Поделиться через

Планирование безопасности служб Visio в SharePoint Server

  • Статья

 

**Применимо к:**SharePoint Server 2013, SharePoint Server 2016

**Последнее изменение раздела:**2017-07-06

Сводка. Сведения о вопросах безопасности, касающихся подключенных к данным схем, отображаемым в службах Visio.

Помимо требований к безопасности, применяемых к развертыванию SharePoint Server, необходимо также продумать обеспечение безопасности для развертывания, включающего Службы Visio. Службы Visio позволяют обрабатывать схемы Visio в окне браузера. Эти схемы могут быть подключены к внешним данным, а элементы схемы можно обновлять на основе этих данных. Безопасность — это важный компонент для включения таких сценариев обработки данных. Службы Службы Visio предоставляют значительный уровень пристального контроля для обработки и отображения схем Visio и выбора источников, к которым их можно подключить.

Хранение схем Visio в библиотеках документов SharePoint

Схемы Visio должны храниться в библиотеках документов SharePoint, чтобы их можно было открывать с помощью служб Службы Visio. SharePoint Server поддерживает список управления доступом (ACL) для файлов, находящихся в библиотеке документов. Правильно задав правила библиотеки, можно ограничить доступ к определенной схеме.

Схемы Visio, подключенные к данным

Служба графики Visio может выполнять подключение к источникам данных. К ним относятся списки SharePoint (включая внешние списки), базы данных, например SQL Server, и пользовательские источники данных. Можно управлять доступом к определенным источникам данных, явно указывая поставщиков данных, которые являются доверенными поставщиками, и настраивая их в списке доверенных поставщиков данных.

Примечание

Службы Visio осуществляет доступ к внешним источникам данных с помощью делегированного удостоверения Windows. Следовательно, внешние источники данных должны находиться в том же домене, что и ферма SharePoint Server, или необходимо настроить Службы Visio для использования службы Служба Secure Store. Если Служба Secure Store не используется и внешние источники данных не располагаются в том же домене, произойдет сбой проверки подлинности для внешних источников данных.

Когда службы Службы Visio загружают схему подключения данных, службы проверяют сведения о подключении, которые хранятся в схеме, чтобы определить, является ли указанный поставщик данных доверенным поставщиком. Если поставщик указан в списке доверенных поставщиков данных служб Службы Visio, выполняется попытка подключения; в противном случае запрос на подключение игнорируется.

После того как администратор настроил службы Службы Visio для активации подключений к определенному источнику данных, необходимо сделать дополнительные настройки безопасности в зависимости от типа источника данных. Службы Службы Visio поддерживают следующие источники данных:

  • Списки SharePoint, включающие внешние списки, активированные через Microsoft Business Connectivity Services

  • Базы данных, такие как базы данных SQL Server

  • Поставщики пользовательских данных

Схемы Visio, подключенные к спискам SharePoint

Схемы Visio могут быть подключены к спискам SharePoint в той же ферме, в которой размещается схема. У пользователя, просматривающего схему, должен быть доступ и к схеме, и к списку SharePoint, к которому подключена эта схема. Эти разрешения и учетные данные управляются SharePoint Server.

Схемы Visio также могут быть подключены к внешним спискам с помощью Microsoft Business Connectivity Services. Внешние списки, показанные через внешний тип контента Microsoft Business Connectivity Services, могут подключаться к схеме Visio в Visio, а данные могут обновляться через службы Службы Visio. Чтобы пользователь получил доступ к данным во внешнем списке, он должен иметь разрешения на доступ к внешнему типу контента и разрешения на доступ к внешнему источнику данных.

Схемы Visio, подключенные к базам данных SQL Server

Когда схема Visio подключена к базе данных SQL Server, службы Службы Visio используют дополнительные параметры настройки безопасности для установки подключения между службой Служба графики Visio и базой данных.

Службы Visio поддерживают следующие методы проверки подлинности:

  • Встроенная проверка подлинности Windows. В этой модели безопасности Служба графики Visio использует удостоверение средства просмотра схем, чтобы выполнить проверку подлинности для базы данных. Встроенная проверка подлинности Windows с ограниченным делегированием Kerberos более подходит для увеличения безопасности, чем другие способы проверки подлинности, показанные в этом списке. Для этой конфигурации требуется, чтобы ограниченное делегирование Kerberos было включено между сервером приложений, на котором запущена Служба графики Visio, и сервером баз данных. Для самой базы данных может требоваться дополнительная настройка, чтобы включить проверку подлинности на основе Kerberos.

  • Служба Secure Store. В этой модели безопасности Служба графики Visio использует службу Служба Secure Store для сопоставления учетных данных пользователя с другими учетными данными, имеющими доступ к базе данных. Служба Secure Store поддерживает индивидуальные и групповые сопоставления для встроенной проверки подлинности Windows и для других форм проверки подлинности, таких как проверка подлинности SQL Server. Это предоставляет администраторам больше гибкости в определении отношений "один к одному", "многие к одному" и "многие ко многим".

  • Автоматическая учетная запись службы. Для облегчения настройки Служба графики Visio предоставляет особую конфигурацию, в которой администратор может создать уникальное сопоставление, связывающее всех пользователей с одной учетной записью, с помощью конечного приложения Служба Secure Store. Эта сопоставленная учетная запись, известная как автоматическая учетная запись службы, должна быть учетной записью домена Windows с низкими привилегиями, и она должна иметь доступ к базам данных. Служба графики Visio имитирует эту учетную запись при подключении к базе данных, если не указан другой способ проверки подлинности. Обратите внимание, что этот подход не включает персонализированные запросы по базе данных и не предоставляет аудит вызовов базы данных. Этот способ проверки подлинности применяется по умолчанию при подключении к базам данных SQL Server: если ODC-файл не используется в схеме Visio, указывающей другой способ проверки подлинности, то Службы Visio используют учетные данных, заданные автоматической учетной записью для подключения к базе данных SQL Server.

В более большой ферме серверов схемы Visio, скорее всего, будут использовать сочетание способов проверки подлинности, описанные здесь. Важно помнить о следующих моментах:

  • Службы Службы Visio поддерживают использование в одной ферме и Служба Secure Store, и автоматической учетной записи службы. В схемах, подключенных к данным SQL Server, но не использующим ODC-файлы, автоматическая учетная запись обязательно требуется и всегда используется.

  • Если выбрана встроенная проверка подлинности Windows и происходит сбой проверки подлинности для источника данных, службы Службы Visio не будут пытаться обработать схему с помощью автоматической учетной записи службы.

  • Встроенная проверка подлинности Windows может использоваться вместе с Служба Secure Store посредством настройки схем на использование конечного приложения Служба Secure Store для тех схем, для которых требуются определенные учетные данные.

See also

Служба Secure Store для приложений службы бизнес-аналитики