Autenticación de datos para los Servicios de Visio
Se aplica a: SharePoint Server 2010
Última modificación del tema: 2016-11-30
Servicios de Visio en Microsoft SharePoint Server 2010 admite dibujos web conectados con datos y con diversos orígenes de datos, entre los que se incluyen los siguientes:
Datos hospedados dentro de la granja de servidores de SharePoint, por ejemplo, un libro de Microsoft Excel o una lista de SharePoint.
Datos externos, por ejemplo, datos de Microsoft SQL Server o un origen de datos OLE DB u ODBC.
La recuperación de datos desde un origen de datos requiere que el usuario se autentique mediante el origen de datos y que esté autorizado para tener acceso a los datos incluidos en él. En el caso de un dibujo web, Servicios de Visio se autenticará en el origen de datos en nombre del usuario que lo está viendo con el fin de actualizar los datos con los que está conectado el dibujo.
.jpg "Recuperación de datos de un origen de datos")
El método de autenticación que Servicios de Visio puede usar para recuperar datos depende del tipo de origen de datos subyacente, tal como se indica en la tabla siguiente. En el caso de los orígenes de datos que admiten más de un método de autenticación, las conexiones de datos deben especificar cuál se debe usar.
| Origen de datos | Método de autenticación |
|---|---|
Listas de SharePoint |
Permisos de usuario de SharePoint |
Libros de Excel |
Permisos de usuario de SharePoint |
SQL Server |
Uno de:
|
OLE DB/ODBC |
Varía según el origen de datos, normalmente un par de nombre de usuario y contraseña que se almacena en la cadena de conexión. |
También se pueden usar proveedores de datos personalizados. Para obtener más información, vea el tema sobre cómo crear un proveedor de datos personalizado con Visio Services (https://go.microsoft.com/fwlink/?linkid=196860&clcid=0xC0A).
Los siguientes orígenes de datos se admiten en Microsoft Visio, pero no en Servicios de Visio:
Bases de datos de Access
Libros de Excel no hospedados en SharePoint Server
OLAP
Conectarse con los datos hospedados en SharePoint Server
Servicios de Visio admite dibujos web conectados con datos y que se conectan con los datos hospedados en la granja de servidores de SharePoint, entre los que se incluyen los siguientes:
Libros de Excel que se encuentran en una biblioteca de documentos
Datos en listas de SharePoint
Conexión con libros de Excel
Servicios de Visio usa las credenciales de SharePoint Server del visor del dibujo web para conectarse con un libro .xlsx de Excel. Para que la operación de autenticación se realice correctamente, deben cumplirse las siguientes condiciones:
Servicios de Excel debe estar correctamente aprovisionado y configurado en la granja de servidores de SharePoint.
El libro debe estar hospedado en la misma granja de servidores que el dibujo web.
El visor del dibujo web debe tener al menos permisos de lectura para el libro de Excel.
No se requieren otros pasos de configuración para habilitar este tipo de conexión de datos.
Nota
Como parte de la conexión a un libro de Excel, Servicios de Visio solicita que Servicios de Excel actualice el libro si éste contiene conexiones a datos externos. En este caso, la identidad del visor del dibujo se pasa a Servicios de Excel para que Servicios de Excel se pueda autenticar en orígenes de datos subyacentes para actualizar el libro.
Conexión con listas de SharePoint
Servicios de Visio usa las credenciales de SharePoint Server del visor del dibujo web para conectarse con una lista de SharePoint. Para que la operación de autenticación se realice correctamente, deben cumplirse las siguientes condiciones:
La lista de SharePoint debe estar hospedada en la misma granja de servidores que el dibujo web.
El visor del dibujo web debe tener al menos permisos de lectura para la lista de SharePoint.
No se requieren otros pasos de configuración para habilitar este tipo de conexión de datos.
Conexión con datos externos
Servicios de Visio puede conectarse con diversos orígenes de datos externos, incluidos SQL Server, OLE DB/ODBC y proveedores de datos personalizados. Para conectarse con el origen de datos, Servicios de Visio usa un proveedor de datos específico para cada origen de datos.
Como medida de seguridad, Servicios de Visio debe confiar explícitamente en los proveedores de datos antes de que se puedan usar. Para obtener más información acerca de los proveedores de datos de confianza, vea Configuración de proveedores de datos de confianza del servicio de gráficos de Visio (SharePoint Server 2010).
La conexión con un origen de datos de Microsoft SQL Server se puede realizar mediante:
Autenticación de Windows
Autenticación de SQL Server
Otros orígenes de datos usan una cadena de conexión que se compone normalmente de un nombre de usuario y una contraseña.
Conexiones de datos
Los dibujos web de Visio usan uno de estos dos tipos de conexión:
Conexiones incrustadas
Conexiones vinculadas
Las conexiones incrustadas se almacenan como parte del dibujo web de Visio. Las conexiones vinculadas se almacenan externamente a un dibujo web en archivos de conexión de datos de Office (ODC). Para usar una conexión vinculada, un dibujo web debe hacer referencia a un archivo .odc que también se almacena en la misma granja de servidores que el dibujo web. Cada conexión de datos está compuesta por:
Una cadena de conexión
Una cadena de consulta
Un método de autenticación
Opcionalmente, algunos metadatos necesarios para recuperar datos externos
Cada tipo de conexión tiene sus ventajas y desventajas que aquí se describen; elija la que mejor se adapte a su situación.
| Tipo de conexión | Conexiones incrustadas | Archivos ODC |
|---|---|---|
Orígenes de datos admitidos |
|
|
Ventajas |
|
|
Desventajas |
|
|
Elija una conexión de datos vinculada, mediante un archivo ODC, para escenarios en los que se debe tener una conexión de datos con un origen de datos relacional de nivel de empresa como SQL Server. Las conexiones de datos vinculadas son muy útiles en situaciones en las se van a compartir entre varios usuarios y en las que es importante el control del administrador sobre la conexión.
Nota
Los archivos ODC primero deben crearse en Excel y exportarse a SharePoint Server antes de que se puedan usar con Servicios de Visio.
Elija una conexión incrustada para escenarios en los que se debe tener una conexión de datos rápida con un origen de datos pequeño o basado en archivos que sólo usarán algunos usuarios.
Los archivos ODC se pueden almacenar en una biblioteca de conexiones de datos, un tipo especial de biblioteca de documentos de SharePoint. La centralización de las conexiones de datos en esta biblioteca de documentos tiene varias ventajas:
Los administradores pueden restringir el acceso de escritura a una biblioteca de conexiones de datos a los autores de la conexión de datos de confianza para asegurarse de que los autores de dibujos web sólo usan conexiones de datos seguras y probadas.
Los administradores tienen una sola ubicación para administrar las conexiones de datos para un grupo grande de usuarios.
Los administradores pueden aprobar, auditar, revertir y administrar fácilmente los archivos de conexión de datos mediante el uso de características de flujo de trabajo y el control de versiones de la biblioteca de documentos.
Las bibliotecas de conexiones de datos se pueden volver a usar en otras aplicaciones de Office como Excel, Servicios de Excel, Microsoft InfoPath 2010, InfoPath Forms Services y Microsoft Word.
Los usuarios finales sólo tienen una ubicación para buscar datos de dibujos, lo que reduce los equívocos y el aprendizaje del usuario.
Para obtener más información acerca de cómo crear bibliotecas de conexiones de datos, vea el procedimiento para crear y usar una biblioteca de conexiones de datos (https://go.microsoft.com/fwlink/?linkid=188117&clcid=0xC0A). Para obtener información acerca de cómo crear archivos ODC, vea el tema sobre cómo crear, editar y administrar conexiones a datos externos (https://go.microsoft.com/fwlink/?linkid=196894&clcid=0xC0A).
Autenticación de Windows
La autenticación de Windows requiere que Servicios de Visio presente ante SQL Server un conjunto de credenciales de Windows. Este tipo de credencial es habitual en redes de Windows y es la misma credencial que se usa para iniciar sesión en los equipos de un dominio de Windows o para conectarse a un equipo que ejecuta Exchange Server. Las credenciales de Windows se consideran los medios más seguros y manejables para controlar el acceso a las bases de datos de SQL Server. Sin embargo, un obstáculo para el uso de la autenticación de Windows con los Servicios de Visio es la medida de seguridad de salto doble de Windows, en la que no se pueden pasar las credenciales de un usuario a través de más de un equipo en una red de Windows. Dado que los Servicios de Visio son un sistema de varios niveles, se necesitan métodos especiales de autenticación para que los Servicios de Visio recuperen datos en nombre del usuario final.
.jpg "Autenticación de Windows")
El método de autenticación que elija depende de varios factores, tal como se indica en la tabla siguiente. Elija la que mejor se adapte a su situación.
| Método de autenticación | Delegación Kerberos | Almacenamiento seguro | Cuenta de servicio desatendida |
|---|---|---|---|
Descripción |
Mediante la delegación limitada de Kerberos, las credenciales de Windows del visor del dibujo se envían directamente al origen de datos. |
Mediante el Servicio de almacenamiento seguro, las credenciales de Windows del visor se asignan a otro conjunto de credenciales especificado en una aplicación de destino de almacenamiento seguro. |
Mediante el Servicio de almacenamiento seguro, todos los visores se asignan a un solo conjunto de credenciales denominado cuenta de servicio desatendida que se almacena en una aplicación de destino de almacenamiento seguro especificada en la configuración global de Servicios de Visio. |
Credenciales de conexión de datos |
Las credenciales de Windows del visor del dibujo web. |
Las credenciales especificadas en la aplicación de destino de almacenamiento seguro. |
Las credenciales de la cuenta de servicio desatendida. |
Ventajas |
|
|
|
Desventajas |
|
|
|
Para que la operación de autenticación se realice correctamente... |
|
|
|
Delegación Kerberos
Elija la delegación Kerberos para una autenticación segura y rápida en los orígenes de datos relacionales de nivel de empresa compatibles con la autenticación de Windows. Para obtener información acerca de cómo configurar la delegación Kerberos, vea:
Configuración de la autenticación Kerberos para Productos de Microsoft SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=196600&clcid=0xC0A)
Planeación de la autenticación Kerberos (SharePoint Server 2010)
Almacenamiento seguro
Elija el almacenamiento seguro para la autenticación en orígenes de datos relacionales de nivel de empresa que sean o no compatibles con la autenticación de Windows. El almacenamiento seguro también resulta útil en situaciones en las que se van a controlar las asignaciones de credenciales de usuario.
Para obtener más información acerca del uso del almacenamiento seguro con los Servicios de Visio, vea Almacenamiento seguro para aplicaciones de servicio de inteligencia empresarial.
Demostración en vídeo
.jpg "Captura de pantalla de vídeo")
En esta demostración se explican los pasos para configurar los Servicios de Visio con almacenamiento seguro.
Vea el vídeo (https://go.microsoft.com/fwlink/?linkid=196864&clcid=0xC0A). Para descargar el archivo de vídeo, haga clic con el botón secundario en el vínculo y, a continuación, haga clic en Guardar destino como.
Cuenta de servicio desatendida
Para facilitar la configuración del Servicio de gráficos de Visio, proporciona una configuración especial en la que un administrador puede crear una asignación única donde todos los usuarios se asignan a un conjunto único de credenciales.
Esta cuenta, que se conoce como cuenta de servicio desatendida, debe ser una cuenta de dominio de Windows con privilegios bajos. Los Servicios de Visio suplantan esta cuenta cuando se conecta a un origen de datos en nombre de un visor de dibujo web.
Se recomienda conceder a esta cuenta la menor cantidad posible de permisos de red. Por lo general, proporcione únicamente acceso para iniciar sesión en la red y acceso al origen de datos al que desea que los usuarios se conecten. Para mejorar la seguridad, asegúrese de que la cuenta de servicio desatendida no tiene acceso a las bases de datos de contenido y configuración de SharePoint.
La cuenta de servicio desatendida se usa mediante los Servicios de Visio:
Cuando un archivo ODC especifica el uso de la cuenta de servicio desatendida para la autenticación de SQL Server o Windows
Cuando no se usa ningún archivo ODC y se produce un error en la autenticación Kerberos
Nota
La cuenta desatendida puede ser una cuenta de equipo local del tipo Windows. Si la cuenta de servicio desatendida se configura como cuenta de equipo local, asegúrese de que la configuración es idéntica en cada servidor de aplicaciones en el que se ejecutan los Servicios de Visio. Por razones de facilidad de uso, se recomienda usar una cuenta de dominio.
Elija la cuenta de servicio desatendida cuando se conecte a implementaciones pequeñas ad hoc en las que la seguridad es menos importante o para las que la velocidad de implementación es esencial.
Para obtener información acerca del uso de la cuenta de servicio desatendida con los Servicios de Visio, vea Almacenamiento seguro para aplicaciones de servicio de inteligencia empresarial.
Demostración en vídeo
.jpg "Captura de pantalla de vídeo")
En esta demostración se explican los pasos para configurar los Servicios de Visio con la cuenta de servicio desatendida.
Vea el vídeo (https://go.microsoft.com/fwlink/?linkid=196865&clcid=0xC0A). Para descargar el archivo de vídeo, haga clic con el botón secundario en el vínculo y, a continuación, haga clic en Guardar destino como.
Autenticación de SQL Server
La autenticación de SQL Server requiere que los Servicios de Visio presenten un nombre de usuario y una contraseña de SQL Server a un origen de datos de SQL Server para autenticarse. Los Servicios de Visio extraen el nombre de usuario y la contraseña de la cadena de la conexión de datos y los pasan al origen de datos.
Para reducir los riesgos de seguridad, Servicios de Visio suplanta la cuenta de servicio desatendida al conectarse a ese tipo de origen de datos.
Autenticación con orígenes de datos OLEDB/ODBC
La autenticación en los orígenes de datos de terceros normalmente requiere que los Servicios de Visio presenten un nombre de usuario y una contraseña a un origen de datos. Al igual que sucede con la autenticación de SQL Server, los Servicios de Visio extraen el nombre de usuario y la contraseña de la cadena de conexión de la conexión de datos y los pasan al origen de datos.
Para reducir los riesgos de seguridad, Servicios de Visio suplanta la cuenta de servicio desatendida al conectarse a ese tipo de origen de datos.
Actualización de datos
Los Servicios de Visio admiten la actualización de dibujos conectados a uno o varios de los siguientes orígenes de datos:
SQL Server
Listas de SharePoint
Libros de Excel hospedados en SharePoint Server
Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 y DB2 9.2
Nota
Si el origen de datos con el que se va a conectar no está en la lista anterior, puede agregar compatibilidad para él mediante la creación de un proveedor de datos personalizado de Visio. Esta tecnología permite encapsular los orígenes de datos existentes en uno solo que los Servicios de Visio pueden usar. Para obtener más información, vea el tema sobre cómo crear un proveedor de datos personalizado con los Servicios de Visio (https://go.microsoft.com/fwlink/?linkid=191029&clcid=0xC0A) en MSDN Library Online.
La actualización de datos externos es el resultado del siguiente conjunto de pasos mediante los Servicios de Visio.
.jpg "Actualización de datos externos")
Crear un dibujo: un autor de dibujo carga un dibujo web conectado a datos a SharePoint Server 2010.
Desencadenar la actualización: el visor del dibujo desencadena la actualización en un dibujo web conectado a datos.
Conexiones de datos: los Servicios de Visio recuperan información de conexión de datos para cada origen de datos externo en el dibujo.
Proveedores de datos de confianza: los Servicios de Visio comprueban si hay un proveedor de datos de confianza puedan usar para recuperar datos.
Autenticación: los Servicios de Visio se autentican en el origen de datos y recuperan los datos solicitados en nombre del visor del dibujo.
Actualizar el dibujo: los Servicios de Visio actualizan el dibujo web en función de los datos del origen de datos y lo devuelven al visor.
Se puede desencadenar la actualización en una de las siguientes formas desde el explorador:
El usuario final abre el dibujo web.
El usuario final hace clic en el botón de actualización en un dibujo web que ya está abierto.
El usuario final carga una página que contiene el elemento web de Visio Web Access configurado para actualizarse automáticamente mediante un diseñador de sitios.
Nota
Un diseñador de sitios de SharePoint debe colocar el elemento web de Visio Web Access en una página y configurarlo para que se actualice periódicamente.
La actualización también se puede desencadenar en soluciones de terceros mediante una llamada a través de JavaScript al método vwaControl.Refresh() de la API mashup del elemento web de Visio Web Access. Para obtener más información, vea el artículo sobre cómo personalizar dibujos web de Visio en el elemento web de Visio Web Access (https://go.microsoft.com/fwlink/?linkid=196503&clcid=0xC0A) en MSDN Library Online.
Si no existen versiones de este dibujo web previamente almacenadas en caché, cualquiera de estas acciones desencadenará una actualización y actualizará el dibujo web. Para obtener información acerca de cómo configurar las opciones de caché para los Servicios de Visio, vea Configuración global del Servicio de gráficos de Visio (SharePoint Server 2010).