SharePoint Server 中的 Visio Services 的数据身份验证

2023-03-08

适用于： yes-img-13 2013 yes-img-16 2016 yes-img-19 2019 yes-img-se Subscription Edition no-img-sop SharePoint in Microsoft 365

数据源分类为内部或外部数据源，如下所示：

内部：SharePoint 场中承载的数据（如 Excel 工作簿或 SharePoint 列表）。
外部：SQL Server 数据、OLE DB 数据源或 ODBC 数据源。

从数据源中检索数据要求数据源对用户进行身份验证并授予用户对其中包含的数据的访问权。对于图表，Visio Services 将代表查看数据源的用户对数据源进行身份验证，以刷新图表连接到的数据。

可供 Visio Services 用来检索数据的身份验证方法依赖于基础数据源的类型，如下表所述。对于支持多种身份验证方法的数据源，数据连接必须指定要使用哪一种身份验证方法。

数据源	身份验证方法
SharePoint 列表	SharePoint 用户权限
Excel 工作簿	SharePoint 用户权限
SQL Server	下列方法之一： Windows 身份验证（集成安全性）使用受约束的 Kerberos 委派使用安全存储使用无人参与服务帐户 SQL Server 身份验证
OLE DB/ODBC	随数据源（通常是连接字符串中存储的用户名和密码对）的不同而异。

还可使用自定义数据提供程序。

Visio 中（而非 Visio Services 中）支持以下数据源：

Access 数据库
未承载于 SharePoint Server 上的 Excel 工作簿
OLAP

将 Visio Services 连接到托管在 SharePoint Server 上的数据

Visio Services 支持连接到 SharePoint 场中托管的数据的数据连接的图表，其中包括：

驻留在文档库中的 Excel 工作簿
SharePoint 列表中的数据

连接到 Excel 工作簿

Visio Services 使用图表查看器的 SharePoint Server 凭据来连接到 .xlsx Excel 工作簿。若要成功执行身份验证操作，必须满足以下条件：

必须在 SharePoint 场上正确预配和配置Office Online Server。
必须在承载图表的场上承载工作簿。
图表查看器必须至少具有对 Excel 工作簿的"读取"权限。

无需任何其他配置步骤即可启用这类数据连接。

注意

[!注意] 作为连接到 Excel 工作簿的一部分，Visio Services 会请求 Excel Online 刷新工作簿（如果工作簿包含与外部数据的连接）。在此情况下，图表查看器的标识将传递到 Excel Online，以便 Excel Online 能够对基础数据源进行身份验证以刷新工作簿。

将 Visio Services 连接到 SharePoint 列表

Visio Services 使用图表查看器的 SharePoint Server 凭据来连接到 SharePoint 列表。若要成功执行身份验证操作，则必须满足以下条件：

为了使用户能够访问外部列表中的数据，用户必须具有访问外部内容类型的权限和访问外部数据源的权限。
图表查看器必须至少具有对 SharePoint 列表的“读取”权限。

无需任何其他配置步骤即可启用这类数据连接。

将 Visio Services 连接到外部数据

Visio Services 可连接到各种外部数据源，其中包括 SQL Server、OLE DB/ODBC 以及自定义数据提供程序。为了连接到数据源，Visio Services 将对每个数据源使用一个特定的数据提供程序。

作为一种安全措施，必须在 Visio Services 明确信任数据提供程序后才能使用它们。

可使用以下任一身份验证连接到 SQL Server 数据源：

Windows 身份验证
SQL Server 身份验证

其他数据源将使用一个连接字符串，该字符串通常由用户名和密码构成。

数据连接

Visio 图表将使用以下两种连接之一：

嵌入的连接
链接的连接

嵌入的连接将作为 Visio 图表的一部分存储。链接的连接将外部存储到 Office 数据连接 (ODC) 文件中的图表。若要使用链接的连接，图表必须引用存储在图表所在的场中的文件。每个数据连接均包含：

一个连接字符串
一个查询字符串
一种身份验证方法
（可选）检索外部数据所需的某些元数据

每种连接都具有自己优点和缺点（此处进行了讨论）；请选择最适合您方案的连接。

连接类型	嵌入的连接	ODC 文件
支持的数据源	SQL Server OLE DB/ODBC Excel 工作簿 SharePoint 列表自定义数据提供程序	SQL Server（支持所有身份验证方法） OLE DB/ODBC
优点	所有连接信息都存储在图表中。只需少量管理开销即可支持嵌入的连接。可轻松创建嵌入的连接。	可使用数据连接库集中存储、管理、审计、共享链接的连接并控制对它们的访问。图表作者可使用现有连接，而无需创建查询和连接字符串。如果数据源的数据连接详细信息发生更改，则管理员只需更新一个 ODC 文件。由于进行了该更改，所有引用 ODC 文件的关系图将在下次刷新时使用更新的连接信息。 (此方案的一个示例是移动数据库服务器或更改数据库名称时。)
缺点	如果数据源的数据连接详细信息发生更改，则必须将具有该数据源的嵌入连接的所有图表连同更新的连接信息一起重新发布。 SharePoint 管理员更难审核嵌入的数据连接。	链接连接可能需要 SharePoint 管理员的帮助才能共享、管理和保护。链接的连接将以明文形式保存，并可能包含数据库密码。必须额外谨慎以帮助保护这些文件。

对于您必须具有至企业规模关系数据源（如 SQL Server）的数据连接的方案，将通过使用 ODC 文件选择链接的数据连接。链接的数据连接在方案中最有用：对于将跨多个用户共享连接并且管理员对连接的控制很重要的方案，链接的数据连接最有用。

注意

如果您使用的是 Visio 2010，则必须先在 Excel 中创建 ODC 文件并将该文件导出到 SharePoint Server，然后才能将该文件与 Visio Services 一起使用。

对于您必须具有与仅供某些用户使用的小型数据源或基于文件的数据源的快速数据连接的方案，选择嵌入连接。

ODC 文件可存储在数据连接库（一类特殊的 SharePoint 文档库）中。在此类文档库中集中数据连接具有几大优点：

管理员可仅授予受信任的数据连接作者对数据连接库的写访问权，以确保图表作者仅使用经测试的安全数据连接。
管理员可在单个位置管理一大组用户的数据连接。
管理员可使用文档库版本控制和工作流功能轻松审批、审计、还原和管理数据连接文件。
最终用户只在一个位置查找图表数据，从而减少了混淆情况和用户培训。

Windows 身份验证

此类凭据是 Windows 网络上的一个公用凭据，并且是用于登录到 Windows 域上的计算机的同一凭据。 Windows 凭据将视为用于控制对 SQL Server 数据库的访问权的更安全且可管理的方法。但是，将 Windows 身份验证与 Visio Services 一起使用的障碍是 Windows 双跃点安全措施，其中将无法跨 Windows 网络中的多台计算机传递用户凭据。假定 Visio Services 是一个多层系统，Visio Services 需要使用特殊的身份验证方法才能代表最终用户检索数据。

Windows 身份验证需要 Visio Services 向 SQL Server 提供一组 Windows 凭据。执行此操作有多种方法。应根据各种因素来选择身份验证方法（下表概述了这些因素）。请选择最适合您方案的身份验证方法。

身份验证方法	Kerberos 约束委派	Secure Store	无人参与服务帐户
说明	通过使用 Kerberos 约束委派，将图表查看器的 Windows 凭据直接发送到数据源	通过使用Secure Store，将查看器的 Windows 凭据映射到Secure Store目标应用程序中指定的另一组凭据。	通过使用Secure Store，将所有查看器映射到特定的一组凭据（称作无人参与服务帐户），此类凭据存储在 Visio Services 全局设置中指定的特定Secure Store目标应用程序中。
数据连接凭据	图表绘图查看器的 Windows 凭据。	安全存储目标应用程序中指定的凭据。	无人参与服务帐户的凭据。
优点	Kerberos 协议是针对凭据管理的行业标准。 Kerberos 与现有 Active Directory 基础结构紧密结合。 Kerberos 委派允许审计对数据源的单个访问。在图表查看器标识已知的情况下，图表创建者可将个性化数据库查询嵌入图表中。	Secure Store是 SharePoint Server 的一部分，并且比 Kerberos 身份验证更易于配置。映射灵活：可按一对一或多对一的方式映射用户。非 Windows 凭据可用于连接到不接受 Windows 凭据的数据源。其他商业智能应用程序（如 Visio）可重用为 Excel Online 创建的映射。	无人参与服务帐户是最易于部署和安装的身份验证方法。无人参与服务帐户不会产生很多管理开销。
缺点	需要为 SharePoint Server 和 Visio Services 配置其他管理工作。	创建和管理映射表会产生一些管理开销。 Secure Store允许有限审计。在多对一方案中，通过目标应用程序将各个传入用户映射到同一凭据，这实际上是将他们融合为一个用户。	假定将所有人映射到同一凭据，管理员无法识别出访问数据源的人员。
若要使身份验证作成功...	若要成功执行身份验证操作…	必须在场上设置和配置Secure Store。它还必须包含特定传入用户的相应映射信息。此外，可能需要定期更新映射信息以反映映射帐户的密码更改。	必须在场上设置和配置Secure Store。它还必须包含特定传入用户的相应映射信息。此外，可能需要定期更新映射信息以反映映射帐户的密码更改。必须在 Visio Services 全局设置中配置无人参与服务帐户。

Kerberos 约束委派

选择 Kerberos 约束委派以便对支持 Windows 身份验证的企业规模的关系数据源进行更安全而快速的身份验证。

Secure Store

选择Secure Store以便对可能支持 Windows 身份验证的企业规模的关系数据源进行身份验证。对于要控制用户凭据映射的方案，Secure Store也很有用。

无人参与服务帐户

为了便于配置，Visio Graphics Service 提供了一个特殊配置，管理员可在其中创建唯一映射（可在该映射中将所有用户映射到一组凭据）。

该帐户（称作无人参与服务帐户）必须是低特权 Windows 域帐户。 Visio Services 在代表图表查看器连接到数据源时将模拟该帐户。

最佳实践是，为该帐户分配尽可能少的网络权限（通常仅登录到网络）并访问希望用户连接到的数据源。为了获得更佳安全性，请确保无人参与服务帐户不具有对 SharePoint 配置和内容数据库的访问权。

在以下情况下，Visio Services 将使用无人参与服务帐户：

当 ODC 文件指定对 Windows 或 SQL Server 身份验证使用无人参与服务帐户时
当未使用 ODC 且 Kerberos 身份验证失败时

注意

[!注意] 无人参与帐户可以是类型为 Windows 的本地计算机帐户。如果将无人参与服务帐户配置为本地计算机帐户，则请确保该配置在每台运行 Visio Services 的应用程序服务器上均相同。出于可管理性方面的原因，最佳实践是使用域帐户。

当连接到安全性不是很重要或部署速度非常重要的小型临时部署时，可选择无人参与服务帐户。

有关如何将无人参与服务帐户与 Visio Services 一起使用的信息，请参阅安全存储的业务智能服务应用程序。

SQL Server 身份验证

SQL Server 身份验证要求 Visio Services 向 SQL Server 数据源提供一个 SQL Server 用户名和密码以进行身份验证。 Visio Services 将从数据连接的连接字符串中提取该用户名和密码，并将它们传递到数据源。

为了降低安全风险，Visio Services 在连接到此类数据源时将模拟无人参与服务帐户。

针对 OLE DB/ODBC 数据源的身份验证

对第三方数据源进行身份验证通常需要 Visio Services 向数据源提供一个用户名和密码。与 SQL Server 身份验证类似，Visio Services 将从数据连接的连接字符串中提取该用户名和密码，并将它们传递到数据源。