Планирование безопасности служб Visio в SharePoint Server
**Применимо к:**SharePoint Server 2013, SharePoint Server 2016
**Последнее изменение раздела:**2017-07-06
Сводка. Сведения о вопросах безопасности, касающихся подключенных к данным схем, отображаемым в службах Visio.
Помимо требований к безопасности, применяемых к развертыванию SharePoint Server, необходимо также продумать обеспечение безопасности для развертывания, включающего Службы Visio. Службы Visio позволяют обрабатывать схемы Visio в окне браузера. Эти схемы могут быть подключены к внешним данным, а элементы схемы можно обновлять на основе этих данных. Безопасность — это важный компонент для включения таких сценариев обработки данных. Службы Службы Visio предоставляют значительный уровень пристального контроля для обработки и отображения схем Visio и выбора источников, к которым их можно подключить.
Хранение схем Visio в библиотеках документов SharePoint
Схемы Visio должны храниться в библиотеках документов SharePoint, чтобы их можно было открывать с помощью служб Службы Visio. SharePoint Server поддерживает список управления доступом (ACL) для файлов, находящихся в библиотеке документов. Правильно задав правила библиотеки, можно ограничить доступ к определенной схеме.
Схемы Visio, подключенные к данным
Служба графики Visio может выполнять подключение к источникам данных. К ним относятся списки SharePoint (включая внешние списки), базы данных, например SQL Server, и пользовательские источники данных. Можно управлять доступом к определенным источникам данных, явно указывая поставщиков данных, которые являются доверенными поставщиками, и настраивая их в списке доверенных поставщиков данных.
Примечание
Службы Visio осуществляет доступ к внешним источникам данных с помощью делегированного удостоверения Windows. Следовательно, внешние источники данных должны находиться в том же домене, что и ферма SharePoint Server, или необходимо настроить Службы Visio для использования службы Служба Secure Store. Если Служба Secure Store не используется и внешние источники данных не располагаются в том же домене, произойдет сбой проверки подлинности для внешних источников данных.
Когда службы Службы Visio загружают схему подключения данных, службы проверяют сведения о подключении, которые хранятся в схеме, чтобы определить, является ли указанный поставщик данных доверенным поставщиком. Если поставщик указан в списке доверенных поставщиков данных служб Службы Visio, выполняется попытка подключения; в противном случае запрос на подключение игнорируется.
После того как администратор настроил службы Службы Visio для активации подключений к определенному источнику данных, необходимо сделать дополнительные настройки безопасности в зависимости от типа источника данных. Службы Службы Visio поддерживают следующие источники данных:
Списки SharePoint, включающие внешние списки, активированные через Microsoft Business Connectivity Services
Базы данных, такие как базы данных SQL Server
Поставщики пользовательских данных
Схемы Visio, подключенные к спискам SharePoint
Схемы Visio могут быть подключены к спискам SharePoint в той же ферме, в которой размещается схема. У пользователя, просматривающего схему, должен быть доступ и к схеме, и к списку SharePoint, к которому подключена эта схема. Эти разрешения и учетные данные управляются SharePoint Server.
Схемы Visio также могут быть подключены к внешним спискам с помощью Microsoft Business Connectivity Services. Внешние списки, показанные через внешний тип контента Microsoft Business Connectivity Services, могут подключаться к схеме Visio в Visio, а данные могут обновляться через службы Службы Visio. Чтобы пользователь получил доступ к данным во внешнем списке, он должен иметь разрешения на доступ к внешнему типу контента и разрешения на доступ к внешнему источнику данных.
Схемы Visio, подключенные к базам данных SQL Server
Когда схема Visio подключена к базе данных SQL Server, службы Службы Visio используют дополнительные параметры настройки безопасности для установки подключения между службой Служба графики Visio и базой данных.
Службы Visio поддерживают следующие методы проверки подлинности:
Встроенная проверка подлинности Windows. В этой модели безопасности Служба графики Visio использует удостоверение средства просмотра схем, чтобы выполнить проверку подлинности для базы данных. Встроенная проверка подлинности Windows с ограниченным делегированием Kerberos более подходит для увеличения безопасности, чем другие способы проверки подлинности, показанные в этом списке. Для этой конфигурации требуется, чтобы ограниченное делегирование Kerberos было включено между сервером приложений, на котором запущена Служба графики Visio, и сервером баз данных. Для самой базы данных может требоваться дополнительная настройка, чтобы включить проверку подлинности на основе Kerberos.
Служба Secure Store. В этой модели безопасности Служба графики Visio использует службу Служба Secure Store для сопоставления учетных данных пользователя с другими учетными данными, имеющими доступ к базе данных. Служба Secure Store поддерживает индивидуальные и групповые сопоставления для встроенной проверки подлинности Windows и для других форм проверки подлинности, таких как проверка подлинности SQL Server. Это предоставляет администраторам больше гибкости в определении отношений "один к одному", "многие к одному" и "многие ко многим".
Автоматическая учетная запись службы. Для облегчения настройки Служба графики Visio предоставляет особую конфигурацию, в которой администратор может создать уникальное сопоставление, связывающее всех пользователей с одной учетной записью, с помощью конечного приложения Служба Secure Store. Эта сопоставленная учетная запись, известная как автоматическая учетная запись службы, должна быть учетной записью домена Windows с низкими привилегиями, и она должна иметь доступ к базам данных. Служба графики Visio имитирует эту учетную запись при подключении к базе данных, если не указан другой способ проверки подлинности. Обратите внимание, что этот подход не включает персонализированные запросы по базе данных и не предоставляет аудит вызовов базы данных. Этот способ проверки подлинности применяется по умолчанию при подключении к базам данных SQL Server: если ODC-файл не используется в схеме Visio, указывающей другой способ проверки подлинности, то Службы Visio используют учетные данных, заданные автоматической учетной записью для подключения к базе данных SQL Server.
В более большой ферме серверов схемы Visio, скорее всего, будут использовать сочетание способов проверки подлинности, описанные здесь. Важно помнить о следующих моментах:
Службы Службы Visio поддерживают использование в одной ферме и Служба Secure Store, и автоматической учетной записи службы. В схемах, подключенных к данным SQL Server, но не использующим ODC-файлы, автоматическая учетная запись обязательно требуется и всегда используется.
Если выбрана встроенная проверка подлинности Windows и происходит сбой проверки подлинности для источника данных, службы Службы Visio не будут пытаться обработать схему с помощью автоматической учетной записи службы.
Встроенная проверка подлинности Windows может использоваться вместе с Служба Secure Store посредством настройки схем на использование конечного приложения Служба Secure Store для тех схем, для которых требуются определенные учетные данные.