Autenticazione dei dati per Visio Services in SharePoint Server
SI APPLICA A:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
Le origini dati sono suddivise in origini dati interne ed esterne, in base ai criteri seguenti:
Origini dati interne: dati ospitati nella farm di SharePoint, ad esempio una cartella di lavoro di Excel o un elenco di SharePoint.
Origini dati esterne: dati di SQL Server oppure un'origine dati OLE DB o ODBC.
Affinché possa recuperare dati da un'origine, l'utente deve essere autenticato da quest'ultima e quindi autorizzato ad accedere ai dati contenuti. Nel caso di un diagramma, Visio Services autentica l'origine dati per conto dell'utente che lo visualizza al fine di aggiornare i dati a cui è connesso.
Il metodo di autenticazione che Visio Services può utilizzare per recuperare i dati dipende dal tipo di origine dati sottostante, come illustrato nella tabella seguente. Per le origini dati che supportano più di un metodo di autenticazione, le connessioni dati devono specificare il metodo da utilizzare.
| Origine dati | Metodo di autenticazione |
|---|---|
| Elenchi di SharePoint |
Autorizzazioni utente di SharePoint |
| Cartelle di lavoro di Excel |
Autorizzazioni utente di SharePoint |
| SQL Server |
A scelta tra: Autenticazione di Windows (sicurezza integrata) mediante delega vincolata Kerberos con archiviazione sicura con l'account di servizio automatico Autenticazione di SQL Server |
| OLE DB/ODBC |
Varia in base all'origine dati, in genere una coppia di nome utente e password archiviata nella stringa di connessione. |
È possibile utilizzare anche provider di dati personalizzati.
Le origini dati seguenti sono supportate in Visio ma non in Visio Services:
database di Access
Cartelle di lavoro di Excel non ospitate su SharePoint Server
OLAP
Connessione di Visio Services a dati ospitati in SharePoint Server
Visio Services supporta diagrammi connessi a dati che sono collegati a dati ospitati nella farm di SharePoint, tra cui:
Cartelle di lavoro di Excel incluse in una raccolta documenti
Dati in elenchi di SharePoint
Connessione a cartelle di lavoro di Excel
Visio Services utilizza le credenziali di SharePoint Server del visualizzatore del diagramma per stabilire la connessione a una cartella di lavoro di Excel con estensione xlsx. Per completare correttamente l'autenticazione, devono essere soddisfatte le condizioni seguenti:
Il provisioning di Office Online Server deve essere eseguito correttamente e configurato nella farm di SharePoint.
La cartella di lavoro deve essere ospitata nella stessa farm in cui si trova il diagramma.
Il visualizzatore del diagramma deve disporre almeno dell'autorizzazione in lettura per la cartella di lavoro di Excel.
Non sono richieste altre operazioni di configurazione per abilitare questi tipo di connessione dati.
Nota
[!NOTA] Per la connessione a una cartella di lavoro di Excel, Visio Services richiede che Excel Online aggiorni la cartella di lavoro se contiene connessioni a dati esterni. In questo caso l'identità del visualizzatore del diagramma viene passata a Excel Online in modo che Excel Online possa autenticare le origini dati sottostanti per aggiornare la cartella dati.
Connettere Visio Services a elenchi di SharePoint
Visio Services utilizza le credenziali di SharePoint Server del visualizzatore del diagramma per la connessione a un elenco di SharePoint. Per completare correttamente l'autenticazione, devono essere soddisfatte le condizioni seguenti:
Per accedere ai dati di un elenco esterno, l'utente deve essere autorizzato ad accedere al tipo di contenuto esterno e all'origine dati esterna.
Il visualizzatore del diagramma deve disporre almeno dell'autorizzazione in lettura all'elenco di SharePoint.
Non sono richieste altre operazioni di configurazione per abilitare questi tipo di connessione dati.
Connettere Visio Services a dati esterni
Visio Services può connettersi a varie origini dati esterne, tra cui SQL Server, OLE DB/ODBC e provider di dati personalizzati. Per la connessione all'origine dati, Visio Services utilizza un provider di dati specifico per ogni origine dati.
Come misura di sicurezza, è necessario che Visio Services consideri esplicitamente attendibili i provider di dati prima di poterli utilizzare.
La connessione a un'origine dati di SQL Server può essere stabilita utilizzando le soluzioni seguenti:
Autenticazione di Windows
Autenticazione di SQL Server
Altre origini dati utilizzano una stringa di connessione solitamente composta da un nome utente e una password.
Connessioni dati
I diagrammi di Visio utilizzano uno dei due tipi di connessioni seguenti:
Connessioni incorporate
Connessioni collegate
Le connessioni incorporate vengono archiviate come parte del diagramma di Visio. Le connessioni collegate vengono archiviate esternamente in un diagramma nei file di Office Data Connection (ODC). Per usare una connessione collegata, un diagramma deve fare riferimento a un file con estensione odc archiviato anche nella stessa farm del diagramma. Ogni connessione dati è costituita da:
Una stringa di connessione
Una stringa di query
Un metodo di autenticazione
Facoltativamente, alcuni metadati necessari per recuperare dati esterni
Ogni tipo di connessione presenta vantaggi e svantaggi che verranno illustrati di seguito. Pertanto è necessario scegliere il tipo che si adatta meglio allo scenario specifico.
| Tipo di connessione | Connessioni incorporate | File ODC |
|---|---|---|
| Origini dati supportate |
SQL Server OLE DB/ODBC Cartelle di lavoro di Excel Elenchi di SharePoint Provider di dati personalizzati |
SQL Server (supporta tutti i metodi di autenticazione) OLE DB/ODBC |
| Vantaggi |
Tutte le informazioni di connessione vengono archiviate nel diagramma. Le connessioni incorporate comportano un certo sovraccarico amministrativo. Le connessioni incorporate sono facili da creare. |
Le connessioni collegate possono essere archiviate, gestite, controllate e condivise centralmente e l'accesso a tali connessioni può essere controllato mediante una raccolta connessioni dati. Gli autori di diagrammi possono utilizzare le connessioni esistenti senza creare query e stringhe di connessione. Se si modificano i dettagli della connessione dati per un'origine dati, un amministratore dovrà aggiornare solo un file ODC. In seguito a tale modifica tutti i diagrammi che fanno riferimento al file ODC utilizzeranno le informazioni di connessione aggiornate dopo il successivo aggiornamento. Questo scenario si presenta ad esempio quando il server di database viene spostato o il nome del database viene modificato. |
| Svantaggi |
Se si modificano i dettagli della connessione dati per un'origine dati, tutti i diagrammi con connessioni incorporate a tale origine dati dovranno essere ripubblicati con le informazioni di connessione aggiornate. Le connessioni dati incorporate sono più difficili da controllare da parte degli amministratori di SharePoint. |
Le connessioni collegate possono richiedere l'aiuto di un amministratore di SharePoint per condividere, gestire e proteggere. Le connessioni collegate vengono salvate in testo non crittografato e possono contenere password di database. È necessario prestare la massima attenzione per garantire la sicurezza di questi file. |
Scegliere una connessione dati collegata, utilizzando un file ODC, per gli scenari in cui è necessario disporre di una connessione dati a un'origine dati relazionale di livello aziendale quale SQL Server. Le connessioni dati collegate sono particolarmente utili in scenari in cui vengono condivise da più utenti e in cui il controllo della connessione da parte dell'amministratore è importante.
Nota
Se si utilizza Visio 2010, i file ODC devono essere prima creati in Excel e quindi esportati in SharePoint Server per essere utilizzati con Visio Services.
Scegliere una connessione incorporata per scenari in cui è necessario disporre di una connessione dati rapida a una piccola origine dati basata su file che verrà utilizzata solo da alcuni utenti.
I file ODC possono essere archiviati in una raccolta connessioni dati, un tipo speciale di raccolta documenti di SharePoint. La centralizzazione delle connessioni dati in una raccolta documenti di questo tipo offre vari vantaggi:
Gli amministratori possono limitare ai soli autori delle connessioni dati attendibili l'accesso in scrittura a una raccolta connessioni dati, per garantire che gli autori di diagrammi utilizzino esclusivamente connessioni dati verificate e sicure.
Gli amministratori possono gestire in un unica posizione le connessioni dati per un numeroso gruppo di utenti.
Gli amministratori possono facilmente approvare, controllare, ripristinare e gestire i file delle connessioni dati utilizzando le caratteristiche di controllo delle versioni e del flusso di lavoro della raccolta documenti.
Gli utenti finali hanno a disposizione una sola posizione in cui cercare i dati dei diagrammi, per evitare di creare confusione e limitando le esigenze di formazione.
Autenticazione di Windows
Le credenziali di questo tipo sono comuni nelle reti Windows e sono le stesse che vengono utilizzate per accedere ai computer in un dominio Windows. Le credenziali di Windows sono considerate una soluzione più sicura e gestibile per controllare l'accesso ai database di SQL Server. La misura di sicurezza con doppio hop di Windows, che impedisce il passaggio delle credenziali di un utente tra più computer in una rete Windows, costituisce tuttavia un ostacolo all'utilizzo dell'autenticazione di Windows con Visio Services. Poiché Visio Services è un sistema multilivello, sono necessari metodi di autenticazione speciali per consentire a Visio Services di recuperare dati per conto dell'utente finale.
L'autenticazione di Windows richiede che Visio Services presenti a SQL Server un set di credenziali di Windows. Esistono diverse opzioni per eseguire questa operazione. La scelta del metodo di autenticazione dipende da vari fattori, come illustrato nella tabella seguente. Scegliere il metodo più appropriato allo scenario specifico.
| Metodo di autenticazione | Delega vincolata Kerberos | archiviazione sicura | Account del servizio automatico |
|---|---|---|---|
| Descrizione |
Se si utilizza la delega vincolata Kerberos, le credenziali di Windows del visualizzatore del diagramma vengono inviate direttamente all'origine dati. |
Se si utilizza il servizio di archiviazione sicura, le credenziali di Windows del visualizzatore vengono mappate a un altro set di credenziali specificato nell'applicazione di destinazione di archiviazione sicura. |
Se si utilizza il servizio di archiviazione sicura, tutti i visualizzatori vengono mappati a un set di credenziali specifico denominato account di servizio automatico, che viene archiviato in un'applicazione di destinazione di archiviazione sicura specificata nelle impostazioni globali di Visio Services. |
| Credenziali delle connessione dati |
Le credenziali di Windows del visualizzatore del diagramma. |
Le credenziali specificate nell'applicazione di destinazione di archiviazione sicura. |
Le credenziali dell'account di servizio automatico. |
| Vantaggi |
Il protocollo Kerberos è uno standard del settore nella gestione delle credenziali. Kerberos si integra nell'infrastruttura di Active Directory esistente. La delega Kerberos consente di controllare i singoli accessi a un'origine dati. Poiché l'identità del visualizzatore del diagramma è nota, i creatori di diagrammi possono incorporare query di database personalizzate nei diagrammi. |
Il servizio di archiviazione sicura fa parte di SharePoint Server ed è più facile da configurare rispetto all'autenticazione Kerberos. I mapping sono flessibili: un utente può essere mappato 1 a 1 o molti a 1. Possono essere utilizzate credenziali non di Windows per la connessione a origini dati che non accettano le credenziali di Windows. I mapping creati per Visio possono essere riutilizzati da altre applicazioni di business intelligence, quali Excel Online. |
L'account di servizio automatico rappresenta il metodo di autenticazione più semplice da distribuire e impostare. L'account di servizio automatico non richiede un notevole sovraccarico amministrativo. |
| Svantaggi |
La configurazione di SharePoint Server e Visio Services richiede un impegno amministrativo maggiore. |
Per definire e gestire le tabelle di mapping è previsto un sovraccarico amministrativo. Il servizio di archiviazione sicura consente un controllo limitato. Nello scenario molti-a-1, i singoli utenti in ingresso vengono mappati alle stesse credenziali tramite un'applicazione di destinazione, che di fatto li fonde in un singolo utente. |
Dato che tutti vengono mappati alle stesse credenziali, un amministratore non può distinguere chi ha accesso a un'origine dati. |
| Affinché l'operazione di autenticazione abbia esito positivo ... |
La delega vincolata Kerberos deve essere impostata sulla farm di SharePoint. |
È necessario eseguire il provisioning e la configurazione del servizio di archiviazione sicura nella farm. Il servizio deve inoltre contenere le informazioni di mapping appropriate per uno specifico utente in entrata. Può essere inoltre necessario aggiornare periodicamente le informazioni di mapping per riflettere le modifiche delle password agli account mappati. |
È necessario eseguire il provisioning e la configurazione del servizio di archiviazione sicura nella farm. Il servizio deve contenere anche le credenziali per l'account di servizio automatico. Può essere inoltre necessario aggiornare periodicamente le informazioni di mapping per riflettere le modifiche delle password agli account mappati. È necessario configurare l'account di servizio automatico nelle impostazioni globali di Visio Services. |
Delega vincolata Kerberos
Scegliere la delega vincolata Kerberos per un'autenticazione più rapida e sicura in origini dati relazionali di livello aziendale che supportano l'autenticazione di Windows.
Archiviazione sicura
Scegliere il servizio di archiviazione sicura per l'autenticazione in origini dati relazionali di livello aziendale che possono supportare l'autenticazione di Windows. Il servizio di archiviazione sicura è utile anche negli scenari in cui si desidera controllare i mapping delle credenziali degli utenti.
Account del servizio automatico
Per agevolare la configurazione, in Servizio grafica di Visio è disponibile una speciale configurazione che consente a un amministratore di creare un mapping univoco in cui tutti gli utenti vengono mappati a un singolo set di credenziali.
Tale account, denominato account di servizio automatico, deve essere un account di dominio di Windows con privilegi limitati. Visio Services rappresenta questo account quando si connette a un'origine dati per conto di un visualizzatore di diagramma.
È consigliabile concedere a tale account il minor numero di autorizzazioni di rete possibile, in genere solo l'accesso alla rete e all'origine dati a cui gli utenti devono connettersi. Per garantire una sicurezza ottimale, verificare che l'account di servizio automatico non disponga dell'accesso ai database di configurazione e del contenuto di SharePoint.
L'account di servizio automatico viene utilizzato da Visio Services nei casi seguenti:
Quando un file ODC specifica l'utilizzo di tale account per l'autenticazione di Windows o SQL Server
Quando non si utilizza alcun file ODC e l'autenticazione Kerberos ha esito negativo
Nota
[!NOTA] L'account del servizio automatico può essere un account del computer locale di tipo Windows. Se l'account del servizio automatico è configurato come account del computer locale, verificare che la configurazione sia identica in tutti i server applicazioni che eseguono Visio Services. Per migliorare la gestibilità, è consigliabile utilizzare un account di dominio.
Scegliere l'account di servizio automatico quando ci si connette a piccole distribuzioni ad-hoc che non presentano particolari requisiti di sicurezza o per cui la velocità di distribuzione è molto importante.
Per informazioni sull'utilizzo dell'account di servizio automatico con Visio Services, vedere Archiviazione sicura per le applicazioni di servizio di business intelligence.
Autenticazione di SQL Server
Per l'autenticazione di SQL Server, Visio Services deve presentare un nome utente e una password di SQL Server a un'origine dati SQL Server per autenticarsi. Visio Services estrae tali nome utente e password dalla stringa di connessione ai dati e li passa all'origine dati.
Per limitare i rischi di sicurezza, Visio Services rappresenta l'account di servizio automatico quando si connette a tale origine dati.
Autenticazione con origini dati OLE DB/ODBC
Per l'autenticazione con origini dati di terze parti, Visio Services deve in genere presentare un nome utente e una password a un'origine dati. Come per l'autenticazione di SQL Server, Visio Services estrae tali nome utente e password dalla stringa di connessione ai dati e li passa all'origine dati.
Per limitare i rischi di sicurezza, Visio Services rappresenta l'account di servizio automatico quando si connette a tale origine dati.
Aggiornamento dei dati di Visio Services
Visio Services supporta l'aggiornamento dei diagrammi connessi a una o più delle origini dati seguenti:
SQL Server
Elenchi di SharePoint
Cartelle di lavoro Excel ospitate in SharePoint Server
Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 e DB2 9.2
Nota
[!NOTA] Se l'origine dati che si prevede di connettere non è inclusa tra le precedenti, è possibile aggiungere il supporto necessario creando un provider di dati personalizzato per Visio. Tale tecnologia consente di eseguire il wrapping delle origini dati esistenti in una singola origine dati utilizzabile da Visio Services.
L'aggiornamento può essere attivato all'interno del browser, in uno dei modi seguenti:
L'utente finale apre il diagramma.
L'utente finale fa clic sul pulsante di aggiornamento in un diagramma già aperto.
L'utente finale carica una pagina che contiene la web part Visio Web Access configurata da un progettista di siti per l'aggiornamento automatico.
Nota
Un progettista di siti SharePoint deve inserire la web part Visio Web Access in una pagina e configurarla per l'aggiornamento periodico.
Se non sono disponibili versioni del diagramma precedentemente memorizzate nella cache, ognuna di queste azioni attiva l'aggiornamento del diagramma. Per informazioni sulla configurazione delle impostazioni della cache per Visio Services, vedere Configurare Servizi Visio.