Planen der Sicherheit von Visio Services in SharePoint Server

 

**Gilt für:**SharePoint Server 2013, SharePoint Server 2016

**Letztes Änderungsdatum des Themas:**2017-07-06

Zusammenfassung: Informationen zu Sicherheitsaspekten für mit Daten verbundenen Diagrammen, die in Visio Services gerendert werden.

Zusätzlich zu den Sicherheitsanforderungen für das Bereitstellen von SharePoint Server sollten Sie auch die Überlegungen zur Sicherheit einer Bereitstellung einbeziehen, die Visio Services beinhaltet. Mit Visio Services können Sie Visio-Diagramme in einem Browserfenster rendern. Diese Diagramme können Sie mit externen Daten verbinden, und Diagrammelemente können mit diesen externen Daten aktualisiert werden. Sicherheit ist ein wichtiger Aspekt bei der Unterstützung dieser Szenarien für Datenrendering. Visio Services ermöglicht eine äußerst differenzierte Steuerung der Verarbeitung und Anzeige von Visio-Diagrammen und der Datenquellen, mit denen diese verbunden werden können.

Speichern von Visio-Diagrammen in SharePoint-Dokumentbibliotheken

Visio-Diagramme müssen in SharePoint-Dokumentbibliotheken gespeichert werden, um mit Visio Services geöffnet werden zu können. In SharePoint Server wird eine Zugriffssteuerungsliste (Access Control List, ACL) für die Dateien verwaltet, die in der Dokumentbibliothek enthalten sind. Durch entsprechendes Festlegen der Bibliotheksregeln können Sie den Zugriff auf ein bestimmtes Diagramm einschränken.

Mit Daten verbundene Visio-Diagramme

Mit dem Visio-Grafikdienst können Verbindungen zu Datenquellen hergestellt werden. Dazu gehören SharePoint-Listen (einschließlich externer Listen), Datenbanken wie SQL Server und benutzerdefinierte Datenquellen. Sie können den Zugriff auf bestimmte Datenquellen steuern, indem Sie die vertrauenswürdigen Datenanbieter explizit definieren und in der Liste der vertrauenswürdigen Datenanbieter konfigurieren.

Hinweis

Visio Services greift mithilfe einer delegierten Windows-Identität auf externe Datenquellen zu. Folglich müssen sich externe Datenquellen innerhalb der gleichen Domäne befinden wie die SharePoint Server-Farm, oder Visio Services muss für die Verwendung des Secure Store Service konfiguriert werden. Wenn der Secure Store nicht verwendet wird und externe Datenquellen sich nicht in der gleichen Domäne befinden, tritt bei der Authentifizierung bei den externen Datenquellen ein Fehler auf.

Wenn Visio Services ein mit Daten verbundenes Diagramm lädt, überprüft der Dienst die im Diagramm gespeicherten Verbindungsinformationen darauf hin, ob der angegebene Datenanbieter ein vertrauenswürdiger Datenanbieter ist. Ist der Anbieter in der Liste der vertrauenswürdigen Visio Services-Datenbanbieter angegeben, wird versucht, eine Verbindung herzustellen. Andernfalls wird die Verbindungsanforderung ignoriert.

Wenn ein Administrator Visio Services so konfiguriert hat, dass Verbindungen mit einem bestimmten Datenspeicher aktiviert sind, müssen abhängig von der Art des Datenspeichers zusätzliche Sicherheitskonfigurationen vorgenommen werden. Die folgenden Datenquellen werden von Visio Services unterstützt:

  • SharePoint-Listen, einschließlich externer Listen, die über Microsoft Business Connectivity Services aktiviert sind

  • Datenbanken wie beispielsweise SQL Server-Datenbanken

  • Benutzerdefinierte Datenanbieter

Mit SharePoint-Listen verbundene Visio-Diagramme

Visio-Diagramme können mit SharePoint-Listen in der gleichen Farm, in der das Diagramm auch gehostet wird, verbunden werden. Der Benutzer, der das Diagramm anzeigt, benötigt Zugriff sowohl auf das Diagramm als auch auf die SharePoint-Liste, mit der das Diagramm verbunden ist. Diese Berechtigungen und die zugehörigen Anmeldeinformationen werden von SharePoint Server verwaltet.

Visio-Diagramme können außerdem mithilfe von Microsoft Business Connectivity Services mit externen Listen verbunden werden. Externe Listen, die über einen externen Inhaltstyp von Microsoft Business Connectivity Services verfügbar gemacht werden, können mit einem Visio-Diagramm in Visio verbunden werden, und die Daten können über Visio Services aktualisiert werden. Damit ein Benutzer auf Daten in einer externen Liste zugreifen kann, benötigt er Berechtigungen zum Zugriff auf den externen Inhaltstyp sowie Berechtigungen zum Zugriff auf die externe Datenquelle.

Mit SQL Server-Datenbanken verbundene Visio-Diagramme

Wenn ein Visio-Diagramm mit einer SQL Server-Datenbank verbunden ist, werden von Visio Services zusätzliche Sicherheitskonfigurationsoptionen verwendet, um eine Verbindung zwischen dem Visio-Grafikdienst und der Datenbank herzustellen.

Folgende Authentifizierungsmethoden werden von Visio Services unterstützt:

  • Integrierte Windows-Authentifizierung: In diesem Sicherheitsmodell verwendet der Visio-Grafikdienst für die Authentifizierung bei der Datenbank die Identität des Benutzers, der das Diagramm anzeigt. Die integrierte Windows-Authentifizierung mit eingeschränkter Kerberos-Delegierung ist im Hinblick auf eine möglichst hohe Sicherheit sinnvoller als die anderen in der Liste angezeigten Authentifizierungsmethoden. Für diese Konfiguration muss die eingeschränkte Kerberos-Delegierung zwischen dem Anwendungsserver mit dem Visio-Grafikdienst und dem Datenbankserver aktiviert sein. Für die Datenbank selbst sind möglicherweise zusätzliche Konfigurationsschritte erforderlich, um die Kerberos-basierte Authentifizierung zu aktivieren.

  • Secure Store Service   In diesem Sicherheitsmodell verwendet der Visio-GrafikdienstSecure Store Service, um die Anmeldeinformationen des Benutzers anderen Anmeldeinformationen zuzuordnen, die Zugriff auf die Datenbank ermöglichen. Secure Store unterstützt einzelne Zuordnungen und Gruppenzuordnungen sowohl für die integrierte Windows-Authentifizierung als auch für andere Foremen der Authentifizierung, z. B. SQL Server-Authentifizierung. Dadurch können Administratoren 1:1-, n:1- oder n:n-Beziehungen flexibler definieren.

  • Unbeaufsichtigtes Dienstkonto   Zur Vereinfachung der Konfiguration bietet der Visio-Grafikdienst eine spezielle Konfiguration: Bei dieser kann ein Administrator eine eindeutige Zuordnung erstellen, mit der alle Benutzer mithilfe einer Secure Store-Zielanwendung einem einzigen Konto zugeordnet werden. Dieses zugeordnete Konto, das als unbeaufsichtigtes Dienstkonto bezeichnet wird, muss ein Windows-Domänenkonto mit niedrigen Berechtigungen sein, dem Zugriff auf Datenbanken erteilt wird. Der Visio-Grafikdienst nimmt beim Herstellen der Verbindung zu der Datenbank die Identität dieses Kontos an, wenn keine andere Authentifizierungsmethode angegeben wird. Beachten Sie, dass diese Methode keine personalisierten Abfragen in einer Datenbank ermöglicht und keine Überwachung von Datenbankaufrufen implementiert. Diese Authentifizierungsmethode ist die Standardmethode, die verwendet wird, wenn Sie eine Verbindung zu SQL Server-Datenbanken herstellen: Wenn in dem Visio-Diagramm keine ODC-Datei verwendet wird, die eine andere Authentifizierungsmethode angibt, dann verwendet Visio Services die Anmeldeinformationen, die vom unbeaufsichtigten Dienstkonto zum Herstellen einer Verbindung zur SQL Server-Datenbank angegeben werden.

In einer größeren Serverfarm wird in Visio-Diagrammen wahrscheinlich eine Kombination aus den hier beschriebenen Authentifizierungsmethoden verwendet. Folgendes muss dabei beachtet werden:

  • Visio Services unterstützt die Verwendung sowohl von Secure Store als auch des unbeaufsichtigten Dienstkontos in der gleichen Farm. In Diagrammen, die mit SQL Server-Daten verbunden sind, aber keine ODC-Dateien nutzen, wird das unbeaufsichtigte Dienstkonto benötigt und immer verwendet.

  • Wenn die integrierte Windows-Authentifizierung ausgewählt ist und ein Fehler bei der Authentifizierung bei der Datenquelle auftritt, versucht Visio Services nicht, das Diagramm mithilfe des unbeaufsichtigten Dienstkontos zu rendern.

  • Die integrierte Windows-Authentifizierung kann zusammen mit Secure Store verwendet werden, indem Diagramme so konfiguriert werden, dass sie für die Diagramme, die bestimmte Anmeldeinformationen erfordern, eine Secure Store-Zielanwendung verwenden.

See also

Secure Store für Business Intelligence-Dienstanwendungen