Authentification des données pour Visio Services dans SharePoint Server

  • Article

 

**Sapplique à :**SharePoint Server 2013, SharePoint Server 2016

**Dernière rubrique modifiée :**2017-07-06

Résumé : Visio Services prend en charge les connexions avec les classeurs Excel, les listes SharePoint, les bases de données SQL Server et les sources de données OLE DB et ODBC.

Les sources de données sont classées comme suit en deux catégories, internes ou externes :

  • Internes : données hébergées dans la batterie de serveurs SharePoint (par exemple, un classeur Excel ou une liste SharePoint).

  • Externes : données SQL Server ou une source de données OLE DB ou ODBC.

Pour extraire des données d’une source de données, un utilisateur doit être authentifié par la source de données, puis autorisé à accéder aux données qu’elle contient. Dans le cas d’un diagramme, Visio Services authentifie la source de données pour le compte de l’utilisateur qui la consulte afin d’actualiser les données auxquelles le diagramme est connecté.

La méthode d’authentification utilisable par Visio Services pour extraire les données dépend du type de la source de données sous-jacente, comme indiqué dans le tableau suivant. La connexion de données doit préciser la méthode d’authentification à utiliser lorsque les sources de données prennent plusieurs méthodes en charge.

Source de données Méthode d’authentification

Listes SharePoint

Autorisations utilisateur SharePoint

Classeurs Excel

Autorisations utilisateur SharePoint

SQL Server

Au choix :

  • Authentification Windows (sécurité intégrée)

    • à l’aide de la délégation Kerberos contrainte

    • à l’aide de la Banque d’informations sécurisée

    • à l’aide du compte de service automatisé

  • Authentication SQL Server

OLE DB/ODBC

Varie selon la source de données, en général une paire formée par le nom d’utilisateur et le mot de passe, stockée dans la chaîne de connexion.

Des fournisseurs de données personnalisés peuvent également être utilisés.

Les sources de données suivantes sont prises en charge dans Visio, mais pas dans Visio Services :

  • Bases de données Access

  • Classeurs Excel non hébergés sur SharePoint Server

  • OLAP

Connexion de Visio Services aux données hébergées sur SharePoint Server

Visio Services prend en charge les diagrammes connectés aux données qui sont connectés aux données hébergées dans la batterie de serveurs SharePoint, notamment :

  • les classeurs Excel qui résident dans une bibliothèque de documents ;

  • les données dans des listes SharePoint.

Connexion aux classeurs Excel

Visio Services exploite les informations d’identification SharePoint Server de la visionneuse de diagrammes pour se connecter à un classeur Excel (xlsx). Pour que l’opération d’authentification aboutisse, les conditions suivantes doivent être remplies :

  • Office Online Server Preview doit être mis en service et configuré correctement sur la batterie de serveurs SharePoint.

  • Le classeur doit être hébergé sur la même batterie de serveurs que le diagramme.

  • La visionneuse de diagrammes doit disposer au moins de l’autorisation de « lecture » sur le classeur Excel.

Aucune autre étape de configuration n’est nécessaire pour activer ce genre de connexion de données.

Notes

Dans le cadre de la connexion à un classeur Excel, Visio Services demande à Excel Online d’actualiser le classeur s’il contient des connexions aux données externes. Le cas échéant, l’identité de la visionneuse de diagrammes est transmise à Excel Online pour permettre à Excel Online de s’authentifier aux sources de données sous-jacentes pour actualiser le classeur.

Connexion de Visio Services à des listes SharePoint

Visio Services exploite les informations d’identification SharePoint Server de la visionneuse de diagrammes pour se connecter à une liste SharePoint. Pour que l’opération d’authentification aboutisse, les conditions suivantes doivent être remplies :

  • Pour accéder aux données d’une liste externe, l’utilisateur doit bénéficier des autorisations nécessaires pour l’accès au type de contenu externe et à la source de données externe.

  • La visionneuse de diagrammes doit disposer au moins de l’autorisation de « lecture » sur la liste SharePoint.

Aucune autre étape de configuration n’est nécessaire pour activer ce genre de connexion de données.

Connexion de Visio Services à des données externes

Visio Services peut se connecter à différentes sources de données externes, dont SQL Server, OLE DB/ODBC et des fournisseurs de données personnalisés. Pour se connecter à la source de données, Visio Services utilise un fournisseur de données spécifique pour chaque source de données.

Par mesure de sécurité, Visio Services doit explicitement approuver les fournisseurs de données avant de les utiliser.

La connexion à une source de données SQL Server peut être effectuée en utilisant au choix :

  • Authentification Windows

  • Authentication SQL Server

D’autres sources de données utilisent une chaîne de connexion habituellement formée d’un nom d’utilisateur et d’un mot de passe.

Connexions de données

Les diagrammes Visio utilisent l’un des deux types de connexions proposés :

  • Connexions incorporées

  • Connexions liées

Les connexions incorporées sont stockées dans le cadre du diagramme Visio. Les connexions liées sont stockées en externe, hors du diagramme, dans des fichiers ODC (Office Data Connection). Pour utiliser une connexion liée, un diagramme doit faire référence à un fichier .odc qui est également stocké dans la même batterie de serveurs que le diagramme. Chaque connexion de données est composée des éléments suivants:

  • une chaîne de connexion ;

  • une chaîne de requête ;

  • une méthode d’authentification ;

  • éventuellement, des métadonnées nécessaires pour extraire des données externes.

Chaque type de connexion présente ses avantages et ses inconvénients, traités ici ; choisissez celui qui s’adapte le mieux à votre scénario.

Type de connexion Connexions incorporées Fichiers ODC

Sources de données prises en charge

  • SQL Server

  • OLE DB/ODBC

  • Classeurs Excel

  • Listes SharePoint

  • Fournisseurs de données personnalisés

  • SQL Server (prend en charge toutes les méthodes d’authentification)

  • OLE DB/ODBC

Avantages

  • Toutes les informations de connexion sont stockées dans le diagramme.

  • Les connexions incorporées nécessitent peu de tâches d’administration.

  • Les connexions incorporées sont faciles à créer.

  • Les connexions liées peuvent être stockées, gérées, faire l’objet d’un audit et être partagées de manière centralisée et leur accès peut être contrôlé au moyen d’une bibliothèque de connexions de données.

  • Les auteurs des diagrammes peuvent utiliser des connexions existantes sans devoir créer de requêtes ni de chaînes de connexion.

  • En cas de modification des détails de la connexion de données d’une source de données, un administrateur doit simplement mettre à jour un fichier ODC. Grâce à cette modification, tous les diagrammes qui font référence au fichier ODC utilisent les informations de connexion mises à jour lors de la prochaine actualisation (ce scénario est vérifié lorsque le serveur de base de données est déplacé ou que le nom de la base de données est modifié, par exemple).

Inconvénients

  • Si les détails de la connexion de données d’une source de données changent, tous les diagrammes avec des connexions incorporées à cette source de données doivent être republiés avec les informations de connexion mises à jour.

  • Les connexions de données incorporées sont plus difficiles à soumettre à un audit pour les administrateurs SharePoint.

  • Les connexions liées peuvent exiger l’aide d’un administrateur SharePoint pour le partage, la gestion et la sécurité.

  • Les connexions liées sont sauvegardées en texte clair et peuvent contenir des mots de passe de base de données. Une attention particulière doit être apportée à la sécurisation de ces fichiers.

À l’aide d’un fichier ODC, choisissez une connexion de données liée pour des scénarios où vous devez disposer d’une connexion de données à une source de données relationnelles à l’échelle de l’entreprise (SQL Server, par exemple). Les connexions de données liées sont très utiles dans des scénarios où elles doivent être partagées entre plusieurs utilisateurs et pour lesquels un contrôle administratif de la connexion est indispensable.

Notes

Si vous utilisez Visio 2010, les fichiers ODC doivent d’abord être créés dans Excel et exportés vers SharePoint Server avant d’être utilisés avec Visio Services.

Choisissez une connexion incorporée pour les scénarios dans lesquels vous devez disposer d’une connexion de données rapide à une source de données de petite taille ou basée sur des fichiers que seuls quelques utilisateurs exploiteront.

Les fichiers ODC peuvent être stockés dans une bibliothèque de connexion de données (type spécial de bibliothèque de documents SharePoint). Le fait de centraliser les connexions de données dans une telle bibliothèque de documents présente plusieurs avantages :

  • Les administrateurs peuvent limiter l’accès en écriture à une bibliothèque de connexion de données à des auteurs de connexion de données approuvés pour garantir que seules les connexions de données dûment testés et sécurisées sont utilisées par les auteurs des diagrammes.

  • Les administrateurs gèrent les connexions de données d’un groupe important d’utilisateurs depuis un seul et même emplacement.

  • Les administrateurs peuvent facilement approuver, contrôler (audit), rétablir et gérer des fichiers de connexion de données en utilisant les fonctions de contrôle de version et de flux de travail de la bibliothèque de documents.

  • Les utilisateurs finaux cherchent les données de diagramme dans un seul emplacement, ce qui limite les risques de confusion et la formation des utilisateurs.

Authentification Windows

Ces informations d’identification sont courantes sur les réseaux Windows et sont les mêmes que celles utilisées pour se connecter sur les ordinateurs d’un domaine Windows. Les informations d’identification Windows sont considérées comme le moyen de contrôler l’accès aux bases de données SQL Server le plus sûr et le plus simple à gérer. Cependant, la mesure de sécurité Windows du double saut (« double-hop ») représente un obstacle à l’utilisation de l’authentification Windows avec Visio Services puisque les informations d’identification d’un utilisateur ne peuvent pas être transmises sur plusieurs ordinateurs dans un réseau Windows. Visio Services étant un système multiniveau, des méthodes d’authentification spéciales sont nécessaires pour que Visio Services puisse extraire des données pour l’utilisateur final.

L’authentification Windows exige que Visio Services présente un ensemble d’informations d’identification Windows à SQL Server. Il existe plusieurs façons de procéder. Le choix de la méthode d’authentification dépend de divers facteurs comme indiqué dans le tableau suivant. Choisissez celle qui est la mieux adaptée à votre scénario.

Méthode d’authentification Délégation Kerberos limitée Banque d’informations sécurisée Compte de service automatisé

Description

Avec la délégation Kerberos contrainte, les informations d’identification Windows de la visionneuse de diagrammes sont envoyées directement à la source de données.

Avec la Banque d’informations sécurisée, les informations d’identification Windows de la visionneuse sont mappées sur un autre ensemble d’informations d’identification spécifié dans une application cible de la Banque d’informations sécurisée.

À l’aide du service Banque d’informations sécurisée, toutes les visionneuses sont mappées sur un ensemble spécifique d’informations d’identification appelé Compte de service automatisé qui est stocké dans une application cible spécifique de la Banque d’informations sécurisée indiquée dans les paramètres globaux de Visio Services.

Informations d’identification de connexion de données

Informations d’identification Windows de l’afficheur de diagrammes.

Informations d’identification indiquées dans l’application cible de la Banque d’informations sécurisée.

Informations d’identification du compte de service automatisé.

Avantages

  • Le protocole Kerberos est un outil standard de la gestion des informations d’identification.

  • Kerberos est étroitement lié à l’infrastructure Active Directory existante.

  • La délégation Kerberos permet l’audit des accès individuels à une source de données.

  • L’identité de la visionneuse de diagrammes étant connue, les auteurs des diagrammes peuvent incorporer des requêtes de base de données personnalisées dans les diagrammes.

  • La Banque d’informations sécurisée fait partie de SharePoint Server et est plus facile à configurer que l’authentification Kerberos.

  • Les mappages sont souples : un utilisateur peut être mappé dans une relation un-à-un ou plusieurs-à-un.

  • Les informations d’identification qui n’appartiennent pas à Windows peuvent être utilisées pour se connecter aux sources de données qui n’acceptent pas les informations d’identification Windows.

  • Les mappages créés pour Visio peuvent être réutilisés par d’autres applications d’aide à la décision, telles que Excel Online.

  • Le compte de service automatisé est la méthode d’authentification la plus simple à déployer et à configurer.

  • Le compte de service automatisé exige un minimum de tâches d’administration.

Inconvénients

  • Travail d’administration supplémentaire nécessaire pour la configuration de SharePoint Server et Visio Services.

  • La création et la gestion des tables de mappage imposent une petite surcharge administrative.

  • La Banque d’informations sécurisée permet un audit limité. Dans le scénario plusieurs-à-un, des utilisateurs entrants individuels sont mappés sur les mêmes informations d’identification via une application cible, ce qui les transforme en un seul utilisateur.

  • Tous les utilisateurs étant mappés sur les mêmes informations d’identification, un administrateur ne peut pas savoir qui a accédé à une source de données.

Pour que l’opération d’authentification aboutisse…

  • La délégation Kerberos contrainte doit être configurée sur une batterie de serveurs SharePoint.

  • La Banque d’informations sécurisée doit être mise en service et configurée sur la batterie de serveurs. Elle doit également contenir les informations de mappage appropriées pour un utilisateur entrant donné. En outre, des mises à jour régulières des informations de mappage peuvent être nécessaires afin de répercuter les changements de mot de passe apportés au compte mappé.

  • La Banque d’informations sécurisée doit être mise en service et configurée sur la batterie de serveurs. Elle doit également contenir les informations d’identification du compte de service automatisé. En outre, des mises à jour régulières des informations de mappage peuvent être nécessaires afin de répercuter les changements de mot de passe apportés au compte mappé.

  • Le compte de service automatisé doit être configuré dans les paramètres globaux de Visio Services.

Délégation Kerberos contrainte

Choisissez la délégation Kerberos contrainte pour procéder à une authentification plus sécurisée et plus rapide dans les sources de données relationnelles d’entreprise qui prennent en charge l’authentification Windows.

Banque d’informations sécurisée

Choisissez la Banque d’informations sécurisée pour procéder à une authentification dans les sources de données relationnelles d’entreprise susceptibles de prendre en charge l’authentification Windows. La Banque d’informations sécurisée est également utile dans les cas où vous souhaitez contrôler les mappages des informations d’identification des utilisateurs.

Compte de service automatisé

Pour faciliter la configuration, le Service Graphiques Visio fournit une configuration spéciale permettant à un administrateur de créer un mappage unique associant tous les utilisateurs à un même ensemble d’informations d’identification.

Ce compte, appelé « compte de service automatisé », doit être un compte de domaine Windows à faibles privilèges. Visio Services emprunte ce compte quand il se connecte à une source de données pour le compte d’une visionneuse de diagrammes.

Il est d’usage de donner à ce compte aussi peu d’autorisations réseau que possible. Généralement, l’autorisation de se connecter au réseau et l’accès à la source de données à laquelle les utilisateurs doivent se connecter sont suffisants. Pour une sécurité accrue, veillez à ce que le compte de service automatisé n’ait pas accès aux bases de données de configuration et de contenu SharePoint.

Le compte de service automatisé est utilisé par Visio Services dans les circonstances suivantes :

  • lorsqu’un fichier ODC stipule l’usage du compte de service automatisé pour l’authentification Windows ou SQL Server ;

  • lorsqu’aucun fichier ODC n’est utilisé et que l’authentification Kerberos échoue.

Notes

Le compte automatisé peut être un compte d’ordinateur local de type Windows. Si le compte de service automatisé est configuré en tant que compte d’ordinateur local, assurez-vous que la configuration est identique sur chaque serveur d’applications doté de Visio Services. Pour des raisons de simplicité de gestion, il est recommandé d’utiliser un compte de domaine.

Choisissez le compte de service automatisé lorsque vous vous connectez à des déploiements ad hoc de faible ampleur et pour lesquels la sécurité est moins importante ou la vitesse de déploiement est essentielle.

Pour plus d’informations sur l’utilisation du compte de service automatisé avec Visio Services, reportez-vous à Service de banque d’informations sécurisé pour les applications de services d’aide à la décision.

Authentification SQL Server

L’authentification SQL Server exige que Visio Services présente un nom d’utilisateur et un mot de passe SQL Server à une source de données SQL Server pour l’authentifier. Visio Services extrait ce nom d’utilisateur et ce mot de passe de la chaîne de connexion de données et les transmet à la source de données.

Pour réduire les risques de sécurité, Visio Services emprunte l’identité du compte de service automatisé lors de la connexion à une source de données de ce type.

Authentification dans des sources de données OLE DB/ODBC

L’authentification dans des sources de données tierces exige généralement que Visio Services présente un nom d’utilisateur et un mot de passe à une source de données. Comme pour l’authentification SQL Server, Visio Services extrait ce nom d’utilisateur et ce mot de passe de la chaîne de connexion de données et les transmet à la source de données.

Pour réduire les risques de sécurité, Visio Services emprunte l’identité du compte de service automatisé lors de la connexion à une source de données de ce type.

Actualisation des données de Visio Services

Visio Services prend en charge l’actualisation des diagrammes connectés à une ou plusieurs des sources de données suivantes :

  • SQL Server

  • Listes SharePoint

  • Classeurs Excel hébergés dans SharePoint Server

  • Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 et DB2 9.2

Notes

Si la source de données à laquelle vous souhaitez vous connecter ne figure pas dans la liste ci-dessus, vous pouvez ajouter sa prise en charge en créant un fournisseur de données personnalisées Visio. Cette technique vous permet d’encapsuler vos sources de données existantes dans une source que Visio Services peut exploiter.

L’actualisation peut être déclenchée de l’une des manières suivantes à partir du navigateur :

  • L’utilisateur final ouvre le diagramme.

  • L’utilisateur final clique sur le bouton d’actualisation sur un diagramme déjà ouvert.

  • L’utilisateur final charge une page qui contient le composant WebPart Visio Web Access configuré par un concepteur de site pour être actualisé automatiquement.

    Notes

    Un concepteur de site SharePoint doit placer le composant WebPart Visio Web Access sur une page et le configurer en vue d’une actualisation régulière.

En l’absence de versions précédemment mises en cache de ce diagramme, n’importe laquelle de ces actions déclenche une actualisation et met à jour le diagramme. Pour plus d’informations sur la configuration des paramètres de cache pour Visio Services, voir Configurer Visio Services.