適用対象:
2016 2019 Subscription Edition 
SharePoint in Microsoft 365
データ ソースは、次に示すように "内部" または "外部" に分類されます。
内部: Excel ブックや SharePoint リストなど、SharePoint ファーム内でホストされるデータ。
外部: SQL Server データ、または OLE DB または ODBC データ ソース。
データ ソースからデータを取得するには、ユーザーがデータ ソースに認証され、さらに、そのデータ ソース内のデータへのアクセスが許可される必要があります。 図の場合、Visio Services は、ダイアグラムが接続されているデータを更新するために、表示しているユーザーに代わってデータ ソースに対して認証を行います。
Visio Services でデータの取得に使用できる認証方法は、次の表に示すように、基になるデータ ソースの種類によって異なります。 データ ソースが複数の認証方法をサポートしている場合は、データ接続でどの認証方法を使用するかを指定する必要があります。
| データ ソース | 認証方法 |
|---|---|
| SharePoint リスト |
SharePoint ユーザー権限 |
| Excel ワークブック |
SharePoint ユーザー権限 |
| SQL Server |
次のいずれか: Windows 認証 (統合セキュリティ) Kerberos の制約付き委任の使用 Secure Store の使用 無人サービス アカウントの使用 SQL Server 認証 |
| OLE DB/ODBC |
データ ソースごとに異なります。一般的には、接続文字列に格納されたユーザー名とパスワードのペアを使用します。 |
また、カスタム データ プロバイダーを使用することもできます。
Visio では次のデータ ソースがサポートされていますが、Visio Services ではサポートされていません。
Access データベース
SharePoint Server でホストされていない Excel ブック
OLAP
Visio Services を SharePoint Server でホストされるデータに接続する
Visio Services では、SharePoint ファーム内でホストされているデータに接続されているデータ接続図がサポートされています。これには、次のものが含まれます。
ドキュメント ライブラリに存在する Excel ブック
SharePoint リストのデータ
Excel ブックに接続する
Visio Services では、ダイアグラム ビューアーの SharePoint Server 資格情報を使用して、.xlsx Excel ブックに接続します。 認証操作を正常に行うには、以下の条件を満たす必要があります。
Office Online Serverが正しくプロビジョニングされ、SharePoint ファームで構成されている必要があります。
ブックがダイアグラムと同じファームでホストされている。
ダイアグラム ビューアーには、Excel ブックに対する少なくとも "読み取り" アクセス許可が必要です。
この種類のデータ接続は、上記の条件を満たすだけで有効にできます。他に必要な構成手順はありません。
注:
Excel ブックへの接続の一環として、外部データへの接続が含まれている場合、Visio Services は Excel Online にブックの更新を要求します。 この場合、ダイアグラム ビューアーの ID は Excel Online に渡されるため、Excel Online は基になるデータ ソースに対して認証を行ってブックを更新できます。
Visio Services を SharePoint リストに接続する
Visio Services では、ダイアグラム ビューアーの SharePoint Server 資格情報を使用して SharePoint リストに接続します。 認証操作を正常に行うには、以下の条件を満たす必要があります。
外部リストのデータにアクセスするユーザーが、外部コンテンツ タイプに対するアクセス許可と、外部データ ソースに対するアクセス許可を持っている。
ダイアグラム表示者が SharePoint リストに対して少なくとも "読み取り" アクセス許可を持っている。
この種類のデータ接続は、上記の条件を満たすだけで有効にできます。他に必要な構成手順はありません。
Visio Services を外部データに接続する
Visio Services は、SQL Server、OLE DB/ODBC、カスタム データ プロバイダーなど、さまざまな外部データ ソースに接続できます。 Visio Services は、データ ソースに接続するために、データ ソースごとに特定のデータ プロバイダーを使用します。
セキュリティ対策として、Visio Services はデータ プロバイダーを使用する前に明示的に信頼する必要があります。
SQL Server データ ソースには、次のどちらかの方法で接続できます。
Windows 認証
SQL Server 認証
その他のデータ ソースでは接続文字列を使用します。通常、接続文字列は、ユーザー名とパスワードで構成されます。
データ接続
Visio ダイアグラムでは、次の 2 種類の接続のいずれかを使用します。
埋め込み接続
リンク接続
埋め込み接続は、Visio ダイアグラムの一部として格納されます。 リンク接続は、ダイアグラムの一部としてではなく、Office データ接続 (ODC) ファイルに格納されます。 ダイアグラムでリンク接続を使用するには、ダイアグラムと同じファーム内に格納される .odc ファイルを参照する必要があります。 各データ接続は、次の要素で構成されます。
接続文字列
クエリ文字列
認証方法
外部データの取得に必要なメタデータ (オプション)
以下で説明するように、どちらの接続にも長所と短所があります。状況に応じて、最適な接続を選択してください。
| 接続の種類 | 埋め込み接続 | ODC ファイル |
|---|---|---|
| サポートされているデータ ソース |
SQL Server OLE DB/ODBC Excel ワークブック SharePoint リスト カスタム データ プロバイダー |
SQL Server (すべての認証方法をサポート) OLE DB/ODBC |
| メリット |
接続情報はすべてダイアグラムに格納されます。 埋め込み接続では、サポートの管理オーバーヘッドはほとんど発生しません。 埋め込み接続は容易に作成できます。 |
リンク接続では、データ接続ライブラリを使用することで、格納、管理、監査、共有、およびアクセスを一元的に制御できます。 ダイアグラム作成者は、クエリや接続文字列を作成しなくても、既存の接続を使用できます。 データ ソースのデータ接続の詳細が変更された場合、管理者は 1 つの ODC ファイルのみを更新する必要があります。 この変更により、ODC ファイルを参照するすべての図は、次回の更新が発生したときに更新された接続情報を使用します。 (このシナリオの例は、データベース サーバーが移動されたとき、またはデータベース名が変更されたときです)。 |
| 欠点 |
データ ソースのデータ接続の詳細に変更が生じた場合、そのデータ ソースへの埋め込み接続を含むダイアグラムはすべて、新しい接続情報を反映して再発行する必要があります。 埋め込みデータ接続は、SharePoint 管理者による監査が難しくなります。 |
リンクされた接続では、SharePoint 管理者が共有、管理、セキュリティ保護を行う必要がある場合があります。 リンクされた接続はクリア テキストで保存され、データベース パスワードが含まれている場合があります。 これらのファイルをセキュリティで保護するには、特別な注意が必要です。 |
SQL SERVERなどのエンタープライズ 規模のリレーショナル データ ソースへのデータ接続が必要なシナリオでは、ODC ファイルを使用して、リンクされたデータ接続を選択します。 リンク データ接続が最も効果的なのは、リンク データ接続を多数のユーザー間で共有したり、接続を管理者が制御したりする必要がある場合です。
注:
Visio 2010 を使用している場合は、Visio Services で使用する前に、ODC ファイルを Excel で作成し、SharePoint Server にエクスポートする必要があります。
一部のユーザーのみが使用する小規模またはファイルベースのデータ ソースへのクイック データ接続が必要なシナリオでは、埋め込み接続を選択してください。
ODC ファイルは、特殊な SharePoint ドキュメント ライブラリであるデータ接続ライブラリに格納できます。 このようなドキュメント ライブラリでデータ接続を一元管理する方法には、いくつかの利点があります。
管理者が、データ接続ライブラリへの書き込みアクセスを、信頼できるデータ接続作成者のみに制限できます。こうすることで、ダイアグラム作成者は、綿密なテストが実施済みで、かつセキュリティ保護されたデータ接続のみを使用できるようになります。
管理者が、単一の場所から大規模なユーザー グループのデータ接続を管理できます。
管理者が、ドキュメント ライブラリのバージョン管理およびワークフロー機能を使用して、データ接続ファイルを容易に承認、監査、復元、および管理できます。
エンドユーザーは単一の場所でのみダイアグラム データを検索します。したがって、混乱が少なく、ユーザー トレーニングを実施する手間を省くことができます。
Windows 認証
この種類の資格情報は Windows ネットワークで一般的であり、Windows ドメイン上のコンピューターにログオンするために使用される資格情報と同じです。 Windows 資格情報は、SQL Server データベースへのアクセスを制御する、より安全で管理しやすい手段と見なされます。 ただし、Visio Services でWindows 認証を使用する場合の障害の 1 つは、Windows のダブルホップ セキュリティ対策であり、ユーザーの資格情報を Windows ネットワーク内の複数のコンピューターに渡すことはできません。 Visio Services は多層システムであるため、Visio Services がエンド ユーザーに代わってデータを取得するには、特別な認証方法が必要です。
Windows 認証では、一連の Windows 資格情報をSQL Serverするために Visio Services が存在する必要があります。 この方法には複数のオプションがあります。 どの認証方法を選択するかは、以下の表で説明するさまざまな要因によって異なります。 状況に応じて、最適な認証方法を選択してください。
| 認証方法 | Kerberos の制限付き委任 | Secure Store | 無人サービス アカウント |
|---|---|---|---|
| 説明 |
Kerberos 制約付き委任を使用すると、ダイアグラム ビューアーの Windows 資格情報がデータ ソースに直接送信されます。 |
Secure Store を使用すると、ビューアーの Windows 資格情報は、Secure Store ターゲット アプリケーションで指定された別の資格情報セットにマップされます。 |
Secure Store を使用すると、すべての閲覧者が、Visio Services グローバル設定で指定された特定の Secure Store ターゲット アプリケーションに格納されている無人サービス アカウントと呼ばれる特定の資格情報セットにマップされます。 |
| データ接続資格情報 |
ダイアグラム表示者の Windows 資格情報。 |
Secure Store のターゲット アプリケーションに指定された資格情報。 |
無人サービス アカウントの資格情報。 |
| メリット |
Kerberos プロトコルは資格情報管理の業界標準です。 Kerberos は既存の Active Directory インフラストラクチャに結合されます。 Kerberos 委任により、データ ソースへの個々のアクセスの監査が有効になります。 ダイアグラム表示者の ID がわかっている場合、ダイアグラム作成者は、個人用のデータベース クエリを ダイアグラムに埋め込むことができます。 |
Secure Store は SharePoint Server の一部であり、Kerberos 認証よりも簡単に構成できます。 マッピングは柔軟に行うことができます。ユーザーを一対一または多対一のどちらでもマッピングできます。 Windows 以外の資格情報を使用して、Windows 資格情報を受け付けないデータ ソースに接続できます。 Visio 用に作成されたマッピングは、Excel Online などの他のビジネス インテリジェンス アプリケーションで再利用できます。 |
無人サービス アカウントは展開と設定が最も容易な認証方法です。 無人サービス アカウントは管理オーバーヘッドをあまり必要としません。 |
| 欠点 |
SharePoint Server と Visio Services の構成に必要な追加の管理作業。 |
マッピング テーブルを作成および管理するのに多少の管理オーバーヘッドが必要です。 Secure Store を使用すると、監査を制限できます。 多対一のシナリオでは、各ユーザーはターゲット アプリケーションを介して同じ資格情報にマップされて、1 名のユーザーに効果的に組み合わされます。 |
すべてのユーザーが同じ資格情報にマップされると、管理者はデータ ソースにアクセスしたユーザーを識別できません。 |
| 認証操作を成功させる ... |
SharePoint ファームに Kerberos の制限付き委任を設定する必要があります。 |
Secure Store は、ファームでプロビジョニングおよび構成する必要があります。 また、Secure Store Service に、特定のユーザー用の適切なマッピング情報を含める必要もあります。 さらに、マッピング情報を定期的に更新して、マップされたアカウントのパスワードの変更を反映する必要もあります。 |
Secure Store は、ファームでプロビジョニングおよび構成する必要があります。 また、Secure Store Service に、無人サービス アカウント用の資格情報を含める必要もあります。 さらに、マッピング情報を定期的に更新して、マップされたアカウントのパスワードの変更を反映する必要もあります。 Visio Services グローバル設定で無人サービス アカウントを構成する必要があります。 |
Kerberos の制限付き委任
Windows 認証をサポートするエンタープライズ規模のリレーショナル データ ソースに対するもっと迅速で、かつもっと高いレベルでセキュリティ保護された認証には、Kerberos の制限付き委任を選択してください。
Secure Store
Windows 認証をサポートする可能性があるエンタープライズ規模のリレーショナル データ ソースに対する認証には、[Secure Store] を選択します。 また、Secure Store は、ユーザー資格情報のマッピングを制御するシナリオでも役立ちます。
無人サービス アカウント
構成を容易にするために、Visio Graphics Serviceでは、管理者が一意のマッピングを作成して、すべてのユーザーが 1 つの資格情報セットにマップされる特別な構成が提供されます。
このアカウントは無人サービス アカウントと呼ばれ、低い権限の Windows ドメイン アカウントである必要があります。 Visio Services は、ダイアグラム ビューアーの代わりにデータ ソースに接続するときに、このアカウントを偽装します。
このアカウントに可能な限り少ないネットワーク アクセス許可を付与することをお勧めします。通常は、ネットワークにログオンし、ユーザーが接続するデータ ソースにアクセスする場合のみです。 セキュリティを強化するために、無人サービス アカウントに SharePoint 構成データベースとコンテンツ データベースへのアクセス権がないことを確認してください。
無人サービス アカウントは、次の状況で Visio Services によって使用されます。
ODC ファイルに、Windows 認証または SQL Server 認証のどちらかで無人サービス アカウントを使用するように指定されている。
ODC が使用されず、Kerberos 認証が失敗した。
注:
無人アカウントは Windows タイプのローカル コンピューター アカウントとして使用できます。 無人サービス アカウントがローカル コンピューター アカウントとして構成されている場合は、Visio Services を実行しているすべてのアプリケーション サーバーで構成が同一であることを確認します。 管理上の理由により、ベスト プラクティスはドメイン アカウントを使用することです。
セキュリティの重要性が低い、または迅速な展開が求められる小規模なアドホック展開に接続するときは、無人サービス アカウントを選択してください。
Visio Services で無人サービス アカウントを使用する方法の詳細については、「 ビジネス インテリジェンス サービス アプリケーション用のセキュリティで保護されたストア」を参照してください。
SQL Server 認証
SQL Server認証では、認証するには、Visio Services が SQL Server データ ソースにSQL Serverユーザー名とパスワードを提示する必要があります。 Visio Services は、データ接続の接続文字列からこのユーザー名とパスワードを抽出し、データ ソースに渡します。
セキュリティ リスクを軽減するために、Visio Services は、このようなデータ ソースに接続するときに無人サービス アカウントを偽装します。
OLE DB/ODBC データ ソースに対する認証
サード パーティのデータ ソースに対する認証では、通常、Visio Services がデータ ソースにユーザー名とパスワードを提示する必要があります。 SQL Server認証と同様に、Visio Services は、データ接続の接続文字列からこのユーザー名とパスワードを抽出し、データ ソースに渡します。
セキュリティ リスクを軽減するために、Visio Services は、このようなデータ ソースに接続するときに無人サービス アカウントを偽装します。
Visio Services のデータ更新
Visio Services では、次の 1 つ以上のデータ ソースに接続されたダイアグラムの更新がサポートされています。
SQL Server
SharePoint リスト
SharePoint Server でホストされている Excel ブック
Oracle 9i、9iR2、10g、10gR2、11g、11gR2、および DB2 9.2
注:
接続する予定のデータ ソースが上記の一覧にない場合は、Visio カスタム データ プロバイダーを作成してサポートを追加できます。 このテクノロジを使用すると、既存のデータ ソースを Visio Services で使用できるデータ ソースにラップできます。
更新は、ブラウザー内から次のどちらかの場合に開始できます。
エンドユーザーがダイアグラムを開く。
既に開いているダイアグラム内でエンドユーザーが更新ボタンをクリックする。
サイト デザイナーによって自動更新が構成された Visio Web Access Web パーツを含むページをエンドユーザーが読み込む。
注:
SharePoint サイト デザイナーは、Visio Web Access Web パーツをページに配置して、その定期的な更新を構成する必要があります。
このダイアグラムがまだ一度もキャッシュされていない場合は、上記のどちらの操作が行われてもダイアグラムは更新されます。 Visio Services のキャッシュ設定を構成する方法については、「Visio Services の構成」を参照してください。