Планирование безопасности служб Visio в SharePoint Server
ОБЛАСТЬ ПРИМЕНЕНИЯ:
2013 2016 2019 Subscription Edition 
SharePoint в Microsoft 365
Помимо требований к безопасности, применяемых к развертыванию SharePoint Server, необходимо также продумать обеспечение безопасности для развертывания, включающего Службы Visio. Службы Visio позволяют обрабатывать схемы Visio в окне браузера. Эти схемы могут быть подключены к внешним данным, а элементы схемы можно обновлять на основе этих данных. Безопасность это важный компонент для включения таких сценариев обработки данных. Службы Службы Visio предоставляют значительный уровень пристального контроля для обработки и отображения схем Visio и выбора источников, к которым их можно подключить.
Хранение схем Visio в библиотеках документов SharePoint
Схемы Visio должны храниться в библиотеках документов SharePoint, чтобы их можно было открывать с помощью служб Службы Visio. SharePoint Server поддерживает список управления доступом (ACL) для файлов, находящихся в библиотеке документов. Правильно задав правила библиотеки, можно ограничить доступ к определенной схеме.
Схемы Visio, подключенные к данным
Служба графики Visio может выполнять подключение к источникам данных. К ним относятся списки SharePoint (включая внешние списки), базы данных, например SQL Server, и пользовательские источники данных. Можно управлять доступом к определенным источникам данных, явно указывая поставщиков данных, которые являются доверенными поставщиками, и настраивая их в списке доверенных поставщиков данных.
Примечание.
[!Примечание] Службы Visio осуществляет доступ к внешним источникам данных с помощью делегированного удостоверения Windows. Следовательно, внешние источники данных должны находиться в том же домене, что и ферма SharePoint Server, или необходимо настроить Службы Visio для использования службы Служба Secure Store. Если Служба Secure Store не используется и внешние источники данных не располагаются в том же домене, произойдет сбой проверки подлинности для внешних источников данных.
Когда службы Службы Visio загружают схему подключения данных, службы проверяют сведения о подключении, которые хранятся в схеме, чтобы определить, является ли указанный поставщик данных доверенным поставщиком. Если поставщик указан в списке доверенных поставщиков данных служб Службы Visio, выполняется попытка подключения; в противном случае запрос на подключение игнорируется.
После того как администратор настроил службы Службы Visio для активации подключений к определенному источнику данных, необходимо сделать дополнительные настройки безопасности в зависимости от типа источника данных. Службы Службы Visio поддерживают следующие источники данных:
Списки SharePoint, включающие внешние списки, активированные через Microsoft Business Connectivity Services
Базы данных, такие как базы данных SQL Server
Настраиваемые поставщики данных
Схемы Visio, подключенные к спискам SharePoint
Схемы Visio могут быть подключены к спискам SharePoint в той же ферме, в которой размещается схема. У пользователя, просматривающего схему, должен быть доступ и к схеме, и к списку SharePoint, к которому подключена эта схема. Эти разрешения и учетные данные управляются SharePoint Server.
Схемы Visio также могут быть подключены к внешним спискам с помощью Microsoft Business Connectivity Services. Внешние списки, показанные через внешний тип контента Microsoft Business Connectivity Services, могут подключаться к схеме Visio в Visio, а данные могут обновляться через службы Службы Visio. Чтобы пользователь получил доступ к данным во внешнем списке, он должен иметь разрешения на доступ к внешнему типу контента и разрешения на доступ к внешнему источнику данных.
Схемы Visio, подключенные к базам данных SQL Server
Когда схема Visio подключена к базе данных SQL Server, службы Службы Visio используют дополнительные параметры настройки безопасности для установки подключения между службой Служба графики Visio и базой данных.
Службы Visio поддерживают следующие методы проверки подлинности:
Встроенная проверка подлинности Windows В этой модели безопасности служба графики Visio использует удостоверение средства просмотра схем для проверки подлинности в базе данных. Встроенная проверка подлинности Windows с ограниченным делегированием Kerberos более подходит для увеличения безопасности, чем другие способы проверки подлинности, показанные в этом списке. Эта конфигурация требует включения ограниченного делегирования Kerberos между сервером приложений, на котором запущена служба графики Visio, и сервером базы данных. Для самой базы данных может требоваться дополнительная настройка, чтобы включить проверку подлинности на основе Kerberos.
Служба Secure Store В этой модели безопасности служба графики Visio использует службу Secure Store для сопоставления учетных данных пользователя с другими учетными данными, которые имеют доступ к базе данных. Secure Store поддерживает сопоставления отдельных и групповых групп для встроенной проверки подлинности Windows и других форм проверки подлинности, таких как проверка подлинности SQL Server. Это предоставляет администраторам больше гибкости в определении отношений "один к одному", "многие к одному" и "многие ко многим".
Автоматическая учетная запись службы Для упрощения настройки служба графики Visio предоставляет специальную конфигурацию, в которой администратор может создать уникальное сопоставление, связывающее всех пользователей с одной учетной записью с помощью целевого приложения Secure Store. Эта сопоставленная учетная запись, известная как автоматическая учетная запись службы, должна быть учетной записью домена Windows с низкими привилегиями, и она должна иметь доступ к базам данных. Служба графики Visio олицетворяет эту учетную запись при подключении к базе данных, если другой метод проверки подлинности не указан. Обратите внимание, что этот подход не включает персонализированные запросы по базе данных и не предоставляет аудит вызовов базы данных. Этот метод проверки подлинности является методом проверки подлинности по умолчанию, который используется при подключении к базам данных SQL Server: если на схеме Visio не используется ODC-файл, указывающий другой метод проверки подлинности, службы Visio используют учетные данные, указанные автоматической учетной записью, для подключения к базе данных SQL Server.
В более большой ферме серверов схемы Visio, скорее всего, будут использовать сочетание способов проверки подлинности, описанные здесь. Важно помнить о следующих моментах:
Службы Службы Visio поддерживают использование в одной ферме и Служба Secure Store, и автоматической учетной записи службы. В схемах, подключенных к данным SQL Server, но не использующим ODC-файлы, автоматическая учетная запись обязательно требуется и всегда используется.
Если выбрана встроенная проверка подлинности Windows и происходит сбой проверки подлинности для источника данных, службы Службы Visio не будут пытаться обработать схему с помощью автоматической учетной записи службы.
Встроенная проверка подлинности Windows может использоваться вместе с Служба Secure Store посредством настройки схем на использование конечного приложения Служба Secure Store для тех схем, для которых требуются определенные учетные данные.