本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

在 SharePoint Server 2013 中規劃 Visio Services 安全性

 

適用版本:SharePoint Server 2013

上次修改主題的時間:2013-12-18

摘要:在判定誰能夠存取 Visio Services 中呈現之資料連線圖表時的一項重要考量就是安全性。

除了部署 SharePoint Server 2013 的安全性需求之外,您還應檢閱內含 SharePoint Server 2013 的 Visio Services 之部署的安全性考量。Visio Services 可讓您轉譯 Visio 圖表。這些圖表可連線至外部資料,並根據該資料更新圖表元素。安全性是啟用這些資料轉譯案例的重要元件。Visio Services 提供處理及顯示 Visio 圖表,以及其可連線之資料來源的重要細微程度控制。

Visio 圖表必須儲存在 Visio Services 會開啟的 SharePoint 文件庫中。SharePoint Server 2013 維護包含在文件庫中之檔案的存取控制清單 (ACL)。正確設定文件庫規則,即可限制存取特定圖表。如需如何使用文件庫權限的資訊,請參閱<在 SharePoint 2013 中規劃網站權限>。

Visio Graphics Service 可連線至資料來源,包括 SharePoint 清單 (包括外部清單)、伺服器陣列上主控的 Excel 活頁簿、SQL Server 等資料庫,以及自訂資料來源。您可以明確定義信任的資料提供者,並在信任的資料提供者清單中予以設定,藉此控制特定資料來源的存取權。

注意事項 附註:
Visio Services 使用委派的 Windows 身分識別存取外部資料來源。因此,外部資料來源必須和 SharePoint Server 2013 伺服器陣列位於相同網域,或是 Visio Services 必須設為使用 Secure Store Service。若未使用 Secure Store,且外部資料來源不在相同的網域,則驗證外部資料來源將會失敗。如需詳細資訊,請參閱<服務架構規劃>中的<存取外部資料來源之服務的規劃考量>。

當 Visio Services 載入連線至資料的圖表時,該服務會檢查儲存在圖表中的連線資訊,以判斷指定的資料提供者是否為信任的資料提供者。若已在 Visio Services 信任的資料提供者清單上指定提供者,則會嘗試連線;否則,會略過連線要求。

Visio Services 有大量預先設定的信任資料提供者清單。如需詳細資訊,請參閱<在 SharePoint Server 2013 中設定 Visio Graphics Service 的受信任資料提供者>。

管理員設定 Visio Services 以啟用特定資料來源的連線之後,根據資料來源類型,可能還有其他必須進行的安全性設定。Visio Services 支援下列資料來源:

  • 儲存在已啟用 Excel Services 之 SharePoint Server 上的 Excel 活頁簿

  • SharePoint 清單,包括透過 Microsoft Business Connectivity Services 啟用的外部清單

  • SQL Server 資料庫等資料庫

  • 自訂資料提供者

Visio 圖表可連線至圖表所在之相同伺服器陣列上的 SharePoint 清單。檢視圖表的使用者,必須同時具有圖表及該圖表所連線之 SharePoint 清單的存取權。SharePoint Server 2013 負責管理這些權限與認證。

Visio 圖表也可以使用 Microsoft Business Connectivity Services 連線到外部清單。透過 Microsoft Business Connectivity Services 外部內容類型公開的外部清單可連線到 Visio 中的 Visio 圖表,而資料可透過 Visio Services 重新整理。為了讓使用者存取外部清單中的資料,使用者必須擁有外部內容類型的存取權以及外部資料來源的存取權。

Visio 圖表可透過正確執行與設定的 Excel Services,連線至與圖表所在相同之伺服器陣列上的 Excel 活頁簿。若要檢視圖表,使用者必須同時具有圖表及該圖表連線之 Excel 活頁簿的存取權。SharePoint Server 2013 負責管理這些權限與認證。

注意事項 附註:
Excel 活頁簿可連線到外部資料來源。如需詳細資訊,請參閱<SharePoint Server 2013 的 Excel Services 資料驗證>。

將 Visio 圖表連線至 SQL Server 資料庫時,Visio Services 會使用其他安全性設定選項,建立 Visio Graphics Service 與資料庫之間的連線。

Visio Services 支援的驗證方法如下:

  • 整合式 Windows 驗證   在此安全性模型中,Visio Graphics Service 使用圖表檢視者的身分識別對資料庫進行驗證。使用 Kerberos 限制委派的整合式 Windows 驗證,比清單中所示的其他驗證方法,更有助於增加安全性。此設定需要在執行 Visio Graphics Service 的應用程式伺服器與資料庫伺服器之間,啟用 Kerberos 限制委派。資料庫本身可能還需要其他設定才可啟用 Kerberos 驗證。

  • Secure Store Service   在此安全性模型中, Visio Graphics Service 使用 Secure Store Service 將使用者的認證對應至具有資料庫存取權的其他認證。Secure Store 支援整合式 Windows 驗證及其他驗證形式 (例如 SQL Server 驗證) 的個別及群組對應。這方便管理員更靈活地定義一對一、多對一或多對多的關聯性。如需詳細資訊,請參閱<在 SharePoint 2013 中使用 Visio Services 搭配 Secure Store Service>。

  • 自動服務帳戶   為方便設定,Visio Graphics Service 提供特殊設定,管理員可透過該設定建立唯一的對應,將所有使用者與使用 Secure Store 目標應用程式的單一帳戶建立關聯。此對應的帳戶又稱為自動服務帳戶,必須是授與資料庫存取權的低權限 Windows 網域帳戶。若未指定其他驗證方法,Visio Graphics Service 連線至資料庫時,會模擬此帳戶。請注意,此方法不會啟用對資料庫進行個人化查詢的功能,也不會提供資料庫呼叫的稽核功能。此驗證方法是您連線至 SQL Server 資料庫時所使用的預設驗證方法;若 Visio 圖表中沒有使用指定其他驗證方法的 ODC 檔案,則 Visio Services 會使用自動帳戶所指定的認證,連線至 SQL Server 資料庫。如需如何使用 Visio Services 搭配自動服務帳戶的資訊,請參閱<在 SharePoint 2013 中使用 Visio Services 搭配 Secure Store Service>。

在較大型的伺服器陣列中,Visio 圖表很有可能會混合使用此處所描述的驗證方法。請務必注意以下幾點:

  • Visio Services 支援在相同的伺服器陣列中同時使用 Secure Store 與自動服務帳戶。在連線至 SQL Server 資料但不使用 ODC 檔案的圖表中,需要自動帳戶且一律會使用該帳戶。

  • 如果選取整合式 Windows 驗證,但資料來源驗證失敗,Visio Services 就不會嘗試使用自動服務帳戶呈現圖表。

  • 將需要特定認證的圖表設為使用 Secure Store 目標應用程式,整合式 Windows 驗證便可與 Secure Store 一起使用。

https://technet.microsoft.com/zh-tw/library/ff829835.aspx
顯示: