Planen der Sicherheit von Visio Services (SharePoint Server 2010)
Gilt für: SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2012-05-21
Neben den Sicherheitsanforderungen für das Bereitstellen von Microsoft SharePoint Server 2010 sollten Sie auch die Sicherheitsüberlegungen für eine Bereitstellung mit Visio Services in Microsoft SharePoint Server 2010 überprüfen. Sie können mit Visio Services veröffentlichte Visio-Webzeichnungen rendern. Diese Zeichnungen können mit externen Daten verbunden werden, und Zeichnungselemente können basierend auf diesen Daten aktualisiert werden. Die Sicherheit ist eine wichtige Komponente dieser Szenarien zum Rendern von Daten. Mit dem Visio-Grafikdienst erhalten Sie umfassende feinkörnige Kontrolle über die Verarbeitung und Anzeige von Visio-Webzeichnungen und darüber, mit welchen Datenquellen diese verbunden werden können.
Nicht mit Daten verbundene Webzeichnungen
Veröffentlichte Visio-Zeichnungen (VDW-Dateien) müssen in SharePoint-Bibliotheken gespeichert werden, damit die Zeichnungen von Visio Services geöffnet werden können. In SharePoint Server 2010 wird eine Zugriffssteuerungsliste (Access Control List, ACL) für die in der Dokumentbibliothek enthaltenen Dateien verwaltet. Durch richtiges Festlegen der Bibliotheksregeln können Sie den Zugriff auf eine bestimmte Zeichnung beschränken.
Mit Daten verbundene Visio-Webzeichnungen
Mit dem Visio-Grafikdienst können Verbindungen mit Datenquellen hergestellt werden, einschließlich SharePoint-Listen, in der Farm gehosteter Excel-Arbeitsmappen, Datenbanken wie z. B. Microsoft SQL Server und benutzerdefinierter Datenquellen. Sie können den Zugriff auf bestimmte Datenquellen steuern, indem Sie die vertrauenswürdigen Datenanbieter explizit definieren und in der Liste der vertrauenswürdigen Datenanbieter konfigurieren.
Wenn von Visio Services eine Webzeichnung mit einer Datenverbindung geladen wird, werden die in der Webzeichnung gespeicherten Verbindungsinformationen darauf überprüft, ob es sich beim angegebenen Datenanbieter um einen vertrauenswürdigen Datenanbieter handelt. Wenn der Anbieter Mitglied der Liste ist, wird versucht, eine Verbindung herzustellen; anderenfalls wird die Verbindungsanforderung ignoriert.
Wenn ein Administrator Visio Services so konfiguriert hat, dass Verbindungen mit einem bestimmten Datenspeicher aktiviert sind, müssen abhängig von der Art des Datenspeichers zusätzliche Sicherheitskonfigurationen vorgenommen werden. Die folgenden Datenquellen werden von Visio Services unterstützt:
In SharePoint Server mit Excel Services gespeicherte Excel-Arbeitsmappen
SharePoint-Listen
Datenbanken wie beispielsweise SQL Server-Datenbanken
Benutzerdefinierte Datenanbieter
Mit SharePoint-Listen verbundene Visio-Webzeichnungen
Veröffentlichte Visio-Zeichnungen können mit SharePoint-Listen in der gleichen Farm, in der die Zeichnung gehostet wird, verbunden werden. Benutzer, die die Webzeichnung anzeigen, müssen über Zugriff auf die Zeichnung sowie auf die SharePoint-Liste, mit der die Zeichnung verbunden ist, verfügen. Diese Berechtigungen und Anmeldeinformationen werden von SharePoint Server 2010 verwaltet.
Mit Excel Services verbundene Visio-Webzeichnungen
Veröffentlichte Visio-Zeichnungen können mit Excel-Arbeitsmappen verbunden werden, die in der gleichen Farm gehostet werden wie die Webzeichnung. Dabei muss Excel Services ausgeführt werden und richtig konfiguriert sein. Benutzer, die die Webzeichnung anzeigen, müssen über Zugriff auf die Zeichnung sowie auf die Excel-Arbeitsmappe, mit der die Zeichnung verbunden ist, verfügen. Diese Berechtigungen und Anmeldeinformationen werden von SharePoint Server 2010 verwaltet.
Mit SQL Server-Datenbanken verbundene Visio-Webzeichnungen
Wenn eine veröffentlichte Visio-Webzeichnung mit einer SQL Server-Datenbank verbunden ist, werden von Visio Services zusätzliche Sicherheitskonfigurationsoptionen verwendet, um eine Verbindung zwischen dem Visio-Grafikdienst und der Datenbank herzustellen. Für Visio-Webzeichnungen können Verbindungen verwendet werden, die in ODC-Dateien (Office Data Connectivity) gespeichert sind. Zum Erstellen von Webzeichnungen mit Datenverbindungen, für die das unbeaufsichtigte Konto und Secure Store Service verwendet werden, müssen die Benutzer zuerst mithilfe von Microsoft Excel ODC-Dateien erstellen.
Folgende Authentifizierungsmethoden werden von Visio Services unterstützt:
Integrierte Windows-Authentifizierung: In diesem Sicherheitsmodell wird vom Visio-Grafikdienst für die Authentifizierung gegenüber der Datenbank die Identität des die Zeichnung anzeigenden Benutzers verwendet. Die integrierte Windows-Authentifizierung mit eingeschränkter Kerberos-Delegierung ist beim Erhöhen der Sicherheit hilfreicher als die anderen in der Liste angezeigten Authentifizierungsmethoden. Für diese Konfiguration muss die eingeschränkte Kerberos-Delegierung zwischen dem Anwendungsserver mit dem Visio-Grafikdienst und dem Datenbankserver aktiviert sein. Für die Datenbank selbst ist möglicherweise zusätzliche Konfiguration erforderlich, um die Kerberos-basierte Authentifizierung zu aktivieren. Diese Konfiguration ist nicht Gegenstand dieses Dokuments.
Secure Store Service: In diesem Sicherheitsmodell werden die Anmeldeinformationen des Benutzers vom Visio-Grafikdienst mithilfe von Secure Store Service anderen Anmeldeinformationen zugeordnet, mit denen der Zugriff auf die Datenbank möglich ist. Von Secure Store Service werden einzelne Zuordnungen und Gruppenzuordnungen für die integrierte Windows-Authentifizierung sowie für andere Formen der Authentifizierung unterstützt. Auf diese Weise können Administratoren 1:1-, n:1- oder n:n-Beziehungen flexibler definieren. Dieses Authentifizierungsmodell kann nur in Zeichnungen verwendet werden, bei denen die Verbindung mit einer ODC-Datei angegeben wird. In der ODC-Datei wird die Zielanwendung angegeben, die für die Zuordnung der Anmeldeinformationen verwendet wird.
Unbeaufsichtigtes Dienstkonto: Zur Vereinfachung der Konfiguration wird über den Visio-Grafikdienst eine spezielle Konfiguration bereitgestellt, bei der ein Administrator eine eindeutige Zuordnung erstellen kann. Dabei werden alle Benutzer mithilfe einer Zielanwendung für einmaliges Anmelden einem einzigen Konto zugeordnet. Dieses zugeordnete Konto, das als unbeaufsichtigtes Dienstkonto bezeichnet wird, muss ein Windows-Domänenkonto mit niedrigen Berechtigungen sein, dem Zugriff auf Datenbanken gewährt wird. Die Identität dieses Kontos wird vom Visio-Grafikdienst übernommen, wenn die Verbindung mit der Datenbank hergestellt wird, falls keine andere Authentifizierungsmethode angegeben wird. Beachten Sie, dass diese Methode keine personalisierten Abfragen in einer Datenbank ermöglicht und dass Datenbankaufrufe nicht überwacht werden. Diese Authentifizierungsmethode ist die Standardauthentifizierungsmethode, die beim Herstellen einer Verbindung mit SQL Server-Datenbanken für folgende Situation verwendet wird: Falls in der Visio-Webzeichnung keine ODC-Datei verwendet wird, die eine andere Authentifizierungsmethode angibt, werden von Visio Services die vom unbeaufsichtigten Konto angegebenen Anmeldeinformationen zum Herstellen einer Verbindung mit der SQL Server-Datenbank verwendet.
In einer größeren Serverfarm wird in Visio-Zeichnungen wahrscheinlich eine Mischung der hier beschriebenen Authentifizierungsmethoden verwendet. Folgendes muss dabei beachtet werden:
Von Visio Services wird die Verwendung von Secure Store Service und des unbeaufsichtigten Dienstkontos in der gleichen Farm unterstützt. In Webzeichnungen, die mit SQL Server-Daten verbunden sind, aber keine ODC-Dateien verwenden, ist das unbeaufsichtigte Konto erforderlich und wird immer verwendet.
Wenn die integrierte Windows-Authentifizierung mithilfe der Kerberos-Authentifizierung konfiguriert ist, werden Zeichnungen, in denen der Authentifizierungsmodus mit dem unbeaufsichtigten Dienstkonto verwendet wird, von Visio Services nicht gerendert.
Die integrierte Windows-Authentifizierung kann zusammen mit dem Secure Store Service verwendet werden, indem für Zeichnungen die Verwendung einer ODC-Datei konfiguriert wird. Die ODC-Datei gibt eine Zielanwendung für einmaliges Anmelden für jene Dateien an, die bestimmte Anmeldeinformation erfordern.