适用于:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
除了部署 SharePoint Server 的安全要求外,还应查看包括 Visio Services 的部署的安全考虑事项。 Visio Services 使您能够在浏览器窗口中呈现 Visio 图表。 这些图表可连接到外部数据,且图表元素可根据该数据进行更新。 在实施这些数据呈现方案时需要考虑安全性这一重要因素。 利用 Visio Services,可对 Visio 图表及其可连接到的数据源的处理和显示过程进行精细控制。
在 SharePoint 文档库中存储 Visio 图表
Visio 图表必须存储在 SharePoint 文档库中才能由 Visio Services 打开。 SharePoint Server 保存文档库中包含的文件的访问控制列表 (ACL)。 通过正确设置库规则,您可以限制对特定图表的访问权限。
连接到数据的 Visio 图表
Visio Graphics Service 可与数据源相连。 这些数据源包括 SharePoint 列表(包括外部列表)、诸如 SQL Server 等数据库以及自定义数据源。 通过明确定义受信任的数据提供程序并在受信任数据提供程序列表中配置它们,您可以控制对特定数据源的访问权限。
注意
[!注意] Visio Services 通过使用委派的 Windows 标识来访问外部数据源。 因此,外部数据源必须与 SharePoint Server 服务器场位于同一域中,或者 Visio Services 必须配置为使用 Secure Store Service。 如果未使用 Secure Store 且外部数据源未在同一域中,则对外部数据源进行的身份验证将失败。
当 Visio Services 加载连接数据的图表时,此服务会检查该图表中存储的连接信息,以确定指定的数据提供程序是否为受信任的数据提供程序。 如果该提供程序是在 Visio Services 受信任数据提供程序列表中指定的,则会尝试进行连接;否则,将忽略连接请求。
在管理员将 Visio Services 配置为启用与特定数据源的连接之后,用户必须根据数据源的种类进行其他安全配置。 Visio Services 支持以下数据源:
SharePoint 列表,包括通过 Microsoft Business Connectivity Services 启用的外部列表
诸如 SQL Server 数据库等数据库
自定义数据提供程序
与 SharePoint 列表连接的 Visio 图表
Visio 图表可连接到托管它的同一服务器场上的 SharePoint 列表。 查看图表的用户必须拥有对图表及与其连接的 SharePoint 列表的访问权限。 这些权限和凭据均由 SharePoint Server 进行管理。
还可以使用 Microsoft 业务连接 服务将 Visio 关系图连接到外部列表。 通过 Microsoft 业务连接 服务外部内容类型公开的外部列表可以连接到 Visio 中的 Visio 图表,并且可以通过 Visio 服务刷新数据。 为了使用户能够访问外部列表中的数据,用户必须具有访问外部内容类型的权限和访问外部数据源的权限。
与 SQL Server 数据库连接的 Visio 图表
将 Visio 图表连接到 SQL Server 数据库后,Visio Services 将使用其他安全配置选项在 Visio Graphics Service 和此数据库之间建立连接。
Visio Services 支持的验证方法如下所示:
集成 Windows 身份验证 在此安全模型中,Visio Graphics Service 使用图表查看者的身份来向数据库验证身份。 与此列表中显示的其他验证方法相比,具有受约束的 Kerberos 委派的集成 Windows 身份验证更有助于提高安全性。 此配置需要在正在运行 Visio Graphics Service 的应用程序服务器和数据库服务器之间启用受约束的 Kerberos 委派。 数据库本身可能需要进行其他配置,才能启用基于 Kerberos 的身份验证。
Secure Store Service 在此安全模型中,Visio Graphics Service 使用 Secure Store Service 将用户凭据映射到有权访问数据库的其他凭据。 Secure Store支持将个人映射和组映射用于集成 Windows 身份验证和其他形式的身份验证(例如 SQL Server 身份验证)。 这使得管理员能够更加灵活地定义一对一、多对一或多对多关系。
无人参与服务帐户 为便于配置,Visio Graphics Service 提供了一种特殊配置,管理员可在其中创建使用Secure Store目标应用程序将所有用户关联到一个帐户的唯一映射。 此映射帐户称为无人参与服务帐户,它必须是授予了数据库访问权限的低特权 Windows 域帐户。 如果未指定其他身份验证方法,则 Visio Graphics Service 在与数据库相连时会模拟该帐户。 请注意,此方法不会对数据库进行个性化查询,也不会对数据库调用进行审计。 此身份验证方法是在连接到 SQL Server 数据库时使用的默认身份验证方法:如果指定不同身份验证方法的 Visio 图表中未使用 ODC 文件,Visio Services 将使用无人参与帐户指定的凭据连接到 SQL Server 数据库。
在较大的服务器场中,Visio 图表可能会使用下面介绍的混合身份验证方法。 此时,必须注意以下事项:
Visio Services 支持在同一服务器场中同时使用Secure Store和无人参与服务帐户。 在连接到 SQL Server 数据但未使用 ODC 文件的图表中,必须始终使用无人参与帐户。
如果选择"集成 Windows 身份验证",且对数据源的身份验证失败,Visio Services 将不会使用无人参与服务帐户呈现图表。
通过将图表配置为对需要特定凭据的那些图表使用Secure Store目标应用程序,可以将集成 Windows 身份验证与Secure Store结合使用。