Compartir a través de


Planear la seguridad de los Servicios de Visio en SharePoint Server

SE APLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint en Microsoft 365

Además de los requisitos de seguridad para implementar SharePoint Server, también debe revisar las consideraciones de seguridad de una implementación que incluya servicios de Visio. Servicios de Visio permite representar diagramas de Visio en una ventana del explorador. Estos diagramas pueden conectarse a datos externos y los elementos del diagrama pueden actualizarse en función de estos datos. La seguridad es un componente importante para poder habilitar estos escenarios de presentación de datos. Servicios de Visio proporciona un nivel significativo de control específico para el procesamiento y la visualización de diagramas de Visio y a qué orígenes de datos se pueden conectar.

Almacenar diagramas de Visio en bibliotecas de documentos de SharePoint

Los diagramas de Visio deben almacenarse en bibliotecas de documentos de SharePoint para abrirse con Servicios de Visio. SharePoint Server mantiene una lista de control de acceso (ACL) para los archivos contenidos en la biblioteca de documentos. Si se configuran las reglas de la biblioteca correctamente, se puede limitar el acceso a un diagrama en particular.

Diagramas de Visio que no están conectados a datos

Servicio de gráficos de Visio puede conectarse a orígenes de datos. Entre estos se incluyen listas de SharePoint (incluidas las listas externas), bases de datos como SQL Server y orígenes de datos personalizados. Puede controlar el acceso a orígenes de datos específicos definiendo explícitamente los proveedores de datos de confianza y configurándolos en la lista de proveedores de datos de confianza.

Nota:

Para obtener acceso a orígenes de datos externos, Servicios de Visio usa una identidad de Windows delegada. Por eso, los orígenes de datos externos deben residir en el mismo dominio que la granja de servidores de SharePoint Server o se debe configurar Servicios de Visio para que use Servicio de almacenamiento seguro. Si no se usa Almacén seguro y los orígenes de datos externos no residen en el mismo dominio, se producirá un error en la autenticación de los orígenes de datos externos.

Cuando Servicios de Visio carga un diagrama conectado a datos, el servicio comprueba la información de conexión almacenada en el diagrama para determinar si el proveedor de datos especificado es un proveedor de datos de confianza. Si el proveedor aparece especificado en la lista de proveedores de datos de confianza de Servicios de Visio, se intenta establecer una conexión; de lo contrario, se ignorará la solicitud de conexión.

Una vez que un administrador ha configurado Servicios de Visio para habilitar conexiones a un origen de datos en particular, hay configuraciones de seguridad adicionales que se deben realizar, según el tipo de origen de datos. Servicios de Visio admite los siguientes orígenes de datos:

  • Listas de SharePoint, incluidas las listas externas habilitadas a través de Servicios de conectividad empresarial de Microsoft

  • Bases de datos como bases de datos de SQL Server

  • Proveedores de datos personalizados

Diagramas de Visio que están conectados a listas de SharePoint

Los diagramas de Visio pueden conectarse a listas de SharePoint en la misma granja de servidores en la que está hospedado el diagrama. El usuario que visualiza el diagrama debe tener acceso al diagrama y a la lista de SharePoint a la que este está conectado. Estos permisos y credenciales se administran a través de SharePoint Server.

Los diagramas de Visio también se pueden conectar a listas externas utilizando Servicios de conectividad empresarial de Microsoft. Las listas externas que se muestran a través de un tipo de contenido externo de Servicios de conectividad empresarial de Microsoft se pueden conectar a un diagrama de Visio en Visio y los datos se pueden actualizar a través de Servicios de Visio. A fin de que un usuario obtenga acceso a datos de una lista externa, el usuario debe tener permisos para obtener acceso al tipo de contenido externo y permisos para obtener acceso al origen de datos externo.

Diagramas de Visio que están conectados a bases de datos de SQL Server

Cuando un diagrama de Visio se conecta a una base de datos de SQL Server, Servicios de Visio usa opciones de configuración de seguridad adicionales para establecer una conexión entre Servicio de gráficos de Visio y la base de datos.

Los métodos de autenticación que admite Servicios de Visio son los siguientes:

  • Autenticación integrada de Windows: en este modelo de seguridad, Servicio de gráficos de Visio usa la identidad del usuario que visualiza el diagrama para realizar la autenticación con la base de datos. La autenticación integrada de Windows con delegación limitada de kerberos es más útil para aumentar la seguridad que los otros métodos de autenticación mostrados en esta lista. Esta configuración hace necesario que la delegación limitada de kerberos esté habilitada entre el servidor de aplicaciones que está ejecutando el Servicio de gráficos de Visio y el servidor de bases de datos. La base de datos misma podría necesitar una configuración adicional para habilitar la autenticación basada en Kerberos.

  • Servicio de almacenamiento seguro: en este modelo de seguridad, Servicio de gráficos de Visio usa Servicio de almacenamiento seguro para asignar las credenciales del usuario a otra credencial que tiene acceso a la base de datos. Almacén seguro admite asignaciones individuales y de grupo para la autenticación integrada de Windows y para otras formas de autenticación, por ejemplo, la autenticación de SQL Server. Esto da a los administradores más flexibilidad para definir relaciones uno a uno, de varios a uno o de varios a varios.

  • Cuenta de servicio desatendida Para facilitar la configuración, el Servicio de gráficos de Visio proporciona una configuración especial en la que un administrador puede crear una asignación única que asocie a todos los usuarios a una sola cuenta mediante una aplicación de destino del Almacén seguro. Esta cuenta asignada, denominada cuenta de servicio desatendida, debe ser una cuenta de dominio de Windows con privilegios bajos que tenga acceso a las bases de datos. El servicio de gráficos de Visio suplanta esta cuenta cuando se conecta a la base de datos si no se especifica ningún otro método de autenticación. Tenga en cuenta que este método no habilita las consultas personalizadas en una base de datos y no permite la auditoría de llamadas a bases de datos. Este método de autenticación es el método de autenticación predeterminado que se usa al conectarse a bases de datos de SQL Server: si no se usa ningún archivo ODC en el diagrama de Visio que especifica un método de autenticación diferente, servicios de Visio usa las credenciales especificadas por la cuenta desatendida para conectarse a la base de datos de SQL Server.

En una granja de servidores más grande es probable que los diagramas de Visio usen una combinación de los métodos de autenticación que se describen aquí. Es importante tener en cuenta lo siguiente:

  • Servicios de Visio admite el uso del Almacén seguro y de una cuenta de servicio desatendida en la misma granja de servidores. En los diagramas conectados a datos de SQL Server pero que no usan archivos ODC, la cuenta desatendida es obligatoria y se usa siempre.

  • Si se selecciona la autenticación integrada de Windows y se produce un error en la autenticación al origen de datos, Servicios de Visio no intentará presentar el diagrama con la cuenta de servicio desatendida.

  • La autenticación integrada de Windows puede usarse junto con Almacén seguro si se configura que los diagramas usen una aplicación de destino de Almacén seguro para los diagramas que necesitan credenciales específicas.

Consulte también

Otros recursos

Almacenamiento seguro para aplicaciones de servicio de inteligencia de negocios