Condividi tramite

Autenticazione dei dati per Servizi Visio

  • Articolo

 

Si applica a: SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

Visio Services in Microsoft SharePoint Server 2010 supporta disegni Web connessi a dati collegati a varie origini dati, tra cui:

  • Dati ospitati nella farm di SharePoint, ad esempio una cartella di lavoro di Microsoft Excel o un elenco di SharePoint.

  • Dati esterni, ad esempio dati di Microsoft SQL Server, o un'origine dati OLE DB o ODBC.

Per recuperare dati da un'origine dati è necessario che un utente venga autenticato dall'origine dati e quindi che l'accesso ai dati in essa contenuti sia autorizzato. Nel caso di un disegno Web l'autenticazione nell'origine dati viene eseguita da Visio Services al posto dell'utente che sta visualizzando il disegno allo scopo di aggiornare i dati ai quali è connesso.

Recupero dati da un'origine dati

Il metodo di autenticazione che Visio Services può utilizzare per recuperare i dati dipende dal tipo di origine dati sottostante, come illustrato nella tabella seguente. Per le origini dati che supportano più di un metodo di autenticazione, le connessioni dati devono specificare quale metodo utilizzare.

Origine dati Metodo di autenticazione

Elenchi di SharePoint

Autorizzazioni utente di SharePoint

Cartelle di lavoro di Excel

Autorizzazioni utente di SharePoint

SQL Server

A scelta tra:

  • Autenticazione di Windows (sicurezza integrata)

    • con delega Kerberos vincolata

    • con archiviazione sicura

    • con l'account di servizio automatico

  • Autenticazione di SQL Server

OLE DB/ODBC

Varia in base all'origine dati, in genere una coppia di nome utente e password archiviata nella stringa di connessione.

Possono anche essere utilizzati provider di dati personalizzati. Per ulteriori informazioni, vedere Creazione di un provider di dati personalizzato con Servizi Visio (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=196860&clcid=0x410).

Le origini dati seguenti sono supportate in Microsoft Visio ma non in Visio Services:

  • Database di Access

  • Cartelle di lavoro di Excel non ospitate su SharePoint Server

  • OLAP

Connessione a dati ospitati su SharePoint Server

Visio Services supporta disegni Web connessi a dati che sono collegati a dati ospitati nella farm di SharePoint, tra cui:

  • Cartelle di lavoro di Excel incluse in una raccolta documenti

  • Dati in elenchi di SharePoint

Connessione alle cartelle di lavoro di Excel

In Visio Services vengono utilizzate le credenziali di SharePoint Server del visualizzatore del disegno Web per la connessione a una cartella di lavoro di Excel con estensione xlsx. Per un corretto funzionamento dell'operazione di autenticazione, devono essere soddisfatte le condizioni seguenti:

  • È necessario eseguire il provisioning e la configurazione di Excel Services in modo appropriato nella farm di SharePoint.

  • La cartella di lavoro deve essere ospitata nella stessa farm in cui si trova il disegno Web.

  • Il visualizzatore del disegno Web deve disporre almeno dell'autorizzazione in lettura alla cartella di lavoro di Excel.

Non sono richieste altre operazioni di configurazione per abilitare questi tipo di connessione dati.

Nota

Per la connessione a una cartella di lavoro di Excel, Visio Services richiede che Excel Services aggiorni la cartella di lavoro se contiene connessioni a dati esterni. In questo caso l'identità del visualizzatore del disegno viene passata a Excel Services in modo che Excel Services possa autenticare le origini dati sottostanti per aggiornare la cartella dati.

Connessione a elenchi di SharePoint

In Visio Services vengono utilizzate le credenziali di SharePoint Server del visualizzatore del disegno Web per la connessione a un elenco di SharePoint. Per un corretto funzionamento dell'operazione di autenticazione, devono essere soddisfatte le condizioni seguenti:

  • L'elenco di SharePoint deve essere ospitato nella stessa farm in cui si trova il disegno Web.

  • Il visualizzatore del disegno Web deve disporre almeno dell'autorizzazione in lettura all'elenco di SharePoint.

Non sono richieste altre operazioni di configurazione per abilitare questi tipo di connessione dati.

Connessione a dati esterni

Visio Services può connettersi a varie origini dati esterne, tra cui SQL Server, OLE DB/ODBC e provider di dati personalizzati. Per la connessione all'origine dati, Visio Services utilizza un provider di dati specifico per ogni origine dati.

Come misura di sicurezza, è necessario che Visio Services consideri esplicitamente attendibili i provider di dati prima di poterli utilizzare. Per ulteriori informazioni sui provider di dati attendibili, vedere Configure Visio Graphics Service trusted data providers (SharePoint Server 2010).

La connessione a un'origine dati di Microsoft SQL Server può essere stabilita utilizzando le soluzioni seguenti:

  • Autenticazione di Windows

  • Autenticazione di SQL Server

Altre origini dati utilizzano una stringa di connessione solitamente composta da un nome utente e una password.

Connessioni dati

I disegni Web di Visio utilizzano uno dei due tipi di connessioni possibili:

  • Connessioni incorporate

  • Connessioni collegate

Le connessioni incorporate sono archiviate come parte del disegno Web di Visio, mentre le connessioni collegate vengono archiviate esternamente in un disegno Web in file ODC (Office Data Connection). Per utilizzare una connessione collegata, un disegno Web deve fare riferimento a un file .odc che sia archiviato nella stessa farm. Ogni connessione dati è composta dagli elementi seguenti:

  • Una stringa di connessione

  • Una stringa di query

  • Un metodo di autenticazione

  • Facoltativamente, alcuni metadati necessari per recuperare dati esterni

Ogni tipo di connessione presenta vantaggi e svantaggi che verranno illustrati di seguito. Pertanto è necessario scegliere il tipo che si adatta meglio allo scenario specifico.

Tipo di connessione Connessioni incorporate File ODC

Origini dati supportate

  • SQL Server (supporta solo la delega Kerberos e l'account di servizio automatico)

  • OLE DB/ODBC

  • Cartelle di lavoro di Excel

  • Elenchi di SharePoint

  • Provider di dati personalizzati

  • SQL Server (supporta tutti i metodi di autenticazione)

  • OLE DB/ODBC

Vantaggi

  • Tutte le informazioni di connessione vengono archiviate nel disegno Web.

  • Le connessioni incorporate comportano un certo sovraccarico amministrativo.

  • Le connessioni incorporate sono facili da creare.

  • Le connessioni collegate possono essere archiviate, gestite, controllate e condivise centralmente e l'accesso a tali connessioni può essere controllato mediante una raccolta connessioni dati.

  • Gli autori di disegni possono utilizzare le connessioni esistenti senza dover creare query e stringhe di connessione.

  • Se cambiano i dettagli della connessione dati per un'origine dati, un amministratore dovrà aggiornare solo un file ODC. Dopo tale modifica, tutti i disegni Web che fanno riferimento al file ODC utilizzeranno le informazioni di connessione aggiornate dopo il successivo aggiornamento. Questo scenario si presenta ad esempio quando il server di database viene spostato o il nome del database viene modificato.

Svantaggi

  • Se cambiano i dettagli della connessione dati per un'origine dati, tutti i disegni Web con connessioni incorporate a tale origine dati dovranno essere ripubblicati con le informazioni di connessione aggiornate.

  • Le connessioni dati incorporate sono più difficili da controllare da parte degli amministratori di SharePoint.

  • Per creare una connessione collegata è necessario utilizzare Excel.

  • Per condividere, gestire e proteggere le connessioni collegate potrebbe essere necessaria l'assistenza di un amministratore di SharePoint.

  • Le connessioni collegate vengono salvate in testo non crittografato e possono contenere password di database. È necessario prestare la massima attenzione per garantire la sicurezza di questi file.

Scegliere una connessione dati collegata, utilizzando un file ODC, per gli scenari in cui è necessario disporre di una connessione dati a un'origine dati relazionale di livello aziendale quale SQL Server. Le connessioni dati collegate sono particolarmente utili in scenari in cui vengono condivise da più utenti e in cui il controllo della connessione da parte dell'amministratore è importante.

Nota

I file ODC devono essere creati in Excel ed esportati in SharePoint Server prima di poter essere utilizzati con Visio Services.

Scegliere una connessione incorporata per scenari in cui è necessario disporre di una connessione dati rapida a una piccola origine dati basata su file che verrà utilizzata solo da alcuni utenti.

I file ODC possono essere archiviati in una raccolta connessioni dati, un tipo speciale di raccolta documenti di SharePoint. La centralizzazione delle connessioni dati in una raccolta documenti di questo tipo offre vari vantaggi:

  • Gli amministratori possono limitare l'accesso in lettura a una raccolta connessioni dati solo agli autori delle connessioni dati attendibili per garantire che le connessioni dati verificate e sicure vengano utilizzate dagli autori di disegni Web.

  • Gli amministratori possono gestire in un unica posizione le connessioni dati per un numeroso gruppo di utenti.

  • Gli amministratori possono facilmente approvare, controllare, ripristinare e gestire i file delle connessioni dati utilizzando le caratteristiche di controllo delle versioni e del flusso di lavoro della raccolta documenti.

  • Le raccolte connessioni dati possono essere riutilizzate in altre applicazioni di Office quali Excel, Excel Services, Microsoft InfoPath 2010, InfoPath Forms Services e Microsoft Word.

  • Gli utenti finali hanno a disposizione una sola posizione dove cercare i dati dei disegni, evitando così di generare confusione e limitando l'esigenza di formazione.

Per informazioni sulla creazione delle raccolte connessioni dati, vedere Procedura: creare e utilizzare una raccolta connessioni dati (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=188117&clcid=0x410). Per ulteriori informazioni su come creare file ODC, vedere Creare, modificare e gestire le connessioni ai dati esterni (https://go.microsoft.com/fwlink/?linkid=196894&clcid=0x410).

Autenticazione di Windows

L'autenticazione di Windows richiede la presentazione da parte di Visio Services a SQL Server di un insieme di credenziali di Windows. Questo tipo di credenziali è comune nelle reti Windows e sono le stesse che vengono utilizzate per accedere ai computer in un dominio di Windows o per connettersi a un computer che esegue Exchange Server. Le credenziali di Windows sono considerate la soluzione più sicura e gestibile per controllare l'accesso ai database SQL Server. Un ostacolo all'utilizzo dell'autenticazione di Windows con Visio Services è tuttavia la misura di sicurezza con passaggio doppio di Windows, in base alla quale le credenziali di un utente non possono essere passate su più di un computer in una rete Windows. Poiché Visio Services è un sistema multilivello, sono necessari metodi di autenticazione speciali per consentire a Visio Services di recuperare dati da parte dell'utente finale.

Autenticazione di Windows

La scelta del metodo di autenticazione dipende da vari fattori, come illustrato nella tabella seguente. Scegliere il metodo più appropriato allo scenario specifico.

Metodo di autenticazione Delega Kerberos Archiviazione sicura Account del servizio automatico

Descrizione

Se si utilizza la delega Kerberos vincolata, le credenziali di Windows del visualizzatore del disegno vengono inviate direttamente all'origine dati.

Se si utilizza il servizio di archiviazione sicura, le credenziali di Windows del visualizzatore vengono mappate a un altro insieme di credenziali specificato nell'applicazione di destinazione di archiviazione sicura.

Se si utilizza il servizio di archiviazione sicura, tutti i visualizzatori vengono mappati a un insieme univoco di credenziali denominato account di servizio automatico che viene archiviato in un'applicazione di destinazione di archiviazione sicura specificata nelle impostazioni globali di Visio Services.

Credenziali delle connessione dati

Le credenziali di Windows del visualizzatore del disegno Web.

Le credenziali specificate nell'applicazione di destinazione di archiviazione sicura.

Le credenziali dell'account di servizio automatico.

Vantaggi

  • Il protocollo Kerberos è uno standard del settore nella gestione delle credenziali.

  • Kerberos si integra nell'infrastruttura di Active Directory esistente.

  • La delega Kerberos consente il controllo dei singoli accessi a un'origine dati.

  • Considerato che l'identità del visualizzatore del disegno Web è nota, i creatori di disegni Web possono incorporare query del database personalizzate nei disegni Web.

  • Il servizio di archiviazione sicura fa parte di SharePoint Server ed è più facile da configurare rispetto a Kerberos.

  • I mapping sono flessibili: un utente può essere mappato 1 a 1 o molti a 1.

  • Possono essere utilizzate credenziali non di Windows per la connessione a origini dati che non accettano le credenziali di Windows.

  • I mapping creati per Visio possono essere riutilizzati da altre applicazioni di business intelligence quali Excel Services.

  • L'account di servizio automatico rappresenta il metodo di autenticazione più semplice da distribuire e impostare.

  • L'account di servizio automatico non richiede un notevole sovraccarico amministrativo.

Svantaggi

  • È richiesto un impegno amministrativo maggiore per configurare SharePoint Server e Visio Services.

  • Per definire e gestire le tabelle di mapping è previsto un sovraccarico amministrativo.

  • L'archiviazione sicura consente un controllo limitato. In molti scenari molti a 1, i singoli utenti che desiderano accedere vengono mappati alle stesse credenziali tramite un'applicazione di destinazione, fondendoli in un unico utente.

  • Dato che tutti vengono mappati alle stesse credenziali, un amministratore non può distinguere chi ha accesso a un'origine dati.

Condizioni per garantire il funzionamento dell'operazione di autenticazione

  • La delega Kerberos deve essere impostata su una farm di SharePoint.

  • È necessario eseguire il provisioning e la configurazione del servizio di archiviazione sicura nella farm. Il servizio deve inoltre contenere le informazioni di mapping appropriate per uno specifico utente che desidera accedere. Può essere inoltre necessario aggiornare periodicamente le informazioni di mapping per riflettere le modifiche delle password agli account mappati.

  • È necessario eseguire il provisioning e la configurazione del servizio di archiviazione sicura nella farm. Il servizio deve inoltre contenere le credenziali appropriate per l'account di servizio automatico. Può essere inoltre necessario aggiornare periodicamente le informazioni di mapping per riflettere le modifiche delle password agli account mappati.

  • Servizi Visio deve essere configurato per utilizzare l'account di servizio automatico.

Delega Kerberos

Scegliere la delega Kerberos per un'autenticazione sicura e rapida in origini dati relazionali a livello aziendale che supportano l'autenticazione di Windows. Per informazioni sulla configurazione della delega Kerberos, vedere:

Archiviazione sicura

Scegliere l'archiviazione sicura per l'autenticazione in origini dati relazionali a livello aziendale che possono o meno supportare l'autenticazione di Windows. L'archiviazione sicura è utile anche in scenari in cui si desidera controllare i mapping delle credenziali degli utenti.

Per informazioni sull'utilizzo dell'archiviazione sicura con Servizi Visio, vedere Archiviazione sicura per applicazioni di servizio di business intelligence.

Dimostrazione video

Schermata del video

In questa dimostrazione vengono illustrati i passaggi necessari per configurare Servizi Visio per l'archiviazione sicura.

Guarda il video (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=196864&clcid=0x410). Per scaricare il file del video, fare clic con il pulsante destro del mouse sul collegamento e quindi scegliere Salva oggetto con nome.

Account del servizio automatico

Per agevolare la configurazione, in Servizi Visio è supportata una configurazione speciale in base alla quale un amministratore può creare un mapping univoco in cui tutti gli utenti vengono mappati in un unico insieme di credenziali.

Questo account, denominato account di servizio automatico, deve essere un account di dominio di Windows con pochi privilegi. In Servizi Visio questo account viene rappresentato quando si stabilisce una connessione a un'origine dati da parte di un visualizzatore di un disegno Web.

È consigliabile concedere a questo account il minor numero di autorizzazioni di rete possibile, in genere solo l'accesso alla rete e all'origine dati a cui gli utenti devono connettersi. Per ottimizzare la sicurezza, verificare che l'account di servizio automatico non disponga dell'accesso ai database di configurazione e del contenuto di SharePoint.

L'account di servizio automatico viene utilizzato da Servizi Visio nei casi seguenti:

  • Quando un file ODC specifica l'utilizzo di tale account per l'autenticazione di Windows o SQL Server

  • Quando non si utilizza alcun file ODC e l'autenticazione Kerberos ha esito negativo

Nota

L'account del servizio automatico può essere un account del computer locale di tipo Windows. Se l'account del servizio automatico è configurato come account del computer locale, assicurarsi che la configurazione sia identica in tutti i server applicazioni che eseguono Servizi Visio. Per migliorare la gestibilità è consigliabile utilizzare un account di dominio.

Scegliere l'account di servizio automatico quando ci si connette a piccole distribuzioni ad-hoc in cui la sicurezza è meno importante o per le quali è essenziale la velocità di distribuzione.

Per informazioni sull'utilizzo dell'account di servizio automatico con Servizi Visio, vedere Archiviazione sicura per applicazioni di servizio di business intelligence.

Dimostrazione video

Schermata del video

In questa dimostrazione vengono illustrati i passaggi necessari per configurare Servizi Visio con l'account di servizio automatico.

Guarda il video (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=196865&clcid=0x410). Per scaricare il file del video, fare clic con il pulsante destro del mouse sul collegamento e quindi scegliere Salva oggetto con nome.

Autenticazione di SQL Server

L'autenticazione di SQL Server richiede la presentazione da parte di Servizi Visio di un nome utente e una password di SQL Server a un'origine dati di SQL Server per l'autenticazione. Tale nome utente e password vengono estratti in Servizi Visio dalla stringa di connessione della connessione dati e vengono passati all'origine dati.

Per ridurre i rischi di sicurezza, Servizi Visio rappresenta l'account di servizio automatico durante la connessione a tale origine dati.

Autenticazione in origini dati OLEDB/ODBC

L'autenticazione in origini dati di terze parti in genere richiede la presentazione da parte di Servizi Visio di un nome utente e una password a un'origine dati. Analogamente all'autenticazione di SQL Server, tale nome utente e password vengono estratti in Servizi Visio dalla stringa di connessione della connessione dati e vengono passati all'origine dati.

Per ridurre i rischi di sicurezza, Servizi Visio rappresenta l'account di servizio automatico durante la connessione a tale origine dati.

Aggiornamento dei dati

Servizi Visio supporta l'aggiornamento dei disegni connessi a una o più delle origini dati seguenti:

  • SQL Server

  • Elenchi di SharePoint

  • Cartelle di lavoro di Excel ospitate in SharePoint Server

  • Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 e DB2 9.2

Nota

Se l'origine dati che si intende connettere non è presente nell'elenco precedente, è possibile aggiungere il supporto specifico creando un provider di dati personalizzato di Visio. Questa tecnologia consente di includere le origini dati esistenti in una che possa essere utilizzata da Visio Services can. Per ulteriori informazioni, vedere Creazione di un provider di dati personalizzato con Servizi Visio (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=191029&clcid=0x410) in MSDN Library.

L'aggiornamento dei dati esterni è il frutto della procedura seguente eseguita tramite Servizi Visio.

Aggiornamento dati esterni

  1. Creazione di un disegno:   un autore carica un disegno Web connesso a dati in SharePoint Server 2010.

  2. Attivazione dell'aggiornamento:   il visualizzatore del disegno attiva l'aggiornamento in un disegno Web connesso a dati.

  3. Connessioni dati:   Servizi Visio recupera informazioni sulle connessioni dati per ogni origine dati esterna nel disegno.

  4. Provider di dati attendibili:   Servizi Visio verifica se è disponibile un provider di dati attendibile da utilizzare per recuperare i dati.

  5. Autenticazione:   Servizi Visio esegue l'autenticazione nell'origine dati e recupera i dati richiesti da parte del visualizzatore del disegno.

  6. Aggiornamento del disegno:   Servizi Visio aggiorna il disegno Web in base ai dati dell'origine dati e lo restituisce al visualizzatore.

L'aggiornamento può essere attivato in uno dei modi seguenti all'interno del browser:

  • L'utente finale apre il disegno Web.

  • L'utente finale fa clic sul pulsante di aggiornamento in un disegno Web già aperto.

  • L'utente finale carica una pagina che contiene la web part Visio Web Access configurata per l'aggiornamento automatico da un progettista di siti.

    Nota

    Un progettista di siti SharePoint deve posizionare la web part Visio Web Access in una pagina e configurarla per l'aggiornamento periodico.

L'aggiornamento può anche essere attivato in soluzioni di terze parti richiamando tramite JavaScript il metodo vwaControl.Refresh() dell'API di mashup della web part Visio Web Access. Per ulteriori informazioni, vedere Personalizzazione dei disegni Web di Visio nella web part Visio Web Access (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=196503&clcid=0x410) in MSDN Library.

Se non sono disponibili versioni precedentemente memorizzate nella cache di questo disegno Web, tutte queste azioni attiveranno un aggiornamento del disegno Web. Per informazioni sulla configurazione delle impostazioni della cache per Servizi Visio, vedere Configure Visio Graphics Service global settings (SharePoint Server 2010).