规划 PowerPivot 身份验证和授权
在 SharePoint 2010 场中运行的 PowerPivot for SharePoint 部署使用 SharePoint 服务器提供的身份验证子系统和授权模型。SharePoint 安全基础结构扩展至 PowerPivot 内容和操作,因为所有与 PowerPivot 相关的内容都存储在 SharePoint 内容数据库中,并且在场中的 PowerPivot 共享服务上执行所有与 PowerPivot 相关的处理。使用基于对应 Windows 用户标识的 SharePoint 用户标识对请求包含 PowerPivot 数据的工作簿的用户进行身份验证。工作簿上的查看权限决定了是授予还是拒绝请求。
对 PowerPivot 数据处理和 PowerPivot 服务的所有级别的访问都仅使用 SharePoint 授权。对于在 Excel 工作簿中可视化的 PowerPivot 数据,工作簿中没有在行或表级别启用精细安全性的行级授权。您不能保护工作簿的不同部分,以授予或拒绝特定用户对其中敏感数据的访问权限。您不能应用 Analysis Services 基于角色的安全性来保护 Excel 工作簿中的 PowerPivot 数据。嵌入的 PowerPivot 数据全部可供对 SharePoint 库中的 Excel 工作簿具有查看权限的用户使用。
因为自助服务数据分析需要与 Excel Services 进行集成,所以,为了确保 PowerPivot 服务器的安全,您还需要了解 Excel Services 安全性。当用户查询与 PowerPivot 数据具有数据连接的数据透视表时,Excel Services 将数据连接请求转发给场中的 PowerPivot 服务器以加载数据。服务器之间的这种交互要求您了解如何配置与各方兼容的安全设置。
单击下面的链接可阅读本主题中的特定部分:
PowerPivot for SharePoint 支持的身份验证访问接口
用户授权
SharePoint 权限
将 Excel Services 安全性用于 PowerPivot 工作簿
PowerPivot for SharePoint 支持的身份验证访问接口
配置为使用 Windows 身份验证的 SharePoint Web 应用程序支持 PowerPivot for SharePoint。Windows 身份验证是 PowerPivot Web 服务处理的数据连接所必需的(具体而言,是源自在场外运行的应用程序的请求所必需的)。此要求确保用户的 Windows 安全令牌正确从客户端应用程序传送到 Web 应用程序以便以后由 PowerPivot Web 服务使用。
.gif "注意") 注意 |
|---|
有关 Web 服务处理的连接类型的详细信息,请参阅 PowerPivot Web 服务 (PowerPivot for SharePoint)。 |
尽管 Windows 身份验证不是较常见的数据访问方案(其中,PowerPivot 数据提取自呈现它的 Excel 工作簿)所必需的,但不要尝试将 PowerPivot for SharePoint 与配置为使用其他身份验证提供程序的 SharePoint Web 应用程序一起使用。只要用户尝试连接到作为外部数据源的 PowerPivot 工作簿,上述操作就会导致连接失败。
如何检查应用程序的身份验证访问接口
对于现有的 Web 应用程序,使用以下说明来确认应用程序配置为使用 Windows 身份验证。在创建新的 Web 应用程序时,请确保在“新建 Web 应用程序”页中选择**“经典模式的身份验证”**选项。
在“管理中心”的“应用程序管理”中,单击**“管理 Web 应用程序”**。
选择 Web 应用程序。
单击**“身份验证访问接口”**。
验证您对于每个区域具有一个访问接口,默认区域设置为 Windows。
了解域帐户要求
在生产环境中,要求使用 Windows 域用户帐户或组帐户。帐户必须是域帐户。而不能使用生产服务器上的本地 Windows 用户或组帐户。
由于域帐户要求,SharePoint 服务器必须与域控制器之间始终保持网络连接。此要求是必需的,因为 Claims to Windows Token Service 使用 Windows 域用户的标识对每个请求进行身份验证(它不对本地帐户进行身份验证)。对于每个连接都会发生身份验证。Claims to Windows Service 不使用缓存凭据。
请注意,从客户端应用程序发送到服务器的请求必须位于同一个域中或介于具有双向信任关系的域之间。单向信任对于在服务器上进行数据刷新是不够的。
| 注意 |
|---|
如果您希望在隔离的环境中从公司网络脱机测试 SharePoint 2010 的功能和行为,则可以在 Hyper-V 虚拟机上部署 SharePoint 2010、Excel Services 和 PowerPivot for SharePoint。有关详细信息,请参阅 TechNet 网站上的在独立的 Hyper-V 环境中部署单个服务器。 |
用户授权
对于特定类型的请求,PowerPivot 服务实例验证请求工作簿的用户的 SharePoint 用户标识,以检查授权、生成准确的日志信息并建立使用情况历史记录。在以下情况下,PowerPivot 服务器组件将使用 SharePoint 用户标识:
针对与 PowerPivot 数据源具有数据连接的数据透视表或数据透视图执行的查询,其中,某个 PowerPivot 服务应用程序代表用户与处理数据的特定 PowerPivot 服务实例之间建立连接。
在数据无法以其他方式可用的情况下从缓存或库加载 PowerPivot 数据源。如果对尚未加载到系统中的 PowerPivot 数据源发出数据连接请求,Analysis Services 服务实例将使用 SharePoint 用户的 Windows 用户标识,以便从内容库中检索数据源并将其加载到内存中。
数据刷新操作,用于将数据源的已更新副本保存到内容库中的工作簿。在此情况下,将使用从安全存储区服务中的目标应用程序检索的用户名和密码执行实际登录操作。凭据可以是 PowerPivot 无人参与的数据刷新帐户,也可以是在创建数据刷新计划时随其存储的凭据。有关详细信息,请参阅为 PowerPivot 数据刷新配置和使用存储的凭据。
SharePoint 权限
为了充分利用 PowerPivot 工作簿的共享和协作功能,必须将工作簿发布到 SharePoint 库。仅当将工作簿发布到 SharePoint 服务器后,才能获得诸多优势:服务器场中 PowerPivot 服务实例执行的快速服务器端处理、协调和可伸缩的连接、文档管理功能以及从管理角度深入了解特定工作簿的使用活动。
只有通过 SharePoint 集成,才能支持发布、管理和保护 PowerPivot 工作簿。SharePoint 服务器提供身份验证和授权模型,以确保合法访问数据。没有支持的方案可用于安全地在 SharePoint 场之外部署 PowerPivot 工作簿。
在服务器上,用户对于数据源的访问是只读的,但可以将文件下载到 Excel 桌面应用程序。针对该文件的“参与讨论”权限将确定用户是否可以在本地修改文件。在这种情况下,“参与讨论”和“仅查看”权限级别确定用户对于 PowerPivot 数据的有效访问权限集。其他权限级别的最大限度与“参与讨论”和“仅查看”的权限相同(例如,因为“读取”包含“仅查看”权限,所以,已分配了“读取”权限的用户将与“仅查看”具有相同的访问权限级别)。
下表汇总了确定对 PowerPivot 数据和服务器操作的访问权限的权限级别:
权限级别 |
允许这些任务 |
|---|---|
场或服务管理员 |
安装、启用和配置服务和应用程序。 使用 PowerPivot 管理面板和查看管理报表。 |
完全控制 |
在网站集级别激活 PowerPivot 功能集成。 激活联机帮助。 创建 PowerPivot 库。 创建数据馈送库。 |
参与 |
添加、编辑、删除和下载 PowerPivot 工作簿。 配置数据刷新。 基于 SharePoint 站点上的 PowerPivot 工作簿创建新的工作簿或报表。 在数据馈送库中创建数据服务文档 |
仅查看 |
查看 PowerPivot 工作簿。 查看数据刷新历史记录。 将本地工作簿连接到 SharePoint 站点上的 PowerPivot 工作簿,以其他方法重新设定其数据的作用。 下载该工作簿的一个快照。该快照是数据的静态副本,没有切片器、筛选器、公式或数据连接。该快照的内容类似于从浏览器窗口复制单元值。 |
将 Excel Services 安全性用于 PowerPivot 工作簿
PowerPivot 服务器端处理与 Excel Services 紧密结合。深层次的集成从文档级别开始。PowerPivot 工作簿是包含或引用 PowerPivot 数据的 Excel 工作簿 (.xlsx) 文件。PowerPivot 数据没有单独的文件扩展名。数据存储在工作簿内部或从其他工作簿进行引用。当在 SharePoint 站点中打开 PowerPivot 工作簿时,Excel Services 读取嵌入的 PowerPivot 数据连接字符串,并将请求转发到本地 SQL Server 2008 R2 Analysis Services OLE DB 访问接口。然后,此访问接口将连接信息传递给场中的 PowerPivot 服务器。为了使请求在两个服务器之间无缝传递,必须将 Excel Services 配置为使用 PowerPivot for SharePoint 要求的设置。
在 Excel Services 中,与安全性相关的配置设置在受信任位置、受信任的数据访问接口和受信任的数据连接库中指定。下表介绍可实现或增强 PowerPivot 数据访问的设置。如果某个设置未在此处列出,则它对于 PowerPivot 服务器连接没有影响。有关分步指定这些设置的说明,请参阅在现有 SharePoint 服务器上安装 PowerPivot for SharePoint 中的“启用 Excel Services”一节。
| 注意 |
|---|
与安全性相关的大多数设置适用于受信任位置。如果您希望保留默认值或为不同站点使用不同值,则可以为包含 PowerPivot 数据的站点创建其他受信任位置,然后仅为该站点配置以下设置。有关详细信息,请参阅为 PowerPivot 站点创建受信任位置。 |
区域 |
设置 |
说明 |
|---|---|---|
Web 应用程序 |
Windows 身份验证访问接口 |
PowerPivot 将它从 Excel Services 获得的声明标记转换为 Windows 用户标识。任何使用 Excel Services 作为资源的 Web 应用程序都必须配置为使用 Windows 身份验证提供程序。 |
受信任位置 |
位置类型 |
此值必须设置为 Microsoft SharePoint Foundation。PowerPivot 服务器检索 .xlsx 文件的副本,并将其加载到场中的 Analysis Services 服务器上。此服务器只能从内容库中检索 .xlsx 文件。 |
允许外部数据 |
此值必须设置为“受信任的数据连接库和嵌入连接”。PowerPivot 数据连接嵌入在工作簿中。如果您不允许嵌入的连接,则用户可以查看数据透视表缓存,但将不能与 PowerPivot 数据交互。 |
|
刷新时警告 |
如果您正在使用 PowerPivot 库来存储工作簿和报表,则应禁用此值。PowerPivot 库包含一个文档预览功能,如果同时关闭“打开时刷新”和“刷新时警告”,则其效果最佳。 |
|
受信任的数据访问接口 |
MSOLAP.4 |
默认情况下包括 MSOLAP.4。请勿从受信任数据访问接口列表中删除它。OLE DB 访问接口的这一版本在 SharePoint 场中处理针对 PowerPivot 数据的请求。 |
受信任的数据连接库 |
可选。 |
可以在 PowerPivot 工作簿中使用 Office 数据连接 (.odc) 文件。如果您使用 .odc 文件向本地 PowerPivot 工作簿提供连接信息,则可以将相同的 .odc 文件添加到此库。 |
用户定义函数程序集 |
不适用。 |
PowerPivot 服务器不受您为 Excel Services 生成和部署的用户定义函数程序集影响。 |