通过

规划 Visio Services 安全性 (SharePoint Server 2010)

  • 项目

 

适用于: SharePoint Server 2010

上一次修改主题: 2012-05-21

除了部署 Microsoft SharePoint Server 2010 的安全要求以外,还应查阅包括 Microsoft SharePoint Server 2010 中的 Visio Services 的部署的安全注意事项。利用 Visio Services,您可以呈现发布的 Visio Web 绘图。这些绘图可以与外部数据相连,并且绘图元素可以根据此类数据进行更新。在启用这些数据呈现方案时安全是一重要因素。Visio Graphics Service 为您提供了重要的细化控制级别,以处理和显示 Visio Web 绘图及其可连接的数据源。

未与数据相连的 Web 绘图

发布的 Visio 绘图(.VDW 文件)必须存储在 SharePoint 文档库中,Visio Services 才能将其打开。SharePoint Server 2010 保存了文档库中包含的文件的访问控制列表 (ACL)。通过正确设置库规则,您可以限制对特定绘图的访问权限。

与数据相连的 Visio Web 绘图

Visio Graphics Service 可与数据源相连。这些数据源包括 SharePoint 列表、驻留在服务器场上的 Excel 工作簿、诸如 Microsoft SQL Server 等数据库以及自定义数据源。通过明确定义受信任的数据提供程序并在受信任数据提供程序列表中配置它们,您可以控制对特定数据源的访问权限。

当 Visio Services 加载连接 Web 绘图的数据时,此服务会检查该 Web 绘图中存储的连接信息,确定指定的数据提供程序是否为受信任的数据提供程序。如果该提供程序是此列表的成员,则会尝试进行连接;否则,将忽略连接请求。

在管理员将 Visio Services 配置为启用与特定数据源的连接之后,用户必须根据数据源的种类进行其他安全配置。Visio Services 支持以下数据源:

  • 具有 Excel Services 的 SharePoint Server 上存储的 Excel 工作簿

  • SharePoint 列表

  • 诸如 SQL Server 数据库等数据库

  • 自定义数据提供程序

与 SharePoint 列表相连的 Visio Web 绘图

发布的 Visio 绘图可连接到此绘图驻留的同一服务器场上的 SharePoint 列表中。查看 Web 绘图的用户必须拥有对绘图及其连接的 SharePoint 列表的访问权限。这些权限和凭据均由 SharePoint Server 2010 管理。

与 Excel Services 相连的 Visio Web 绘图

发布的 Visio 绘图在 Excel Services 正在运行并已正确配置的情况下可连接到与此 Web 绘图所在的同一服务器场上驻留的 Excel 工作簿。若要查看 Web 绘图,用户必须拥有对绘图及其连接的 Excel 工作簿的访问权限。这些权限和凭据均由 SharePoint Server 2010 管理。

与 SQL Server 数据库相连的 Visio Web 绘图

将发布的 Visio Web 绘图连接到 SQL Server 数据库后,Visio Services 会使用其他安全配置选项来建立 Visio Graphics Service 和此数据库之间的连接。Visio Web 绘图可使用 Office 数据连接 (ODC) 文件中存储的连接。为了创作使用无人参与帐户和 Secure Store Service 的连接数据的 Web 绘图,用户必须先使用 Microsoft Excel 创建 Office 数据连接文件。

Visio Services 支持的验证方法如下所示:

  • 集成 Windows 身份验证在此安全模型中,Visio Graphics Service 使用绘图查看者的身份来向数据库验证身份。与此列表中显示的其他验证方法相比,具有受约束的 Kerberos 委派的集成 Windows 身份验证更有助于提高安全性。此配置需要在正在运行 Visio Graphics Service 的应用程序服务器和数据库服务器之间启用受约束的 Kerberos 委派。数据库本身可能需要进行其他配置,才能启用超出此文档范围的基于 Kerberos 的身份验证。

  • Secure Store Service在此安全模型中,Visio Graphics Service 使用 Secure Store Service 将用户的凭据映射到具有数据库访问权限的其他凭据。Secure Store Service 支持对集成 Windows 身份验证和其他形式的身份验证的单用户映射和组映射。在定义一对一、多对一或多对多关系时,此模型为管理员提供了更灵活的方式。此身份验证模型只能用于使用 ODC 文件指定连接的绘图。ODC 文件可指定凭据映射时所用的目标应用程序。

  • 无人参与服务帐户为便于配置,Visio Graphics Service 提供了一种特殊配置,管理员可在其中创建使用安全存储目标应用程序将所有用户关联到一个帐户的唯一映射。此映射帐户被称为无人参与服务帐户,它必须是授予了数据库访问权限的低特权 Windows 域帐户。如果未指定其他身份验证方法,则 Visio Graphics Service 在与数据库相连时会模拟该帐户。请注意,此方法不会对数据库启用个性化查询,也不会对数据库调用进行审核。此身份验证方法是在连接到 SQL Server 数据库时使用的默认身份验证方法:如果指定一种不同身份验证方法的 Visio Web 绘图中未使用 ODC 文件,则 Visio Services 将使用无人参与帐户指定的凭据连接到 SQL Server 数据库。

在较大的服务器场中,Visio 绘图可能会使用下面介绍的混合身份验证方法。此时,必须注意以下事项:

  • Visio Services 支持在同一服务器场中同时使用 Secure Store Service 和无人参与服务帐户。在连接到 SQL Server 数据但未使用 ODC 文件的 Web 绘图中,无人参与帐户是必需的且始终使用。

  • 如果使用 Kerberos 身份验证配置了集成 Windows 身份验证,则 Visio Services 将不会呈现使用无人参与帐户身份验证模式的绘图。

  • 通过将绘图配置为使用 ODC 文件(此文件为需要特定凭据的那些绘图指定安全存储目标应用程序),可以将集成 Windows 身份验证与安全存储一起使用。