SharePoint Server 的 Visio Services 資料驗證

發行項
10/17/2017

**適用版本：**SharePoint Server 2013, SharePoint Server 2016

**上次修改主題的時間：**2017-07-06

**摘要：**Visio Services 支援與 Excel 活頁簿、SharePoint 清單、SQL Server 資料庫以及 OLE DB 和 ODBC 資料來源的連線。

如下所示，資料來源可分類為「內部」或「外部」：

內部：在 SharePoint 伺服器陣列中裝載的資料，例如 Excel 活頁簿或 SharePoint 清單。
外部：SQL Server 資料，或者 OLE DB 或 ODBC 資料來源。

從資料來源擷取資料需要使用者經過資料來源的驗證，然後授權該使用者存取它包含的資料。在圖表的例子中，Visio Services 將會代表正在檢視的使用者向資料來源進行驗證，以便重新整理圖表連線的資料。

Visio Services 可以使用哪些驗證方法來擷取資料，須視基礎資料來源的類型而定，如下表所述。如需支援多個驗證方法的資料來源，資料連線必須指定要使用哪一種。

資料來源	驗證方法
SharePoint 清單	SharePoint 使用者權限
Excel 活頁簿	SharePoint 使用者權限
SQL Server	其中一個： Windows 驗證 (整合安全性) 使用 Kerberos 限制委派使用 Secure Store。使用自動服務帳戶 SQL Server 驗證
OLE DB/ODBC	每個資料來源會不同，一般而言，使用者名稱與密碼組會儲存在連線字串中。

也可以使用自訂資料提供者。

在 Visio 中支援下列資料來源，但是在 Visio Services 中則不支援：

Access 資料庫
非 SharePoint Server 主控的 Excel 活頁簿
OLAP

將 Visio Service 連線至 SharePoint Server 上所裝載的資料

Visio Services 支援的資料連線圖表，是連線至 SharePoint 伺服器陣列主控資料的圖表，包括下列項目：

文件庫中的 Excel 活頁簿
SharePoint 清單中的資料

連線至 Excel 活頁簿

Visio Services 使用圖表檢視者的 SharePoint Server 認證連線至 .xlsx Excel 活頁簿。為了讓驗證作業成功，必須符合下列條件：

SharePoint 伺服器陣列必須正確佈建和設定 Office Online Server 預覽
活頁簿與圖表必須主控於相同的伺服器陣列。
圖表檢視者必須至少擁有 Excel 活頁簿的「讀取」權限。

不需要任何其他設定步驟，即可允許這種資料連線。

注意

連線至 Excel 活頁簿的過程中，如果 Excel Online 包含連至外部資料的連線，Visio Services 會要求它重新整理活頁簿。在此例中，會將圖表檢視者的身分識別傳遞給 Excel Online，因此 Excel Online 即可向基礎資料來源進行驗證，以重新整理活頁簿。

將 Visio Service 連線至 SharePoint 清單

Visio Services 使用圖表檢視者的 SharePoint Server 認證連線至 SharePoint 清單。為了讓驗證作業成功，必須符合下列條件：

為了讓使用者能夠存取外部清單中的資料，使用者必須擁有存取外部內容類型的權限以及存取外部資料來源的權限。
圖表檢視者必須至少擁有 SharePoint 清單活頁簿的「讀取」權限。

不需要任何其他設定步驟，即可允許這種資料連線。

將 Visio Service 連線至外部資料

Visio Services 可以連線至各種外部資料來源，包括 SQL Server、OLE DB/ODBC 及自訂資料提供者。為了連線至資料來源，Visio Services 為每種資料來源使用特定的資料提供者。

基於安全措施的考量，Visio Services 必須明確地信任資料提供者，才能使用它們。

連線至 SQL Server 資料來源可以使用下列其中一項來完成：

Windows 驗證
SQL Server 驗證

其他資料來源使用的連線字串通常是由使用者名稱與密碼組成。

資料連線

Visio 圖表使用兩種連線之一：

內嵌連線
連結連線

內嵌連線儲存在 Visio 圖表中。連結連線儲存在圖表外部的 Office 資料連線 (ODC) 檔案。為了使用連結連線，圖表必須參照.odc 檔案，此檔案與圖表也儲存在相同伺服器陣列。每個資料連線是由以下所組成：

連線字串
查詢字串
驗證方法
(選用) 有些中繼資料需要擷取外部資料

在此所討論的每種連線各有其優缺點，請選擇最符合您案例的連線。

連線類型	內嵌連線	ODC 檔案
支援的資料來源	SQL Server OLE DB/ODBC Excel 活頁簿 SharePoint 清單自訂資料提供者	SQL Server (支援所有驗證方法) OLE DB/ODBC
優點	所有連線資訊都會儲存在圖表中。內嵌連線只需少量的管理工作即可支援。內嵌連線很容易建立。	連結連線可透過使用資料連線文件庫來集中儲存、管理、稽核、共用和存取它們。圖表作者可以使用現有的連線，而不必建立查詢和連線字串。如果資料來源的資料連線詳細資料變更，管理員只需要更新一個 ODC 檔案。多虧此變更，所有參照 ODC 檔案的圖表，將會在下次重新整理時使用更新的連線資訊。(移動資料庫伺服器或變更資料庫名稱時，就是此案例的範例)。
缺點	如果資料來源的資料連線詳細資料變更，具有連至該資料來源之內嵌連線的所有圖表，必須以更新的連線資訊重新發佈。內嵌資料連線較不易讓 SharePoint 管理員進行稽核。	連結連線可能需要 SharePoint 管理員的協助，以共用、管理和保護其安全。連結連線是以純文字儲存，而且可能包含資料庫密碼。請務必特別小心，才能協助保護這些檔案的安全。

對於您必須具有連至企業規模相關的資料來源 (例如，SQL Server) 的資料連線之案例，請選擇使用 ODC 檔案連線的資料連線。連結資料連線對於必須將連線在許多使用者之間共用，以及連線必須透過管理員控制的案例特別有用。

注意

如果您使用 Visio 2010，ODC 檔案必須先在Excel 中建立，並匯出至 SharePoint Server ，才能與 Visio Services 搭配使用。

對於您必須具有的快速資料連線，是連至僅供某些使用者使用的小型或檔案式的資料來源，請選擇內嵌連線。

ODC 檔案可以儲存在資料連線庫中，這是一種特殊的 SharePoint 文件庫。將資料連線集中在這樣的文件庫有多項優點：

管理員可以將資料連線庫的寫入權限限制為信任的資料連線作者，以確保圖表作者僅使用經過嚴謹測試及安全的資料連線。
管理員可在單一地點管理大量使用者的資料連線。
管理員可以使用文件庫版本設定與工作流程功能，輕鬆地核准、稽核、回復和管理資料連線檔案。
使用者只有單一位置可尋找圖表資料，以減少混淆和使用者訓練。

Windows 驗證

這種認證常用於 Windows 網路，而且與登入 Windows 網域電腦所使用的認證相同。Windows 認證被視為控制 SQL Server 資料庫存取權更加安全且最容易管理的方式。不過，Windows 認證與 Visio Services 搭配使用的一個障礙，是 Windows 雙躍點安全性措施。在這個措施中，使用者認證無法在 Windows 網路中跨越通過一台以上的電腦。假設 Visio Services 是多層系統，Visio Services 將需要特殊的驗證方法，以代表使用者擷取資料。

Windows 驗證需要 Visio Services 向 SQL Server 呈現一組 Windows 認證。有數個選項可以執行這項作業。選擇哪一種驗證方法，需視下表中所述的各項因素而定。請選擇最符合您案例的一種方法。

驗證方法	Kerberos 限制的委派	Secure Store	自動服務帳戶
描述	使用 Kerberos 限制委派，會將圖表檢視者的 Windows 認證直接傳送到資料來源。	使用 Secure Store 時，檢視者的 Windows 認證會對應至 Secure Store 目標應用程式中所指定的另一組認證。	使用 Secure Store 時，會將所有檢視者對應至一組稱為「自動服務帳戶」的特定認證，「自動服務帳戶」儲存於特定 Secure Store 目標應用程式。此應用程式會在 Visio Services 通用設定中指定。
資料連線認證	圖表檢視者的 Windows 認證。	在 Secure Store 目標應用程式中指定的認證。	「自動服務帳戶」的認證。
優點	Kerberos 通訊協定是認證管理方面的業界標準。 Kerberos 會繫結至現有的 Active Directory 基礎結構。 Kerberos 委派啟用個別存取資料來源的稽核。假設已知圖表檢視者的身分識別，圖表建立者可以將個人化的資料庫查詢內嵌至圖表。	Secure Store 是 SharePoint Server 的一部分且與 Kerberos 驗證相比更加容易設定。對應具有彈性：使用者可以是 1 對 1 或多對 1 對應。非 Windows 認證可用以連線至不接受 Windows 認證的資料來源。為 Visio 建立的對應可供 Excel Online 之類的其他商業智慧應用程式重複使用。	「自動服務帳戶」是部署和安裝時最簡單的驗證方法。「自動服務帳戶」不需要太多管理工作。
缺點	SharePoint Server 與 Visio Services 需要設定其他管理工作。	建立和管理對應表格需要執行一些管理工作。 Secure Store 允許有限的稽核。在多對 1 的案例中，會將個別的連入使用者透過目標應用程式對應至相同的認證，這樣可有效地將它們併入一個使用者。	假設每個人都對應至相同的認證，管理員將無法分辨誰存取過資料來源。
為了讓驗證作業成功…	必須在 SharePoint 伺服器陣列上設定 Kerberos 限制委派。	伺服器陣列必須佈建和設定 Secure Store。也必須包含特定連入使用者的適當對應資訊。此外，可能需要定期更新對應資訊，以反映對應帳戶的密碼變更。	伺服器陣列必須佈建和設定 Secure Store。也必須包含自動服務帳戶的認證。此外，可能需要定期更新對應資訊，以反映對應帳戶的密碼變更。自動服務帳戶必須設定於 [Visio Service 全域設定] 中。

Kerberos 限制的委派

若要在支援 Windows 驗證的企業規模相關資料來源中獲得更安全且更快速的驗證，請選擇 Kerberos 限制委派。

Secure Store

若要向支援 Windows 驗證的企業規模相關資料來源進行驗證，請選擇 Secure Store。Secure Store 對於您要控制使用者認證對應的案例也非常有用。

自動服務帳戶

為了簡化設定， Visio Graphics Service 提供一種特殊設定，讓管理員可以建立唯一的對應，以便將所有的使用者都對應到單一組認證。

這個帳戶 (又稱為自動服務帳戶) 必須是低權限的 Windows 網域帳戶。Visio Services 代表圖表檢視者連線至資料來源時，會模擬此帳戶。

最佳作法是儘可能提供此帳戶愈少的網路權限愈好，通常只提供登入網路的存取權以及您要使用者連線資料來源的存取權。基於更好的安全性的考量，請務必確定「自動服務帳戶」沒有 SharePoint 設定與內容資料庫的存取權。

Visio Services 使用「自動服務帳戶」的時機：

當 ODC 檔案指定 Windows 或 SQL Server 驗證使用自動服務帳戶時
若未使用 ODC，Kerberos 驗證會失敗

注意

自動服務帳戶可以是 Windows 類型的本機電腦帳戶。如果將自動服務帳戶設定為本機電腦帳戶，請確定每部執行 Visio Services之應用程式伺服器的設定都相同。基於便於管理的考量，最佳作法是使用網域帳戶。

當連線至小型臨機操作部署 (較不重視安全性且部署的速度非常重要) 時，請選擇「自動服務帳戶」。

如需如何使用 Visio Services 自動服務帳戶的詳細資訊，請參閱商務智慧服務應用程式的 secure store Service。

SQL Server 驗證

SQL Server 驗證需要 Visio Services 將 SQL Server 使用者名稱與密碼提供給 SQL Server 資料來源以進行驗證。Visio Services 會從資料連線的連線字串擷取此使用者名稱與密碼，並將它們傳遞給資料來源。

為了降低安全性風險，Visio Services 會在連線至這類資料來源時模擬「自動服務帳戶」。

針對 OLE DB/ODBC 資料來源的驗證

向協力廠商資料來源進行驗證時，通常需要 Visio Services 將使用者名稱與密碼提供給資料來源。與 SQL Server 驗證一樣，Visio Services 會從資料連線的連線字串擷取此使用者名稱與密碼，並將它們傳遞給資料來源。