Планирование безопасности служб Visio (SharePoint Server 2010)

  • Статья

 

Применимо к: SharePoint Server 2010

Последнее изменение раздела: 2012-05-21

Помимо требований к системе безопасности, выполнение которых необходимо для развертывания Microsoft SharePoint Server 2010, следует также принять во внимание рекомендации по обеспечению безопасности развертывания, которое включает Visio в Microsoft SharePoint Server 2010. Службы Visio позволяет отображать опубликованные веб-документы Visio. Эти документы можно подключать к внешним данным, и элементы документов можно обновлять с учетом этих данных. Безопасность — это важный компонент осуществления таких сценариев визуализации данных. Служба Служба графики Visio обеспечивает возможность точного управления обработкой и отображением веб-документов Visio, а также типами данных, к которым они могут подключаться.

Веб-документы, не подключенные к данным

Чтобы опубликованные документы Visio (VDW-файлы) можно было открыть с помощью Службы Visio, они должны храниться в библиотеках документов SharePoint. SharePoint Server 2010 хранит список управления доступом (ACL) для файлов, содержащихся в библиотеке документов. Правильно настроив правила библиотеки, можно ограничить доступ к определенным документам.

Веб-документы Visio, подключенные к данным

Служба Служба графики Visio может подключаться к различным источникам данных. К ним относятся списки SharePoint, книги Excel, размещенные в ферме, базы данных, такие как Microsoft SQL Server, и другие специальные источники данных. Контролировать доступ к определенным источникам данных можно путем явного указания надежных поставщиков данных и их включения в список надежных поставщиков.

Когда службы Службы Visio загружают веб-документ с подключением к данным, служба проверяет сведения о подключении, хранимые в документе, с целью определения надежности указанного поставщика данных. Если поставщик содержится в списке, выполняется попытка подключения, в противном случае запрос на подключение игнорируется.

В ходе настройки разрешения на подключение к конкретному источнику данных для служб Службы Visio необходимо применить дополнительные настройки безопасности, определяемые типом источника данных. Службы Visio поддерживают следующие источники данных:

  • книги Excel, хранимые в системе SharePoint Server с службами Службы Excel;

  • списки SharePoint;

  • базы данных, например базы данных SQL Server;

  • специальные поставщики данных.

Веб-документы Visio, подключенные к спискам SharePoint

Опубликованные документы Visio можно подключать к спискам SharePoint, размещенным в той же ферме, что и документы. Пользователь, просматривающий веб-документ, должен иметь права на доступ как к документу, так и к списку SharePoint, к которому подключен документ (соответствующие разрешения и учетные данные управляются SharePoint Server 2010).

Веб-документы Visio, подключенные к службам Excel

Опубликованные документы Visio можно подключать к книгам Excel, размещенным в той же ферме, что и веб-документ, при наличии правильно настроенной и работоспособной служб Службы Excel. Пользователь, просматривающий веб-документ, должен иметь права на доступ как к документу, так и к книге Excel, к которой подключен документ (соответствующие разрешения и учетные данные управляются SharePoint Server 2010).

Веб-документы Visio, подключенные к базам данных SQL Server

При подключении опубликованного веб-документа Visio к базе данных SQL ServerСлужбы Visio используют дополнительные параметры конфигурации безопасности для установки соединения между службой Служба графики Visio и базой данных. Веб-документы Visio могут использовать подключения, сведения о которых хранятся в ODC-файлах. Для создания веб-документа с подключением к данным, который использует автоматическую учетную запись службы и службу безопасного хранения, сначала требуется создать ODC-файлы с помощью Microsoft Excel.

Службы Visio поддерживают следующие способы проверки подлинности:

  • Встроенная проверка подлинности Windows. В этой модели безопасности служба Служба графики Visio использует удостоверение средства просмотра документов для проверки подлинности на сервере базы данных. Встроенная проверка подлинности Windows с ограниченным делегированием Kerberos обеспечивает более надежную защиту, чем другие способы проверки подлинности, приведенные в этом списке. Эта конфигурация требует включения ограниченного делегирования Kerberos между сервером приложений, на котором выполняется служба Служба графики Visio, и сервером базы данных. Возможно, потребуется применить дополнительные настройки к самой базе данных, чтобы включить поддержку проверки подлинности, основанную на протоколе Kerberos. Эта тема выходит за рамки настоящего документа.

  • Служба безопасного хранения Secure Store. В этой модели безопасности служба Служба графики Visio использует службу безопасного хранения для сопоставления учетных данных пользователя с другими учетными данными, которые позволяют получить доступ к базе данных. Служба безопасного хранения поддерживает сопоставление отдельных пользователей и групп для встроенной проверки подлинности Windows и других способов проверки подлинности. Это позволяет администраторам более точно настраивать отношения типа "один к одному", "многие к одному" и "многие ко многим". Данную модель проверки подлинности могут применять только документы, использующие для указания сведений о подключении ODC-файл. ODC-файл задает конечное приложение, которое будет использоваться для сопоставления учетных данных.

  • Автоматическая учетная запись службы. Для упрощения настройки служба Служба графики Visio предоставляет специальную конфигурацию, в которой администратор может создать уникальное сопоставление, связывающее всех пользователей с одной учетной записью с помощью конечного приложения безопасного хранения. Сопоставленная учетная запись, также называемая автоматической учетной записью службы, должна быть учетной записью домена Windows с низким уровнем прав, которой предоставлен доступ к базе данных. Служба Служба графики Visio олицетворяет эту учетную запись при подключении к базе данных. Учтите, что этот метод не допускает создания запросов персонализированного контента в базе данных и не обеспечивает аудита вызовов базы данных. Следующая модель проверки подлинности задана по умолчанию и используется при подключении к базам данных SQL Server: если в веб-документе Visio не используется ODC-файл, указывающий другой метод проверки подлинности, Службы Visio применяет учетные данные, определенные автоматической учетной записью для подключения к базе данныхSQL Server.

В более крупных фермах серверов документы Visio с большей вероятностью будут использовать сочетание вышеописанных способов проверки подлинности. Важно помнить о том, что:

  • Службы Visio поддерживают использование службы безопасного хранения и автоматической учетной записи службы в одной и той же ферме. Автоматическая учетная запись всегда требуется и используется в веб-документах, подключенных к данным SQL Server, но не использующих ODC-файлы.

  • если встроенная проверка подлинности Windows настроена с помощью проверки подлинности Kerberos, Службы Visio не будут обрабатывать документы, которые используют режим проверки подлинности "автоматическая учетная запись службы".

  • Встроенная проверка подлинности Windows может использоваться вместе со службой безопасного хранения путем настройки документов на применение ODC-файла, указывающего конечное приложение безопасного хранения для документов, которым требуются особые учетные данные.