Visio Services のセキュリティを計画する (SharePoint Server 2010)
適用先: SharePoint Server 2010
トピックの最終更新日: 2012-05-21
Microsoft SharePoint Server 2010 を展開するためのセキュリティ要件に加えて、Microsoft SharePoint Server 2010 の Visio Services を含む展開のセキュリティについても考慮事項を確認する必要があります。Visio Services では、公開された Visio Web 図面を表示できます。これらの図面を外部データに接続し、図面の要素をそのデータに基づいて更新できます。セキュリティは、これらのデータ表示シナリオを可能にするための重要な構成要素です。Visio Graphics Service では、Visio Web 図面とそれらから接続できるデータ ソースについて、それらの処理と表示をきわめて詳細に制御できます。
データに接続されていない Web 図面
公開された Visio 図面 (.VDW ファイル) は、Visio Services で開くように、SharePoint ドキュメント ライブラリに格納される必要があります。SharePoint Server 2010 は、ドキュメント ライブラリに格納されているファイルのアクセス制御リスト (ACL) を維持します。ライブラリのルールを正しく設定することで、特定の図面へのアクセスを制限できます。
データに接続されている Visio Web 図面
Visio Graphics Service は、SharePoint リスト、ファームでホストされている Excel ブック、Microsoft SQL Server などのデータベース、カスタム データ ソースなどのデータ ソースに接続できます。特定のデータ ソースへのアクセスを制御するには、信頼されているデータ プロバイダーを明示的に定義し、信頼できるデータ プロバイダーの一覧内にそれらのプロバイダーを構成します。
Visio Services は、データに接続されている Web 図面を読み込むときに、Web 図面に格納されている接続情報をチェックして、指定されたデータ プロバイダーが信頼できるデータ プロバイダーであるかどうかを判断します。プロバイダーが一覧のメンバーになっている場合は、接続が試みられます。なければ接続要求が無視されます。
管理者は、特定のデータ ソースへの接続を有効にするように Visio Services を設定したら、データ ソースの種類に応じて追加のセキュリティ構成を行う必要があります。Visio Services では以下のデータ ソースがサポートされています。
Excel Services を使用して SharePoint Server に保存されている Excel
SharePoint リスト
SQL Server データベースなどのデータベース
カスタム データ プロバイダー
SharePoint リストに接続されている Visio Web 図面
公開された Visio 図面は、図面がホストされているのと同じファームにある SharePoint リストに接続できます。このような Web 図面を表示するには、図面に対するアクセス権と、図面の接続先の SharePoint リストに対するアクセス権の両方が必要です。これらのアクセス許可と資格情報は SharePoint Server 2010 で管理されます。
Excel Services に接続されている Visio Web 図面
公開された Visio 図面は、Excel Services が実行され、正しく構成されていれば、Web 図面と同じファームでホストされている Excel ブックに接続できます。ユーザーが Web 図面を表示するには、図面に対するアクセス権と、図面の接続先の Excel ブックに対するアクセス権の両方が必要です。これらの権限と資格情報は、SharePoint Server 2010 で管理されます。
SQL Server データベースに接続されている Visio Web 図面
公開された Visio Web 図面が SQL Server データベースに接続されている場合、Visio Services は追加のセキュリティ構成オプションを使用して、Visio Graphics Service とデータベースの間の接続を確立します。Visio Web 図面は、Office データ接続 (ODC) ファイルに格納されている接続を使用できます。無人アカウントと Secure Store Service を使用する、データ接続された Web 図面を作成するには、最初に Microsoft Excel を使用して ODC ファイルを作成する必要があります。
Visio Services でサポートされている認証方法は次のとおりです。
統合 Windows 認証 このセキュリティ モデルでは、Visio Graphics Service は図面を表示するユーザーの ID を使用してデータベースとの認証を行います。制限付きの Kerberos 委任を使用する統合 Windows 認証は、セキュリティを強化するうえで、この一覧に示した他の認証方法より有効です。この構成では、Visio Graphics Service を実行しているアプリケーション サーバーとデータベース サーバーの間で、制限付きの Kerberos 委任が有効になっている必要があります。データベース自体でも、Kerberos ベースの認証を有効にするために別の構成が必要な場合がありますが、このドキュメントでは説明しません。
Secure Store Service このセキュリティ モデルでは、Visio Graphics Service は Secure Store Service を使用して、ユーザーの資格情報を、データベースへのアクセス権を持つ異なる資格情報にマップします。Secure Store Service では、統合 Windows 認証と他の認証形式の両方について、個別マッピングとグループ マッピングがサポートされます。このため管理者は、1 対 1、多対 1、または多対多の関係を柔軟に定義できます。この認証モデルを使用できるのは、ODC ファイルを使用して接続を指定している図面のみです。ODC ファイルでは、資格情報のマッピングに使用される対象アプリケーションを指定します。
無人サービス アカウント Visio Graphics Service には、構成を容易にするため、管理者が一意のマッピングを作成できる特別な構成が用意されています。このマッピングでは、Secure Store のターゲット アプリケーションを使用して、すべてのユーザーを 1 つのアカウントに関連付けます。無人サービス アカウントと呼ばれる、マップされたこのアカウントは、データベースへのアクセス権が与えられる、低い特権を持つ Windows ドメイン アカウントにする必要があります。Visio Graphics Service は、他の認証方法が指定されていない場合、データベースへの接続時にこのアカウントを偽装します。この方法では、個人用に設定されたクエリがデータベースに対して有効にされず、データベース呼び出しの監査も行えないことに注意してください。SQL Server データベースに接続するときは、この認証方法が既定で使用されます。別の認証方法を指定する ODC ファイルが Visio Web 図面で使用されていない場合、Visio Services は無人アカウントで指定されている資格情報を使用して、SQL Server データベースに接続します。
大規模なサーバー ファームの Visio 図面では、一般に、ここで説明した認証方法が組み合わせて使用されます。以下の点に注意することが重要です。
Visio Services は、Secure Store Service と無人サービス アカウントの両方を同じファームで使用する方法をサポートしています。SQL Server データには接続されていても、ODC ファイルを使用していない Web 図面では、無人アカウントが必要で、常に使用されます。
Kerberos 認証を使用して統合 Windows 認証が構成されている場合、Visio Services では、無人アカウントの認証モードを使用する図面は表示されません。
特定の資格情報を必要とする図面に対する Secure Store ターゲット アプリケーションが指定されている ODC ファイルを使用するように図面を構成することで、統合 Windows 認証を Secure Store と共に使用できます。