Autenticação de dados do Visio Services no SharePoint Server
APLICA-SE A:
2013 2016 2019 Subscription Edition 
SharePoint no Microsoft 365
As fontes de dados são classificadas como internas ou externas conforme segue:
Interno: Dados hospedados no farm do SharePoint, como uma pasta de trabalho do Excel ou uma lista do SharePoint.
Externo: Dados do SQL Server ou uma fonte de dados OLE DB ou ODBC.
Recuperar os dados de uma fonte de dados exige que o usuário que seja autenticado pela fonte de dados e em seguida autorizado para acessar os dados contidos nela. No caso de um diagrama, o Serviços do Visio autentica a fonte de dados em nome do usuário que a está exibindo para atualizar os dados aos quais o diagrama está conectado.
O método de autenticação que os Serviços do Visio podem usar para recuperar dados depende do tipo de fonte de dados subjacente, conforme mostrado na tabela abaixo. No caso de fontes de dados que oferecem suporte a mais de um método de autenticação, a conexão de dados precisará especificar qual deles deverá ser usado.
| Fonte de dados | Método de autenticação |
|---|---|
| Listas do SharePoint |
Permissões de usuário do SharePoint |
| Pastas de trabalho do Excel |
Permissões de usuário do SharePoint |
| SQL Server |
Uma de: Autenticação do Windows (segurança integrada) usando a Delegação Kerberos Restrita usando o Repositório Seguro usando a Conta de Serviço sem Supervisão Autenticação do SQL Server |
| OLE DB/ODBC |
Varia por fonte de dados, normalmente um par de nome de usuário e senha armazenado na sequência de conexão. |
Provedores de dados personalizados também podem ser usados.
As fontes de dados a seguir são suportadas no Visio, mas não no Serviços do Visio:
Bancos de dados do Access
Pastas de trabalho do Excel que não estão hospedadas no SharePoint Server
OLAP
Conectar os Serviços do Visio aos dados hospedados no SharePoint Server
Os Serviços do Visio oferecem suporte para diagramas conectados a dados que estão associados a dados hospedados no farm do SharePoint, incluindo:
Pastas de trabalho do Excel que residem em uma biblioteca de documentos
Dados em listas do SharePoint
Conecte-se às pastas de trabalho do Excel
Os Serviços do Visio usam as credenciais do SharePoint Server do visualizador do diagrama para se conectarem a uma pasta de trabalho .xlsx do Excel. Para que a operação de autenticação seja bem-sucedida, é necessário atender às seguintes condições:
O Office Online Server tem de ser aprovisionado corretamente e configurado no farm do SharePoint.
A pasta de trabalho precisa estar hospedada no mesmo farm do diagrama.
O visualizador do diagrama deve ter pelo menos permissões de "leitura" na pasta de trabalho do Excel.
Nenhuma outra etapa de configuração é necessária para permitir esse tipo de conexão de dados.
Observação
[!OBSERVAçãO] Como parte da conexão com uma pasta de trabalho do Excel, os Serviços do Visio solicitam que o Excel Online atualize a pasta de trabalho se ela contiver conexões com dados externos. Nesse caso, a identidade do visualizador do diagrama será transmitida para o Excel Online, de modo que o Excel Online possa fazer a autenticação nas fontes de dados subjacentes para atualizar a pasta de trabalho.
Conectar os Serviços do Visio às listas do SharePoint
Os Serviços do Visio usam as credenciais do SharePoint Server do visualizador do diagrama para se conectarem a uma lista do SharePoint. Para que a operação de autenticação obtenha êxito, é necessário atender às seguintes condições:
Para acessar os dados em uma Lista Externa, o usuário deve ter permissões para acessar o Tipo de Conteúdo Externo e a fonte de dados externa.
O visualizador do diagrama deve ter pelo menos permissões de "leitura" na lista do SharePoint.
Nenhuma outra etapa de configuração é necessária para permitir esse tipo de conexão de dados.
Conectar os Serviços do Visio aos dados externos
Os Serviços do Visio podem se conectar a diversas fontes de dados externas, incluindo SQL Server, OLE DB/ODBC e provedores de dados personalizados. Para se conectarem à fonte de dados, os Serviços do Visio usam um provedor de dados específico para cada fonte de dados.
Como medida de segurança, os Serviços do Visio devem confiar explicitamente nos provedores de dados antes que eles sejam usados.
A conexão a uma fonte de dados do SQL Server pode ser feita usando:
Autenticação do Windows
Autenticação do SQL Server
Outras fontes de dados usam uma cadeia de conexão que normalmente consiste em um nome de usuário e uma senha.
Conexões de dados
Os diagramas do Visio usam um de dois tipos de conexões:
Conexões inseridas
Conexões vinculadas
Conexões inseridas são armazenadas como parte do diagrama do Visio. Conexões vinculadas são armazenadas externamente para um diagrama em arquivos ODC. Para usar uma conexão vinculada, um diagrama deve fazer referência a um arquivo .odc que também esteja armazenado no mesmo farm do diagrama. Cada conexão de dados consiste em:
Uma cadeia de conexão
Uma cadeia de consulta
Um método de autenticação
Como opção, alguns metadados necessários para recuperar dados externos
As vantagens e desvantagens de cada tipo de conexão são abordadas aqui. Escolha o que melhor corresponde ao seu cenário.
| Tipo de conexão | Conexões inseridas | Arquivos ODC |
|---|---|---|
| Fontes de dados com suporte |
SQL Server OLE DB/ODBC Pastas de trabalho do Excel Listas do SharePoint Provedores de Dados Personalizados |
SQL Server (oferece suporte a todos os métodos de autenticação) OLE DB/ODBC |
| Vantagens |
Todas as informações de conexão são armazenadas no diagrama. Conexões inseridas precisam de pouca sobrecarga administrativa para oferecer suporte. Conexões inseridas são fáceis de criar. |
Conexões vinculadas podem ser armazenadas, gerenciadas, auditadas, compartilhadas e ter seu acesso a elas controlado de forma centralizada com o uso de uma biblioteca de conexão de dados. Os autores do diagrama podem usar conexões existentes sem ter que criar sequências de consultas e conexão. Se os detalhes da conexão de uma fonte de dados mudarem, o administrador precisa somente atualizar um arquivo ODC. Graças a essa alteração, todos os diagramas que referenciam o arquivo ODC usarão as informações de conexão atualizadas quando a próxima atualização ocorrer. (Um exemplo desse cenário é quando o servidor do banco de dados é movido ou o nome do banco de dados é alterado). |
| Desvantagens |
Se os detalhes da conexão de dados para uma fonte mudarem, todos os diagramas com conexões incorporadas a essa fonte terão que ser republicados com informações atualizadas. As ligações de dados incorporadas são mais difíceis de auditar pelos administradores do SharePoint. |
As ligações ligadas podem necessitar da ajuda de um administrador do SharePoint para partilhar, gerir e proteger. Conexões vinculadas são salvas em texto não criptografado e podem conter senhas de bancos de dados. É necessário ter cuidado extra ao ajudar a proteger esses arquivos. |
Escolha uma conexão de dados vinculada, usando um arquivo ODC, para cenários nos quais é necessário ter uma conexão de dados com uma fonte de dados relacional em escala corporativa, como o SQL Server. Conexões de dados vinculadas são mais úteis em cenários nos quais elas serão compartilhadas por muitos usuários e nos quais o controle da conexão pelo administrador é importante.
Observação
Se você estiver usando o Visio 2010, os arquivos ODC primeiro devem ser criados no Excel e exportados para o SharePoint Server antes que possam ser usados com o Serviços do Visio.
Escolha uma conexão inserida para cenários nos quais é necessário ter uma conexão de dados rápida com uma fonte de dados pequena ou baseada em arquivo que será usada apenas por alguns usuários.
Arquivos ODC podem ser armazenados em uma biblioteca de conexão de dados, um tipo especial de biblioteca de documentos do SharePoint. A centralização de conexões de dados em uma biblioteca de documentos desse tipo possui diversas vantagens:
Os administradores podem restringir o acesso de gravação para uma biblioteca de conexão de dados, para autores de conexões confiáveis, para garantir que somente as conexões bem testadas e seguras sejam usadas pelos autores do diagrama.
Os administradores possuem um único local para gerenciar conexões de dados de um grande grupo de usuários.
Os administradores podem aprovar, auditar, reverter e gerenciar arquivos de conexão de dados usando recursos de controle de versão da biblioteca de documentos e de fluxo de trabalho.
Os usuários finais possuem apenas um único local para localizar dados do diagrama, reduzindo assim a confusão e a necessidade de treinamento.
Autenticação do Windows
Esse tipo de credencial é comum nas redes Windows e é idêntica à usada para fazer logon nos computadores em um domínio do Windows. As credenciais do Windows são consideradas um meio mais seguro e gerenciável de controlar o acesso a bancos de dados do SQL Server. No entanto, um obstáculo ao uso da autenticação do Windows com os Serviços do Visio é a medida de segurança de salto duplo do Windows, na qual as credenciais de um usuário não podem ser transmitidas para mais de um computador em uma rede Windows. Como os Serviços do Visio são um sistema de várias camadas, métodos de autenticação especiais são necessários para que os Serviços do Visio possam recuperar dados em nome do usuário final.
A autenticação do Windows requer que os Serviços do Visio apresentem para o SQL Server um conjunto de credenciais do Windows. Há várias opções para fazer isso. O método de autenticação de escolha depende de vários fatores conforme descrito na tabela a seguir. Escolha aquele que funciona melhor para o seu cenário.
| Método de autenticação | Delegação restrita de Kerberos | Repositório Seguro | Conta de Serviço sem Supervisão |
|---|---|---|---|
| Descrição |
Usando a delegação restrita de Kerberos, as credenciais do visualizador de diagrama do Windows são enviadas para a fonte de dados diretamente. |
Usando o Repositório Seguro, as credenciais do Windows do visualizador são mapeadas para outro conjunto de credenciais especificado em um aplicativo de destino do Repositório Seguro. |
Usando o Repositório Seguro, todos os visualizadores são mapeados para um conjunto específico de credenciais, chamado de Conta de Serviço sem Supervisão, que é armazenado em um aplicativo de destino específico do Repositório Seguro, especificado nas Configurações Globais do Serviços do Visio. |
| Credenciais de conexão de dados |
As credenciais do Windows do visualizador do diagrama. |
As credenciais especificadas no aplicativo de destino do Repositório Seguro. |
As credenciais da Conta de Serviço sem Supervisão. |
| Vantagens |
O protocolo Kerberos é um padrão da indústria em gerenciamento de credenciais. O Kerberos se conecta à infraestrutura existente do Active Directory. A delegação Kerberos permite auditar acessos individuais a uma fonte de dados. Visto que a identidade do visualizador do diagrama é conhecida, os criadores do diagrama podem incorporar consultas de banco de dados personalizadas aos diagramas. |
O Repositório Seguro é uma parte do SharePoint Server e é mais fácil de configurar que autenticação Kerberos. Mapeamentos são flexíveis: um usuário pode ser mapeado um-para-um ou muitos-para-um. Credenciais não relacionadas ao Windows podem ser usadas para conexão com fontes de dados que não aceitam credenciais do Windows. Os mapeamentos criados para o Visio podem ser reutilizados por outros aplicativos de business intelligence, como o Excel Online. |
A Conta de Serviço sem Supervisão é o método de autenticação mais fácil de implantar e configurar. A Conta de Serviço sem Supervisão não requer muita sobrecarga administrativa. |
| Desvantagens |
O esforço administrativo adicional necessário para configurar no SharePoint Server e no Serviços do Visio. |
O estabelecimento e a manutenção de tabelas de mapeamento requerem uma certa sobrecarga administrativa. O Repositório Seguro permite a auditoria limitada. No cenário de muitos-para-um, usuários de entrada individuais são mapeados para as mesmas credenciais por meio de um aplicativo de destino, associando-os efetivamente a um único usuário. |
Como todos são mapeados nas mesmas credenciais, um administrador não pode distinguir quem acessou uma fonte de dados. |
| Para que a operação de autenticação seja bem-sucedida... |
A delegação restrita de Kerberos deve ser configurada no farm do SharePoint. |
O Repositório Seguro deve ser provisionado e configurado no farm. Também deve conter informações de mapeamento adequados de um determinado usuário de entrada. Além disso, as informações de mapeamento talvez precisem ser atualizadas periodicamente para refletirem alterações de senha na conta mapeada. |
Repositório Seguro deve ser provisionado e configurado no farm. Também deve conter as credenciais da Conta de Serviço sem Supervisão. Além disso, as informações de mapeamento talvez precisem ser atualizadas periodicamente para refletirem alterações de senha na conta mapeada. A Conta de Serviço sem Supervisão deve ser configurada nas Configurações Globais dos Serviços do Visio. |
Delegação Kerberos restrita
Escolha a delegação restrita de Kerberos para obter autenticação mais rápida e segura de dados relacionais em escala corporativa que oferecem suporte para a autenticação do Windows.
Repositório Seguro
Escolha o Repositório Seguro para a autenticação de fontes de dados relacionais em escala empresarial que podem oferecer suporte à Autenticação do Windows. O Repositório Seguro também é útil em cenários nos quais você deseja controlar os mapeamentos de credenciais de usuários.
Conta de Serviço sem Supervisão
Para facilitar a configuração, o Serviço de Gráfico do Visio fornece uma configuração especial onde um administrador pode criar um mapeamento exclusivo no qual todos os usuários são mapeados para um único conjunto de credenciais.
Conhecida como a Conta de Serviço sem Supervisão, ela deve ser uma conta de domínio do Windows de baixo privilégio. O Serviços do Visio personifica essa conta quando se conecta a uma fonte de dados em nome de um visualizador do diagrama.
A prática recomendada é dar a essa conta o mínimo possível de permissões na rede, normalmente somente o acesso para logon na rede e o acesso à fonte de dados à qual os usuários irão se conectar. Para melhorar a segurança, a Conta de Serviço sem Supervisão não deve ter acesso à Configuração do SharePoint e aos bancos de dados de Conteúdo.
A Conta de Serviço sem Supervisão é usada pelo Serviços do Visio nas circunstâncias a seguir:
Quando um arquivo ODC especifica o uso da Conta de Serviço sem Supervisão para Autenticação do Windows ou do SQL Server
Quando nenhum ODC é usado, e a autenticação Kerberos falha
Observação
[!OBSERVAçãO] A conta autônoma pode ser uma conta do computador local, do tipo Windows. Se ela for configurada como uma conta do computador local, verifique se a configuração é idêntica em cada servidor de aplicativo que executa o Serviços do Visio. Por motivos de capacidade de gerenciamento, a prática recomendada é usar uma conta de domínio.
Escolha a Conta de Serviço sem Supervisão quando for se conectar a implantações ad-hoc de pequeno porte nas quais a segurança é menos importante, ou em que a velocidade da implantação é muito importante.
Para obter informações sobre usar a Conta de Serviço sem Supervisão com o Serviços do Visio, consulte Repositório seguro para aplicativos de serviço de Business Intelligence.
Autenticação do SQL Server
A Autenticação do SQL Server requer que os Serviços do Visio apresentem um nome de usuário e uma senha do SQL Server para uma fonte de dados do SQL Server para autenticação. Os Serviços do Visio extraem esse nome de usuário e essa senha da cadeia de conexão da conexão de dados e os transmitem à fonte de dados.
Para reduzir os riscos à segurança, os Serviços do Visio representam a Conta de Serviço sem Supervisão ao se conectarem a uma fonte de dados desse tipo.
Autenticação em fontes de dados OLE DB/ODBC
A autenticação em fontes de dados de terceiros normalmente exige que os Serviços do Visio apresentem um nome de usuário e uma senha para uma fonte de dados. Como na Autenticação do SQL Server, os Serviços do Visio extraem esse nome de usuário e essa senha da cadeia de conexão da conexão de dados e os transmitem à fonte de dados.
Para reduzir os riscos à segurança, os Serviços do Visio representam a Conta de Serviço sem Supervisão ao se conectarem a uma fonte de dados desse tipo.
Atualização de dados dos Serviços do Visio
O Serviços do Visio oferece suporte para a atualização de diagramas conectados a uma ou mais das seguintes fontes de dados:
SQL Server
Listas do SharePoint
Pastas de trabalho do Excel hospedadas no SharePoint Server
Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 e DB2 9.2
Observação
Se a origem de dados à qual pretende ligar não estiver na lista acima, pode adicionar suporte para a mesma ao criar um Fornecedor de Dados Personalizados do Visio. Esta tecnologia permite-lhe encapsular as suas origens de dados existentes numa que o Visio Services possa consumir.
A atualização pode ser disparada de uma das seguintes maneiras pelo navegador:
O usuário final abre o diagrama.
O usuário final clica no botão para atualizar em um diagrama já aberto.
O usuário final carrega uma página que contém a Web Part do Visio Web Access que foi configurada por um designer de site para ser atualizada automaticamente.
Observação
Um designer de site do SharePoint precisa colocar a Web Part do Visio Web Access em uma página e configurá-la para ser atualizada periodicamente.
Se não houver versões previamente colocadas no cache desse diagrama, qualquer uma das ações dispara a atualização do diagrama. Para obter informações sobre como definir as configurações de cache dos Serviços do Visio, consulte Configurar os Serviços Visio.