Autenticação de dados nos Serviços do Visio

 

Aplica-se a: SharePoint Server 2010

Tópico modificado em: 2016-11-30

Os Serviços do Visio no Microsoft SharePoint Server 2010 oferecem suporte a desenhos da Web conectados a dados associados a várias fontes de dados, incluindo as seguintes:

• Dados hospedados no farm do SharePoint, como uma pasta de trabalho do Microsoft Excel ou uma lista do SharePoint.

• Dados externos, como dados do Microsoft SQL Server ou uma fonte de dados OLE DB ou ODBC.

A recuperação de dados de uma fonte de dados requer que um usuário seja autenticado pela fonte de dados na qual esses dados estão contidos. No caso de um desenho da Web, os Serviços do Visio farão a autenticação na fonte de dados em nome do usuário que está visualizando esse desenho, de modo a atualizar os dados aos quais este último está conectado.

O método de autenticação que os Serviços do Visio podem usar para recuperar dados depende do tipo de fonte de dados subjacente, conforme mostrado na tabela abaixo. No caso de fontes de dados que oferecem suporte a mais de um método de autenticação, as conexões de dados precisarão especificar qual deles deverá ser usado.

Fonte de dados	Método de autenticação
Listas do SharePoint	Permissões de usuário do SharePoint
Pastas de trabalho do Excel	Permissões de usuário do SharePoint
SQL Server	Uma de: Autenticação do Windows (segurança integrada) Uso da Delegação Restrita de Kerberos Uso do Repositório Seguro Uso da Conta de Serviço sem Supervisão Autenticação do SQL Server
OLE DB/ODBC	Varia por fonte de dados, normalmente um par de nome de usuário e senha armazenado na sequência de conexão.

Provedores de dados personalizados também podem ser usados. Para obter mais informações, consulte o artigo sobre como criar um provedor de dados personalizados com os Serviços do Visio (https://go.microsoft.com/fwlink/?linkid=196860&clcid=0x416) .

Há suporte para as seguintes fontes de dados no Microsoft Visio, mas não nos Serviços do Visio:

• Bancos de dados do Access

• Pastas de trabalho do Excel que não estão hospedadas no SharePoint Server

• OLAP

Conexão com dados hospedados no SharePoint Server

Os Serviços do Visio oferecem suporte para desenhos da Web conectados a dados que estão associados a dados hospedados no farm do SharePoint, incluindo:

• Pastas de trabalho do Excel que residem em uma biblioteca de documentos

• Dados em listas do SharePoint

Conexão com pastas de trabalho do Excel

Os Serviços do Visio usam as credenciais do SharePoint Server do visualizador de desenhos da Web para se conectarem a uma pasta de trabalho .xlsx do Excel. Para que a operação de autenticação obtenha êxito, é necessário atender às seguintes condições:

• Os Serviços do Excel precisam ser provisionados corretamente e configurados no farm do SharePoint.

• A pasta de trabalho precisa estar hospedada no mesmo farm do desenho da Web.

• O visualizador de desenhos da Web deve ter pelo menos permissões de "leitura" na pasta de trabalho do Excel.

Nenhuma outra etapa de configuração é necessária para permitir esse tipo de conexão de dados.

Observação

Como parte da conexão com uma pasta de trabalho do Excel, os Serviços do Visio solicitam que os Serviços do Excel atualizem a pasta de trabalho se ela contiver conexões com dados externos. Nesse caso, a identidade do visualizador do desenhos será transmitida para os Serviços do Excel, de modo que os Serviços do Excel possam fazer a autenticação nas fontes de dados subjacentes para atualizar a pasta de trabalho.

Conexão com listas do SharePoint

Os Serviços do Visio usam as credenciais do SharePoint Server do visualizador de desenhos da Web para se conectarem a uma lista do SharePoint. Para que a operação de autenticação obtenha êxito, é necessário atender às seguintes condições:

• A lista do SharePoint precisa estar hospedada no mesmo farm do desenho da Web.

• O visualizador de desenhos da Web deve ter pelo menos permissões de "leitura" na lista do SharePoint.

Nenhuma outra etapa de configuração é necessária para permitir esse tipo de conexão de dados.

Conexão com dados externos

Os Serviços do Visio podem se conectar a diversas fontes de dados externas, incluindo SQL Server, OLE DB/ODBC e provedores de dados personalizados. Para se conectarem à fonte de dados, os Serviços do Visio usam um provedor de dados específico para cada fonte de dados.

Como medida de segurança, os Serviços do Visio devem confiar explicitamente nos provedores de dados antes que estes possam ser usados. Para obter mais informações sobre provedores de dados confiáveis, consulte Configure Visio Graphics Service trusted data providers (SharePoint Server 2010).

A conexão com uma fonte de dados do Microsoft SQL Server pode ser realizada usando:

• Autenticação do Windows

• Autenticação do SQL Server

Outras fontes de dados usam uma cadeia de conexão que normalmente consiste em um nome de usuário e uma senha.

Conexões de dados

Os desenhos da Web do Visio usam dois tipos de conexão:

• Conexões inseridas

• Conexões vinculadas

Conexões inseridas são armazenadas como parte do desenho da Web do Visio. Conexões vinculadas são armazenadas externamente para um desenho da Web em arquivos ODC. Para usar uma conexão vinculada, um desenho da Web deve fazer referência a um arquivo .odc que também esteja armazenado no mesmo farm do desenho da Web. Cada conexão de dados consiste em:

• Uma cadeia de conexão

• Uma cadeia de consulta

• Um método de autenticação

• Como opção, alguns metadados necessários para recuperar dados externos

As vantagens e desvantagens de cada tipo de conexão são abordadas aqui. Escolha o que melhor corresponde ao seu cenário.

Tipo de conexão	Conexões inseridas	Arquivos ODC
Fontes de dados com suporte	SQL Server (oferece suporte apenas para delegação Kerberos e a Conta de Serviço sem Supervisão) OLE DB/ODBC Pastas de trabalho do Excel Listas do SharePoint Provedores de Dados Personalizados	SQL Server (oferece suporte a todos os métodos de autenticação) OLE DB/ODBC
Vantagens	Todas as informações de conexão são armazenadas no desenho da Web. Conexões inseridas precisam de pouca sobrecarga administrativa para oferecer suporte. Conexões inseridas são fáceis de criar.	Conexões vinculadas podem ser armazenadas, gerenciadas, auditadas, compartilhadas e ter seu acesso a elas controlado de forma centralizada com o uso de uma biblioteca de conexão de dados. Os autores de desenhos podem usar conexões existentes sem precisarem criar cadeias de consulta ou de conexão. Se os detalhes de conexão de dados de uma fonte de dados forem alterados, um administrador precisará atualizar apenas um arquivo ODC. Com essa alteração, todos os desenhos da Web que fizerem referência ao arquivo ODC usarão as informações de conexão atualizadas quando a próxima atualização acontecer. (Um exemplo desse cenário é quando o servidor de banco de dados é movido ou o nome do banco de dados é alterado.)
Problemas	Se os detalhes de conexão de dados de uma fonte de dados forem alterados, todos os desenhos da Web com conexões inseridas na fonte de dados precisarão ser republicadas com as informações de conexão atualizadas. Conexões de dados inseridas são mais difíceis de serem auditadas pelos administradores do SharePoint.	A criação de uma conexão vinculada deve ser realizada com o uso do Excel. Conexões vinculadas poderão precisar de ajuda de um administrador do SharePoint para serem compartilhadas, gerenciadas e protegidas. Conexões vinculadas são salvas em texto não criptografado e podem conter senhas de bancos de dados. É necessário ter cuidado extra ao ajudar a proteger esses arquivos.

Escolha uma conexão de dados vinculada, usando um arquivo ODC, para cenários nos quais é necessário ter uma conexão de dados com uma fonte de dados relacional em escala corporativa, como o SQL Server. Conexões de dados vinculadas são mais úteis em cenários nos quais elas serão compartilhadas por muitos usuários e nos quais o controle da conexão pelo administrador é importante.

Observação

Arquivos ODC devem primeiro ser criados no Excel e exportados para o SharePoint Server para que possam ser usados com os Serviços do Visio.

Escolha uma conexão inserida para cenários nos quais é necessário ter uma conexão de dados rápida com uma fonte de dados pequena ou baseada em arquivo que será usada apenas por alguns usuários.

Arquivos ODC podem ser armazenados em uma biblioteca de conexão de dados, um tipo especial de biblioteca de documentos do SharePoint. A centralização de conexões de dados em uma biblioteca de documentos desse tipo possui diversas vantagens:

• Os administradores podem restringir o acesso de gravação a uma biblioteca de conexão de dados para autores de conexão de dados confiáveis, de modo a assegurar que apenas conexões de dados protegidas e bem testadas sejam usadas pelos autores de desenhos da Web.

• Os administradores possuem um único local para gerenciar conexões de dados de um grande grupo de usuários.

• Os administradores podem aprovar, auditar, reverter e gerenciar arquivos de conexão de dados usando recursos de controle de versão da biblioteca de documentos e de fluxo de trabalho.

• As bibliotecas de conexão de dados podem ser reutilizadas em outros aplicativos do Office como o Excel, os Serviços do Excel, o Microsoft InfoPath 2010, o InfoPath Forms Services e o Microsoft Word.

• Os usuários finais possuem apenas um único local para localizar dados de desenho, reduzindo assim a confusão e a necessidade de treinamento.

Para obter informações sobre como criar bibliotecas de conexão de dados, consulte o artigo sobre como criar e usar uma biblioteca de conexão de dados (https://go.microsoft.com/fwlink/?linkid=188117&clcid=0x416). Para obter informações sobre como criar arquivos ODC, consulte o artigo sobre como criar, editar e gerenciar conexões com dados externos (https://go.microsoft.com/fwlink/?linkid=196894&clcid=0x416).

Autenticação do Windows

A autenticação do Windows requer que os Serviços do Visio apresentem ao SQL Server um conjunto de credenciais do Windows. Esse tipo de credencial é comum nas redes Windows e é idêntico ao usado para fazer logon nos computadores em um domínio do Windows ou para conexão com um computador que executa o Exchange Server. As credenciais do Windows são consideradas o meio mais seguro e gerenciável de controlar o acesso a bancos de dados do SQL Server. No entanto, um obstáculo ao uso da autenticação do Windows com os Serviços do Visio é a medida de segurança de salto duplo do Windows, na qual as credenciais de um usuário não podem ser transmitidas para mais de um computador em uma rede Windows. Como os Serviços do Visio são um sistema de várias camadas, métodos de autenticação especiais são necessários para que os Serviços do Visio possam recuperar dados em nome do usuário final.

O método de autenticação escolhido depende de vários fatores, conforme descrito na tabela abaixo. Escolha o que melhor corresponde ao seu cenário.

Método de autenticação	Delegação Kerberos	Repositório Seguro	Conta de Serviço sem Supervisão
Descrição	Usando a delegação restrita de Kerberos, as credenciais do Windows do visualizador de desenhos são enviadas diretamente à fonte de dados.	Usando o Serviço de Repositório Seguro, as credenciais do Windows do visualizador são mapeadas para outro conjunto de credenciais especificadas em um aplicativo de destino de Repositório Seguro.	Usando o Serviço de Repositório Seguro, todos os visualizadores são mapeados para um conjunto exclusivo de credenciais, chamado de Conta de Serviço sem Supervisão, que é armazenado em um aplicativo de destino de Repositório Seguro especificado nas Configurações Globais dos Serviços do Visio.
Credenciais de conexão de dados	As credenciais do Windows do visualizador do desenho da Web.	As credenciais especificadas no aplicativo de destino de Repositório de Destino.	As credenciais da Conta de Serviço sem Supervisão.
Vantagens	O protocolo Kerberos é padrão do setor em gerenciamento de credenciais. O Kerberos se conecta à infraestrutura existente do Active Directory. A delegação Kerberos permite auditar acessos individuais a uma fonte de dados. Desde que a identidade do visualizador de desenhos da Web seja conhecida, os criadores de desenhos da Web podem inserir consultas de banco de dados personalizadas em seus desenhos da Web.	O Serviço de Repositório Seguro faz parte do SharePoint Server e é mais fácil de configurar do que o Kerberos. Mapeamentos são flexíveis: um usuário pode ser mapeado um-para-um ou muitos-para-um. Credenciais não relacionadas ao Windows podem ser usadas para conexão com fontes de dados que não aceitam credenciais do Windows. Os mapeamentos criados para o Visio podem ser reutilizados por outros aplicativos de business intelligence, como os Serviços do Excel.	A Conta de Serviço sem Supervisão é o método de autenticação mais fácil de implantar e configurar. A Conta de Serviço sem Supervisão não requer muita sobrecarga administrativa.
Problemas	O esforço administrativo adicional necessário para configurar no SharePoint Server e nos Serviços do Visio.	O estabelecimento e a manutenção de tabelas de mapeamento requerem uma certa sobrecarga administrativa. O Repositório Seguro permite auditoria limitada. No cenário de muitos-para-um, usuários de entrada individuais são mapeados para as mesmas credenciais por meio de um aplicativo de destino, associando-os efetivamente a um único usuário.	Como todos são mapeados nas mesmas credenciais, um administrador não pode distinguir quem acessou uma fonte de dados.
Para que a operação de autenticação obtenha êxito…	A delegação Kerberos deve ser configurada em um farm do SharePoint.	O Serviço de Repositório Protegido deve ser provisionado e configurado no Farm. Também deve conter as informações de mapeamento apropriadas de um determinado usuário de entrada. Além disso, as informações de mapeamento talvez precisem ser atualizadas periodicamente para refletirem as alterações de senha da conta mapeada.	O Serviço de Repositório Seguro deve ser provisionado e configurado no Farm. Também deve conter as credenciais apropriadas da Conta de Serviço sem Supervisão. Além disso, as informações de mapeamento talvez precisem ser atualizadas periodicamente para refletirem alterações de senha na conta mapeada. Os Serviços do Visio devem ser configurados para usarem a Conta de Serviço sem Supervisão.

Delegação Kerberos

Escolha a delegação Kerberos para obter autenticação rápida e segura de dados relacionais em escala corporativa que oferecem suporte para a autenticação do Windows. Para obter informações sobre a configuração da delegação Kerberos, consulte:

• Artigo sobre como configurar a autenticação Kerberos para Produtos do Microsoft SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=196600&clcid=0x416)

• Planejar a autenticação Kerberos (SharePoint Server 2010)

Repositório Seguro

Escolha o Repositório Seguro para a autenticação de fontes de dados relacionais em escala empresarial que podem ou não oferecer suporte à Autenticação do Windows. O Repositório Protegido também é útil em cenários nos quais você deseja controlar os mapeamentos de credenciais de usuários.

Para obter informações sobre o uso do Repositório Seguro com os Serviços do Visio, consulte Repositório Seguro para aplicativos de serviço de Business Intelligence.

Demonstração em vídeo

Essa demonstração mostra as etapas de configuração dos Serviços do Visio com o Repositório Seguro.

Assista ao vídeo (https://go.microsoft.com/fwlink/?linkid=196864&clcid=0x416). Para baixar o arquivo de vídeo, clique com o botão direito do mouse e clique em Salvar Destino como.

Conta de Serviço sem Supervisão

Para facilitar a configuração, o Serviço de Gráficos do Visio oferece uma configuração especial na qual um administrador pode criar um mapeamento exclusivo onde todos os usuários são mapeados em um único conjunto de credenciais.

Essa conta, conhecida como Conta de Serviço sem Supervisão, deve ser uma conta de domínio do Windows de baixos privilégios. O Serviço do Visio imita essa conta quando se conecta a uma fonte de dados em nome do visualizador de desenhos da Web.

É uma prática recomendada oferecer a essa conta quanto menos permissões de rede forem possíveis, normalmente apenas o acesso de logon na rede e o acesso à fonte de dados à qual você deseja que os usuários se conectem. Para obter uma melhor segurança, certifique-se de que a Conta de Serviços sem Supervisão não tenha acesso à Configuração do SharePoint e a bancos de dados de Conteúdo.

A Conta de Serviço sem Supervisão é usada pelos Serviços do Visio:

• Quando um arquivo ODC especifica o uso da Conta de Serviço sem Supervisão para Autenticação do Windows ou do SQL Server

• Quando nenhum ODC é usado, e a autenticação Kerberos falha

Observação

A conta sem supervisão pode ser uma conta de computador local do tipo Windows. Se a conta de serviço sem supervisão for configurada como uma conta de computador local, verifique se a configuração é idêntica em todos os servidores de aplicativos com os Serviços do Visio em execução. Por razões de gerenciabilidade, a prática recomendada é usar uma conta de domínio

Escolha a Conta de Serviço sem Supervisão ao conectar implantações ad-hoc de pequeno porte nas quais a segurança é menos importante ou nas quais a velocidade da implantação é essencial.

Para obter mais informações sobre o uso da Conta de Serviço sem Supervisão com os Serviços do Visio, consulte Repositório Seguro para aplicativos de serviço de Business Intelligence.

Demonstração em vídeo

Essa demonstração mostra as etapas para configurar os Serviços do Visio com a Conta de Serviço sem Supervisão.

Assista ao vídeo (https://go.microsoft.com/fwlink/?linkid=196865&clcid=0x416). Para baixar o arquivo de vídeo, clique com o botão direito do mouse e depois clique em Salvar Destino como.

Autenticação do SQL Server

A Autenticação do SQL Server requer que os Serviços do Visio apresentem um nome de usuário e uma senha do SQL Server para uma fonte de dados do SQL Server para autenticação. Os Serviços do Visio extraem esse nome de usuário e essa senha da cadeia de conexão da conexão de dados e os transmitem à fonte de dados.

Para reduzir os riscos à segurança, os Serviços do Visio representam a Conta de Serviço sem Supervisão ao se conectarem a uma fonte de dados desse tipo.

Autenticação em fontes de dados OLEDB/ODBC

A autenticação em fontes de dados de terceiros normalmente exige que os Serviços do Visio apresentem um nome de usuário e uma senha para uma fonte de dados. Como na Autenticação do SQL Server, os Serviços do Visio extraem esse nome de usuário e essa senha da cadeia de conexão da conexão de dados e os transmitem à fonte de dados.

Para reduzir os riscos à segurança, os Serviços do Visio representam a Conta de Serviço sem Supervisão ao se conectarem a uma fonte de dados desse tipo.

Atualização de dados

Os Serviços do Visio oferecem suporte à atualização de desenhos conectados a uma ou mais das seguintes fontes de dados:

• SQL Server

• Listas do SharePoint

• Pastas de trabalho do Excel hospedadas no SharePoint Server

• Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 e DB2 9.2

Observação

Se a fonte de dados à qual você planeja se conectar não estiver na lista acima, será possível adicionar suporte a ela criando um Provedor de Dados Personalizados do Visio. Essa tecnologia permite combinar fontes de dados existentes em uma única fonte de dados que os Serviços do Visio possa utilizar. Para obter mais informações, consulte o artigo sobre como criar um provedor de dados personalizado com os Serviços do Visio (https://go.microsoft.com/fwlink/?linkid=191029&clcid=0x416), na Biblioteca do MSDN online.

A atualização de dados externos é o resultado do seguinte conjunto de etapas nos Serviços do Visio.

1. Criação de um desenho:   O autor de um desenho carrega um desenho da Web conectado a dados no SharePoint Server 2010.

2. Disparo da atualização:   O visualizador de desenhos dispara a atualização em um desenho da Web conectado a dados.

3. Conexões de dados:   Os Serviços do Visio recuperam as informações da conexão de dados de cada fonte de dados externa no desenho.

4. Provedores de Dados Confiáveis:   Os Serviços do Visio verificam se há um provedor de dados confiável que eles possam usar para recuperar dados.

5. Autenticação:   Os Serviços do Visio são autenticados na fonte de dados e recuperam os dados solicitados em nome do visualizador de desenhos.

6. Atualização de desenhos:   Os Serviços do Visio atualizam o desenho da Web com base na fonte de dados e o devolvem para o visualizador.

A atualização pode ser disparada de uma das seguintes maneiras pelo navegador:

• O usuário final abre o desenho da Web.

• O usuário final clica no botão Atualizar em um desenho da Web já aberto.

• O usuário final carrega uma página que contém a Web part do Visio Web Access que foi configurada para ser atualizada automaticamente por um designer de site.

  Observação

  Um designer de site do SharePoint precisa colocar a Web part do Visio Web Access em uma página e configurá-la para ser atualizada periodicamente.

A atualização também pode ser disparada em soluções de terceiros por meio de uma chamada JavaScript para o método vwaControl.Refresh() da API de Mashup do Visio Web Access. Para obter mais informações, consulte o artigo sobre como Personalizar desenhos da Web do Visio na Web Part do Visio Web Access (https://go.microsoft.com/fwlink/?linkid=196503&clcid=0x416), na Biblioteca do MSDN online.

Caso não haja versões desse desenho da Web anteriormente armazenadas em cache, qualquer uma dessas ações disparará uma atualização e atualizará o desenho da Web. Para obter informações sobre como definir as configurações de cache dos Serviços do Visio, consulte Configure Visio Graphics Service global settings (SharePoint Server 2010).