Planen der Sicherheit von Visio Services in SharePoint Server
GILT FÜR:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
Zusätzlich zu den Sicherheitsanforderungen für das Bereitstellen von SharePoint Server sollten Sie auch die Überlegungen zur Sicherheit einer Bereitstellung einbeziehen, die Visio Services beinhaltet. Mit Visio Services können Sie Visio-Diagramme in einem Browserfenster rendern. Diese Diagramme können Sie mit externen Daten verbinden, und Diagrammelemente können mit diesen externen Daten aktualisiert werden. Sicherheit ist ein wichtiger Aspekt bei der Unterstützung dieser Szenarien für Datenrendering. Visio Services ermöglicht eine äußerst differenzierte Steuerung der Verarbeitung und Anzeige von Visio-Diagrammen und der Datenquellen, mit denen diese verbunden werden können.
Speichern von Visio-Diagrammen in SharePoint-Dokumentbibliotheken
Visio-Diagramme müssen in SharePoint-Dokumentbibliotheken gespeichert werden, um mit Visio Services geöffnet werden zu können. In SharePoint Server wird eine Zugriffssteuerungsliste (Access Control List, ACL) für die Dateien verwaltet, die in der Dokumentbibliothek enthalten sind. Durch entsprechendes Festlegen der Bibliotheksregeln können Sie den Zugriff auf ein bestimmtes Diagramm einschränken.
Mit Daten verbundene Visio-Diagramme
Mit dem Visio-Grafikdienst können Verbindungen zu Datenquellen hergestellt werden. Dazu gehören SharePoint-Listen (einschließlich externer Listen), Datenbanken wie SQL Server und benutzerdefinierte Datenquellen. Sie können den Zugriff auf bestimmte Datenquellen steuern, indem Sie die vertrauenswürdigen Datenanbieter explizit definieren und in der Liste der vertrauenswürdigen Datenanbieter konfigurieren.
Hinweis
[!HINWEIS] Visio Services greift mithilfe einer delegierten Windows-Identität auf externe Datenquellen zu. Folglich müssen sich externe Datenquellen innerhalb der gleichen Domäne befinden wie die SharePoint Server-Farm, oder Visio Services muss für die Verwendung des Secure Store Service konfiguriert werden. Wenn der Secure Store nicht verwendet wird und externe Datenquellen sich nicht in der gleichen Domäne befinden, tritt bei der Authentifizierung bei den externen Datenquellen ein Fehler auf.
Wenn Visio Services ein mit Daten verbundenes Diagramm lädt, überprüft der Dienst die im Diagramm gespeicherten Verbindungsinformationen, um zu ermitteln, ob der angegebene Datenanbieter ein vertrauenswürdiger Datenanbieter ist. Wenn der Anbieter in der Liste der vertrauenswürdigen Visio Services-Datenanbieter angegeben ist, wird eine Verbindung hergestellt. Andernfalls wird die Verbindungsanforderung ignoriert.
Wenn ein Administrator Visio Services so konfiguriert hat, dass Verbindungen mit einem bestimmten Datenspeicher aktiviert sind, müssen abhängig von der Art des Datenspeichers zusätzliche Sicherheitskonfigurationen vorgenommen werden. Die folgenden Datenquellen werden von Visio Services unterstützt:
SharePoint-Listen, einschließlich externer Listen, die über Microsoft Business Connectivity Services aktiviert sind
Datenbanken wie beispielsweise SQL Server-Datenbanken
Benutzerdefinierte Datenanbieter
Mit SharePoint-Listen verbundene Visio-Diagramme
Visio-Diagramme können mit SharePoint-Listen in der gleichen Farm, in der das Diagramm auch gehostet wird, verbunden werden. Der Benutzer, der das Diagramm anzeigt, benötigt Zugriff sowohl auf das Diagramm als auch auf die SharePoint-Liste, mit der das Diagramm verbunden ist. Diese Berechtigungen und die zugehörigen Anmeldeinformationen werden von SharePoint Server verwaltet.
Visio-Diagramme können außerdem mithilfe von Microsoft Business Connectivity Services mit externen Listen verbunden werden. Externe Listen, die über einen externen Inhaltstyp von Microsoft Business Connectivity Services verfügbar gemacht werden, können mit einem Visio-Diagramm in Visio verbunden werden, und die Daten können über Visio Services aktualisiert werden. Damit ein Benutzer auf Daten in einer externen Liste zugreifen kann, benötigt er Berechtigungen zum Zugriff auf den externen Inhaltstyp sowie Berechtigungen zum Zugriff auf die externe Datenquelle.
Mit SQL Server-Datenbanken verbundene Visio-Diagramme
Wenn ein Visio-Diagramm mit einer SQL Server-Datenbank verbunden ist, werden von Visio Services zusätzliche Sicherheitskonfigurationsoptionen verwendet, um eine Verbindung zwischen dem Visio-Grafikdienst und der Datenbank herzustellen.
Folgende Authentifizierungsmethoden werden von Visio Services unterstützt:
Integrierte Windows-Authentifizierung: In diesem Sicherheitsmodell verwendet der Visio-Grafikdienst für die Authentifizierung bei der Datenbank die Identität des Benutzers, der das Diagramm anzeigt. Die integrierte Windows-Authentifizierung mit eingeschränkter Kerberos-Delegierung ist im Hinblick auf eine möglichst hohe Sicherheit sinnvoller als die anderen in der Liste angezeigten Authentifizierungsmethoden. Für diese Konfiguration muss die eingeschränkte Kerberos-Delegierung zwischen dem Anwendungsserver mit dem Visio-Grafikdienst und dem Datenbankserver aktiviert sein. Für die Datenbank selbst sind möglicherweise zusätzliche Konfigurationsschritte erforderlich, um die Kerberos-basierte Authentifizierung zu aktivieren.
Secure Store Service In this security model the Visio Graphics Service uses the Secure Store Service to map the user's credentials to a different credential that has access to the database. Secure Store supports individual and group mappings for both Integrated Windows authentication and other forms of authentication such as SQL Server Authentication. This gives administrators more flexibility in defining one-to-one, many-to-one, or many-to-many relationships.
Unbeaufsichtigtes Dienstkonto Zur Vereinfachung der Konfiguration bietet der Visio-Grafikdienst eine spezielle Konfiguration: Bei dieser kann ein Administrator eine eindeutige Zuordnung erstellen, mit der alle Benutzer mithilfe einer Secure Store-Zielanwendung einem einzigen Konto zugeordnet werden. Dieses zugeordnete Konto, das als unbeaufsichtigtes Dienstkonto bezeichnet wird, muss ein Windows-Domänenkonto mit niedrigen Berechtigungen sein, dem Zugriff auf Datenbanken erteilt wird. Der Visio-Grafikdienst nimmt beim Herstellen der Verbindung zu der Datenbank die Identität dieses Kontos an, wenn keine andere Authentifizierungsmethode angegeben wird. Beachten Sie, dass diese Methode keine personalisierten Abfragen in einer Datenbank ermöglicht und keine Überwachung von Datenbankaufrufen implementiert. Diese Authentifizierungsmethode ist die Standardmethode, die verwendet wird, wenn Sie eine Verbindung zu SQL Server-Datenbanken herstellen: Wenn in dem Visio-Diagramm keine ODC-Datei verwendet wird, die eine andere Authentifizierungsmethode angibt, dann verwendet Visio Services die Anmeldeinformationen, die vom unbeaufsichtigten Dienstkonto zum Herstellen einer Verbindung zur SQL Server-Datenbank angegeben werden.
In einer größeren Serverfarm wird in Visio-Diagrammen wahrscheinlich eine Kombination aus den hier beschriebenen Authentifizierungsmethoden verwendet. Folgendes muss dabei beachtet werden:
Visio Services unterstützt die Verwendung sowohl von Secure Store als auch des unbeaufsichtigten Dienstkontos in der gleichen Farm. In Diagrammen, die mit SQL Server-Daten verbunden sind, aber keine ODC-Dateien nutzen, wird das unbeaufsichtigte Dienstkonto benötigt und immer verwendet.
Wenn die integrierte Windows-Authentifizierung ausgewählt ist und ein Fehler bei der Authentifizierung bei der Datenquelle auftritt, versucht Visio Services nicht, das Diagramm mithilfe des unbeaufsichtigten Dienstkontos zu rendern.
Die integrierte Windows-Authentifizierung kann zusammen mit Secure Store verwendet werden, indem Diagramme so konfiguriert werden, dass sie für die Diagramme, die bestimmte Anmeldeinformationen erfordern, eine Secure Store-Zielanwendung verwenden.