Pianificare la sicurezza di Visio Services in SharePoint Server
SI APPLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
Oltre ai requisiti di sicurezza relativi alla distribuzione di SharePoint Server, è consigliabile tenere conto delle considerazioni sulla sicurezza per una distribuzione che include Visio Services. Visio Services consente di eseguire il rendering dei diagrammi di Visio in una finestra del browser. Questi diagrammi possono essere connessi a dati esterni e i relativi elementi possono essere aggiornati in base a tali dati. La sicurezza è un aspetto importante per questi scenari di rendering dei dati. Visio Services offre un livello significativo di controllo specifico sull'elaborazione e la visualizzazione dei diagrammi di Visio e sulle origini dati a cui possono connettersi.
Archiviare diagrammi Visio nelle raccolte documenti di SharePoint
I diagrammi di Visio devono essere archiviati in raccolte documenti di SharePoint che devono essere aperte da Visio Services. In SharePoint Server viene gestito un elenco di controllo di accesso (ACL) per i file inclusi nella raccolta documenti. Impostando correttamente le regole per la raccolta, è possibile limitare l'accesso a un determinato diagramma.
Diagrammi di Visio connessi a dati
Visio Graphics Service può connettersi alle origini dati. Questi includono elenchi di SharePoint (inclusi gli elenchi esterni), database come SQL Server e origini dati personalizzate. È possibile controllare l'accesso a origini dati specifiche definendo in modo esplicito i provider di dati attendibili e configurandoli nell'elenco dei provider di dati attendibili.
Nota
[!NOTA] Visio Services accede alle origini dati esterne utilizzando un'identità di Windows delegata. Le origini dati esterne devono pertanto risiedere nello stesso dominio della farm di SharePoint Server oppure Visio Services deve essere configurato per l'utilizzo di servizio di archiviazione sicura. Se archiviazione sicura non viene utilizzato e le origini dati esterne non risiedono nello stesso dominio, l'autenticazione nelle origine dati esterne avrà esito negativo.
Quando Visio Services carica un diagramma connesso a dati, il servizio verifica le informazioni sulla connessione archiviate nel diagramma per stabilire se il provider di dati specificato è attendibile. Se il provider è specificato nell'elenco di provider di dati attendibili di Visio Services, verrà eseguito un tentativo di connessione, altrimenti la richiesta di connessione verrà ignorata.
Dopo che l'amministratore ha configurato Visio Services per consentire le connessioni a una determinata origine dati, è necessario effettuare ulteriori configurazioni di sicurezza, a seconda del tipo di origine dati. Visio Services supporta le origini dati seguenti:
Elenchi SharePoint, inclusi elenchi esterni abilitati tramite Servizi di integrazione applicativa Microsoft
Database come i database di SQL Server
Provider di dati personalizzati
Diagrammi di Visio connessi a elenchi SharePoint
I diagrammi di Visio possono essere connessi a elenchi di SharePoint nella stessa farm in cui è ospitato il diagramma. L'utente che visualizza il diagramma deve disporre dell'accesso sia al diagramma che all'elenco di SharePoint a cui il diagramma è connesso. Tali autorizzazioni e credenziali vengono gestite da SharePoint Server.
I diagrammi di Visio possono essere connessi anche a elenchi esterni mediante Servizi di integrazione applicativa Microsoft. Gli elenchi esterni esposti tramite un tipo di contenuto esterno di Servizi di integrazione applicativa Microsoft possono essere connessi a un diagramma di Visio in Visio e i dati possono essere aggiornati tramite Visio Services. Un utente per potere accedere ai dati di un elenco esterno deve disporre delle autorizzazioni di accesso al tipo di contenuto esterno e delle autorizzazioni di accesso all'origine dati esterna.
Diagrammi di Visio connessi a database di SQL Server
Quando un diagramma di Visio è connesso a un database di SQL Server, Visio Services utilizza ulteriori opzioni di configurazione della sicurezza per stabilire una connessione tra Servizio grafica di Visio e il database.
I metodi di autenticazione supportati da Visio Services sono i seguenti:
Autenticazione integrata di Windows In questo modello di sicurezza Servizio grafica di Visio utilizza l'identità dell'utente che visualizza il diagramma per eseguire l'autenticazione nel database. L'autenticazione integrata di Windows con la delega vincolata Kerberos è più utile per aumentare il livello di sicurezza rispetto agli altri metodi di autenticazione riportati in questo elenco. Tale configurazione richiede l'attivazione della delega vincolata Kerberos tra il server applicazioni che esegue Servizio grafica di Visio e il server di database. Lo stesso database potrebbe richiedere ulteriori attività di configurazione per attivare l'autenticazione Kerberos.
Servizio di archiviazione sicura In questo modello di sicurezza Servizio grafica di Visio utilizza servizio di archiviazione sicura per mappare le credenziali dell'utente a una credenziale diversa dotata dell'accesso al database. archiviazione sicura supporta i mapping di utenti singoli e gruppi per l'autenticazione integrata di Windows e altre forme di autenticazione, ad esempio l'autenticazione di SQL Server. In questo modo gli amministratori possono usufruire di una maggiore flessibilità nella definizione di relazioni uno-a-uno, molti-a-uno o molti-a-molti.
Account del servizio automatico Per semplificare la configurazione, Visio Graphics Service offre una configurazione speciale in cui un amministratore può creare un mapping univoco che associa tutti gli utenti a un singolo account usando un'applicazione di destinazione dell'archiviazione sicura. Questo account mappato, noto come account del servizio automatico, deve essere un account di dominio Windows con privilegi limitati a cui viene concesso l'accesso ai database. Servizio grafica di Visio rappresenta questo account quando si connette al database se non viene specificato alcun altro metodo di autenticazione. Si noti che questo approccio non abilita le query personalizzate su un database e non fornisce il controllo delle chiamate al database. Questo metodo di autenticazione è il metodo di autenticazione predefinito usato quando ci si connette ai database di SQL Server: se nel diagramma di Visio non viene usato alcun file ODC che specifica un metodo di autenticazione diverso, Visio Services usa le credenziali specificate dall'account automatico per connettersi al database di SQL Server.
In una server farm di dimensioni più estese è probabile che per i diagrammi di Visio venga utilizzata una combinazione dei metodi di autenticazione qui descritti. È importante tenere presente quanto segue:
Visio Services supporta l'utilizzo di archiviazione sicura e dell'account di servizio automatico nella stessa farm. Nei diagrammi connessi a dati di SQL Server ma che non utilizzano file ODC l'account automatico è obbligatorio e viene sempre utilizzato.
Se è selezionata l'autenticazione integrata di Windows e l'autenticazione all'origine dati non riesce, Visio Services non tenterà di eseguire il rendering del diagramma mediante l'account di servizio automatico.
L'autenticazione integrata di Windows può essere utilizzata insieme a archiviazione sicura configurando i diagrammi in modo che utilizzino un'applicazione di destinazione di archiviazione sicura per i diagrammi che richiedono credenziali specifiche.
Vedere anche
Altre risorse
Archiviazione sicura per le applicazioni di servizio di business intelligence