Authentification des données pour Visio Services dans SharePoint Server
**Sapplique à :**SharePoint Server 2013, SharePoint Server 2016
**Dernière rubrique modifiée :**2017-07-06
Résumé : Visio Services prend en charge les connexions avec les classeurs Excel, les listes SharePoint, les bases de données SQL Server et les sources de données OLE DB et ODBC.
Les sources de données sont classées comme suit en deux catégories, internes ou externes :
Internes : données hébergées dans la batterie de serveurs SharePoint (par exemple, un classeur Excel ou une liste SharePoint).
Externes : données SQL Server ou une source de données OLE DB ou ODBC.
Pour extraire des données d’une source de données, un utilisateur doit être authentifié par la source de données, puis autorisé à accéder aux données qu’elle contient. Dans le cas d’un diagramme, Visio Services authentifie la source de données pour le compte de l’utilisateur qui la consulte afin d’actualiser les données auxquelles le diagramme est connecté.
La méthode d’authentification utilisable par Visio Services pour extraire les données dépend du type de la source de données sous-jacente, comme indiqué dans le tableau suivant. La connexion de données doit préciser la méthode d’authentification à utiliser lorsque les sources de données prennent plusieurs méthodes en charge.
Source de données | Méthode d’authentification |
---|---|
Listes SharePoint |
Autorisations utilisateur SharePoint |
Classeurs Excel |
Autorisations utilisateur SharePoint |
SQL Server |
Au choix :
|
OLE DB/ODBC |
Varie selon la source de données, en général une paire formée par le nom d’utilisateur et le mot de passe, stockée dans la chaîne de connexion. |
Des fournisseurs de données personnalisés peuvent également être utilisés.
Les sources de données suivantes sont prises en charge dans Visio, mais pas dans Visio Services :
Bases de données Access
Classeurs Excel non hébergés sur SharePoint Server
OLAP
Connexion de Visio Services aux données hébergées sur SharePoint Server
Visio Services prend en charge les diagrammes connectés aux données qui sont connectés aux données hébergées dans la batterie de serveurs SharePoint, notamment :
les classeurs Excel qui résident dans une bibliothèque de documents ;
les données dans des listes SharePoint.
Connexion aux classeurs Excel
Visio Services exploite les informations d’identification SharePoint Server de la visionneuse de diagrammes pour se connecter à un classeur Excel (xlsx). Pour que l’opération d’authentification aboutisse, les conditions suivantes doivent être remplies :
Office Online Server Preview doit être mis en service et configuré correctement sur la batterie de serveurs SharePoint.
Le classeur doit être hébergé sur la même batterie de serveurs que le diagramme.
La visionneuse de diagrammes doit disposer au moins de l’autorisation de « lecture » sur le classeur Excel.
Aucune autre étape de configuration n’est nécessaire pour activer ce genre de connexion de données.
Notes
Dans le cadre de la connexion à un classeur Excel, Visio Services demande à Excel Online d’actualiser le classeur s’il contient des connexions aux données externes. Le cas échéant, l’identité de la visionneuse de diagrammes est transmise à Excel Online pour permettre à Excel Online de s’authentifier aux sources de données sous-jacentes pour actualiser le classeur.
Connexion de Visio Services à des listes SharePoint
Visio Services exploite les informations d’identification SharePoint Server de la visionneuse de diagrammes pour se connecter à une liste SharePoint. Pour que l’opération d’authentification aboutisse, les conditions suivantes doivent être remplies :
Pour accéder aux données d’une liste externe, l’utilisateur doit bénéficier des autorisations nécessaires pour l’accès au type de contenu externe et à la source de données externe.
La visionneuse de diagrammes doit disposer au moins de l’autorisation de « lecture » sur la liste SharePoint.
Aucune autre étape de configuration n’est nécessaire pour activer ce genre de connexion de données.
Connexion de Visio Services à des données externes
Visio Services peut se connecter à différentes sources de données externes, dont SQL Server, OLE DB/ODBC et des fournisseurs de données personnalisés. Pour se connecter à la source de données, Visio Services utilise un fournisseur de données spécifique pour chaque source de données.
Par mesure de sécurité, Visio Services doit explicitement approuver les fournisseurs de données avant de les utiliser.
La connexion à une source de données SQL Server peut être effectuée en utilisant au choix :
Authentification Windows
Authentication SQL Server
D’autres sources de données utilisent une chaîne de connexion habituellement formée d’un nom d’utilisateur et d’un mot de passe.
Connexions de données
Les diagrammes Visio utilisent l’un des deux types de connexions proposés :
Connexions incorporées
Connexions liées
Les connexions incorporées sont stockées dans le cadre du diagramme Visio. Les connexions liées sont stockées en externe, hors du diagramme, dans des fichiers ODC (Office Data Connection). Pour utiliser une connexion liée, un diagramme doit faire référence à un fichier .odc qui est également stocké dans la même batterie de serveurs que le diagramme. Chaque connexion de données est composée des éléments suivants:
une chaîne de connexion ;
une chaîne de requête ;
une méthode d’authentification ;
éventuellement, des métadonnées nécessaires pour extraire des données externes.
Chaque type de connexion présente ses avantages et ses inconvénients, traités ici ; choisissez celui qui s’adapte le mieux à votre scénario.
Type de connexion | Connexions incorporées | Fichiers ODC |
---|---|---|
Sources de données prises en charge |
|
|
Avantages |
|
|
Inconvénients |
|
|
À l’aide d’un fichier ODC, choisissez une connexion de données liée pour des scénarios où vous devez disposer d’une connexion de données à une source de données relationnelles à l’échelle de l’entreprise (SQL Server, par exemple). Les connexions de données liées sont très utiles dans des scénarios où elles doivent être partagées entre plusieurs utilisateurs et pour lesquels un contrôle administratif de la connexion est indispensable.
Notes
Si vous utilisez Visio 2010, les fichiers ODC doivent d’abord être créés dans Excel et exportés vers SharePoint Server avant d’être utilisés avec Visio Services.
Choisissez une connexion incorporée pour les scénarios dans lesquels vous devez disposer d’une connexion de données rapide à une source de données de petite taille ou basée sur des fichiers que seuls quelques utilisateurs exploiteront.
Les fichiers ODC peuvent être stockés dans une bibliothèque de connexion de données (type spécial de bibliothèque de documents SharePoint). Le fait de centraliser les connexions de données dans une telle bibliothèque de documents présente plusieurs avantages :
Les administrateurs peuvent limiter l’accès en écriture à une bibliothèque de connexion de données à des auteurs de connexion de données approuvés pour garantir que seules les connexions de données dûment testés et sécurisées sont utilisées par les auteurs des diagrammes.
Les administrateurs gèrent les connexions de données d’un groupe important d’utilisateurs depuis un seul et même emplacement.
Les administrateurs peuvent facilement approuver, contrôler (audit), rétablir et gérer des fichiers de connexion de données en utilisant les fonctions de contrôle de version et de flux de travail de la bibliothèque de documents.
Les utilisateurs finaux cherchent les données de diagramme dans un seul emplacement, ce qui limite les risques de confusion et la formation des utilisateurs.
Authentification Windows
Ces informations d’identification sont courantes sur les réseaux Windows et sont les mêmes que celles utilisées pour se connecter sur les ordinateurs d’un domaine Windows. Les informations d’identification Windows sont considérées comme le moyen de contrôler l’accès aux bases de données SQL Server le plus sûr et le plus simple à gérer. Cependant, la mesure de sécurité Windows du double saut (« double-hop ») représente un obstacle à l’utilisation de l’authentification Windows avec Visio Services puisque les informations d’identification d’un utilisateur ne peuvent pas être transmises sur plusieurs ordinateurs dans un réseau Windows. Visio Services étant un système multiniveau, des méthodes d’authentification spéciales sont nécessaires pour que Visio Services puisse extraire des données pour l’utilisateur final.
L’authentification Windows exige que Visio Services présente un ensemble d’informations d’identification Windows à SQL Server. Il existe plusieurs façons de procéder. Le choix de la méthode d’authentification dépend de divers facteurs comme indiqué dans le tableau suivant. Choisissez celle qui est la mieux adaptée à votre scénario.
Méthode d’authentification | Délégation Kerberos limitée | Banque d’informations sécurisée | Compte de service automatisé |
---|---|---|---|
Description |
Avec la délégation Kerberos contrainte, les informations d’identification Windows de la visionneuse de diagrammes sont envoyées directement à la source de données. |
Avec la Banque d’informations sécurisée, les informations d’identification Windows de la visionneuse sont mappées sur un autre ensemble d’informations d’identification spécifié dans une application cible de la Banque d’informations sécurisée. |
À l’aide du service Banque d’informations sécurisée, toutes les visionneuses sont mappées sur un ensemble spécifique d’informations d’identification appelé Compte de service automatisé qui est stocké dans une application cible spécifique de la Banque d’informations sécurisée indiquée dans les paramètres globaux de Visio Services. |
Informations d’identification de connexion de données |
Informations d’identification Windows de l’afficheur de diagrammes. |
Informations d’identification indiquées dans l’application cible de la Banque d’informations sécurisée. |
Informations d’identification du compte de service automatisé. |
Avantages |
|
|
|
Inconvénients |
|
|
|
Pour que l’opération d’authentification aboutisse… |
|
|
|
Délégation Kerberos contrainte
Choisissez la délégation Kerberos contrainte pour procéder à une authentification plus sécurisée et plus rapide dans les sources de données relationnelles d’entreprise qui prennent en charge l’authentification Windows.
Banque d’informations sécurisée
Choisissez la Banque d’informations sécurisée pour procéder à une authentification dans les sources de données relationnelles d’entreprise susceptibles de prendre en charge l’authentification Windows. La Banque d’informations sécurisée est également utile dans les cas où vous souhaitez contrôler les mappages des informations d’identification des utilisateurs.
Compte de service automatisé
Pour faciliter la configuration, le Service Graphiques Visio fournit une configuration spéciale permettant à un administrateur de créer un mappage unique associant tous les utilisateurs à un même ensemble d’informations d’identification.
Ce compte, appelé « compte de service automatisé », doit être un compte de domaine Windows à faibles privilèges. Visio Services emprunte ce compte quand il se connecte à une source de données pour le compte d’une visionneuse de diagrammes.
Il est d’usage de donner à ce compte aussi peu d’autorisations réseau que possible. Généralement, l’autorisation de se connecter au réseau et l’accès à la source de données à laquelle les utilisateurs doivent se connecter sont suffisants. Pour une sécurité accrue, veillez à ce que le compte de service automatisé n’ait pas accès aux bases de données de configuration et de contenu SharePoint.
Le compte de service automatisé est utilisé par Visio Services dans les circonstances suivantes :
lorsqu’un fichier ODC stipule l’usage du compte de service automatisé pour l’authentification Windows ou SQL Server ;
lorsqu’aucun fichier ODC n’est utilisé et que l’authentification Kerberos échoue.
Notes
Le compte automatisé peut être un compte d’ordinateur local de type Windows. Si le compte de service automatisé est configuré en tant que compte d’ordinateur local, assurez-vous que la configuration est identique sur chaque serveur d’applications doté de Visio Services. Pour des raisons de simplicité de gestion, il est recommandé d’utiliser un compte de domaine.
Choisissez le compte de service automatisé lorsque vous vous connectez à des déploiements ad hoc de faible ampleur et pour lesquels la sécurité est moins importante ou la vitesse de déploiement est essentielle.
Pour plus d’informations sur l’utilisation du compte de service automatisé avec Visio Services, reportez-vous à Service de banque d’informations sécurisé pour les applications de services d’aide à la décision.
Authentification SQL Server
L’authentification SQL Server exige que Visio Services présente un nom d’utilisateur et un mot de passe SQL Server à une source de données SQL Server pour l’authentifier. Visio Services extrait ce nom d’utilisateur et ce mot de passe de la chaîne de connexion de données et les transmet à la source de données.
Pour réduire les risques de sécurité, Visio Services emprunte l’identité du compte de service automatisé lors de la connexion à une source de données de ce type.
Authentification dans des sources de données OLE DB/ODBC
L’authentification dans des sources de données tierces exige généralement que Visio Services présente un nom d’utilisateur et un mot de passe à une source de données. Comme pour l’authentification SQL Server, Visio Services extrait ce nom d’utilisateur et ce mot de passe de la chaîne de connexion de données et les transmet à la source de données.
Pour réduire les risques de sécurité, Visio Services emprunte l’identité du compte de service automatisé lors de la connexion à une source de données de ce type.
Actualisation des données de Visio Services
Visio Services prend en charge l’actualisation des diagrammes connectés à une ou plusieurs des sources de données suivantes :
SQL Server
Listes SharePoint
Classeurs Excel hébergés dans SharePoint Server
Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 et DB2 9.2
Notes
Si la source de données à laquelle vous souhaitez vous connecter ne figure pas dans la liste ci-dessus, vous pouvez ajouter sa prise en charge en créant un fournisseur de données personnalisées Visio. Cette technique vous permet d’encapsuler vos sources de données existantes dans une source que Visio Services peut exploiter.
L’actualisation peut être déclenchée de l’une des manières suivantes à partir du navigateur :
L’utilisateur final ouvre le diagramme.
L’utilisateur final clique sur le bouton d’actualisation sur un diagramme déjà ouvert.
L’utilisateur final charge une page qui contient le composant WebPart Visio Web Access configuré par un concepteur de site pour être actualisé automatiquement.
Notes
Un concepteur de site SharePoint doit placer le composant WebPart Visio Web Access sur une page et le configurer en vue d’une actualisation régulière.
En l’absence de versions précédemment mises en cache de ce diagramme, n’importe laquelle de ces actions déclenche une actualisation et met à jour le diagramme. Pour plus d’informations sur la configuration des paramètres de cache pour Visio Services, voir Configurer Visio Services.