では、Web 図面表示者の SharePoint Server 資格情報を使用して, .xlsx 形式の Excel ブックに接続します。認証操作を正常に行うには、以下の条件を満たす必要があります。

  • Excel Services が適切に準備されて、SharePoint ファームに構成されている。

  • ブックが Web 図面と同じファームでホストされている。

  • Web 図面表示者が Excel ブックに対して少なくとも "読み取り" 権限を持っている。

このようなデータ接続を有効にする場合は、その他の構成手順は必要ありません。

注意

Excel ブックへの接続の一環として、Visio Services は、ブックに外部データへの接続が含まれている場合は、Excel Services にブックの更新を要求します。この場合、図面表示者の ID が Excel Services に渡されます。その結果、Excel Services は基のデータ ソースに認証されてブックを更新できます。

SharePoint リストへの接続

Visio Services は、Web 図面表示者の SharePoint Server 資格情報を使用して、SharePoint リストに接続します。認証操作を正常に行うには、以下の条件を満たす必要があります。

  • SharePoint リストが Web 図面と同じファームでホストされている。

  • Web 図面表示者が SharePoint リストに対して少なくとも "読み取り" 権限を持っている。

このようなデータ接続を有効にするために必要なその他の構成手順はありません。

外部データへの接続

Visio Services は、SQL Server、OLE DB/ODBC、カスタム データ プロバイダーなどの各種外部データ ソースに接続できます。Visio Services はデータ ソースへの接続に、各データ ソースの特定のデータ プロバイダーを使用します。

セキュリティ上の理由により、Visio Services は、データ プロバイダーを使用する前に、そのデータ プロバイダーを明示的に信用する必要があります。信頼できるデータ プロバイダーの詳細については、「Visio Graphics Service の信頼できるデータ プロバイダーを構成する (SharePoint Server 2010)」を参照してください。

Microsoft SQL Server データ ソースには、次のどちらかの方法で接続できます。

  • Windows 認証

  • SQL Server 認証

その他のデータ ソースでは接続文字列を使用します。通常、接続文字列は、ユーザー名とパスワードで構成されます。

データ接続

Visio Web 図面では、次の 2 種類のどちらかの接続を使用します。

  • 埋め込み接続

  • リンク接続

埋め込み接続は Visio Web 図面の一部として格納されます。リンク接続は、Web 図面の一部としてではなく、Office データ接続 (ODC) ファイルに格納されます。Web 図面でリンク接続を使用するには、Web 図面と同じファーム内に格納される .odc ファイルを参照する必要があります。各データ接続は、次の要素で構成されます。

  • 接続文字列

  • クエリ文字列

  • 認証方法

  • 外部データの取得に必要なメタデータ (オプション)

以下で説明するように、どちらの接続にも長所と短所があります。状況に応じて、最適な接続を選択してください。

接続の種類 埋め込み接続 ODC ファイル

サポートされているデータ ソース

  • SQL Server (Kerberos 委任と無人サービス アカウントのみをサポート)

  • OLE DB/ODBC

  • Excel ブック

  • SharePoint リスト

  • カスタム データ プロバイダー

  • SQL Server (すべての認証方法をサポート)

  • OLE DB/ODBC

利点

  • 接続情報はすべて Web 図面に格納されます。

  • 埋め込み接続では、サポートの管理オーバーヘッドはほとんど発生しません。

  • 埋め込み接続は容易に作成できます。

  • リンク接続では、データ接続ライブラリを使用することで、格納、管理、監査、共有、およびアクセスを一元的に制御できます。

  • 図面作成者は、クエリや接続文字列を作成しなくても、既存の接続を使用できます。

  • データ ソースのデータ接続の詳細に変更が生じた場合、管理者はそれに応じて ODC ファイルを更新するだけで十分です。その ODC ファイルを参照する Web 図面を更新すると、その図面に新しい接続情報が反映されます (このシナリオの例として、データベース サーバーが移動された場合や、データベース名が変更された場合があります)。

欠点

  • データ ソースのデータ接続の詳細に変更が生じた場合、そのデータ ソースへの埋め込み接続を含む Web 図面はすべて、新しい接続情報を反映して再発行する必要があります。

  • SharePoint 管理者が埋め込みデータ接続を監査するのは非常に困難です。

  • リンク接続を作成するには、Excel を使用する必要があります。

  • リンク接続を共有、管理、およびセキュリティ保護するには、SharePoint 管理者の介入が必要となる場合があります。

  • リンク接続はクリア テキストで保存されます。リンク接続にはデータベースのパスワードが含まれている場合があります。これらのファイルをセキュリティ保護するために、特別な注意が必要です。

SQL Server などのエンタープライズ規模のリレーショナル データ ソースに接続する必要があるシナリオでは、ODC ファイルを使用したリンク データ接続を選択してください。リンク データ接続が最も効果的なのは、リンク データ接続を多数のユーザー間で共有したり、接続を管理者が制御する必要がある場合です。

注意

ODC ファイルを Visio Services で使用できるようにするには、最初に Excel で作成してから、SharePoint Server にエクスポートする必要があります。

一部のユーザーのみが使用する小規模またはファイルベースのデータ ソースへのクイック データ接続が必要なシナリオでは、埋め込み接続を選択してください。

ODC ファイルは、特殊な SharePoint ドキュメント ライブラリであるデータ接続ライブラリに格納できます。このようなドキュメント ライブラリでデータ接続を一元管理すると、いくつかの利点があります。

  • 管理者は、データ接続ライブラリへの書き込みアクセスを、信頼できるデータ接続作成者のみに制限できます。こうすることで、Web 図面作成者は、綿密なテストが実施済みで、かつセキュリティ保護されたデータ接続のみを使用できるようになります。

  • 管理者は、単一の場所から大規模なユーザー グループのデータ接続を管理できます。

  • 管理者は、ドキュメント ライブラリのバージョン管理およびワークフロー機能を使用して、データ接続ファイルを容易に承認、監査、復元、および管理できます。

  • データ接続ライブラリは、Excel、Excel Services、Microsoft InfoPath 2010、InfoPath Forms Services、Microsoft Word などの他の Office アプリケーション間で再使用できます。

  • エンドユーザーは単一の場所でのみ図面データを検索します。したがって、混乱が少なく、ユーザー トレーニングを実施する手間を省くことができます。

データ接続ライブラリの作成方法については、「[方法] データ接続ライブラリを作成および使用する」(https://go.microsoft.com/fwlink/?linkid=188117&clcid=0x411) を参照してください。ODC ファイルの作成方法については、「外部データへの接続を作成、編集、および管理する」(https://go.microsoft.com/fwlink/?linkid=196894&clcid=0x411) を参照してください。

Windows 認証

Windows 認証では、Visio Services は SQL Server に Windows 資格情報を渡す必要があります。このような資格情報は Windows ネットワークで一般的なもので、Windows ドメインへのログオン時や、Exchange Server を実行するコンピューターへの接続時に使用する資格情報と同じです。Windows 資格情報は、SQL Server データベースへのアクセスを制御する方法として、最も安全で最も管理性の高い方法であると認識されています。ただし、Visio Services で Windows 認証を使用する場合は 1 つだけ障害があります。それは、Windows ダブル ホップ セキュリティ対策です。これが障害となり、ユーザーの資格情報を Windows ネットワーク内の複数のコンピューターに渡すことができません。そのため、Visio Services が多層システムの場合は、Visio Services がエンドユーザーに代わってデータを取得できるように特殊な認証方法が必要です。

Windows 認証

どの認証方法を選択するかは、以下の表で説明するさまざまな要因によって異なります。状況に応じて、最適な認証方法を選択してください。

認証方法 Kerberos 委任 Secure Store 無人サービス アカウント

説明

Kerberos の制約付き委任を使用して、図面表示者の Windows 資格情報はデータ ソースに直接送信されます。

Secure Store Service を使用して、表示者の Windows 資格情報は Secure Store のターゲット アプリケーションに指定された別の資格情報にマップされます。

Secure Store Service を使用して、表示者はすべて、Visio Services のグローバル設定に指定された特定の Secure Store のターゲット アプリケーションに格納される一意の資格情報 (無人サービス アカウントと呼ばれる) にマップされます。

データ接続資格情報

Web 図面表示者の Windows 資格情報。

Secure Store のターゲット アプリケーションに指定された資格情報。

無人サービス アカウントの資格情報。

利点

  • Kerberos プロトコルは資格情報管理の業界標準です。

  • Kerberos は既存の Active Directory インフラストラクチャに結合されます。

  • Kerberos 委任により、データ ソースへの個々のアクセスの監査が許可されます。

  • Web 図面表示者の ID がわかっている場合、Web 図面作成者は、個人用のデータベース クエリを Web 図面に埋め込むことができます。

  • Secure Store Service は SharePoint Server の一部で、Kerberos よりも構成が容易です。

  • マッピングは柔軟に行うことができます。ユーザーを一対一または多対一のどちらでもマッピングできます。

  • Windows 以外の資格情報を使用して、Windows 資格情報を受け付けないデータ ソースに接続できます。

  • Visio 用に作成されたマッピングを、Excel Services などの別のビジネス インテリジェンス アプリケーションで再使用できます。

  • 無人サービス アカウントは展開と設定が最も容易な認証方法です。

  • 無人サービス アカウントは管理オーバーヘッドをあまり必要としません。

欠点

  • SharePoint Server と Visio Services の構成のために追加の管理作業が必要です。

  • マッピング テーブルの作成と管理のために多少の管理オーバーヘッドが必要です。

  • Secure Store は、制限付きの監査を許可します。多対一のシナリオでは、各ユーザーはターゲット アプリケーションを介して同じ資格情報にマップされて、1 名のユーザーに効果的に組み合わされます。

  • すべてのユーザーが同じ資格情報にマップされると、管理者はデータ ソースにアクセスしたユーザーを識別できません。

認証操作を正常に行うには

  • SharePoint ファームに Kerberos 委任を設定する必要があります。

  • Secure Store Service を準備して、ファームに構成する必要があります。また、Secure Store Service に、特定のユーザー用の適切なマッピング情報を含める必要もあります。さらに、マッピング情報を定期的に更新して、マップされたアカウントのパスワードの変更を反映する必要もあります。

  • Secure Store Service を準備して、ファームに構成する必要があります。また、Secure Store Service に、無人サービス アカウント用の適切な資格情報を含める必要もあります。さらに、マッピング情報を定期的に更新して、マップされたアカウントのパスワードの変更を反映する必要もあります。

  • 無人サービス アカウントを使用するように Visio Services を構成する必要があります。

Kerberos 委任

Windows 認証をサポートするエンタープライズ規模のリレーショナル データ ソースに対する迅速、かつセキュリティ保護された認証には、Kerberos 委任を選択してください。Kerberos 委任の構成については、次の資料を参照してください。

Secure Store

Windows 認証をサポートしない可能性があるエンタープライズ規模のリレーショナル データ ソースに対する認証には、Secure Store を選択してください。また、Secure Store は、ユーザー資格情報のマッピングを制御するシナリオでも役立ちます。

Visio Services での Secure Store の使用については、「ビジネス インテリジェンス サービス アプリケーション用の Secure Store」を参照してください。

ビデオ デモ

ビデオのスクリーンショット

このデモでは、Visio Services での Secure Store の構成手順について説明します。

ビデオを見る (英語) (https://go.microsoft.com/fwlink/?linkid=196864&clcid=0x411) (英語)。ビデオ ファイルをダウンロードするには、このリンクを右クリックして [対象をファイルに保存] をクリックします。

無人サービス アカウント

構成を容易にするために、Visio Graphics Service は特殊な構成を備えています。この構成を使用すると、管理者は、すべてのユーザーを単一の資格情報にマップする一意のマッピングを作成できます。

このアカウントは無人サービス アカウントと呼ばれ、低い権限の Windows ドメイン アカウントである必要があります。Visio Service は、Web 図面表示者の代わりにデータ ソースに接続するときに、このアカウントを偽装します。

このアカウントにはネットワーク権限をできるだけ与えないことをお勧めします。一般的には、ネットワークへのログインのアクセスと、ユーザーの接続先データ ソースへのアクセス以外は与えません。最適なセキュリティを確保するには、無人サービス アカウントに SharePoint 構成およびコンテンツ データベースへのアクセスを与えないでください。

次の場合、Visio Services は無人サービス アカウントを使用します。

  • ODC ファイルに、Windows 認証または SQL Server 認証のどちらかで無人サービス アカウントを使用するように指定されている。

  • ODC が使用されず、Kerberos 認証が失敗した。

注意

無人アカウントは Windows タイプのローカル コンピューター アカウントとして使用できます。無人サービス アカウントをローカル コンピューター アカウントとして構成する場合は、Visio Services を実行するすべてのアプリケーション サーバーを同じ構成にします。管理上の理由により、ドメイン アカウントを使用するのがベスト プラクティスです。

セキュリティの重要性が低い、または迅速な展開が求められる小規模なアドホック展開に接続するときは、無人サービス アカウントを選択してください。

Visio Services での無人サービス アカウントの使用については、「ビジネス インテリジェンス サービス アプリケーション用の Secure Store」を参照してください。

ビデオ デモ

ビデオのスクリーンショット

このデモでは、Visio Services での無人サービス アカウントの構成手順について説明します。

ビデオを見る (英語) (https://go.microsoft.com/fwlink/?linkid=196865&clcid=0x411) (英語)。ビデオ ファイルをダウンロードするには、このリンクを右クリックして [対象をファイルに保存] をクリックします。

SQL Server 認証

SQL Server 認証では、Visio Services は、認証対象となる SQL Server データ ソースに SQL Server ユーザー名とパスワードを提示する必要があります。Visio Services は、このユーザー名とパスワードをデータ接続の接続文字列から抽出してデータ ソースに渡します。

このようなデータ ソースに接続する場合、Visio Services は、セキュリティの危険性を抑えるために無人サービス アカウントを偽装します。

OLEDB/ODBC データ ソースに対する認証

一般に、サードパーティのデータ ソースに対する認証では、Visio Services は、データ ソースにユーザー名とパスワードを提示する必要があります。SQL Server 認証と同様、Visio Services は、このユーザー名とパスワードをデータ接続の接続文字列から抽出してデータ ソースに渡します。

このようなデータ ソースに接続する場合、Visio Services は、セキュリティの危険性を抑えるために無人サービス アカウントを偽装します。

データの更新

Visio Services は、次のいずれか、またはいくつかのデータ ソースに接続された図面の更新をサポートしています。

  • SQL Server

  • SharePoint リスト

  • SharePoint Server でホストされる Excel ブック

  • Oracle 9i、9iR2、10g、10gR2、11g、11gR2、および DB2 9.2

注意

上記の一覧に、接続先データ ソースが含まれていない場合は、Visio カスタム データ プロバイダーを作成して、データ ソースのサポートを追加できます。Visio カスタム データ プロバイダーを使用すると、Visio Services で使用できる 1 つのデータ ソースに既存のデータ ソースをまとめることができます。詳細については、MSDN ライブラリ オンラインの「Visio Services でのカスタム データ プロバイダーの作成」(https://go.microsoft.com/fwlink/?linkid=191029&clcid=0x411) を参照してください。

Visio Services を介して次の手順が実行されることにより、外部データが更新されます。

外部データの更新

  1. 図面の作成:   図面作成者が、SharePoint Server 2010 にデータ接続された Web 図面をアップロードします。

  2. 更新の発生:   図面表示者が、データ接続された Web 図面の更新を開始します。

  3. データ接続:   Visio Services が、図面内の個々の外部データ ソースのデータ接続情報を取得します。

  4. 信頼できるデータ プロバイダー:   Visio Services が、データの取得に使用できる、信頼できるデータ プロバイダーの存在の有無を確認します。

  5. 認証:   Visio Services が、データ ソースに認証され、要求されたデータを図面表示者の代わりに取得します。

  6. 図面の更新:   Visio Services が、データ ソースのデータに基づいて Web 図面を更新し、その図面を表示者に返します。

更新は、ブラウザー内から次のいずれかの場合に開始できます。

  • エンドユーザーが Web 図面を開く。

  • 既に開いている Web 図面内でエンドユーザーが更新ボタンをクリックする。

  • サイト デザイナーによって自動更新が構成された Visio Web Access Web パーツを含むページをエンドユーザーが読み込む。

    注意

    SharePoint サイト デザイナーは、Visio Web Access Web パーツをページに配置して、その定期的な更新を構成する必要があります。

また、Visio Web Access Web パーツのマッシュアップ API である JavaScript の vwaControl.Refresh() メソッドを呼び出すことによっても、サードパーティ ソリューションで更新を開始できます。詳細については、MSDN ライブラリ オンラインの「Visio Web Access Web パーツの Visio Web 図面のカスタマイズ」(https://go.microsoft.com/fwlink/?linkid=196503&clcid=0x411) を参照してください。

この Web 図面がまだ一度もキャッシュされていない場合は、上記のいずれの操作が行われても Web 図面は更新されます。Visio Services のキャッシュ設定の構成については、「Visio Graphics Service のグローバル設定を構成する (SharePoint Server 2010)」を参照してください。