Поделиться через

Проверка подлинности данных для служб Visio в SharePoint Server

  • Статья

 

**Применимо к:**SharePoint Server 2013, SharePoint Server 2016

**Последнее изменение раздела:**2017-07-06

Сводка. Службы Visio поддерживают подключения к книгам Excel, спискам SharePoint, базам данных SQL Server, а также источникам данных OLE DB и ODBC.

Источники данных классифицируются как внутренние или внешние следующим образом:

  • Внутренние: данные, размещаемые внутри фермы SharePoint, например в книге Excel или в списке SharePoint.

  • Внешние: данные SQL Server или источник данных OLE DB или ODBC.

Для извлечения данных из источника пользователь должен пройти проверку подлинности в этом источнике, а затем авторизацию для доступа к данным источника. В случае схемы службы Visio проходят проверку подлинности от имени пользователя, просматривающего схему, чтобы обновить данные, к которым подключена схема.

Метод проверки подлинности, который службы Visio могут использовать для извлечения данных, зависит от типа используемого источника данных в соответствии со следующей таблицей. Для источников данных, поддерживающих несколько способов проверки подлинности, подключение к данным должно указывать используемый способ.

Источник данных Метод проверки подлинности

Списки SharePoint

Разрешения пользователей SharePoint

Книги Excel.

Разрешения пользователей SharePoint

SQL Server

Один из следующих методов:

  • проверка подлинности Windows (интегрированная система безопасности)

    • с использованием ограниченного делегирования Kerberos

    • с использованием Служба Secure Store

    • с использованием автоматической учетной записи службы

  • проверка подлинности SQL Server

OLE DB/ODBC

Зависит от источника данных, обычно используется комбинация имени пользователя и пароля, хранящаяся в строке подключения.

Могут также использоваться настраиваемые поставщики данных.

Следующие источники данных поддерживаются в Visio, но не в службах Visio:

  • Базы данных Access

  • Книги Excel, не размещенные в SharePoint Server

  • OLAP

Подключение служб Visio к данным, размещенным в SharePoint Server

Службы Visio поддерживают схемы, которые подключаются к данным, размещенным в ферме SharePoint, в том числе следующим:

  • Книги Excel, находящиеся в библиотеке документов

  • Данные в списках SharePoint

Подключение к книгам Excel

Службы Visio используют учетные данные пользователя SharePoint Server, просматривающего схему, для подключения к книге Excel в формате XLSX. Для успешного прохождения проверки подлинности должны быть выполнены следующие условия:

  • Office Online Server Preview необходимо правильно подготовить к работе и настроить в ферме SharePoint.

  • Книга должна быть размещена в той же ферме, что и схема.

  • Пользователь, просматривающий схему, должен обладать разрешениями как минимум на чтение книги Excel.

Для этого типа подключения к данным никаких других действий по настройке конфигурации не требуется.

Примечание

При подключении к книге Excel, содержащей подключения к внешним данным, из Службы Visio в Excel Online направляется запрос на обновление книги. В этом случае в службы Excel Online передается удостоверение пользователя, просматривающего схему, чтобы в службах Excel Online можно было выполнить проверку подлинности при доступе к базовым источникам данных и обновить книгу.

Подключение служб Visio к спискам SharePoint

Службы Visio используют учетные данные пользователя SharePoint Server, просматривающего схему, для подключения к списку SharePoint. Для успешного прохождения проверки подлинности должны быть выполнены следующие условия:

  • Чтобы получить доступ к данным во внешнем списке, пользователь должен обладать разрешениями на доступ к типу внешнего контента и разрешениями на доступ к внешнему источнику данных.

  • Пользователь, просматривающий схему, должен обладать разрешениями, как минимум, на чтение из списка SharePoint.

Для этого типа подключения к данным никаких других действий по настройке конфигурации не требуется.

Подключение служб Visio к внешним данным

Службы Visio могут подключаться к различным внешним источникам данных, таким как SQL Server, OLE DB/ODBC и настраиваемые поставщики данных. Для подключения к каждому конкретному источнику данных службы Visio используют соответствующий этому источнику поставщик данных.

В качестве меры безопасности в Службы Visio необходимо явным образом установить доверие для поставщиков данных, прежде чем использовать их.

Для подключения к источнику данных SQL Server может использоваться один из следующих методов:

  • проверка подлинности Windows

  • проверка подлинности SQL Server

Для других источников данных используется строка подключения, обычно состоящая из имени пользователя и пароля.

Подключения к данным

Схемы Visio используют подключения двух видов:

  • Внедренные подключения

  • Связанные подключения

Внедренные подключения хранятся как составные части схемы Visio. Связанные подключения хранятся вне схемы в виде файлов подключения к данным Office (ODC). Чтобы использовать связанное подключение, необходимо указать в схеме ссылку на ODC-файл, находящийся в одной ферме с этой схемой. Каждое подключение к данным состоит из следующих элементов:

  • Строка подключения

  • Строка запроса

  • Метод проверки подлинности

  • Метаданные для извлечения внешних данных (необязательный компонент)

Каждый вид подключения обладает как определенными преимуществами, так и недостатками, рассматриваемыми ниже. Выберите тот вид, который оптимально подходит к конкретному сценарию использования.

Тип подключения Внедренные подключения ODC-файлы

Поддерживаемые источники данных

  • SQL Server

  • OLE DB/ODBC

  • Книги Excel.

  • Списки SharePoint

  • Настраиваемые поставщики данных

  • SQL Server (поддерживает все методы проверки подлинности)

  • OLE DB/ODBC

Преимущества

  • Все сведения о подключении хранятся в схеме.

  • Поддержка внедренных подключений требует меньше административной работы.

  • Внедренные подключения легко создавать.

  • Связанные подключения можно хранить и контролировать централизованно, делая их общедоступными и управляя их использованием с помощью библиотеки подключений к данным.

  • Авторы схем могут использовать существующие подключения, не создавая запросы и строки подключения.

  • Если сведения о подключении к какому-либо источнику данных изменятся, администратору достаточно будет лишь обновить один ODC-файл. Благодаря такому изменению все схемы, содержащие ссылки на этот ODC-файл, при следующем обновлении будут использовать исправленные данные о подключении. (Такая ситуация может возникнуть, например, при перемещении сервера базы данных или изменении имени базы данных.)

Недостатки

  • Если сведения о подключении к источнику данных изменяются, необходимо заново опубликовать все схемы с внедренными подключениями к этому источнику, используя обновленные данные о подключении.

  • Аудит внедренных подключений к данным представляет собой довольно сложную задачу для администраторов SharePoint.

  • Для управления связанными подключениями, предоставления к ним общего доступа и обеспечения безопасности может потребоваться помощь администратора SharePoint.

  • Сведения о связанных подключениях сохраняются открытым текстом и могут содержать пароли баз данных. В целях безопасности при работе с такими файлами следует соблюдать крайнюю осторожность.

Связанное подключение к данным через ODC-файл рекомендуется выбирать в ситуациях, требующих подключения к реляционному источнику данных масштаба предприятия, такому как SQL Server. Связанные подключения наиболее целесообразны в сценариях, предполагающих их совместное использование множеством пользователей под контролем администратора.

Примечание

При использовании Visio 2010 сначала необходимо создать ODC-файлы в Excel и экспортировать их в SharePoint Server, прежде чем их можно будет использовать со службами Службы Visio.

Внедренное подключение следует выбирать в случаях, когда необходим быстрый доступ к небольшому, файловому источнику данных, с которым будет работать лишь несколько пользователей.

ODC-файлы можно хранить в библиотеке подключений к данным — особой разновидности библиотеки документов SharePoint. Централизация подключений к данным в такой библиотеке документов предоставляет ряд преимуществ:

  • Администраторы могут ограничивать доступ для записи в библиотеку, разрешая его лишь доверенным создателям подключений, чтобы авторы схем использовали только безопасные, тщательно проверенные подключения.

  • Администраторы получают в свое распоряжение единый центр управления подключениями к данным для большой группы пользователей.

  • Администраторы получают в свое распоряжение единый центр управления подключениями к данным для большой группы пользователей.

  • Администраторы могут легко утверждать, выполнять аудит и отменять файлы подключений к данным, а также управлять ими, используя средства управления версиями и рабочие процессы в библиотеке документов.

Проверка подлинности Windows

Такие учетные данные часто используются в сетях Windows, например для входа на компьютеры в домене Windows. Учетные данные Windows считаются более надежным и удобным средством контроля доступа к базам данным SQL Server. Однако использованию проверки подлинности Windows в службах Visio препятствует защитная технология Windows "двойной прыжок", которая не позволяет передавать учетные данные более чем на один компьютер сети Windows. Учитывая, что Службы Visio — многоуровневая система, для извлечения данных от имени конечного пользователя в службах Visio требуются особые методы проверки подлинности.

Для проверки подлинности Windows необходимо, чтобы Службы Visio предоставили серверу SQL Server набор учетных записей. Это делается несколькими способами. Выбор метода проверки подлинности зависит от различных факторов, которые описаны в таблице ниже. Выберите метод, который оптимально подходит к конкретному сценарию использования.

Метод проверки подлинности Ограниченное делегирование Kerberos. Служба Secure Store Автоматическая учетная запись службы

Описание

При использовании ограниченного делегирования Kerberos учетные данные пользователя Windows, просматривающего схему, передаются непосредственно в источник данных.

При использовании Служба Secure Store учетные данные пользователя Windows, просматривающего документ, сопоставляются с другим набором учетных данных, указанным в конечном приложении Служба Secure Store.

При использовании Служба Secure Store всем пользователям назначается особый набор учетных данных — так называемая автоматическая учетная запись службы, которая хранится в конкретном конечном приложении Служба Secure Store, указанном в глобальных параметрах Службы Visio.

Учетные данные для подключений к данным

Учетные данные пользователя Windows, просматривающего схему.

Учетные данные, указанные в конечном приложении Служба Secure Store.

Учетные данные из автоматической учетной записи службы.

Преимущества

  • Протокол Kerberos является отраслевым стандартом для управления учетными данными.

  • Kerberos привязан к существующей инфраструктуре Active Directory.

  • Делегирование Kerberos позволяет вести аудит отдельных операций доступа к источнику данных.

  • При условии, что удостоверение пользователя, просматривающего схему, известно, авторы схемы могут внедрять в свои схемы индивидуализированные запросы к базе данных.

  • Служба Secure Store — это часть SharePoint Server, настраивать которую легче, чем проверку подлинности Kerberos.

  • Сопоставления отличаются гибкостью: пользователь может быть сопоставлен по схеме "один к одному" или "многие к одному".

  • Для подключения к источникам данных, не принимающим учетные данные Windows, можно использовать учетные данные других систем.

  • Сопоставления, созданные для Visio, могут использоваться другими бизнес-приложениями, такими как службы Excel Online.

  • Автоматическая учетная запись службы — самый простой метод проверки подлинности с точки зрения развертывания и настройки.

  • Поддержка автоматической учетной записи службы не требует особых усилий от администратора.

Недостатки

  • Настройка SharePoint Server и служб Visio требует дополнительных усилий администратора.

  • Участие администратора требуется для определения таблиц сопоставления и управления ими.

  • Служба Secure Store предусматривает ограниченный аудит. При сопоставлении "многие к одному" отдельные входящие пользователи сопоставляются в конечном приложении с одними и теми же учетными данными, т. е. фактически сливаются в одного пользователя.

  • Когда всем сопоставляется один набор учетных данных, администратор не может различать, кто именно обращается к источнику данных.

Условия успеха проверки подлинности

  • Необходимо настроить делегирование Kerberos в ферме SharePoint.

  • Для фермы должна быть предоставлена и настроена Служба Secure Store. В ней также должны содержаться необходимые сведения о сопоставлении для конкретного входящего пользователя. Кроме того, сведения о сопоставлении могут потребоваться при регулярном обновлении для отражения изменений в паролях сопоставляемой учетной записи.

  • Для фермы должна быть предоставлена и настроена служба Служба Secure Store. В ней также должны содержаться необходимые сведения о сопоставлении для конкретного входящего пользователя. Кроме того, сведения о сопоставлении могут потребоваться при регулярном обновлении для отражения изменений в паролях сопоставляемой учетной записи.

  • В глобальных параметрах служб Visio необходимо настроить автоматическую учетную запись.

Ограниченное делегирование Kerberos.

Выбирайте ограниченное делегирование Kerberos для более быстрой и безопасной проверки подлинности при доступе к корпоративным источникам реляционных данных, которые поддерживают проверку подлинности Windows.

Служба Secure Store

Выбирайте службу Служба Secure Store для проверки подлинности при доступе к реляционным источникам данных масштаба предприятия независимо от того, поддерживают ли они проверку подлинности Windows. Службу Служба Secure Store также целесообразно использовать в случаях, когда требуется контролировать сопоставления учетных данных пользователей.

Автоматическая учетная запись службы

Для удобства настройки служба Служба графики Visio предлагает специальную конфигурацию, в которой администратор может создать уникальное сопоставление, назначая всем пользователям один набор учетных данных.

Эта учетная запись, называемая автоматической учетной записью службы, должна быть учетной записью домена Windows с низким уровнем привилегий. Службы Visio используют ее при подключении к источнику данных от имени пользователя, просматривающего схему.

На практике этой учетной записи рекомендуется назначать как можно меньше сетевых разрешений; как правило, достаточно разрешения на доступ к сети и к источнику данных, к которому пользователи должны подключаться. Для повышения безопасности в автоматической учетной записи службы следует запретить доступ к базам данных конфигурации и контента SharePoint.

Автоматическая учетная запись службы используется в службах Visio при следующих обстоятельствах:

  • когда в ODC-файле задано использование автоматической учетной записи службы для проверки подлинности Windows или SQL Server;

  • когда ODC-файл не используется и проверка подлинности Kerberos завершается неудачно.

Примечание

Автоматическая учетная запись может быть учетной записью локального компьютера типа Windows. Если автоматическая учетная запись службы настроена как учетная запись локального компьютера, убедитесь, что на всех серверах приложений, где запущены службы Visio. Для удобства управления рекомендуется использовать учетную запись домена

Выбирайте автоматическую учетную запись службы при подключении к небольшим, специализированным средам, в которых менее существенны аспекты безопасности или очень важна скорость развертывания.

Сведения об использовании автоматической учетной записи со службами Visio см. в статье Служба Secure Store для приложений службы бизнес-аналитики.

Проверка подлинности SQL Server

Для проверки подлинности службы Visio должны представить имя пользователя SQL Server и пароль к источнику данных SQL Server. Имя пользователя и пароль извлекаются в службах Службы Visio из строки подключения к источнику данных и передаются в источник данных.

Для снижения риска безопасности при подключении к такому источнику данных службы Visio используют автоматическую учетную запись.

Проверка подлинности при доступе к источникам данных OLE DB/ODBC

Для проверки подлинности службы Visio обычно должны представить источнику данных имя пользователя и пароль. Как и в случае проверки подлинности SQL Server, службы Visio извлекают это имя пользователя и пароль из строки подключения к данным и передают их в источник данных.

Для снижения риска безопасности при подключении к такому источнику данных службы Visio используют автоматическую учетную запись.

Обновление данных служб Visio

Службы Visio поддерживают обновление схем, подключенных к одному или нескольким из следующих источников данных:

  • SQL Server

  • Списки SharePoint

  • Книги Excel, размещенные в SharePoint Server

  • Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 и DB2 9.2

Примечание

Если планируется подключение к источнику данных, которого нет в этом списке, его поддержку можно добавить путем создания настраиваемого поставщика данных Visio. Такая технология позволяет создать для существующих источников данных оболочку, совместимую со службами Службы Visio.

Обновление может быть запущено из браузера следующими способами:

  • Конечный пользователь открывает схему.

  • Конечный пользователь нажимает кнопку обновления в уже открытой схеме.

  • Конечный пользователь загружает страницу, содержащую веб-часть Visio Web Access, настроенную конструктором сайта для автоматического обновления.

    Примечание

    Конструктор сайта SharePoint должен разместить на странице веб-часть Visio Web Access и настроить ее периодическое обновление.

Если в кэше нет ранее записанных версий этой схемы, любое из указанных действий может инициировать обновление данных и схемы. Сведения о настройке параметров кэширования для служб Visio см. в статье Настройка служб Visio.