Планирование источников данных служб Excel и внешних подключений

 

Применимо к: Excel Services (SharePoint 2010), SharePoint Server 2010

Последнее изменение раздела: 2011-10-18

Чтобы настроить продукты Продукты Microsoft SharePoint 2013 для обеспечения успешного обновления внешних данных книгами, загруженными в приложение Приложение служб Excel, необходимо понять взаимосвязи и зависимости между SharePoint Server 2010 и приложением Приложение служб Excel.

Эта статья содержит руководство по настройке следующих компонентов сервера приложений SharePoint Server 2010:

  • Службы Excel

  • Службы Secure Store.

Содержание:

  • Подключения и книги Excel

  • Поставщики данных

  • Проверка подлинности внешних данных

  • Библиотеки подключений к данным и управляемые подключения

  • Безопасность служб Excel и внешние данные

Подключения и книги Excel

Каждая книга Excel, которая использует внешние данные, содержит подключение к источнику данных. Подключения содержат всю информацию, необходимую для установления связи с внешним источником и получения из него данных. Сюда входит следующая информация:

  • Строка подключения (строка, которая указывает сервер и порядок подключения к нему).

  • Запрос (строка, указывающая, какие данные требуется получить).

  • Любые другие сведения, необходимые для получения данных.

Внедренные и связанные подключения

Книги Excel могут содержать внедренные подключения и связанные подключения. Внедренные подключения сохраняются внутренне, как часть книги. Связанные подключения сохраняются внешне, в виде отдельных файлов, на которые может ссылаться книга.

Внедренные и связанные подключения работают сходно. И те, и другие правильно указывают все параметры, необходимые для успешного подключения к данным. Файлы связанных подключений можно централизованно хранить, защитить, управлять и повторно использовать. Зачастую они рекомендуются при планировании общего подхода для подключения к внешним данным большой группы пользователей. Дополнительные сведения см. в разделе Библиотеки подключений к данным и управляемые подключения.

Для одного подключения книга может иметь внедренную копию сведений о подключении и ссылку на внешний файл подключения. Подключение можно настроить таким образом, чтобы оно всегда использовало внешний файл подключения для обновления данных из внешнего источника. В данном примере, если внешний файл подключения недоступен или не установлено соединение с источником данных, книга не может получить данные. Если настройка не запрещает другое подключение, кроме внешнего файла подключения, Excel пытается использовать внедренную копию подключения. В случае неудачи, Excel пытается использовать файл подключения для подключения к данным. Возможность определить использование только файлов подключений для установления связи с источником внешних данных обеспечивает поддержку управляемых сценариев соединений, описанных в разделе Библиотеки подключения к данным и управляемые подключения.

Службы Службы Excel могут использовать подключения, получаемые из внешнего файла подключений, и подключения, внедренные в книги. Есть несколько ограничений для внешних файлов подключений. Дополнительные сведения см. в разделе Безопасность служб Excel и внешние данные. Если оба вида подключений разрешены на сервере, поведение такое же, как описанное выше поведение Excel.

В целях безопасности, в приложении Приложение служб Excel можно включить только подключения из файлов подключений. В этой конфигурации все вложенные подключения будут отклоняться для загруженных на сервере книг, и попытка подключения будет выполняться только при наличии ссылки на действительный файл подключений, утвержденный как надежный администратором сервера. Дополнительные сведения см. в разделе Надежные библиотеки подключений к данным.

Примечание

Существует несколько видов файлов подключений, и приложение Приложение служб Excel поддерживает только файлы подключений данных Office (ODC).

Поставщики данных

Поставщики данных — это драйверы, используемые клиентскими приложениями (такими как Excel и приложение Приложение служб Excel) для подключения к отдельным источникам данных. Например, для подключения к службам анализа Microsoft SQL Server 2008 используется отдельный поставщик данных MSOLAP. Поставщик данных указывается как часть подключения в строке подключения. Глубоких знаний о поставщиках данных для задач этой статьи не требуется. Но нужно понимать следующие концепции:

  • Поставщики данных — это, как правило, хорошо проверенные, стабильные наборы библиотек, которые можно использовать для подключения к внешним данным.

  • Все поставщики данных, используемые службами Службы Excel, должны быть явно утверждены как надежные администратором сервера. Сведения о добавлении нового поставщика данных в список надежных поставщиков см. в разделе Manage Excel Services connections (SharePoint Server 2010).

    Примечание

    По умолчанию приложение Приложение служб Excel доверяет нескольким хорошо известным и стабильным поставщикам данных. В большинстве случаев, нет необходимости добавлять нового поставщика. Как правило, поставщики данных добавляются для настраиваемых решений.

  • Поставщики данных обрабатывают запросы, выполняют разбор строк подключений и другую специальную логику соединения. Эти функции не относятся к приложениям Приложение служб Excel. Приложение Приложение служб Excel не может управлять поведением поставщиков данных.

Проверка подлинности внешних данных

Серверы данных требуют, чтобы пользователь прошел проверку подлинности на сервере. Следующий шаг — авторизация, сообщающая серверу разрешенные действия, связанные с пользователем. Проверка подлинности требуется серверу данных для выполнения авторизации или для применения ограничений безопасности, предотвращающих предоставление данных кому-либо, кроме авторизованных пользователей.

Приложение Приложение служб Excel должно сообщить в источник данных, какой пользователь запрашивает данные. В большинстве сценариев, это будет пользователь, который просматривает отчет Excel в браузере. В этом разделе объясняется проверка подлинности между приложением Приложение служб Excel и внешним источником данных. Проверка подлинности на этом уровне показана на следующей схеме. Стрелка в правой части изображает канал проверки подлинности, направленный из сервера приложений, работающего под управлением Службы вычислений Excel, во внешний источник данных.

Службы Excel — проверка подлинности внешних данных

Примечание

Приложение служб Excel производит доступ к внешним источникам данных, используя делегированное удостоверение Windows. Следовательно, внешние источники данных должны находиться в том же домене, что и ферма SharePoint Server 2010, или необходимо настроить Приложение служб Excel для использования службы Secure Store. Если служба Secure Store не используется и внешние источники данных не находятся в том же домене, проверка подлинности при доступе к внешним источникам данных завершится неудачно. Дополнительные сведения см. в разделе вопросов планирования служб, обращающихся к внешним источникам данных, в статье «Планирование архитектуры служб».

Имеется несколько способов реализации проверки подлинности. В этой статье внимание будет уделено трем методам, поддерживаемых в приложении Приложение служб Excel:

  • Встроенная проверка подлинности Windows

  • Службы Secure Store

  • Не используется

Приложение Приложение служб Excel определяет вид проверки подлинности на основе свойства подключения. Это свойство должно быть явно указано и может быть настроено с помощью клиента Microsoft Excel 2010. Если тип проверки подлинности не указан, по умолчанию выполняется попытка проверки подлинности Windows.

Встроенная проверка подлинности Windows

В SharePoint Server 2010 используется проверка подлинности на основе утверждений. Поэтому в приложении Приложение служб Excel также используется проверка подлинности на основе утверждений. Встроенная проверка подлинности Windows теперь используется только для параметров проверки подлинности служб IIS в SharePoint Server 2010. Также обратите внимание, что когда приложение Приложение служб Excel подключается к источнику данных, размещаемому на сервере, отличном от сервера, на котором размещается приложение Приложение служб Excel, должно быть настроено ограниченное делегирование Kerberos. Другими словами, если приложение Приложение служб Excel подключается к внешнему источнику данных, необходимо настроить и развернуть ограниченное делегирование Kerberos.

В этом методе для проверки подлинности вместо источника данных используется удостоверение пользователя Windows. Для задач данной статьи не обязательно знать, какой именно механизм применяется в операционной системе (NTLM или, например, ограниченное делегирование). Проверка подлинности Windows, как правило, применяется по умолчанию, когда используется клиент Excel для подключения к источникам данных, таких как Службы SQL Server 2008 Analysis Services.

Обычно в корпоративной среде Приложение служб Excel настраивается как часть фермы с интерфейсным веб-сервером, внутренним сервером Приложение служб Excel и источником данных, размещенными на разных компьютерах, как показано на схеме в разделе Проверка подлинности при доступе к внешним данным. Это означает, что для разрешения подключений к данным с использованием проверки подлинности Windows потребуется делегирование, или протокол Kerberos (рекомендуется ограниченное делегирование). Делегирование необходимо для того, чтобы обеспечить надежную и безопасную передачу удостоверений пользователей между компьютерами. В развернутой ферме такие подключения будут действовать в Приложение служб Excel лишь при условии правильной настройки протокола Kerberos. Дополнительные сведения о настройке ограниченного делегирования Kerberos для Приложение служб Excel см. в статье о настройке подлинности Kerberos для продуктов Microsoft SharePoint 2010 (Возможно, на английском языке) на сайте центра загрузки Майкрософт.

Службы Secure Store.

В SharePoint Server 2010 используется проверка подлинности службы Secure Store путем включения службы Windows и безопасной базы учетных данных. Приложение Приложение служб Excel поддерживает подключаемую функциональность службы Secure Store, которая позволяет реализовать собственный настраиваемый поставщик службы Secure Store. В SharePoint Server 2010 предоставляется поставщик службы Secure Store по умолчанию с приложением Приложение служб Excel.

Служба Secure Store — это централизованная база данных, часто используемая для хранения учетных данных (связанные пары идентификатора пользователя и пароля), которые могут использоваться приложениями для проверки подлинности других приложений. В этом случае для проверки подлинности внешних источников данных приложение Приложение служб Excel использует службу Secure Store как хранилище и источник учетных данных.

Каждая запись службы Secure Store содержит идентификатор приложения, который служит для поиска и извлечения соответствующего набора учетных данных. Каждый идентификатор приложения может иметь разрешения, заданные таким образом, что только отдельные пользователи или группы могут обращаться к учетным данным, сохраненным для данного идентификатора.

После предоставления идентификатора приложения Приложение служб Excel извлекает учетные дынные из базы данных Secure Store для пользователя, открывшего книгу (в браузере или в веб-службах Веб-службы Excel). Затем приложение Приложение служб Excel использует эти учетные данные для проверки подлинности источника данных и получения данных.

Примечание

Идентификатор приложения должен быть задан для подключения. Сведения о назначении идентификатора приложения см. в разделе Использование служб Excel со службой Secure Store (SharePoint Server 2010).

Не используется

Этот метод проверки подлинности означает, что для проверки подлинности при подключении не требуется извлекать учетные данные или выполнять какие-либо особые действия. Например, приложение Приложение служб Excel не пытается делегировать учетные данные пользователя или извлечь их из базы данных Secure Store. Вместо этого при выборе варианта проверки подлинности "Не используется" производится подключение к базе данных Secure Store с учетной записью процесса и извлечение учетных данных для использования. В этих случаях Приложение служб Excel передает строку подключения поставщику данных и предоставляет ему возможность провести проверку подлинности.

На практике эта строка подключения, как правило, указывает имя пользователя и пароль для подключения к источнику данных. Однако иногда она содержит указание, что должны использоваться интегрированные средства обеспечения безопасности. То есть для подключения к источнику данных должно использоваться удостоверение пользователя Windows или компьютера, с которого выполняется запрос. В обоих случаях, сначала учетная запись автоматической службы олицетворяется, а затем выполняется подключение к источнику данных. Строка подключения и поставщик определяют метод авторизации. Также авторизация может основываться на учетных данных, содержащихся в строке подключения, либо на олицетворенном удостоверении Windows учетной записи автоматической службы. Дополнительные сведения см. в разделе Учетная запись автоматической службы.

Библиотеки подключений к данным и управляемые подключения

Библиотеки подключений к данным — это список SharePoint Server 2010, предназначенный для хранения файлов подключений, на которые впоследствии ссылаются приложения Office 2010, такие как приложения Приложение служб Excel.

Библиотеки подключений к данным предоставляют пользователям возможность централизованно осуществлять управление, защиту, сохранение данных и повторно использовать подключения к ним.

Повторное использование подключений

Библиотеки подключений к данным расположены в хорошо известных местах в SharePoint Server 2010 и отображают понятные имена источников и описания, поэтому можно повторно использовать подключения, созданные и настроенные другими пользователями, и настраивать их для собственных целей. Подключения создаются информированными сотрудниками и экспертами данных, и затем их могут использовать другие участники, которым для этого не нужно знать подробные сведения о поставщиках данных, имена серверов или проходить проверку подлинности. Местоположение библиотеки подключений к данным может быть даже опубликовано в клиентах Office, так что подключения данных будут отображаться в приложении Приложение служб Excel или любом другом клиентском приложении, которое использует эти библиотеки. Дополнительные сведения см. в разделе Manage Excel Services connections (SharePoint Server 2010).

Управление подключениями

Поскольку книги содержат ссылку на файл в библиотеке подключений к данным, в результате каких-либо изменений в подключениях (таких как изменение имени сервера или идентификатора приложения Secure Store) потребуется обновить только один файл подключений, вместо потенциального обновления сотен книг. Книги автоматически получают эти изменения, когда в следующий раз используют этот файл подключений для обновления данных из Excel или приложения Приложение служб Excel.

Обеспечение безопасности подключений

Библиотека подключений к данным является списком SharePoint и поддерживает все разрешения SharePoint Server 2010, включая разрешения отдельной папки или элемента. Преимущество для сервера здесь заключается в том, что библиотека подключений может стать защищенным хранилищем подключений к данным с высоким уровнем контроля. Часть пользователей могут иметь доступ только для чтения к этим подключениям. Это позволяет им использовать подключения. Но они не могут добавлять новые подключения. С помощью списков контроля доступа (ACL) и библиотеки подключений к данным, с разрешением только доверенным авторам добавлять подключения, библиотека подключения к данным становится хранилищем надежных подключений. Надежные подключения — это такие подключения, которые определенно не содержат вредоносные запросы.

Приложение Приложение служб Excel можно настроить для загрузки файлов подключений только из тех библиотек подключений к данным, которые явно утверждены как надежные администратором сервера, и заблокировать загрузку любых внедренных подключений. В данной конфигурации приложение Приложение служб Excel использует библиотеку подключений, чтобы применить дополнительный уровень безопасности подключений к данным.

Библиотеки подключений к данным можно также использовать в SharePoint Server 2010 в сочетании с новой ролью просмотра, что позволяет с помощью таких подключений обновлять книги, загруженные в Приложение служб Excel. Если применяется роль просмотра, пользователи не могут обращаться к содержимому файлов подключений из клиентского приложения, такого как Excel. Таким образом, содержимое файлов подключений будет защищено, но при этом все же может быть использовано для книг, обновляемых на сервере.

Безопасность служб Excel и внешние данные

Приложение Приложение служб Excel имеет много уровней безопасности. В следующем подразделе описываются вопросы, касающиеся непосредственно внешнего доступа к данным.

Надежные расположения файлов

Приложение Приложение служб Excel загружает книги только из надежных местоположений файлов. Надежное местоположение файлов — это каталог (который может включать все подкаталоги), который администратор явно назначил для загрузки из него книг. Эти каталоги добавляются во внутренний список приложения Приложение служб Excel. Этот список называется списком надежных расположений файлов.

Надежные расположения могут указывать набор ограничений для загружаемых из них книг. Все книги, загружаемые из надежного местоположения, имеют соответствующие этому местоположению параметры. Ниже приведен краткий список параметров надежного местоположения, затрагивающих внешние данные.

  • Порядок доступа к внешним данным. Сюда входят следующие параметры.

    • Доступ к данным запрещен (по умолчанию).

    • Разрешены только файлы подключений в библиотеке подключений к данным SharePoint Server 2010.

    • Разрешены внедренные подключения в книгах дополнительно к файлам подключений из библиотеки подключений к данным.

  • Отображать или нет предупреждения об обновлении запросов.

  • Прерывать ли загрузку книги, если внешние данные не обновляются при открытии книги. Эти сценарии используются в тех случаях, когда книги имеют кэшированные результаты данных, которые будут изменяться, в зависимости от удостоверения пользователя, просматривающего книгу. Целью является скрыть эти кэшированные результаты, чтобы пользователи, просматривающие книгу, могли видеть только предназначенные для них данные. В этом, случае, книга будет пытаться выполнить обновление при ее открытии. Можно задать обновление при открытии для всех подключений. Если обновление не удается, книга не отображается для пользователей, которые не могут открыть ее в клиенте Excel.

    Примечание

    Эта возможность доступна, если книга заблокирована разрешениями роли средства просмотра в приложении SharePoint Server 2010, так как пользователь, который может открыть книгу в Excel, всегда может просматривать кэшированные результаты данных.

  • Срок действия кэширования внешних данных. Для улучшения масштабируемости и производительности данные на сервере распределены среди большого числа пользователей, и срок действия кэширования можно корректировать. Это позволяет приспосабливать сценарии, в которых требуется сократить время исполнения запроса до минимума, так как оно может быть большим. В таких сценариях данные обычно изменяются только ежедневно, еженедельно или ежемесячно, в противоположность изменениям каждую минуту или каждый час.

Надежные библиотеки подключений к данным

Как и в случае с файлами книг, приложение Приложение служб Excel загружает только файлы подключений из надежных библиотек подключений к данным приложения SharePoint Server 2010. Надежные библиотеки подключений к данным это библиотеки, которые администратор сервера явно добавил к внутреннему надежному списку. Сведения о том, как библиотеки подключений к данным позволяют администратору защищать файлы подключений и управлять ими, см. в разделе Библиотеки подключений к данным и управляемые подключения. Сведения о том, как сделать надежной библиотеку подключения к данным для использования в приложении Приложение служб Excel, см. в разделе Manage Excel Services connections (SharePoint Server 2010).

Надежные поставщики данных

Приложение Приложение служб Excel будет использовать только внешние поставщики данных, добавленные к внутреннему надежному списку поставщиков. Этот механизм защиты запрещает серверу использовать поставщики, которые администратор не сделал надежными. Сведения о том, как сделать поставщик данных надежным, см. в разделе Manage Excel Services connections (SharePoint Server 2010).

Учетная запись автоматической службы

Учетная запись автоматической службы — это отдельная учетная запись, которую приложение Приложение служб Excel олицетворяет каждый раз, когда пытается выполнить подключение с указанным параметром проверки подлинности "Не используется", вне зависимости от того, используется ли источником данных интегрированная проверка подлинности Windows. Поскольку приложение Приложение служб Excel не управляет поставщиком данных и не выполняет непосредственно разбор строк подключения отдельного поставщика, требуется снизить угрозу безопасности посредством удостоверения самого приложения Приложение служб Excel, которое может быть использовано для подключения к источнику данных. Для снижения таких угроз используются учетные записи автоматической службы.

Приложение Приложение служб Excel часто выполняется под учетной записью, имеющей самый высокий уровень привилегий. Этот уровень не соответствует пользователям, которые пытается только просмотреть данные. Если для внешних данных установлена проверка подлинности Не используется или Служба Secure Store, когда идентификатор приложения службы Secure Store не сохраняет учетные данные Windows, перед попыткой подключения к данным будет олицетворяться учетная запись автоматической службы. Поскольку учетная запись автоматической службы не может иметь привилегий для доступа к источнику данных, для нее будут запрещены случайные или злоумышленные подключения к источнику данных в контексте привилегированной учетной записи.

Если учетная запись автоматической службы имеет доступ к источнику данных (когда выбран тип проверки подлинности Не используется), подключение будет успешно установлено с помощью учетной записи автоматической службы. Соблюдайте осторожность при создании решения с использованием этой учетной записи для подключения к данным. Это единственная учетная запись, которую потенциально может использовать любая книга на сервере. Все пользователи, загружающие книгу в приложении Приложение служб Excel и устанавливающие тип учетной записи Не используется, могут просматривать эти данные с помощью сервера. В некоторых сценариях это может быть необходимо. Однако предпочтительным решением для управления паролями на уровне отдельного пользователя или группы будет служба Secure Store.