Planeación de la seguridad de los Servicios de Visio (SharePoint Server 2010)

  • Artículo

 

Se aplica a: SharePoint Server 2010

Última modificación del tema: 2012-05-21

Además de los requisitos de seguridad para implementar Microsoft SharePoint Server 2010, debe revisar las consideraciones de seguridad para las implementaciones que incluyen Servicios de Visio en Microsoft SharePoint Server 2010.Servicios de Visio le permite presentar dibujos web de Visio. Estos dibujos pueden conectarse a datos externos y los elementos del dibujo pueden actualizarse en función de dichos datos. La seguridad es un componente importante para la habilitación de estos escenarios de presentación de datos. El Servicio de gráficos de Visio le proporciona un nivel importante de control específico para procesar y mostrar dibujos web de Visio y los orígenes de datos a los que se pueden conectar.

Dibujos web que no están conectados a datos

Los dibujos de Visio publicados (archivos .VDW) deben almacenarse en bibliotecas de documentos de SharePoint para abrirse con Servicios de Visio. SharePoint Server 2010 mantiene una lista de control de acceso (ACL) para los archivos contenidos en la biblioteca de documentos. Configurando las reglas de la biblioteca correctamente se puede limitar el acceso a un dibujo en particular.

Dibujos web de Visio que están conectados a datos

El Servicio de gráficos de Visio puede conectarse a orígenes de datos. Entre estos se incluyen listas de SharePoint, libros de Excel hospedados en el conjunto o granja de servidores, bases de datos como Microsoft SQL Server y orígenes de datos personalizados. Puede controlar el acceso a orígenes de datos específicos si define explícitamente los proveedores de datos de confianza y los configura en la lista de proveedores de datos de confianza.

Cuando Servicios de Visio carga un dibujo web conectado a datos, el servicio comprueba la información de conexión almacenada en el dibujo web para determinar si el proveedor de datos especificado es un proveedor de datos de confianza. Si el proveedor está en la lista, se intenta establecer la conexión; de lo contrario, se ignorará la solicitud de conexión.

Una vez que un administrador ha configurado Servicios de Visio para habilitar conexiones a un origen de datos en particular, hay configuraciones de seguridad adicionales que se deben realizar, según el tipo de origen de datos. Servicios de Visio admite los siguientes orígenes de datos:

  • Libros de Excel almacenados en SharePoint Server con Servicios de Excel

  • Listas de SharePoint

  • Bases de datos como bases de datos de SQL Server

  • Proveedores de datos personalizados

Dibujos web de Visio que están conectados a listas de SharePoint

Los dibujos de Visio publicados pueden conectarse a listas de SharePoint en la misma granja de servidores en la que está hospedado el dibujo. El usuario que visualiza el dibujo web debe tener acceso al dibujo y a la lista de SharePoint a la que éste está conectado. Estos permisos y credenciales se administran a través de SharePoint Server 2010.

Dibujos web de Visio que están conectados a Servicios de Excel

Los dibujos de Visio publicados pueden conectarse a libros de Excel hospedados en la misma granja de servidores que el dibujo web con Servicios de Excel en ejecución y correctamente configurado. Para visualizar el dibujo web, el usuario debe tener acceso al dibujo y al libro de Excel al que éste está conectado. Estos permisos y credenciales se administran a través de SharePoint Server 2010.

Dibujos web de Visio que están conectados a bases de datos de SQL Server

Cuando un dibujo web de Visio publicado se conecta a una base de datos de SQL Server, Servicios de Visio usa opciones de configuración de seguridad adicionales para establecer una conexión entre el Servicio de gráficos de Visio y la base de datos. Los dibujos web de Visio pueden usar conexiones almacenadas en archivos de conexión de datos de Office (ODC). Para crear dibujos web conectados a datos que usen la cuenta desatendida y el Servicio de almacenamiento seguro, los usuarios primero deben crear archivos ODC mediante Microsoft Excel.

Los métodos de autenticación que admite Servicios de Visio son los siguientes:

  • Autenticación integrada de Windows   En este modelo de seguridad el Servicio de gráficos de Visio usa la identidad del usuario que visualiza el dibujo para realizar la autenticación con la base de datos. La autenticación integrada de Windows con delegación limitada de kerberos es más útil para aumentar la seguridad que los otros métodos de autenticación mostrados en esta lista. Esta configuración requiere que la delegación limitada de kerberos esté habilitada entre el servidor de aplicaciones que está ejecutando el Servicio de gráficos de Visio y el servidor de bases de datos. La base de datos misma podría requerir una configuración adicional para habilitar la autenticación basada en Kerberos, pero esto va más allá del alcance de este documento.

  • Servicio de almacenamiento seguro En este modelo de seguridad el Servicio de gráficos de Visio usa el Servicio de almacenamiento seguro para asignar las credenciales del usuario a otra credencial que tiene acceso a la base de datos. El Servicio de almacenamiento seguro admite asignaciones individuales y de grupo para autenticación integrada de Windows y otras formas de autenticación. Esto da a los administradores más flexibilidad para definir relaciones uno a uno, de varios a uno o de varios a varios. Este modelo de autenticación solo se puede usar con dibujos que usen un archivo ODC para especificar la conexión. El archivo ODC especifica la aplicación objetivo que se usará para la asignación de credenciales.

  • Cuenta de servicio desatendida   Para facilitar la configuración, el Servicio de gráficos de Visio proporciona una configuración especial en la que el administrador puede crear una asignación única que asocie a todos los usuarios con una sola cuenta mediante una aplicación de destino de almacenamiento seguro. Esta cuenta asignada, denominada cuenta de servicio desatendida, debe ser una cuenta de dominio de Windows con privilegios bajos que tenga acceso a las bases de datos. El Servicio de gráficos de Visio suplanta esta cuenta cuando se conecta a la base de datos si no se especifica otro método de autenticación. Tenga en cuenta que este método no habilita las consultas personalizadas respecto de una base de datos y no permite la auditoría de llamadas a bases de datos. Este es el método de autenticación predeterminado usado al establecer una conexión con bases de datos de SQL Server: si no se usa ningún archivo ODC en el dibujo web de Visio que especifique un método de autenticación diferente, Servicios de Visio usará las credenciales especificadas por la cuenta desatendida para conectarse a la base de datos de SQL Server.

En una granja de servidores más grande es probable que los dibujos de Visio usen una combinación de los métodos de autenticación que se describen aquí. Es importante tener en cuenta lo siguiente:

  • Servicios de Visio admite el uso del Servicio de almacenamiento seguro y de una cuenta de servicio desatendida en la misma granja de servidores. En los dibujos web conectados a datos de SQL Server pero que no usan archivos ODC, la cuenta desatendida es obligatoria y se usa siempre.

  • Si se configura la autenticación integrada de Windows mediante la autenticación Kerberos, Servicios de Visio no presentará dibujos que usen el modo de autenticación de cuenta desatendida.

  • La autenticación integrada de Windows puede usarse junto con el almacenamiento seguro mediante la configuración de los dibujos de modo que usen un archivo ODC que especifique una aplicación de destino de almacenamiento seguro para los dibujos que requieren credenciales específicas.