Planejar a segurança dos Serviços do Visio (SharePoint Server 2010)
Aplica-se a: SharePoint Server 2010
Tópico modificado em: 2012-05-21
Além dos requisitos de segurança para implantar o Microsoft SharePoint Server 2010, você também deve verificar as considerações de segurança que incluem o Serviços do Visio no Microsoft SharePoint Server 2010. O Serviços do Visio permite renderizar Desenhos da Web do Visio publicados. Esses desenhos podem ser conectados a dados externos, e os elementos do desenho podem ser atualizados com base nesses dados. A segurança é um componente importante para habilitar esses cenários de renderização de dados. O Serviço de Gráfico do Visio lhe dá um nível significativo de controle refinado para processar e exibir os desenhos da Web do Visio, além de informar a quais fontes de dados eles podem se conectar.
Desenhos da Web que não estão conectados aos dados
Os Desenhos do Visio (arquivos .VDW) publicados devem ser armazenados em bibliotecas de documentos do SharePoint a serem abertas pelo Serviços do Visio. O SharePoint Server 2010 mantém uma lista de controle de acesso (ACL) para os arquivos que estão incluídos na biblioteca de documentos. Ao definir as regras da biblioteca corretamente, é possível limitar o acesso a um desenho em particular.
Desenhos da Web do Visio que estão conectados aos dados
O Serviço de Gráfico do Visio pode se conectar a fontes de dados, que incluem listas do SharePoint, pastas de trabalho do Excel hospedadas no farm, bancos de dados como o Microsoft SQL Server e fontes de dados personalizadas. Você pode controlar o acesso a fontes de dados específicas definindo explicitamente os provedores de dados que são confiáveis e configurando-os na lista de provedores de dados confiáveis.
Quando os Serviços do Visio carregam um desenho da Web conectado a dados, o serviço verifica as informações de conexão armazenadas no desenho da Web para determinar se o provedor de dados especificado é um provedor confiável. Se o provedor for membro da lista, a conexão será tentada. Caso contrário, a solicitação de conexão será ignorada.
Assim que o administrador tiver configurado os Serviços do Visio para habilitar as conexões a uma fonte de dados específica, dependendo do tipo de fonte de dados, será necessário efetuar configurações de segurança adicionais. Os Serviços do Visio oferecem suporte às fontes de dados a seguir:
As pastas de trabalho do Excel armazenadas no SharePoint Server com o Serviços do Excel
Listas do SharePoint
Bancos de dados como os bancos de dados do SQL Server
Provedores de Dados Personalizados
Desenhos da Web do Visio conectados às listas do SharePoint
Os Desenhos do Visio publicados podem ser conectados às listas do SharePoint no mesmo farm em que o desenho está hospedado. O usuário que estiver exibindo o desenho da Web deve ter acesso ao desenho e à lista do SharePoint à qual o desenho está conectado. Essas permissões e credenciais são gerenciados pelo SharePoint Server 2010.
Desenhos da Web do Visio conectados aos Serviços do Excel
Os desenhos publicados do Visio podem ser conectados às pastas de trabalho do Excel hospedadas no mesmo farm que o desenho da Web, com o Serviços do Excel em execução e configurado corretamente. Para exibir o desenho da Web, o usuário deve ter acesso ao desenho e à pasta de trabalho do Excel à qual o desenho está conectado. Essas permissões e credenciais são gerenciados pelo SharePoint Server 2010.
Desenhos da Web do Visio conectados a bancos de dados do SQL Server
Quando um desenho da Web do Visio publicado é conectado a um banco de dados do SQL Server, os Serviços do Visio usam opções de configuração de segurança adicionais para estabelecer uma conexão entre o Serviço de Gráfico do Visio e o banco de dados. Os desenhos da Web do Visio podem usar conexões armazenadas nos arquivos ODC (Office Data Connectivity). Para criar desenhos da Web conectados por dados e que usam a conta sem supervisão e o Serviço de Repositório Seguro, primeiro os usuários devem criar os arquivos ODC usando o Microsoft Excel.
Os Serviços do Visio oferecem suporte aos métodos de autenticação a seguir:
Autenticação integrada do Windows Nesse modelo de segurança, o Serviço de Gráfico do Visio usa a identidade do visualizador do desenho para autenticar com o banco de dados. A autenticação integrada do Windows com a delegação restrita do Kerberos é mais útil para aumentar a segurança do que os outros métodos de autenticação mostrados nessa lista. Esta configuração requer que a delegação restrita do Kerberos seja habilitada entre o servidor de aplicativos que está executando o Serviço de Gráfico do Visio e o servidor de bancos de dados. Talvez o próprio banco de dados precise de uma configuração adicional para habilitar a autenticação Kerberos, que está além do escopo deste documento.
Serviço de Repositório Seguro Nesse modelo de segurança, o Serviço de Gráfico do Visio usa o Serviço de Repositório Seguro para mapear as credenciais do usuário para uma credencial diferente com acesso ao banco de dados. O Serviço de Repositório Seguro tem suporte para mapeamentos individuais e de grupo tanto para a autenticação integrada do Windows quanto para outras formas de autenticação. Isso garante aos administradores mais flexibilidade ao definir relações de um para um, de muitos para um ou de muitos para muitos. Esse modelo de autenticação só pode ser usado por desenhos que usam um arquivo ODC para especificar a conexão. O arquivo ODC especifica o aplicativo de destino que será usado para o mapeamento das credenciais.
Conta de Serviço sem Supervisão Para facilitar a configuração, o Serviço de Gráfico do Visio fornece uma configuração especial na qual um administrador pode criar um mapeamento exclusivo associando todos os usuários a uma conta única com o uso de um Aplicativo de Destino do Repositório Seguro. Essa conta mapeada, conhecida como conta de serviço sem supervisão, deve ser uma conta de domínio do Windows de baixo privilégio com acesso aos bancos de dados. O Serviço de Gráfico do Visio representa essa conta ao se conectar ao banco de dados se nenhum outro método de autenticação for especificado. Observe que essa abordagem não permite consultas personalizadas em um banco de dados e não fornece auditoria de chamadas de banco de dados. Esse método de autenticação é o padrão usado quando você se conecta ao banco de dados do SQL Server: se nenhum arquivo ODC for usado no desenho da Web do Visio especificando outro método de autenticação, o Serviços do Visio usará as credenciais especificadas pela conta sem supervisão para se conectar ao banco de dados do SQL Server.
Em um farm de servidores maior, é provável que os desenhos do Visio usem uma combinação dos métodos de autenticação descritos aqui. É importante estar ciente do seguinte:
O Serviços do Visio suporta o uso do Serviço de Repositório Seguro e da conta de serviço sem supervisão no mesmo farm. Em desenhos da Web que estão conectado a dados do SQL Server mas não usam arquivos ODC, a conta sem supervisão é exigida e é sempre usada.
Se a autenticação integrada do Windows estiver configurada com o uso da autenticação Kerberos, os Serviços do Visio não renderizaração os desenhos que usam o modo de autenticação de conta sem supervisão.
A autenticação integrada do Windows pode ser usada em conjunto com o Repositório Seguro por meio da configuração de desenhos para usar um arquivo ODC que especifique um aplicativo de destino do Repositório Seguro para esses desenhos que exigem credenciais específicas.