規劃 Visio Services 安全性 (SharePoint Server 2010)
適用版本: SharePoint Server 2010
上次修改主題的時間: 2012-05-21
除了部署 Microsoft SharePoint Server 2010 的安全性需求之外,您還應檢閱內含 Microsoft SharePoint Server 2010 的 Visio Services 之部署的安全性考量。Visio Services 可讓您轉譯已發佈的 Visio Web 繪圖。這些繪圖可連線至外部資料,並根據該資料更新繪圖元素。安全性是啟用這些資料轉譯案例的重要元件。Visio Graphics Service 提供處理及顯示 Visio Web 繪圖,以及其可連線之資料來源的重要細微程度控制。
未連線至資料的網路繪圖
已發佈的 Visio 繪圖 (.VDW 檔) 必須儲存在由 Visio Services 開啟的 SharePoint 文件庫中。SharePoint Server 2010 維護包含在文件庫中之檔案的存取控制清單 (ACL)。正確設定文件庫規則,即可限制存取特定繪圖。
連線至資料的 Visio 網路繪圖
Visio Graphics Service 可連線至資料來源,包括 SharePoint 清單、伺服器陣列上主控的 Excel 活頁簿、Microsoft SQL Server 等資料庫,以及自訂資料來源。您可以明確定義信任的資料提供者,並在信任的資料提供者清單中予以設定,藉此控制特定資料來源的存取權。
當 Visio Services 載入連線至資料的 Web 繪圖時,該服務會檢查儲存在 Web 繪圖中的連線資訊,以判斷指定的資料提供者是否為信任的資料提供者。若提供者是清單成員,會嘗試連線;否則,會略過連線要求。
管理員設定 Visio Services 以啟用特定資料來源的連線之後,根據資料來源類型,可能還有其他必須進行的安全性設定。Visio Services 支援下列資料來源:
儲存在具有 Excel Services 之 SharePoint Server 上的 Excel 活頁簿
SharePoint 清單
SQL Server 資料庫等資料庫
自訂資料提供者
連線至 SharePoint 清單的 Visio 網路繪圖
已發佈的 Visio 繪圖可連線至繪圖所在之相同伺服器陣列上的 SharePoint 清單。檢視 Web 繪圖的使用者,必須同時具有繪圖及該繪圖所連線之 SharePoint 清單的存取權。SharePoint Server 2010 負責管理這些權限與認證。
連線至 Excel Services 的 Visio 網路繪圖
已發佈的 Visio 繪圖可透過正確執行與設定的 Excel Services,連線至與 Web 繪圖所在相同之伺服器陣列上的 Excel 活頁簿。若要檢視 Web 繪圖,使用者必須同時具有繪圖及該繪圖連線之 Excel 活頁簿的存取權。SharePoint Server 2010 負責管理這些權限與認證。
連線至 SQL Server 資料庫的 Visio 網路繪圖
將已發佈的 Visio Web 繪圖連線至 SQL Server 資料庫時,Visio Services 會使用其他安全性設定選項,建立 Visio Graphics Service 與資料庫之間的連線。Visio Web 繪圖可使用儲存在 Office Data Connectivity (ODC) 檔案中的連線。為了製作使用自動帳戶與 Secure Store Service 之連線至資料的 Web 繪圖,使用者必須先使用 Microsoft Excel 建立 Office Data Connectivity 檔案。
Visio Services 支援的驗證方法如下:
整合式 Windows 驗證 在此安全性模型中,Visio Graphics Service 使用繪圖檢視者的身分識別對資料庫進行驗證。使用 Kerberos 限制委派的整合式 Windows 驗證,比清單中所示的其他驗證方法,更有助於增加安全性。此設定需要在執行 Visio Graphics Service 的應用程式伺服器與資料庫伺服器之間,啟用 Kerberos 限制委派。資料庫本身可能還需要其他設定才可啟用 Kerberos 驗證,這不在本文件的討論範圍內。
Secure Store Service 在此安全性模型中,Visio Graphics Service 使用 Secure Store Service 將使用者的認證對應至具有資料庫存取權的其他認證。Secure Store Service 同時支援整合式 Windows 驗證與其他形式的驗證之個人與群組對應。這方便管理員更靈活地定義一對一、多對一或多對多的關聯性。只有使用 ODC 檔案指定連線的繪圖,才可使用此驗證模式。ODC 檔案指定將用於認證對應的目標應用程式。
自動服務帳戶 為方便設定,Visio Graphics Service 提供特殊設定,管理員可透過該設定建立唯一的對應,將所有使用者與使用 Secure Store 目標應用程式的單一帳戶建立關聯。此對應的帳戶又稱為自動服務帳戶,必須是授與資料庫存取權的低權限 Windows 網域帳戶。若未指定其他驗證方法,Visio Graphics Service 連線至資料庫時,會模擬此帳戶。請注意,此方法不會啟用對資料庫進行個人化查詢的功能,也不會提供資料庫呼叫的稽核功能。此驗證方法是您連線至 SQL Server 資料庫時所使用的預設驗證方法;若 Visio Web 繪圖中沒有使用指定其他驗證方法的 ODC 檔案,則 Visio Services 會使用自動帳戶所指定的認證,連線至 SQL Server 資料庫。
在較大型的伺服器陣列中,Visio 繪圖很有可能會混合使用此處所描述的驗證方法。請務必注意以下幾點:
Visio Services 支援在相同的伺服器陣列中同時使用 Secure Store Service 與自動服務帳戶。在連線至 SQL Server 資料但不使用 ODC 檔案的 Web 繪圖中,需要自動帳戶且一律會使用該帳戶。
若已使用 Kerberos 驗證設定整合式 Windows 驗證,Visio Services 將不會轉譯使用自動帳戶驗證模式的繪圖。
整合式 Windows 驗證可搭配 Secure Store 一起使用,方法是設定繪圖使用 ODC 檔案,指定需要特定認證之繪圖的 Secure Store 目標應用程式。