Autenticación de datos para los Servicios de Visio

  • Artículo

 

Se aplica a: SharePoint Server 2010

Última modificación del tema: 2016-11-30

Servicios de Visio en Microsoft SharePoint Server 2010 admite dibujos web conectados con datos y con diversos orígenes de datos, entre los que se incluyen los siguientes:

  • Datos hospedados dentro de la granja de servidores de SharePoint, por ejemplo, un libro de Microsoft Excel o una lista de SharePoint.

  • Datos externos, por ejemplo, datos de Microsoft SQL Server o un origen de datos OLE DB u ODBC.

La recuperación de datos desde un origen de datos requiere que el usuario se autentique mediante el origen de datos y que esté autorizado para tener acceso a los datos incluidos en él. En el caso de un dibujo web, Servicios de Visio se autenticará en el origen de datos en nombre del usuario que lo está viendo con el fin de actualizar los datos con los que está conectado el dibujo.

Recuperación de datos de un origen de datos

El método de autenticación que Servicios de Visio puede usar para recuperar datos depende del tipo de origen de datos subyacente, tal como se indica en la tabla siguiente. En el caso de los orígenes de datos que admiten más de un método de autenticación, las conexiones de datos deben especificar cuál se debe usar.

Origen de datos Método de autenticación

Listas de SharePoint

Permisos de usuario de SharePoint

Libros de Excel

Permisos de usuario de SharePoint

SQL Server

Uno de:

  • Autenticación de Windows (seguridad integrada)

    • con delegación limitada de Kerberos

    • con almacenamiento seguro

    • con la cuenta de servicio desatendida

  • Autenticación de SQL Server

OLE DB/ODBC

Varía según el origen de datos, normalmente un par de nombre de usuario y contraseña que se almacena en la cadena de conexión.

También se pueden usar proveedores de datos personalizados. Para obtener más información, vea el tema sobre cómo crear un proveedor de datos personalizado con Visio Services (https://go.microsoft.com/fwlink/?linkid=196860&clcid=0xC0A).

Los siguientes orígenes de datos se admiten en Microsoft Visio, pero no en Servicios de Visio:

  • Bases de datos de Access

  • Libros de Excel no hospedados en SharePoint Server

  • OLAP

Conectarse con los datos hospedados en SharePoint Server

Servicios de Visio admite dibujos web conectados con datos y que se conectan con los datos hospedados en la granja de servidores de SharePoint, entre los que se incluyen los siguientes:

  • Libros de Excel que se encuentran en una biblioteca de documentos

  • Datos en listas de SharePoint

Conexión con libros de Excel

Servicios de Visio usa las credenciales de SharePoint Server del visor del dibujo web para conectarse con un libro .xlsx de Excel. Para que la operación de autenticación se realice correctamente, deben cumplirse las siguientes condiciones:

  • Servicios de Excel debe estar correctamente aprovisionado y configurado en la granja de servidores de SharePoint.

  • El libro debe estar hospedado en la misma granja de servidores que el dibujo web.

  • El visor del dibujo web debe tener al menos permisos de lectura para el libro de Excel.

No se requieren otros pasos de configuración para habilitar este tipo de conexión de datos.

Nota

Como parte de la conexión a un libro de Excel, Servicios de Visio solicita que Servicios de Excel actualice el libro si éste contiene conexiones a datos externos. En este caso, la identidad del visor del dibujo se pasa a Servicios de Excel para que Servicios de Excel se pueda autenticar en orígenes de datos subyacentes para actualizar el libro.

Conexión con listas de SharePoint

Servicios de Visio usa las credenciales de SharePoint Server del visor del dibujo web para conectarse con una lista de SharePoint. Para que la operación de autenticación se realice correctamente, deben cumplirse las siguientes condiciones:

  • La lista de SharePoint debe estar hospedada en la misma granja de servidores que el dibujo web.

  • El visor del dibujo web debe tener al menos permisos de lectura para la lista de SharePoint.

No se requieren otros pasos de configuración para habilitar este tipo de conexión de datos.

Conexión con datos externos

Servicios de Visio puede conectarse con diversos orígenes de datos externos, incluidos SQL Server, OLE DB/ODBC y proveedores de datos personalizados. Para conectarse con el origen de datos, Servicios de Visio usa un proveedor de datos específico para cada origen de datos.

Como medida de seguridad, Servicios de Visio debe confiar explícitamente en los proveedores de datos antes de que se puedan usar. Para obtener más información acerca de los proveedores de datos de confianza, vea Configuración de proveedores de datos de confianza del servicio de gráficos de Visio (SharePoint Server 2010).

La conexión con un origen de datos de Microsoft SQL Server se puede realizar mediante:

  • Autenticación de Windows

  • Autenticación de SQL Server

Otros orígenes de datos usan una cadena de conexión que se compone normalmente de un nombre de usuario y una contraseña.

Conexiones de datos

Los dibujos web de Visio usan uno de estos dos tipos de conexión:

  • Conexiones incrustadas

  • Conexiones vinculadas

Las conexiones incrustadas se almacenan como parte del dibujo web de Visio. Las conexiones vinculadas se almacenan externamente a un dibujo web en archivos de conexión de datos de Office (ODC). Para usar una conexión vinculada, un dibujo web debe hacer referencia a un archivo .odc que también se almacena en la misma granja de servidores que el dibujo web. Cada conexión de datos está compuesta por:

  • Una cadena de conexión

  • Una cadena de consulta

  • Un método de autenticación

  • Opcionalmente, algunos metadatos necesarios para recuperar datos externos

Cada tipo de conexión tiene sus ventajas y desventajas que aquí se describen; elija la que mejor se adapte a su situación.

Tipo de conexión Conexiones incrustadas Archivos ODC

Orígenes de datos admitidos

  • SQL Server (sólo admite la delegación Kerberos y la cuenta de servicio desatendida)

  • OLE DB/ODBC

  • Libros de Excel

  • Listas de SharePoint

  • Proveedores de datos personalizados

  • SQL Server (admite todos los métodos de autenticación)

  • OLE DB/ODBC

Ventajas

  • Toda la información de conexión se almacena en el dibujo web.

  • Las conexiones incrustadas requieren poca sobrecarga administrativa compatible.

  • Las conexiones incrustadas son fáciles de crear.

  • Las conexiones vinculadas se pueden almacenar, administrar, auditar y compartir centralmente; el acceso a éstas se controla mediante el uso de una biblioteca de conexiones de datos.

  • Los autores de los dibujos pueden usar conexiones existentes sin tener que crear cadenas de conexión y consulta.

  • Si se modifican los detalles de la conexión de datos de un origen de datos, un administrador sólo necesita actualizar un archivo ODC. Con ese cambio, todos los dibujos web que hacen referencia al archivo ODC usarán la información de conexión actualizada cuando se produzca la siguiente actualización. (Un ejemplo de este escenario es cuando el servidor de bases de datos se mueve o el nombre de la base de datos cambia).

Desventajas

  • Si se modifican los detalles de la conexión de datos de un origen de datos, todos los dibujos web con conexiones incrustadas a ese origen de datos tendrán que volver a publicarse con información actualizada de la conexión.

  • Las conexiones de datos incrustados son más difíciles de auditar para los administradores de SharePoint.

  • La creación de una conexión vinculada se debe realizar mediante Excel.

  • Las conexiones vinculadas pueden necesitar la ayuda de un administrador de SharePoint para compartir, administrar y proteger.

  • Las conexiones vinculadas se guardan como texto no cifrado y pueden contener contraseñas de base de datos. Para ayudar a proteger estos archivos, se debe tener especial cuidado.

Elija una conexión de datos vinculada, mediante un archivo ODC, para escenarios en los que se debe tener una conexión de datos con un origen de datos relacional de nivel de empresa como SQL Server. Las conexiones de datos vinculadas son muy útiles en situaciones en las se van a compartir entre varios usuarios y en las que es importante el control del administrador sobre la conexión.

Nota

Los archivos ODC primero deben crearse en Excel y exportarse a SharePoint Server antes de que se puedan usar con Servicios de Visio.

Elija una conexión incrustada para escenarios en los que se debe tener una conexión de datos rápida con un origen de datos pequeño o basado en archivos que sólo usarán algunos usuarios.

Los archivos ODC se pueden almacenar en una biblioteca de conexiones de datos, un tipo especial de biblioteca de documentos de SharePoint. La centralización de las conexiones de datos en esta biblioteca de documentos tiene varias ventajas:

  • Los administradores pueden restringir el acceso de escritura a una biblioteca de conexiones de datos a los autores de la conexión de datos de confianza para asegurarse de que los autores de dibujos web sólo usan conexiones de datos seguras y probadas.

  • Los administradores tienen una sola ubicación para administrar las conexiones de datos para un grupo grande de usuarios.

  • Los administradores pueden aprobar, auditar, revertir y administrar fácilmente los archivos de conexión de datos mediante el uso de características de flujo de trabajo y el control de versiones de la biblioteca de documentos.

  • Las bibliotecas de conexiones de datos se pueden volver a usar en otras aplicaciones de Office como Excel, Servicios de Excel, Microsoft InfoPath 2010, InfoPath Forms Services y Microsoft Word.

  • Los usuarios finales sólo tienen una ubicación para buscar datos de dibujos, lo que reduce los equívocos y el aprendizaje del usuario.

Para obtener más información acerca de cómo crear bibliotecas de conexiones de datos, vea el procedimiento para crear y usar una biblioteca de conexiones de datos (https://go.microsoft.com/fwlink/?linkid=188117&clcid=0xC0A). Para obtener información acerca de cómo crear archivos ODC, vea el tema sobre cómo crear, editar y administrar conexiones a datos externos (https://go.microsoft.com/fwlink/?linkid=196894&clcid=0xC0A).

Autenticación de Windows

La autenticación de Windows requiere que Servicios de Visio presente ante SQL Server un conjunto de credenciales de Windows. Este tipo de credencial es habitual en redes de Windows y es la misma credencial que se usa para iniciar sesión en los equipos de un dominio de Windows o para conectarse a un equipo que ejecuta Exchange Server. Las credenciales de Windows se consideran los medios más seguros y manejables para controlar el acceso a las bases de datos de SQL Server. Sin embargo, un obstáculo para el uso de la autenticación de Windows con los Servicios de Visio es la medida de seguridad de salto doble de Windows, en la que no se pueden pasar las credenciales de un usuario a través de más de un equipo en una red de Windows. Dado que los Servicios de Visio son un sistema de varios niveles, se necesitan métodos especiales de autenticación para que los Servicios de Visio recuperen datos en nombre del usuario final.

Autenticación de Windows

El método de autenticación que elija depende de varios factores, tal como se indica en la tabla siguiente. Elija la que mejor se adapte a su situación.

Método de autenticación Delegación Kerberos Almacenamiento seguro Cuenta de servicio desatendida

Descripción

Mediante la delegación limitada de Kerberos, las credenciales de Windows del visor del dibujo se envían directamente al origen de datos.

Mediante el Servicio de almacenamiento seguro, las credenciales de Windows del visor se asignan a otro conjunto de credenciales especificado en una aplicación de destino de almacenamiento seguro.

Mediante el Servicio de almacenamiento seguro, todos los visores se asignan a un solo conjunto de credenciales denominado cuenta de servicio desatendida que se almacena en una aplicación de destino de almacenamiento seguro especificada en la configuración global de Servicios de Visio.

Credenciales de conexión de datos

Las credenciales de Windows del visor del dibujo web.

Las credenciales especificadas en la aplicación de destino de almacenamiento seguro.

Las credenciales de la cuenta de servicio desatendida.

Ventajas

  • El protocolo Kerberos es un estándar de la industria en administración de credenciales.

  • Kerberos se adapta a la infraestructura existente de Active Directory.

  • La delegación Kerberos permite la auditoría de acceso individual a un origen de datos.

  • Dado que se conoce la identidad del visor del dibujo web, los creadores de dibujos web pueden incrustar consultas de base de datos personalizadas en los dibujos web.

  • El Servicio de almacenamiento seguro forma parte de SharePoint Server y es más fácil de configurar que Kerberos.

  • Las asignaciones son flexibles: se puede asignar un usuario ya sea uno a uno o varios a uno.

  • Las credenciales que no son de Windows se pueden usar para conectarse con orígenes de datos que no aceptan credenciales de Windows.

  • Las asignaciones creadas para Visio se pueden volver a usar mediante otras aplicaciones de inteligencia empresarial, como Servicios de Excel.

  • La cuenta de servicio desatendida es el método de autenticación más fácil de implementar y configurar.

  • La cuenta de servicio desatendida no requiere mucha sobrecarga administrativa.

Desventajas

  • Esfuerzo administrativo adicional necesario para configurar SharePoint Server y Servicios de Visio.

  • El establecimiento y la administración de tablas de asignación requieren cierta sobrecarga administrativa.

  • El almacenamiento seguro permite una auditoría limitada. En el escenario de varios a uno, los usuarios entrantes individuales se asignan a las mismas credenciales mediante una aplicación de destino, que los combina de forma eficaz en un usuario.

  • Dado que todos los usuarios se asignan a las mismas credenciales, un administrador no puede distinguir quién tiene acceso a un origen de datos.

Para que la operación de autenticación se realice correctamente...

  • Se debe configurar la delegación Kerberos en una granja de servidores de SharePoint.

  • El Servicio de almacenamiento seguro debe estar aprovisionado y configurado en la granja de servidores. También debe contener información de asignación adecuada para un usuario entrante específico. Además, la información de asignación debe actualizarse periódicamente para reflejar los cambios de contraseña en la cuenta asignada.

  • El Servicio de almacenamiento seguro debe estar aprovisionado y configurado en la granja de servidores. También debe contener las credenciales de la cuenta de servicio desatendida. Además, la información de asignación debe actualizarse periódicamente para reflejar los cambios de contraseña en la cuenta asignada.

  • Para utilizar la cuenta de servicio desatendida, se deben configurar los Servicios de Visio.

Delegación Kerberos

Elija la delegación Kerberos para una autenticación segura y rápida en los orígenes de datos relacionales de nivel de empresa compatibles con la autenticación de Windows. Para obtener información acerca de cómo configurar la delegación Kerberos, vea:

Almacenamiento seguro

Elija el almacenamiento seguro para la autenticación en orígenes de datos relacionales de nivel de empresa que sean o no compatibles con la autenticación de Windows. El almacenamiento seguro también resulta útil en situaciones en las que se van a controlar las asignaciones de credenciales de usuario.

Para obtener más información acerca del uso del almacenamiento seguro con los Servicios de Visio, vea Almacenamiento seguro para aplicaciones de servicio de inteligencia empresarial.

Demostración en vídeo

Captura de pantalla de vídeo

En esta demostración se explican los pasos para configurar los Servicios de Visio con almacenamiento seguro.

Vea el vídeo (https://go.microsoft.com/fwlink/?linkid=196864&clcid=0xC0A). Para descargar el archivo de vídeo, haga clic con el botón secundario en el vínculo y, a continuación, haga clic en Guardar destino como.

Cuenta de servicio desatendida

Para facilitar la configuración del Servicio de gráficos de Visio, proporciona una configuración especial en la que un administrador puede crear una asignación única donde todos los usuarios se asignan a un conjunto único de credenciales.

Esta cuenta, que se conoce como cuenta de servicio desatendida, debe ser una cuenta de dominio de Windows con privilegios bajos. Los Servicios de Visio suplantan esta cuenta cuando se conecta a un origen de datos en nombre de un visor de dibujo web.

Se recomienda conceder a esta cuenta la menor cantidad posible de permisos de red. Por lo general, proporcione únicamente acceso para iniciar sesión en la red y acceso al origen de datos al que desea que los usuarios se conecten. Para mejorar la seguridad, asegúrese de que la cuenta de servicio desatendida no tiene acceso a las bases de datos de contenido y configuración de SharePoint.

La cuenta de servicio desatendida se usa mediante los Servicios de Visio:

  • Cuando un archivo ODC especifica el uso de la cuenta de servicio desatendida para la autenticación de SQL Server o Windows

  • Cuando no se usa ningún archivo ODC y se produce un error en la autenticación Kerberos

Nota

La cuenta desatendida puede ser una cuenta de equipo local del tipo Windows. Si la cuenta de servicio desatendida se configura como cuenta de equipo local, asegúrese de que la configuración es idéntica en cada servidor de aplicaciones en el que se ejecutan los Servicios de Visio. Por razones de facilidad de uso, se recomienda usar una cuenta de dominio.

Elija la cuenta de servicio desatendida cuando se conecte a implementaciones pequeñas ad hoc en las que la seguridad es menos importante o para las que la velocidad de implementación es esencial.

Para obtener información acerca del uso de la cuenta de servicio desatendida con los Servicios de Visio, vea Almacenamiento seguro para aplicaciones de servicio de inteligencia empresarial.

Demostración en vídeo

Captura de pantalla de vídeo

En esta demostración se explican los pasos para configurar los Servicios de Visio con la cuenta de servicio desatendida.

Vea el vídeo (https://go.microsoft.com/fwlink/?linkid=196865&clcid=0xC0A). Para descargar el archivo de vídeo, haga clic con el botón secundario en el vínculo y, a continuación, haga clic en Guardar destino como.

Autenticación de SQL Server

La autenticación de SQL Server requiere que los Servicios de Visio presenten un nombre de usuario y una contraseña de SQL Server a un origen de datos de SQL Server para autenticarse. Los Servicios de Visio extraen el nombre de usuario y la contraseña de la cadena de la conexión de datos y los pasan al origen de datos.

Para reducir los riesgos de seguridad, Servicios de Visio suplanta la cuenta de servicio desatendida al conectarse a ese tipo de origen de datos.

Autenticación con orígenes de datos OLEDB/ODBC

La autenticación en los orígenes de datos de terceros normalmente requiere que los Servicios de Visio presenten un nombre de usuario y una contraseña a un origen de datos. Al igual que sucede con la autenticación de SQL Server, los Servicios de Visio extraen el nombre de usuario y la contraseña de la cadena de conexión de la conexión de datos y los pasan al origen de datos.

Para reducir los riesgos de seguridad, Servicios de Visio suplanta la cuenta de servicio desatendida al conectarse a ese tipo de origen de datos.

Actualización de datos

Los Servicios de Visio admiten la actualización de dibujos conectados a uno o varios de los siguientes orígenes de datos:

  • SQL Server

  • Listas de SharePoint

  • Libros de Excel hospedados en SharePoint Server

  • Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 y DB2 9.2

Nota

Si el origen de datos con el que se va a conectar no está en la lista anterior, puede agregar compatibilidad para él mediante la creación de un proveedor de datos personalizado de Visio. Esta tecnología permite encapsular los orígenes de datos existentes en uno solo que los Servicios de Visio pueden usar. Para obtener más información, vea el tema sobre cómo crear un proveedor de datos personalizado con los Servicios de Visio (https://go.microsoft.com/fwlink/?linkid=191029&clcid=0xC0A) en MSDN Library Online.

La actualización de datos externos es el resultado del siguiente conjunto de pasos mediante los Servicios de Visio.

Actualización de datos externos

  1. Crear un dibujo: un autor de dibujo carga un dibujo web conectado a datos a SharePoint Server 2010.

  2. Desencadenar la actualización: el visor del dibujo desencadena la actualización en un dibujo web conectado a datos.

  3. Conexiones de datos: los Servicios de Visio recuperan información de conexión de datos para cada origen de datos externo en el dibujo.

  4. Proveedores de datos de confianza: los Servicios de Visio comprueban si hay un proveedor de datos de confianza puedan usar para recuperar datos.

  5. Autenticación: los Servicios de Visio se autentican en el origen de datos y recuperan los datos solicitados en nombre del visor del dibujo.

  6. Actualizar el dibujo: los Servicios de Visio actualizan el dibujo web en función de los datos del origen de datos y lo devuelven al visor.

Se puede desencadenar la actualización en una de las siguientes formas desde el explorador:

  • El usuario final abre el dibujo web.

  • El usuario final hace clic en el botón de actualización en un dibujo web que ya está abierto.

  • El usuario final carga una página que contiene el elemento web de Visio Web Access configurado para actualizarse automáticamente mediante un diseñador de sitios.

    Nota

    Un diseñador de sitios de SharePoint debe colocar el elemento web de Visio Web Access en una página y configurarlo para que se actualice periódicamente.

La actualización también se puede desencadenar en soluciones de terceros mediante una llamada a través de JavaScript al método vwaControl.Refresh() de la API mashup del elemento web de Visio Web Access. Para obtener más información, vea el artículo sobre cómo personalizar dibujos web de Visio en el elemento web de Visio Web Access (https://go.microsoft.com/fwlink/?linkid=196503&clcid=0xC0A) en MSDN Library Online.

Si no existen versiones de este dibujo web previamente almacenadas en caché, cualquiera de estas acciones desencadenará una actualización y actualizará el dibujo web. Para obtener información acerca de cómo configurar las opciones de caché para los Servicios de Visio, vea Configuración global del Servicio de gráficos de Visio (SharePoint Server 2010).