Compartilhar via

Plano de segurança do Visio Services no SharePoint Server

  • Artigo

APLICA-SE A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

Além dos requisitos de segurança para implementar o SharePoint Server, também deve rever as considerações de segurança de uma implementação que inclua o Visio Services. O Visio Services permite-lhe compor diagramas do Visio numa janela do browser. Esses diagramas podem ser conectados a dados externos, e seus elementos podem ser atualizados com base nesses dados. A segurança é um componente importante para ativar esses cenários de renderização de dados. O Visio Services dá-lhe um nível significativo de controlo detalhado para o processamento e apresentação de diagramas do Visio e a que origens de dados se podem ligar.

Armazene os diagramas do Visio em bibliotecas de documentos do SharePoint

Os diagramas do Visio têm de ser armazenados em bibliotecas de documentos do SharePoint para serem abertos pelo Visio Services. O SharePoint Server mantém uma lista de controlo de acesso (ACL) para os ficheiros contidos na biblioteca de documentos. Configurando as regras de biblioteca corretamente, você pode limitar o acesso a um diagrama específico.

Diagramas do Visio que estão conectados aos dados

O Visio Graphics Service pode ligar-se a origens de dados. Estas incluem listas do SharePoint (incluindo listas externas), bases de dados como o SQL Server e origens de dados personalizadas. Você pode controlar o acesso a fontes de dados específicas, definindo os fornecedores de dados explicitamente confiáveis e configurando-os na lista de fornecedores de dados confiáveis.

Observação

O Visio Services acede a origens de dados externas através de uma identidade delegada do Windows. Consequentemente, as origens de dados externas têm de residir no mesmo domínio que o farm do SharePoint Server ou o Visio Services tem de ser configurado para utilizar o Serviço de Arquivo Seguro. Se o Arquivo Seguro não for utilizado e as origens de dados externas não residirem no mesmo domínio, a autenticação nas origens de dados externas falhará.

Quando o Visio Services carrega um diagrama ligado a dados, o serviço verifica as informações de ligação armazenadas no diagrama para determinar se o fornecedor de dados especificado é um fornecedor de dados fidedigno. Se o fornecedor for especificado na lista de fornecedores de dados fidedignos do Visio Services, é tentada uma ligação; caso contrário, o pedido de ligação é ignorado.

Assim que um administrador tiver configurado o Visio Services para ativar as ligações a uma determinada origem de dados, existem configurações de segurança adicionais que têm de ser efetuadas, consoante o tipo de origem de dados. As seguintes origens de dados são suportadas pelo Visio Services:

  • Listas do SharePoint, incluindo listas externas ativadas pelo Microsoft Serviços Corporativos de Conectividade

  • Bancos de dados como os do SQL Server

  • Provedores de Dados Personalizados

Diagramas do Visio que estão conectados às listas do SharePoint

Os diagramas do Visio podem ser ligados a listas do SharePoint no mesmo farm onde o diagrama está alojado. O usuário que visualiza o diagrama deve ter acesso ao diagrama e à lista do SharePoint à qual o diagrama é conectado. Estas permissões e credenciais são geridas pelo SharePoint Server.

Os diagramas do Visio também podem ser ligados a listas externas através dos Serviços de Conectividade Empresarial da Microsoft. As listas externas expostas através de um Tipo de Conteúdo Externo dos Serviços de Conectividade Empresarial da Microsoft podem ser ligadas a um diagrama do Visio no Visio e os dados podem ser atualizados através do Visio Services. Para acessar os dados em uma Lista Externa, o usuário deve ter permissões para acessar o Tipo de Conteúdo Externo e a fonte de dados externa.

Diagramas do Visio conectados a bancos de dados do SQL Server

Quando um diagrama do Visio é conectado a um banco de dados do SQL Server, o Serviços do Visio usa opções de configuração de segurança adicionais para estabelecer uma conexão entre o Serviço de Gráfico do Visio e o banco de dados.

Os métodos de autenticação suportados pelo Serviços do Visio são:

  • Autenticação integrada do Windows Neste modelo de segurança, o Visio Graphics Service utiliza a identidade do visualizador de diagramas para autenticar com a base de dados. A autenticação integrada do Windows com a delegação restrita do Kerberos é mais útil para aumentar a segurança do que os outros métodos de autenticação mostrados nessa lista. Esta configuração requer a ativação da delegação restrita de Kerberos entre o servidor de aplicações que está a executar o Visio Graphics Service e o servidor de base de dados. Talvez o próprio banco de dados precise de uma configuração adicional para habilitar a autenticação Kerberos.

  • Serviço de Arquivo Seguro Neste modelo de segurança, o Visio Graphics Service utiliza o Serviço de Arquivo Seguro para mapear as credenciais do utilizador para uma credencial diferente que tenha acesso à base de dados. O Arquivo Seguro suporta mapeamentos individuais e de grupo para autenticação Integrada do Windows e outras formas de autenticação, como a Autenticação do SQL Server. Isso garante aos administradores mais flexibilidade ao definir relações de um para um, de muitos para um ou de muitos para muitos.

  • Conta de Serviço Automática Para facilitar a configuração, o Visio Graphics Service fornece uma configuração especial em que um administrador pode criar um mapeamento exclusivo que associa todos os utilizadores a uma única conta através de uma aplicação de destino de Arquivo Seguro. Essa conta mapeada, conhecida como conta de serviço sem supervisão, deve ser uma conta de domínio do Windows de baixo privilégio com acesso aos bancos de dados. O Visio Graphics Service representa esta conta quando liga à base de dados se não for especificado outro método de autenticação. Observe que essa abordagem não permite consultas personalizadas em um banco de dados e não fornece auditoria de chamadas de banco de dados. Este método de autenticação é o método de autenticação predefinido que é utilizado quando se liga a bases de dados do SQL Server: se não for utilizado nenhum ficheiro ODC no diagrama do Visio que especifica um método de autenticação diferente, o Visio Services utiliza as credenciais especificadas pela conta autónoma para ligar à base de dados do SQL Server.

Num farm de servidores maior, é provável que os diagramas do Visio utilizem uma combinação dos métodos de autenticação descritos aqui. É importante estar atento aos seguintes aspectos:

  • O Visio Services suporta a utilização do Arquivo Seguro e da conta de serviço autónoma no mesmo farm. Em diagramas ligados a dados do SQL Server, mas que não utilizam ficheiros ODC, a conta autónoma é necessária e sempre utilizada.

  • Se a autenticação Integrada do Windows for selecionada e a autenticação da fonte de dados falhar, o Serviços do Visio não tentará renderizar o diagrama usando a conta de serviço autônoma.

  • A autenticação Integrada do Windows pode ser usada junto com o Repositório Seguro configurando diagramas para usar um aplicativo de destino do Repositório Seguro para os diagramas que exigem credenciais específicas.

Confira também

Outros recursos

Repositório seguro para aplicativos de serviço de Business Intelligence