Проверка подлинности при доступе к данным для служб Visio

  • Статья

 

Применимо к: SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

Visio в Microsoft SharePoint Server 2010 поддерживает веб-документы, подключенные к различным источникам данных, в том числе к данным следующих видов:

  • Данные, размещаемые внутри фермы SharePoint, например в книге Microsoft Excel или в списке SharePoint.

  • Внешние данные, такие как данные Microsoft SQL Server, или источник данных OLE DB/ODBC.

Для извлечения данных из источника пользователь должен пройти проверку подлинности в этом источнике, а затем авторизацию для доступа к содержащимся там данным. В случае веб-документа при доступе к источнику данных в Службы Visio проводится проверка подлинности от имени пользователя, просматривающего документ, чтобы обновить данные, к которым документ подключен.

Получение данных из источника данных

Выбор метода проверки подлинности при извлечении данных в Службы Visio зависит от типа базового источника данных, как показано в следующей таблице. Если источник данных поддерживает несколько методов проверки подлинности, при подключении к данным должно быть указано, какой из этих методов следует использовать.

Источник данных Метод проверки подлинности

Списки SharePoint

Разрешения пользователей SharePoint

Книги Excel

Разрешения пользователей SharePoint

SQL Server

Один из следующих методов:

  • Проверка подлинности Windows (интегрированная система безопасности)

    • с использованием ограниченного делегирования Kerberos

    • с использованием службы Secure Store

    • с использованием автоматической учетной записи службы

  • Проверка подлинности SQL Server

OLE DB/ODBC

Зависит от источника данных, обычно используется комбинация имени пользователя и пароля, хранящаяся в строке подключения.

Могут также использоваться настраиваемые поставщики данных. Дополнительные сведения см. в статье о создании настраиваемого поставщика данных с помощью Visio Services (https://go.microsoft.com/fwlink/?linkid=196860&clcid=0x419).

Следующие источники данных поддерживаются в Microsoft Visio, но не в Службы Visio:

  • Базы данных Access

  • Книги Excel, не размещенные в SharePoint Server

  • OLAP

Подключение к данным, размещенным в SharePoint Server

В Службы Visio поддерживаются веб-документы, которые подключаются к данным, размещенным внутри фермы SharePoint, в том числе к данным следующих видов:

  • Книги Excel, находящиеся в библиотеке документов

  • Данные в списках SharePoint

Подключение к книгам Excel

В Службы Visio для подключения к книге Excel (.xlsx) используются учетные данные пользователя SharePoint Server, просматривающего веб-документ. Для успешного прохождения проверки подлинности должны быть соблюдены следующие условия:

  • Необходимо правильно инициализировать и настроить Службы Excel в ферме SharePoint.

  • Книга должна быть размещена в той же ферме, что и веб-документ.

  • Пользователь, просматривающий веб-документ, должен иметь разрешения как минимум на чтение книги Excel.

Для этого типа подключения к данным никаких других действий по настройке конфигурации не требуется.

Примечание

При установлении подключения к книге Excel, содержащей подключения к внешним данным, из Службы Visio в Службы Excel направляется запрос на обновление книги. В этом случае в Службы Excel передается удостоверение пользователя, просматривающего веб-документ, чтобы в Службы Excel можно было выполнить проверку подлинности при доступе к базовым источникам данных и обновить книгу.

Подключение к спискам SharePoint

В Службы Visio для подключения к списку SharePoint используются учетные данные пользователя SharePoint Server, просматривающего веб-документ. Для успешного прохождения проверки подлинности должны быть соблюдены следующие условия:

  • Список SharePoint должен быть размещен в той же ферме, что и веб-документ.

  • Пользователь, просматривающий веб-документ, должен иметь разрешения как минимум на чтение списка SharePoint.

Для этого типа подключения к данным никаких других действий по настройке конфигурации не требуется.

Подключение к внешним данным

Службы Visio позволяет подключаться к различным внешним источникам данных, таким как SQL Server, OLE DB/ODBC и настраиваемые поставщики данных. Для подключения к каждому конкретному источнику данных в Службы Visio используется соответствующий этому источнику поставщик данных.

В качестве меры безопасности в Службы Visio необходимо явным образом установить доверие к поставщикам данных, прежде чем использовать их. Дополнительные сведения о доверенных поставщиках данных см. в статье Configure Visio Graphics Service trusted data providers (SharePoint Server 2010).

Для подключения к источнику данных Microsoft SQL Server может использоваться один из следующих методов:

  • Проверка подлинности Windows

  • Проверка подлинности SQL Server

Для других источников данных используется строка подключения, обычно состоящая из имени пользователя и пароля.

Подключения к данным

Веб-документы Visio используют подключения двух видов:

  • Внедренные подключения

  • Связанные подключения

Внедренные подключения хранятся как составные части веб-документа Visio. Связанные подключения хранятся вне веб-документа в виде файлов подключения к данным Office (ODC). Чтобы использовать связанное подключение, необходимо указать в веб-документе ссылку на ODC-файл, находящийся в одной ферме с этим документом. В состав каждого подключения к данным входит следующее:

  • Строка подключения

  • Строка запроса

  • Метод проверки подлинности

  • Метаданные для извлечения внешних данных (необязательный компонент)

Каждый вид подключения имеет как определенные преимущества, так и недостатки; все они описываются ниже. Выбирайте тот вид, который оптимально подходит к конкретному сценарию использования.

Тип подключения Внедренные подключения ODC-файлы

Поддерживаемые источники данных

  • SQL Server (поддерживает только делегирование Kerberos и автоматическую учетную запись службы)

  • OLE DB/ODBC

  • Книги Excel

  • Списки SharePoint

  • Настраиваемые поставщики данных

  • SQL Server (поддерживает все методы проверки подлинности)

  • OLE DB/ODBC

Преимущества

  • Все сведения о подключении хранятся в веб-документе.

  • Поддержка внедренных подключений требует меньше административной работы.

  • Внедренные подключения легко создавать.

  • Связанные подключения можно хранить и контролировать централизованно, делая их общедоступными и управляя их использованием с помощью библиотеки подключений к данным.

  • Авторы документов могут использовать существующие подключения, не создавая запросы и строки подключения.

  • Если сведения о подключении к какому-либо источнику данных изменятся, администратору достаточно будет лишь обновить один ODC-файл. После такого изменения все веб-документы, содержащие ссылки на этот ODC-файл, при следующем обновлении будут использовать исправленные данные о подключении. (Такая ситуация может возникнуть, например, при перемещении сервера базы данных или изменении имени базы данных.)

Недостатки

  • Если сведения о подключении к источнику данных изменяются, необходимо заново опубликовать все веб-документы с внедренными подключениями к этому источнику, используя обновленные данные о подключении.

  • Аудит внедренных подключений к данным представляет собой довольно сложную задачу для администраторов SharePoint.

  • Для создания связанного подключения необходимо использовать Excel.

  • Для управления связанными подключениями, передачи их в общий доступ и обеспечения безопасности может потребоваться помощь администратора SharePoint.

  • Сведения о связанных подключениях сохраняются открытым текстом и могут содержать пароли баз данных. В целях безопасности при работе с такими файлами следует соблюдать крайнюю осторожность.

Связанное подключение к данным через ODC-файл рекомендуется выбирать в ситуациях, требующих подключения к реляционному источнику данных масштаба предприятия, такому как SQL Server. Связанные подключения наиболее целесообразны в сценариях, предполагающих их совместное использование множеством пользователей под контролем администратора.

Примечание

Прежде чем использовать ODC-файлы в Службы Visio, их следует создать в Excel и экспортировать в SharePoint Server.

Внедренное подключение следует выбирать в случаях, когда необходим быстрый доступ к небольшому, файловому источнику данных, с которым будет работать лишь несколько пользователей.

ODC-файлы можно хранить в библиотеке подключений к данным — особой разновидности библиотеки документов SharePoint. Централизация подключений к данным в такой библиотеке документов дает ряд преимуществ:

  • Администраторы могут ограничивать доступ для записи в библиотеку, разрешая его лишь доверенным создателям подключений, чтобы авторы веб-документов использовали только безопасные, тщательно проверенные подключения.

  • Администраторы получают в свое распоряжение единый центр управления подключениями к данным для большой группы пользователей.

  • Администраторы могут легко утверждать, отменять и контролировать файлы подключений к данным, используя средства управления версиями и рабочие процессы в библиотеке документов.

  • Библиотеки подключений к данным могут повторно использоваться в других приложениях Office, таких как Excel, Службы Excel, Microsoft InfoPath 2010, InfoPath Forms Services и Microsoft Word.

  • Конечные пользователи могут искать данные документов только в одном месте, что обеспечивает более строгий порядок и снижает потребность в обучении пользователей.

Сведения о создании библиотек подключений к данным см. в статье о процедурах создания и использования библиотеки подключений к данным (https://go.microsoft.com/fwlink/?linkid=188117&clcid=0x419). Сведения о создании ODC-файлов см. в статье о создании и редактировании подключений к внешним данным и управлении подключениями (https://go.microsoft.com/fwlink/?linkid=196894&clcid=0x419).

Проверка подлинности Windows

В случае проверки подлинности Windows система Службы Visio должна представить серверу SQL Server набор учетных данных Windows. Такие учетные данные регулярно используются в сетях Windows; они же вводятся при входе на компьютеры, находящиеся в домене Windows, и при подключении к компьютеру, на котором запущен Exchange Server. Учетные данные Windows считаются наиболее защищенным и гибко управляемым средством контроля доступа к базам данным SQL Server. Однако использованию проверки подлинности Windows в Службы Visio препятствует действующая в Windows мера безопасности под названием «двойной прыжок», которая не позволяет передавать учетные данные пользователя более чем в один компьютер сети Windows. Учитывая, что Службы Visio — многоуровневая система, становится ясно, что для извлечения данных от имени конечного пользователя в Службы Visio требуются особые методы проверки подлинности.

Проверка подлинности Windows

Выбор метода проверки подлинности зависит от различных факторов, которые описаны в следующей таблице. Выбирайте метод, который оптимально подходит к конкретному сценарию использования.

Метод проверки подлинности Делегирование Kerberos Secure Store Автоматическая учетная запись службы

Описание

При использовании ограниченного делегирования Kerberos учетные данные пользователя Windows, просматривающего документ, передаются непосредственно в источник данных.

При использовании службы Secure Store учетные данные пользователя Windows, просматривающего документ, сопоставляются с другим набором учетных данных, указанным в конечном приложении Secure Store.

При использовании службы Secure Store всем пользователям назначается уникальный набор учетных данных — так называемая автоматическая учетная запись службы, которая хранится в определенном конечном приложении Secure Store, указанном в глобальных параметрах Службы Visio.

Учетные данные для подключений к данным

Учетные данные пользователя Windows, просматривающего веб-документ.

Учетные данные, указанные в конечном приложении Secure Store.

Учетные данные из автоматической учетной записи службы.

Преимущества

  • Протокол Kerberos является отраслевым стандартом в области управления учетными данными.

  • Kerberos привязан к существующей инфраструктуре Active Directory.

  • Делегирование Kerberos позволяет вести аудит отдельных операций доступа к источнику данных.

  • Поскольку личность пользователя, просматривающего веб-документ, известна, авторы веб-документов могут внедрять в свои документы индивидуализированные запросы к базе данных.

  • Служба Secure Store является составной частью SharePoint Server, и ее проще настраивать, чем Kerberos.

  • Сопоставления отличаются гибкостью: пользователь может быть сопоставлен по схеме «один к одному» или «многие к одному».

  • Для подключения к источникам данных, не принимающим учетные данные Windows, можно использовать учетные данные других систем.

  • Сопоставления, созданные для Visio, могут использоваться другими бизнес-приложениями, такими как службы Excel.

  • Автоматическая учетная запись службы — самый простой метод проверки подлинности с точки зрения развертывания и настройки.

  • Поддержка автоматической учетной записи службы не требует особых усилий от администратора.

Недостатки

  • Настройка SharePoint Server и Visio Services требует участия администратора.

  • Определение таблиц сопоставления и управление ими требуют участия администратора.

  • Служба Secure Store предлагает ограниченные возможности аудита. При сопоставлении «многие к одному» отдельные входящие пользователи сопоставляются в конечном приложении с одними и теми же учетными данными, т. е. фактически сливаются в одного пользователя.

  • Когда всем сопоставляется один набор учетных данных, администратор не может различать, кто именно обращается к источнику данных.

Условия успеха проверки подлинности

  • Необходимо настроить делегирование Kerberos в ферме SharePoint.

  • Службу Secure Store необходимо инициализировать и настроить в ферме. В ней также должны содержаться необходимые сведения о сопоставлении для конкретного входящего пользователя. Кроме того, сведения о сопоставлении могут потребоваться при регулярном обновлении для отражения изменений в паролях сопоставляемой учетной записи.

  • Службу Secure Store необходимо инициализировать и настроить в ферме. В ней также должны содержаться необходимые учетные данные для автоматической учетной записи службы. Кроме того, сведения о сопоставлении могут потребоваться при регулярном обновлении для отражения изменений в паролях сопоставляемой учетной записи.

  • Необходимо настроить Visio Services для использования автоматической учетной записи службы.

Делегирование Kerberos

Выбирайте делегирование Kerberos для быстрой и безопасной проверки подлинности при доступе к реляционным источникам данных масштаба предприятия, поддерживающим проверку подлинности Windows. Сведения о настройке делегирования Kerberos см. в статьях:

Secure Store

Выбирайте службу Secure Store для проверки подлинности при доступе к реляционным источникам данных масштаба предприятия независимо от того, поддерживают ли они проверку подлинности Windows. Службу Secure Store также целесообразно использовать в случаях, когда требуется контролировать сопоставления учетных данных пользователей.

Сведения об использовании службы Secure Store в Visio Services см. в статье Служба безопасного хранения для приложений-служб бизнес-аналитики.

Видеодемонстрация

Снимок экрана видеоролика

В этой демонстрации показана последовательность шагов настройки Visio Services для использования службы Secure Store.

Посмотрите видео (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=196864&clcid=0x419) (Возможно, на английском языке). Чтобы загрузить файл видеоролика, щелкните ссылку правой кнопкой мыши и выберите Сохранить объект как.

Автоматическая учетная запись службы

Для удобства настройки служба графики Visio предлагает специальную конфигурацию, в которой администратор может создать уникальное сопоставление, назначая всем пользователям один набор учетных данных.

Этот набор, называемый автоматической учетной записью службы, должен быть учетной записью домена Windows с низким уровнем привилегий. Эта учетная запись олицетворяется в Visio Services при подключении к источнику данных от имени пользователя, просматривающего веб-документ.

На практике этой учетной записи рекомендуется назначать как можно меньше сетевых разрешений; как правило, достаточно разрешения на доступ к сети и к источнику данных, к которому пользователи должны подключаться. Для максимальной безопасности в автоматической учетной записи службы следует запретить доступ к базам данных конфигурации и контента SharePoint.

Автоматическая учетная запись службы используется в Visio Services:

  • когда в ODC-файле задано использование автоматической учетной записи службы для проверки подлинности Windows или SQL Server;

  • когда ODC-файл не используется и проверка подлинности Kerberos завершается неудачно.

Примечание

Автоматическая учетная запись может быть учетной записью локального компьютера типа Windows. Если автоматическая учетная запись службы настроена как учетная запись локального компьютера, убедитесь, что на всех серверах приложений, где запущены службы Visio Services, используются одинаковые конфигурации. Для удобства управления рекомендуется использовать учетную запись домена.

Выбирайте автоматическую учетную запись службы при подключении к небольшим, специализированным средам, в которых менее существенны аспекты безопасности или важное значение имеет скорость развертывания.

Сведения об использования автоматической учетной записи службы в Visio Services см. в статье Служба безопасного хранения для приложений-служб бизнес-аналитики.

Видеодемонстрация

Снимок экрана видеоролика

В этой демонстрации показана последовательность шагов настройки Visio Services для использования автоматической учетной записи службы.

Посмотрите видео (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=196865&clcid=0x419) (Возможно, на английском языке). Чтобы загрузить файл видеоролика, щелкните ссылку правой кнопкой мыши и выберите Сохранить объект как.

Проверка подлинности SQL Server

Для проверки подлинности SQL Server требуется, чтобы в источник данных SQL Server были представлены из Visio Services на проверку имя пользователя SQL Server и его пароль. Имя пользователя и пароль извлекаются в Visio Services из строки подключения к источнику данных и передаются в источник данных.

Для снижения риска безопасности при подключении к такому источнику данных в Visio Services олицетворяется автоматическая учетная запись службы.

Проверка подлинности при доступе к источникам данных OLE DB/ODBC

Для проверки подлинности при доступе к сторонним источникам данных обычно требуется представить в источник имя пользователя и пароль из Visio Services. Как и в случае проверки подлинности SQL Server, это имя пользователя и пароль извлекаются в Visio Services из строки подключения к источнику данных и передаются в источник данных.

Для снижения риска безопасности при подключении к такому источнику данных в Visio Services олицетворяется автоматическая учетная запись службы.

Обновление данных

В Visio Services поддерживается обновление документов, подключенных к одному или нескольким источникам данных следующих типов:

  • SQL Server

  • Списки SharePoint

  • Книги Excel, размещенные в SharePoint Server

  • Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 и DB2 9.2

Примечание

Если планируется подключение к источнику данных, которого нет в этом списке, его поддержку можно добавить путем создания настраиваемого поставщика данных Visio. Такая технология позволяет снабдить существующие источники данных оболочкой, совместимой с Visio Services. Дополнительные сведения см. в статье о создании настраиваемого поставщика данных в Visio Services (https://go.microsoft.com/fwlink/?linkid=191029&clcid=0x419) в интернет-библиотеке MSDN.

Обновление внешних данных производится в результате выполнения в Visio Services следующей последовательности шагов.

Обновление внешних данных

  1. Создание документа.   Автор документа отправляет веб-документ, подключенный к данным, на сервер SharePoint Server 2010.

  2. Запуск обновления.   Пользователь, просматривающий веб-документ, инициирует в нем обновление.

  3. Подключения к данным.   Для каждого внешнего источника данных документа в Visio Services извлекаются сведения о подключении к данным.

  4. Надежные поставщики данных.   В Visio Services проверяется наличие надежного поставщика данных, который мог бы использоваться для извлечения данных.

  5. Проверка подлинности.   В Visio Services выполняется проверка подлинности для доступа к источнику данных и от имени пользователя, просматривающего документ, извлекаются запрошенные данные.

  6. Обновление документа.   Веб-документ обновляется в Visio Services согласно данным, полученным из источника, и возвращается пользователю для просмотра.

Обновление может быть запущено из браузера следующими способами:

  • Конечный пользователь открывает веб-документ.

  • Конечный пользователь нажимает кнопку обновления в уже открытом веб-документе.

  • Конечный пользователь загружает страницу, содержащую веб-часть Visio Web Access, настроенную конструктором сайта для автоматического обновления.

    Примечание

    Конструктор сайта SharePoint должен разместить веб-часть Visio Web Access на странице и настроить ее периодическое обновление.

Обновление можно также инициировать в сторонних решениях путем вызова через JavaScript метода vwaControl.Refresh() API-интерфейса гибридного веб-приложения веб-части Visio Web Access. Дополнительные сведения см. в статье о настройке веб-документов Visio в веб-части Visio Web Access (https://go.microsoft.com/fwlink/?linkid=196503&clcid=0x419) в интернет-библиотеке MSDN.

Если в кэше нет ранее записанных версий этого веб-документа, любое из указанных действий может инициировать обновление данных и веб-документа. Сведения о настройке параметров кэша для Visio Services см. в статье Configure Visio Graphics Service global settings (SharePoint Server 2010).