本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

SharePoint Server 2013 的 Visio Services 資料驗證

 

適用版本:SharePoint Server 2013

上次修改主題的時間:2016-12-16

摘要:Visio Services 支援與 Excel 活頁簿、SharePoint 清單、SQL Server 資料庫以及 OLE DB 和 ODBC 資料來源的連線。

如下所示,資料來源可分類為「內部」或「外部」:

  • 內部:在 SharePoint 伺服器陣列中裝載的資料,例如 Excel 活頁簿或 SharePoint 清單。

  • 外部:SQL Server 資料,或者 OLE DB 或 ODBC 資料來源。

從資料來源擷取資料需要使用者經過資料來源的驗證,然後授權該使用者存取它包含的資料。在圖表的例子中,Visio Services 將會代表正在檢視的使用者向資料來源進行驗證,以便重新整理圖表連線的資料。

圖:Visio Services 從資料來源中擷取資料的過程

從資料來源擷取資料

Visio Services 可以使用哪些驗證方法來擷取資料,須視基礎資料來源的類型而定,如下表所述。如需支援多個驗證方法的資料來源,資料連線必須指定要使用哪一種。

 

資料來源 驗證方法

SharePoint 清單

SharePoint 使用者權限

Excel 活頁簿

SharePoint 使用者權限

SQL Server

其中一個:

  • Windows 驗證 (整合安全性)

    • 使用 Kerberos 限制委派

    • 使用 Secure Store。

    • 使用自動服務帳戶

  • SQL Server 驗證

OLE DB/ODBC

每個資料來源會不同,一般而言,使用者名稱與密碼組會儲存在連線字串中。

也可以使用自訂資料提供者。

在 Visio 中支援下列資料來源,但是在 Visio Services 中則不支援:

  • Access 資料庫

  • 非 SharePoint Server 主控的 Excel 活頁簿

  • OLAP

Visio Services 支援的資料連線圖表,是連線至 SharePoint 伺服器陣列主控資料的圖表,包括下列項目:

  • 文件庫中的 Excel 活頁簿

  • SharePoint 清單中的資料

Visio Services 使用圖表檢視者的 SharePoint Server 認證連線至 .xlsx Excel 活頁簿。為了讓驗證作業成功,必須符合下列條件:

  • SharePoint 伺服器陣列必須正確提供和設定 Excel Services。

  • 活頁簿與圖表必須主控於相同的伺服器陣列。

  • 圖表檢視者必須至少擁有 Excel 活頁簿的「讀取」權限。

不需要任何其他設定步驟,即可允許這種資料連線。

注意事項 附註:
連線至 Excel 活頁簿的過程中,如果 Excel Services 包含連至外部資料的連線,Visio Services 會要求它重新整理活頁簿。在此例中,會將圖表檢視者的身分識別傳遞給 Excel Services,因此 Excel Services 即可向基礎資料來源進行驗證,以重新整理活頁簿。

Visio Services 使用圖表檢視者的 SharePoint Server 認證連線至 SharePoint 清單。為了讓驗證作業成功,必須符合下列條件:

  • 為了讓使用者能夠存取外部清單中的資料,使用者必須擁有存取外部內容類型的權限以及存取外部資料來源的權限。

  • 圖表檢視者必須至少擁有 SharePoint 清單活頁簿的「讀取」權限。

不需要任何其他設定步驟,即可允許這種資料連線。

Visio Services 可以連線至各種外部資料來源,包括 SQL Server、OLE DB/ODBC 及自訂資料提供者。為了連線至資料來源,Visio Services 為每種資料來源使用特定的資料提供者。

基於安全措施的考量,Visio Services 必須明確地信任資料提供者,才能使用它們。如需信任的資料提供者之詳細資訊,請參閱<在 SharePoint Server 2013 中設定 Visio Graphics Service 的受信任資料提供者>。

連線至 SQL Server 資料來源可以使用下列其中一項來完成:

  • Windows 驗證

  • SQL Server 驗證

其他資料來源使用的連線字串通常是由使用者名稱與密碼組成。

Visio 圖表使用兩種連線之一:

  • 內嵌連線

  • 連結連線

內嵌連線儲存在 Visio 圖表中。連結連線儲存在圖表外部的 Office 資料連線 (ODC) 檔案。為了使用連結連線,圖表必須參照.odc 檔案,此檔案與圖表也儲存在相同伺服器陣列。每個資料連線是由以下所組成:

  • 連線字串

  • 查詢字串

  • 驗證方法

  • (選用) 有些中繼資料需要擷取外部資料

在此所討論的每種連線各有其優缺點,請選擇最符合您案例的連線。

 

連線類型 內嵌連線 ODC 檔案

支援的資料來源

  • SQL Server

  • OLE DB/ODBC

  • Excel 活頁簿

  • SharePoint 清單

  • 自訂資料提供者

  • SQL Server (支援所有驗證方法)

  • OLE DB/ODBC

優點

  • 所有連線資訊都會儲存在圖表中。

  • 內嵌連線只需少量的管理工作即可支援。

  • 內嵌連線很容易建立。

  • 連結連線可透過使用資料連線文件庫來集中儲存、管理、稽核、共用和存取它們。

  • 圖表作者可以使用現有的連線,而不必建立查詢和連線字串。

  • 如果資料來源的資料連線詳細資料變更,管理員只需要更新一個 ODC 檔案。多虧此變更,所有參照 ODC 檔案的圖表,將會在下次重新整理時使用更新的連線資訊。(移動資料庫伺服器或變更資料庫名稱時,就是此案例的範例)。

缺點

  • 如果資料來源的資料連線詳細資料變更,具有連至該資料來源之內嵌連線的所有圖表,必須以更新的連線資訊重新發佈。

  • 內嵌資料連線較不易讓 SharePoint 管理員進行稽核。

  • 連結連線可能需要 SharePoint 管理員的協助,以共用、管理和保護其安全。

  • 連結連線是以純文字儲存,而且可能包含資料庫密碼。請務必特別小心,才能協助保護這些檔案的安全。

對於您必須具有連至企業規模相關的資料來源 (例如,SQL Server) 的資料連線之案例,請選擇使用 ODC 檔案連線的資料連線。連結資料連線對於必須將連線在許多使用者之間共用,以及連線必須透過管理員控制的案例特別有用。

注意事項 附註:
如果您使用 Visio 2010,ODC 檔案必須先在Excel 中建立,並匯出至 SharePoint Server ,才能與 Visio Services 搭配使用。

對於您必須具有的快速資料連線,是連至僅供某些使用者使用的小型或檔案式的資料來源,請選擇內嵌連線。

ODC 檔案可以儲存在資料連線庫中,這是一種特殊的 SharePoint 文件庫。將資料連線集中在這樣的文件庫有多項優點:

  • 管理員可以將資料連線庫的寫入權限限制為信任的資料連線作者,以確保圖表作者僅使用經過嚴謹測試及安全的資料連線。

  • 管理員可在單一地點管理大量使用者的資料連線。

  • 管理員可以使用文件庫版本設定與工作流程功能,輕鬆地核准、稽核、回復和管理資料連線檔案。

  • 資料連線庫可在其他 Office 應用程式之間重複使用 (例如,Excel、Excel Services、InfoPath 2013、InfoPath Forms Services 及 Word)。

  • 使用者只有單一位置可尋找圖表資料,以減少混淆和使用者訓練。

Windows 驗證需要 Visio Services 向 SQL Server 提供一組 Windows 認證。這種認證常用於 Windows 網路,而且與登入 Windows 網域電腦或連線至執行 Exchange Server 的電腦所使用的認證相同。Windows 認證被視為控制 SQL Server 資料庫存取權更加安全且最容易管理的方式。不過,Windows 認證與 Visio Services 搭配使用的一個障礙,是 Windows 雙躍點安全性措施。在這個措施中,使用者認證無法在 Windows 網路中跨越通過一台以上的電腦。假設 Visio Services 是多層系統,Visio Services 將需要特殊的驗證方法,以代表使用者擷取資料。

圖:雙躍點安全性措施阻止認證在 Windows 網路中跨越通過一台以上的電腦

Windows 驗證

選擇哪一種驗證方法,需視下表中所述的各項因素而定。請選擇最符合您案例的一種方法。

 

驗證方法 Kerberos 限制的委派 Secure Store 自動服務帳戶

說明

使用 Kerberos 限制委派、 圖表檢視者的 Windows 認證直接傳送到資料來源。

使用 Secure Store 時,檢視者的 Windows 認證會對應至 Secure Store 目標應用程式中所指定的另一組認證。

使用 Secure Store 時,會將所有檢視者對應至一組稱為「自動服務帳戶」 的唯一認證,「自動服務帳戶」儲存於特定 Secure Store 目標應用程式。此應用程式會在 Visio Services 通用設定中指定。

資料連線認證

圖表檢視者的 Windows 認證。

在 Secure Store 目標應用程式中指定的認證。

「自動服務帳戶」的認證。

優點

  • Kerberos 通訊協定是認證管理方面的業界標準。

  • Kerberos 會繫結至現有的 Active Directory 基礎結構。

  • Kerberos 委派啟用個別存取資料來源的稽核。

  • 假設已知圖表檢視者的身分識別,圖表建立者可以將個人化的資料庫查詢內嵌至圖表。

  • Secure Store 是 SharePoint Server 的一部分且與 Kerberos 驗證相比更加容易設定。

  • 對應具有彈性:使用者可以是 1 對 1 或多對 1 對應。

  • 非 Windows 認證可用以連線至不接受 Windows 認證的資料來源。

  • 為 Visio建立的對應可供 Excel Services之類的其他商務智慧應用程式重複使用。

  • 「自動服務帳戶」是部署和安裝時最簡單的驗證方法。

  • 「自動服務帳戶」不需要太多管理工作。

缺點

  • SharePoint Server 與 Visio Services 需要設定其他管理工作。

  • 建立和管理對應表格需要執行一些管理工作。

  • Secure Store 允許有限的稽核。在多對 1 的案例中,會將個別的連入使用者透過目標應用程式對應至相同的認證,這樣可有效地將它們併入一個使用者。

  • 假設每個人都對應至相同的認證,管理員將無法分辨誰存取過資料來源。

為了讓驗證作業成功…

  • Kerberos 限制委派必須是 SharePoint 伺服器陣列的設定。

  • Secure Store必須佈建和設定伺服器陣列上。它也必須包含特定連入使用者的適當對應資訊。此外的對應資訊可能需要定期更新以反映在對應的帳戶的密碼變更。

  • Secure Store必須佈建和設定伺服器陣列上。它也必須包含 「 自動服務帳戶認證。此外對應資訊可能需要定期更新以反映在對應的帳戶的密碼變更。

  • 必須將 Visio Services 通用設定設定成使用「自動服務帳戶」。

選擇 [更多安全且愈快速企業級驗證的 Kerberos 限制委派支援 Windows 驗證的關聯式資料來源。

若要向支援 Windows 驗證的企業規模相關資料來源進行驗證,請選擇 Secure Store。Secure Store 對於您要控制使用者認證對應的案例也非常有用。

如需如何搭配使用 Secure Store 與 Visio Services的詳細資訊,請參閱<在 SharePoint 2013 中使用 Visio Services 搭配 Secure Store Service>。

為了簡化設定, Visio Graphics Service 提供一種特殊設定,讓管理員可以建立唯一的對應,以便將所有的使用者都對應到單一組認證。

這個帳戶 (又稱為自動服務帳戶) 必須是低權限的 Windows 網域帳戶。Visio Services 代表圖表檢視者連線至資料來源時,會模擬此帳戶。

最佳作法是儘可能提供此帳戶愈少的網路權限愈好,通常只提供登入網路的存取權以及您要使用者連線資料來源的存取權。基於更好的安全性的考量,請務必確定「自動服務帳戶」沒有 SharePoint 設定與內容資料庫的存取權。

Visio Services 使用「自動服務帳戶」的時機:

  • 當 ODC 檔案指定 Windows 或 SQL Server 驗證使用自動服務帳戶時

  • 若未使用 ODC,Kerberos 驗證會失敗

注意事項 附註:
自動服務帳戶可以是 Windows 類型的本機電腦帳戶。如果將自動服務帳戶設定為本機電腦帳戶,請確定每部執行 Visio Services之應用程式伺服器的設定都相同。基於便於管理的考量,最佳作法是使用網域帳戶。

當連線至小型臨機操作部署 (較不重視安全性且部署的速度非常重要) 時,請選擇「自動服務帳戶」。

如需如何使用 Visio Services 自動服務帳戶的詳細資訊,請參閱 商務智慧服務應用程式的 Secure Store (SharePoint Server 2013)

SQL Server 驗證需要 Visio Services 將 SQL Server 使用者名稱與密碼提供給 SQL Server 資料來源以進行驗證。Visio Services 會從資料連線的連線字串擷取此使用者名稱與密碼,並將它們傳遞給資料來源。

為了降低安全性風險,Visio Services 會在連線至這類資料來源時模擬「自動服務帳戶」。

向協力廠商資料來源進行驗證時,通常需要 Visio Services 將使用者名稱與密碼提供給資料來源。與 SQL Server 驗證一樣,Visio Services 會從資料連線的連線字串擷取此使用者名稱與密碼,並將它們傳遞給資料來源。

為了降低安全性風險,Visio Services 會在連線至這類資料來源時模擬「自動服務帳戶」。

Visio Services 支援重新整理連線至下列一或多個資料來源的圖表:

  • SQL Server

  • SharePoint 清單

  • Excel SharePoint Server 主控的活頁簿

  • Oracle 9i、9iR2、10g、10gR2、11g、11gR2 及 DB2 9.2

注意事項 附註:
如果您計畫要連線的資料來源不在上述清單中,則可以建立 Visio 自訂資料提供者,為其新增支援。這項技術可讓您將現有的資料來源包裝為 Visio Services 可以使用的資料來源。

外部資料重新整理是下列一組透過 Visio Services 步驟的結果。

圖:外部資料重新整理的過程

外部資料重新整理
  1. 建立圖表:圖表作者更新與資料連線的圖表至 SharePoint Server 2013。

  2. 觸發重新整理:圖表檢視者會觸發資料連線圖表的重新整理。

  3. 資料連線: Visio Services 會為圖表中的每個外部資料來源擷取資料連線資訊。

  4. 信任的資料提供者: Visio Services 會檢查是否有信任的資料提供者可用以擷取資料。

  5. 驗證: Visio Services 會代表圖表檢視者向資料來源進行驗證,並擷取要求的資料。

  6. 圖表重新整理: Visio Services 會根據資料來源資料更新圖表,並將它傳回該檢視者。

重新整理可以透過下列其中一種方式從瀏覽器中觸發:

  • 使用者開啟圖表。

  • 使用者在已經開啟的圖表上按一下重新整理按鈕。

  • 使用者會載入頁面,其中包含網站設計者設定成自動重新整理的 Visio Web Access 網頁組件。

    注意事項 附註:
    SharePoint 網站設計者必須將 Visio Web Access 網頁組件放在頁面上,並將它設定成定期重新整理。

也可以透過 JavaScript 來呼叫 Visio Web Access 網頁組件的 API 的Vwa.VwaControl.refreshDiagram 方法協力廠商解決方案中觸發重新整理。

如果沒有之前快取的圖表版本,這些動作的任何一項將會觸發重新整理並更新圖表。如需為 Visio Services 設定快取設定的詳細資訊,請參閱<在 SharePoint Server 2013 中設定 Visio Graphics Service 全域設定>。

https://technet.microsoft.com/zh-tw/library/ee524061.aspx
顯示: