Autenticación de datos para los Servicios de Visio en SharePoint Server
SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365
Los orígenes de datos se clasifican como internos o externos de la siguiente forma:
Internos: datos hospedados dentro de la granja de servidores de SharePoint, por ejemplo, un libro de Excel o una lista de SharePoint.
Externos: datos de SQL Server o un origen de datos OLE DB u ODBC.
La recuperación de datos desde un origen de datos requiere que el usuario se autentique mediante el origen de datos y que esté autorizado para tener acceso a los datos incluidos en él. En el caso de un diagrama, Servicios de Visio se autenticará en el origen de datos en nombre del usuario que lo está viendo con el fin de actualizar los datos con los que está conectado el diagrama.
El método de autenticación que Servicios de Visio puede usar para recuperar datos depende del tipo de origen de datos subyacente, tal como se indica en la tabla siguiente. En el caso de los orígenes de datos que admiten más de un método de autenticación, las conexiones de datos deben especificar cuál se debe usar.
Origen de datos | Método de autenticación |
---|---|
Listas de SharePoint |
Permisos de usuario de SharePoint |
Libros de Excel |
Permisos de usuario de SharePoint |
SQL Server |
Uno de: Autenticación de Windows (seguridad integrada) con delegación limitada de kerberos con almacenamiento seguro con la cuenta de servicio desatendida Autenticación de SQL Server |
OLE DB/ODBC |
Varía según el origen de datos, normalmente un par de nombre de usuario y contraseña que se almacena en la cadena de conexión. |
También se pueden usar proveedores de datos personalizados.
Los siguientes orígenes de datos se admiten en Visio, pero no en Servicios de Visio:
Bases de datos de Access
Libros de Excel no hospedados en SharePoint Server
OLAP
Conexión de los Servicios de Visio con los datos hospedados en SharePoint Server
Servicios de Visio admite diagramas conectados por datos y que se conectan con datos hospedados en la granja de servidores de SharePoint, entre los que se incluyen los siguientes:
Libros de Excel que residen en una biblioteca de documentos
Datos en listas de SharePoint
Conexión con libros de Excel
Servicios de Visio usa las credenciales de SharePoint Server del visor del diagrama para conectarse a un libro .xlsx de Excel. Para que la operación de autenticación se realice correctamente, tienen que cumplirse las condiciones siguientes:
Office Online Server debe aprovisionarse correctamente y configurarse en la granja de servidores de SharePoint.
El libro debe estar hospedado en la misma granja de servidores que el diagrama.
El visor del diagrama debe tener al menos permisos de lectura en el libro de Excel.
No se requieren otros pasos de configuración para habilitar este tipo de conexión de datos.
Nota:
Como parte de la conexión a un libro de Excel, Servicios de Visio solicita que Excel Online actualice el libro si contiene conexiones a datos externos. En este caso, la identidad del visor del diagrama se pasa a Excel Online para que Excel Online se pueda autenticar en orígenes de datos subyacentes para actualizar el libro.
Conectar los Servicios de Visio con listas de SharePoint
Servicios de Visio usa las credenciales de SharePoint Server del visor del diagrama para conectarse con una lista de SharePoint. Para que la operación de autenticación se realice correctamente, deben cumplirse las siguientes condiciones:
A fin de que un usuario obtenga acceso a datos de una lista externa, el usuario debe tener permisos para obtener acceso al tipo de contenido externo y permisos para obtener acceso al origen de datos externo.
El visor del diagrama debe tener al menos permisos de lectura para la lista de SharePoint.
No se requieren otros pasos de configuración para habilitar este tipo de conexión de datos.
Conectar los Servicios de Visio con datos externos
Servicios de Visio puede conectarse con diversos orígenes de datos externos, incluidos SQL Server, OLE DB/ODBC y proveedores de datos personalizados. Para conectarse con el origen de datos, Servicios de Visio usa un proveedor de datos específico para cada origen de datos.
Como medida de seguridad, Servicios de Visio tiene que confiar de forma explícita en los proveedores de datos antes de que se puedan usar.
La conexión con un origen de datos de SQL Server se puede realizar mediante:
Autenticación de Windows
Autenticación de SQL Server
Otros orígenes de datos usan una cadena de conexión que se compone normalmente de un nombre de usuario y una contraseña.
Conexiones de datos
Los diagramas de Visio usan uno de estos dos tipos de conexión:
Conexiones incrustadas
Conexiones vinculadas
Las conexiones incrustadas se almacenan como parte del diagrama de Visio. Las conexiones vinculadas se almacenan externamente a un diagrama en archivos de conexión de datos de Office (ODC). Para usar una conexión vinculada, un diagrama debe hacer referencia a un archivo .odc que también se almacena en la misma granja de servidores que el diagrama. Cada conexión de datos está compuesta por:
Una cadena de conexión
Una cadena de consulta
Un método de autenticación
Opcionalmente, algunos metadatos necesarios para recuperar datos externos
Cada tipo de conexión tiene sus ventajas y desventajas que aquí se describen; elija la que mejor se adapte a su situación.
Tipo de conexión | Conexiones incrustadas | Archivos ODC |
---|---|---|
Orígenes de datos admitidos |
SQL Server OLE DB/ODBC Libros de Excel Listas de SharePoint Proveedores de datos personalizados |
SQL Server (admite todos los métodos de autenticación) OLE DB/ODBC |
Ventajas |
Toda la información de conexión se almacena en el diagrama. Las conexiones incrustadas requieren poca sobrecarga administrativa compatible. Las conexiones incrustadas son fáciles de crear. |
Las conexiones vinculadas se pueden almacenar, administrar, auditar y compartir centralmente; el acceso a estas se controla mediante el uso de una biblioteca de conexiones de datos. Los autores de los diagramas pueden usar conexiones existentes sin tener que crear cadenas de conexión y consulta. Si se modifican los detalles de la conexión de datos de un origen de datos, un administrador solo necesita actualizar un archivo ODC. Gracias a ese cambio, todos los diagramas que hacen referencia al archivo ODC usarán la información de conexión actualizada cuando se produzca la siguiente actualización. (Un ejemplo de este escenario es cuando el servidor de bases de datos se mueve o el nombre de la base de datos cambia). |
Desventajas |
Si se modifican los detalles de la conexión de datos de un origen de datos, todos los diagramas con conexiones incrustadas a ese origen de datos tendrán que volver a publicarse con información actualizada de la conexión. Las conexiones de datos incrustadas son más difíciles de auditar por parte de los administradores de SharePoint. |
Las conexiones vinculadas pueden requerir la ayuda de un administrador de SharePoint para compartir, administrar y proteger. Las conexiones vinculadas se guardan como texto no cifrado y pueden contener contraseñas de base de datos. Para ayudar a proteger estos archivos, se debe tener especial cuidado. |
Elija una conexión de datos vinculada, mediante un archivo ODC, para escenarios en los que se debe tener una conexión de datos con un origen de datos relacional de nivel de empresa como SQL Server. Las conexiones de datos vinculadas son muy útiles en situaciones en las se van a compartir entre varios usuarios y en las que es importante el control del administrador sobre la conexión.
Nota:
Si usa Visio 2010, los archivos ODC deben crearse primero en Excel y exportarse a SharePoint Server antes de que se puedan usar con Servicios de Visio.
Elija una conexión incrustada para escenarios en los que se debe tener una conexión de datos rápida con un origen de datos pequeño o basado en archivos que solo usarán algunos usuarios.
Los archivos ODC se pueden almacenar en una biblioteca de conexiones de datos, un tipo especial de biblioteca de documentos de SharePoint. La centralización de las conexiones de datos en esta biblioteca de documentos tiene varias ventajas:
Los administradores pueden restringir el acceso de escritura a una biblioteca de conexiones de datos a los autores de la conexión de datos de confianza para asegurarse de que los autores de diagramas solo usan conexiones de datos seguras y probadas.
Los administradores tienen una sola ubicación para administrar las conexiones de datos para un grupo grande de usuarios.
Los administradores pueden aprobar, auditar, revertir y administrar fácilmente los archivos de conexión de datos mediante el uso de características de flujo de trabajo y el control de versiones de la biblioteca de documentos.
Los usuarios finales solo tienen una ubicación para buscar datos de diagramas, lo que reduce los equívocos y el aprendizaje del usuario.
Autenticación de Windows
Este tipo de credencial es habitual en redes de Windows y es la misma credencial que se usa para iniciar sesión en los equipos de un dominio de Windows. Las credenciales de Windows se consideran los medios más seguros y administrables para controlar el acceso a las bases de datos de SQL Server. Pero un obstáculo para el uso de la autenticación de Windows con Servicios de Visio es la medida de seguridad de dos saltos de Windows, que no permite pasar las credenciales de un usuario a más de un equipo en una red de Windows. Como Servicios de Visio es un sistema de varios niveles, se necesitan métodos de autenticación especiales para que Servicios de Visio recupere datos en nombre del usuario final.
La autenticación de Windows necesita que Servicios de Visio presente a SQL Server un conjunto de credenciales de Windows. Existen varias formas de hacer esto. El método de autenticación que elija depende de varios factores, tal como se indica en la tabla siguiente. Elija el que mejor se adapte a su situación.
Método de autenticación | Delegación Kerberos con restricciones | Almacén seguro | Cuenta de servicio desatendida |
---|---|---|---|
Descripción |
Mediante la delegación limitada de kerberos, las credenciales de Windows del visor del diagrama se envían directamente al origen de datos. |
Mediante Almacén seguro, las credenciales de Windows del visor se asignan a otro conjunto de credenciales especificado en una aplicación de destino de Almacén seguro. |
Mediante Almacén seguro, todos los visores se asignan a un conjunto determinado de credenciales, denominado "cuenta de servicio desatendida", que se almacena en una aplicación de destino de Almacén seguro especificada en la configuración global de Servicios de Visio. |
Credenciales de conexión de datos |
Las credenciales de Windows del visor del diagrama. |
Las credenciales especificadas en la aplicación de destino de almacenamiento seguro. |
Las credenciales de la cuenta de servicio desatendida. |
Ventajas |
El protocolo Kerberos es un estándar de la industria en administración de credenciales. Kerberos se adapta a la infraestructura existente de Active Directory. La delegación Kerberos permite la auditoría de acceso individual a un origen de datos. Dado que se conoce la identidad del visor del diagrama, los creadores de diagramas pueden incrustar consultas de base de datos personalizadas en los diagramas. |
Almacén seguro es parte de SharePoint Server y es más fácil de configurar que la autenticación de Kerberos. Las asignaciones son flexibles: se puede asignar un usuario ya sea uno a uno o varios a uno. Las credenciales que no son de Windows se pueden usar para conectarse con orígenes de datos que no aceptan credenciales de Windows. Las asignaciones creadas para Visio se pueden volver a usar en otras aplicaciones de inteligencia empresarial, como Excel Online. |
La cuenta de servicio desatendida es el método de autenticación más fácil de implementar y configurar. La cuenta de servicio desatendida no requiere mucha sobrecarga administrativa. |
Desventajas |
Esfuerzo administrativo adicional necesario para configurar SharePoint Server y Servicios de Visio. |
El establecimiento y la administración de tablas de asignación requieren cierta sobrecarga administrativa. Almacén seguro permite la auditoría limitada. En el escenario de varios a uno, los usuarios entrantes individuales se asignan a las mismas credenciales mediante una aplicación de destino, que los combina de forma eficaz en un usuario. |
Dado que todos los usuarios se asignan a las mismas credenciales, un administrador no puede distinguir quién tiene acceso a un origen de datos. |
Para que la operación de autenticación se realice correctamente... |
La delegación limitada de kerberos se debe configurar en la granja de servidores de SharePoint. |
Almacén seguro debe estar aprovisionado y configurado en la granja. También debe contener información de asignación adecuada para un usuario entrante específico. Además, la información de asignación debe actualizarse periódicamente para reflejar los cambios de contraseña en la cuenta asignada. |
Almacén seguro debe estar aprovisionado y configurado en la granja de servidores. También debe contener las credenciales para una cuenta de servicio desatendida. Además, la información de asignación debe actualizarse periódicamente para que los cambios de contraseña se reflejen en la cuenta asignada. La cuenta de servicio desatendida se debe definir en la configuración global de Servicio de Visio. |
Delegación Kerberos con restricciones
Elija la delegación limitada de kerberos para lograr una autenticación más segura y rápida en los orígenes de datos relacionales de nivel de empresa compatibles con la autenticación de Windows.
Almacén seguro
Elija Almacén seguro para la autenticación en orígenes de datos relacionales de nivel de empresa que sean o no compatibles con la autenticación de Windows. Almacén seguro también resulta útil en situaciones en las que se van a controlar las asignaciones de credenciales de usuario.
Cuenta de servicio desatendida
Para facilitar la configuración de Servicio de gráficos de Visio, proporciona una configuración especial en la que un administrador puede crear una asignación única donde todos los usuarios se asignan a un conjunto único de credenciales.
Esta cuenta, conocida como cuenta de servicio desatendida, debe usar una cuenta de dominio de Windows con privilegios bajos. Servicios de Visio suplanta esta cuenta cuando se conecta a un origen de datos en nombre de un visor de diagrama.
Se recomienda conceder a esta cuenta el menor número posible de permisos de red, normalmente solo para iniciar sesión en la red y acceder al origen de datos al que desea que se conecten los usuarios. Para mejorar la seguridad, asegúrese de que la cuenta de servicio desatendida no tiene acceso a las bases de datos de configuración y contenido de SharePoint.
La cuenta de servicio desatendida se usa con Servicios de Visio en estas circunstancias:
Cuando un archivo ODC especifica el uso de la cuenta de servicio desatendida para la autenticación de SQL Server o Windows
Cuando no se usa ningún archivo ODC y se produce un error en la autenticación Kerberos
Nota:
La cuenta de servicio desatendida puede ser una cuenta de equipo local del tipo Windows. Si la cuenta de servicio desatendida se configura como cuenta de equipo local, asegúrese de que la configuración es idéntica en cada servidor de aplicaciones en el que se ejecutan Servicios de Visio. Por razones de facilidad de uso, se recomienda usar una cuenta de dominio
Elija la cuenta de servicio desatendida cuando se conecte a implementaciones pequeñas ad hoc en las que la seguridad es menos importante o para las que la velocidad de implementación es esencial.
Para obtener información sobre cómo usar la cuenta de servicio desatendida con Servicios de Visio, vea Almacenamiento seguro para aplicaciones de servicio de inteligencia de negocios.
Autenticación de SQL Server
La autenticación de SQL Server requiere que Servicios de Visio presente un nombre de usuario y contraseña de SQL Server a un origen de datos de SQL Server para la autenticación. Servicios de Visio extrae este nombre de usuario y contraseña de la cadena de conexión de datos y lo pasa al origen de datos.
Para reducir los riesgos de seguridad, Servicios de Visio suplanta la cuenta de servicio desatendida al conectarse a este tipo de origen de datos.
Autenticación con orígenes de datos OLE DB/ODBC
La autenticación en los orígenes de datos de terceros normalmente requiere que Servicios de Visio presenten un nombre de usuario y una contraseña al origen de datos. Al igual que sucede con la autenticación de SQL Server, Servicios de Visio extrae este nombre de usuario y contraseña de la cadena de conexión de datos y los pasa al origen de datos al origen de datos.
Para reducir los riesgos de seguridad, Servicios de Visio suplanta la cuenta de servicio desatendida al conectarse a este tipo de origen de datos.
Actualización de datos de Servicios de Visio
Servicios de Visio permite actualizar diagramas conectados a uno o varios de los siguientes orígenes de datos:
SQL Server
Listas de SharePoint
Libros de Excel hospedados en SharePoint Server
Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 y DB2 9.2
Nota:
Si el origen de datos con el que se va a conectar no está en la lista anterior, puede agregar compatibilidad para él mediante la creación de un proveedor de datos personalizado de Visio. Esta tecnología permite encapsular los orígenes de datos existentes en uno que puede usar Servicios de Visio.
Se puede desencadenar la actualización en una de las siguientes formas desde el explorador:
El usuario final abre el diagrama.
El usuario final hace clic en el botón de actualización en un diagrama que ya está abierto.
El usuario final carga una página que contiene el elemento web de Visio Web Access que se configuró con un diseñador de sitios para actualizarse automáticamente.
Nota:
Un diseñador de sitios de SharePoint debe colocar el elemento web de Visio Web Access en una página y configurarlo para que se actualice periódicamente.
Si no existen versiones de este diagrama previamente almacenadas en caché, cualquiera de estas acciones desencadenará una actualización y actualizará el diagrama. Para obtener información sobre cómo configurar las opciones de caché para Servicios de Visio, vea Configurar Servicios de Visio.