PowerPivot-Authentifizierung und -Autorisierung
Eine PowerPivot für SharePoint-Bereitstellung, die innerhalb einer SharePoint 2010-Farm ausgeführt wird, verwendet das von den SharePoint-Servern bereitgestellte Authentifizierungssubsystem und Autorisierungsmodell. Die SharePoint-Sicherheitsinfrastruktur erstreckt sich auch auf PowerPivot-Inhalte und -Vorgänge, da sämtliche PowerPivot-bezogenen Inhalte in SharePoint-Inhaltsdatenbanken gespeichert und alle PowerPivot-bezogenen Vorgänge von freigegebenen PowerPivot-Diensten in der Farm ausgeführt werden. Benutzer, die eine Arbeitsmappe mit PowerPivot-Daten anfordern, werden mit einer SharePoint-Benutzeridentität authentifiziert, die auf deren Windows-Benutzeridentität basiert. Anzeigeberechtigungen für die Arbeitsmappe bestimmen, ob die Anforderung gewährt oder verweigert wird.
Da die Integration mit Excel Services für Self-Service-Datenanalysen erforderlich ist, sollten Ihnen zum Sichern eines PowerPivot-Servers auch die Sicherheitsfunktionen von Excel Services vertraut sein. Wenn ein Benutzer eine PivotTable abfragt, die über eine Datenverbindung zu PowerPivot-Daten verfügt, leiten die Excel Services eine Datenverbindungsanforderung zum Laden der Daten an einen PowerPivot-Server in der Farm weiter. Aufgrund der Interaktion zwischen den Servern sollten Sie wissen, wie Sie Sicherheitseinstellungen für beide Server konfigurieren.
Klicken Sie auf die folgenden Links, um bestimmte Abschnitte in diesem Thema zu lesen:
Windows Authentication Using Classic Mode Sign-in Requirement
PowerPivot-Vorgänge, die eine Benutzerautorisierung erfordern
SharePoint-Berechtigungen für den Zugriff auf PowerPivot-Daten
Excel Services – Sicherheitsüberlegungen für den Zugriff auf PowerPivot-Daten
Windows-Authentifizierung unter Verwendung der Anmeldungsanforderung im klassischen Modus
PowerPivot für SharePoint unterstützt eine eingeschränkte Anzahl der Authentifizierungsoptionen, die in SharePoint verfügbar sind. Von den verfügbaren Authentifizierungsoptionen wird nur die Windows-Authentifizierung für eine PowerPivot für SharePoint-Bereitstellung unterstützt. Außerdem muss die Webanwendung, über die die Anmeldung erfolgt, für den klassischen Modus konfiguriert sein.
Die Windows-Authentifizierung ist erforderlich, weil das Analysis Services-Datenmodul in einer PowerPivot für SharePoint-Bereitstellung nur die Windows-Authentifizierung unterstützt. Excel Services stellt über den MSOLAP OLE DB-Anbieter Verbindungen mit Analysis Services her. Dabei wird die Identität eines Windows-Benutzers verwendet, der über NTLM oder das Kerberos-Protokoll authentifiziert wurde.
Durch die zweite Anforderung, dass für die Webanwendung die Authentifizierung im klassischen Modus verwendet werden soll, wird sichergestellt, dass der PowerPivot-Webdienst funktioniert. Der Webdienst ist eine Komponente, die auf einem Web-Front-End ausgeführt wird und die HTTP-Umleitung an einen PowerPivot für SharePoint-Server in der Farm vornimmt. Während der Webdienst bei der Dienst-zu-Dienst-Kommunikation als eine Ansprüche unterstützende Anwendung fungiert, trifft dies für Datenverbindungsanforderungen, die an einen freigegebenen PowerPivot-Dienst in der Farm umgeleitet werden, nicht zu. Anforderungen zum Laden von PowerPivot-Daten werden nur für authentifizierte Verbindungen unterstützt, die unter Verwendung einer Windows-Identität von IIS gesendet werden. Die Anmeldung im klassischen Modus in der Webanwendung ermöglicht eine erfolgreiche Verbindung vom PowerPivot-Webdienst zu freigegebenen PowerPivot-Diensten in der Farm.
Obwohl die Anmeldung im klassischen Modus für das allgemeinere Datenzugriffsszenario (in dem PowerPivot-Daten aus derselben bereitstellenden Excel-Arbeitsmappe extrahiert werden) nicht erforderlich ist, verwenden Sie PowerPivot für SharePoint nicht mit SharePoint-Webanwendungen, die zur Verwendung anderer Authentifizierungsanbieter konfiguriert sind. Dies führt zu einem Verbindungsfehler, wenn Benutzer eine Verbindung mit PowerPivot-Arbeitsmappen als externe Datenquelle herstellen möchten.
Ohne klassische Modusanmeldung schlagen die folgenden Anforderungstypen, die vom PowerPivot-Webdienst behandelt werden, fehl:
Jede Anforderung für PowerPivot-Daten, die von außerhalb der Farm stammt (z. B. Erstellen eines Berichts im Berichts-Designer oder Berichts-Generator, wo die Datenquelle eine SharePoint-URL für eine PowerPivot-Arbeitsmappe ist)
Farminterne Anforderungen von einer Clientanwendung oder einem Bericht, die bzw. der die PowerPivot-Arbeitsmappe als externe Datenquelle verwendet (z B. Erstellen einer Arbeitsmappe in der Excel-Desktopanwendung, wobei als Datenquelle eine zweite veröffentlichte Excel-Arbeitsmappe mit PowerPivot-Daten verwendet wird)
So überprüfen Sie den Authentifizierungsanbieter für eine Anwendung
Aktivieren Sie bei der Erstellung einer neuen Webanwendung auf der Seite "Neue Webanwendung erstellen" die Option Klassischer Authentifizierungsmodus.
Für vorhandene Webanwendungen befolgen Sie die folgenden Anweisungen, um sicherzustellen, dass die Webanwendung für die Verwendung der Windows-Authentifizierung konfiguriert sind.
Klicken Sie in der Zentraladministration unter Anwendungsverwaltung auf Webanwendungen verwalten.
Wählen Sie die Webanwendung aus.
Klicken Sie auf Authentifizierungsanbieter.
Überprüfen Sie, ob es einen Anbieter für jede Zone gibt und die Standardzone auf Windows festgelegt ist.
PowerPivot-Vorgänge, die eine Benutzerautorisierung erfordern
Die SharePoint-Autorisierung wird ausschließlich für alle Zugriffsebenen für die PowerPivot-Abfrage- und -Datenverarbeitung verwendet.
Das rollenbasierte Analysis Services-Autorisierungsmodell wird nicht unterstützt. Für PowerPivot-Daten steht keine rollenbasierte Autorisierung auf Zellen-, Zeilen- oder Tabellenebene zur Verfügung. Sie können nicht verschiedene Teile der Arbeitsmappe sichern, um ausgewählten Benutzern Zugriff auf vertrauliche Daten in der Datenquelle zu gewähren oder zu verweigern. Eingebettete PowerPivot-Daten sind für Benutzer mit Anzeigeberechtigungen für die Excel-Arbeitsmappe in einer SharePoint-Bibliothek uneingeschränkt verfügbar.
PowerPivot für SharePoint nimmt in den folgenden Fällen die Identität eines SharePoint-Benutzers an:
Abfragen an PivotTables oder PivotCharts, die über Datenverbindungen mit einer PowerPivot-Datenbank verfügen. Dabei stellt eine PowerPivot-Dienstanwendung im Namen eines Benutzers Verbindungen mit einer bestimmten freigegebenen PowerPivot-Dienstinstanz her, die die Daten verarbeitet.
Das Laden von PowerPivot-Daten aus dem Zwischenspeicher oder einer Bibliothek, wenn die Daten andernfalls nicht verfügbar sind. Wenn eine Datenverbindungsanforderung für eine PowerPivot-Datenquelle ausgegeben wird, die noch nicht in das System geladen wurde, nimmt die Analysis Services-Dienst-Instanz die Identität eines SharePoint-Benutzers an, um die Datenquelle aus einer Inhaltsbibliothek abzurufen und in den Arbeitsspeicher zu laden.
Datenaktualisierungsvorgänge, bei denen eine aktualisierte Kopie der Datenquelle in der Arbeitsmappe in einer Inhaltsbibliothek gespeichert wird. In diesem Fall wird ein aktuelles Protokoll für den Vorgang unter Verwendung des Benutzernamens und des Kennworts ausgeführt, der/das aus einer Zielanwendung in Secure Store Service abgerufen wird. Die Anmeldeinformationen können das Konto der unbeaufsichtigten PowerPivot-Datenaktualisierung oder die Anmeldeinformationen sein, die zusammen mit dem Datenaktualisierungszeitplan bei seiner Erstellung gespeichert wurden. Weitere Informationen finden Sie unter Konfigurieren gespeicherter Anmeldeinformationen für die PowerPivot-Datenaktualisierung (PowerPivot für SharePoint) und Konfigurieren des PowerPivot-Kontos für die unbeaufsichtigte Datenaktualisierung (PowerPivot für SharePoint).
SharePoint-Berechtigungen für den Zugriff auf PowerPivot-Daten
Die Veröffentlichung, Verwaltung und Sicherung einer PowerPivot-Arbeitsmappe wird nur durch die SharePoint-Integration unterstützt. SharePoint-Server bieten Authentifizierungs- und Autorisierungssubsysteme an, die den berechtigten Zugang zu Daten sicherstellen. Szenarien für die sichere Bereitstellung einer PowerPivot-Arbeitsmappe außerhalb einer SharePoint-Farm werden nicht unterstützt.
Der Benutzerzugriff auf PowerPivot-Daten ist auf dem Server schreibgeschützt und erfordert mindestens Anzeigeberechtigungen. Über Teilnahmeberechtigungen wird das Hinzufügen und Bearbeiten der Datei erlaubt. Änderungen an PowerPivot-Daten erfordern, dass Sie die Arbeitsmappe in eine Excel-Desktopanwendung herunterladen, in der PowerPivot für Excel installiert ist. Über die Teilnahmeberechtigungen für die Datei wird ermittelt, ob der Benutzer berechtigt ist, die Datei lokal herunterzuladen und Änderungen in SharePoint zurückzuspeichern.
Dies bedeutet, dass der effektive Berechtigungssatz für den Benutzerzugriff auf PowerPivot-Daten durch die Berechtigungsstufen Mitwirken und Anzeigen definiert wird. Andere Berechtigungsstufen können insofern verwendet werden, dass sie die gleichen Berechtigungen wie Mitwirken und Nur anzeigen beinhalten. (Beispiel: Da Lesen die Berechtigung Nur anzeigen einschließt, verfügt ein Benutzer, dem Lesen zugewiesen wird, über die gleiche Zugriffsebene wie ein Nur anzeigen.)
In der folgenden Tabelle werden die Berechtigungsebenen zusammengefasst, die den Zugriff auf PowerPivot-Daten- und -Servervorgänge bestimmen:
Berechtigungsebene |
Lässt diese Tasks zu |
|---|---|
Farm- oder Dienstadministrator |
Installieren, Aktivieren und Konfigurieren von Diensten und Anwendungen Verwenden des PowerPivot-Management-Dashboards und Anzeigen von Administratorberichten |
Vollzugriff |
Aktivieren der Integration von PowerPivot-Funktionen auf Website-Sammlungsebene Erstellen einer PowerPivot-Katalogbibliothek Erstellen einer Datenfeedbibliothek |
Teilnehmen |
Hinzufügen, Bearbeiten, Löschen und Herunterladen von PowerPivot-Arbeitsmappen Konfigurieren der Datenaktualisierung Erstellen neuer Arbeitsmappen und Berichte auf Grundlage von PowerPivot-Arbeitsmappen auf einer SharePoint-Website Erstellen von Datendienstdokumenten in einer Datenfeedbibliothek |
Lesen |
Zugriff auf PowerPivot-Arbeitsmappen als externe Datenquelle, wobei die Arbeitsmappen-URL explizit in einem Verbindungsdialogfeld eingegeben wird (z. B. im Datenverbindungs-Assistenten von Microsoft Excel). |
Nur anzeigen |
Anzeigen von PowerPivot-Arbeitsmappen Anzeigen des Datenaktualisierungsverlaufs Herstellen einer Verbindung mit einer PowerPivot-Arbeitsmappe auf einer SharePoint-Website, um die Daten auf andere Weise erneut zu nutzen Laden Sie eine Momentaufnahme der Arbeitsmappe herunter. Die Momentaufnahme ist eine statische Kopie der Daten, ohne Slicer, Filter, Formeln oder Datenverbindungen. Der Inhalt der Momentaufnahme entspricht den Zellenwerten im Browserfenster. |
Excel Services – Sicherheitsüberlegungen für PowerPivot-Arbeitsmappen
Die serverseitige Verarbeitung von PowerPivot-Abfragen ist eng mit Excel Services verbunden. Die Produktintegration beginnt auf Dokumentebene, auf der PowerPivot-Arbeitsmappen als Excel-Arbeitsmappendateien (.xlsx) angesehen werden, die PowerPivot-Daten enthalten oder darauf verweisen. Es gibt keine separate Dateierweiterung für eine PowerPivot-Arbeitsmappe.
Wenn eine PowerPivot-Arbeitsmappe auf einer SharePoint-Website geöffnet wird, liest Excel Services die eingebettete PowerPivot-Datenverbindungszeichenfolge und leitet die Anforderung an den lokalen OLE DB-Anbieter für SQL Server Analysis Services weiter. Der Anbieter übergibt die Verbindungsinformationen daraufhin an einen PowerPivot-Server in der Farm. Damit die Anforderungen ungehindert zwischen den zwei Servern ausgetauscht werden können, muss Excel Services so konfiguriert werden, dass die für PowerPivot für SharePoint erforderlichen Einstellungen verwendet werden.
In Excel Services werden sicherheitsbezogene Konfigurationseinstellungen für Speicherorte, Datenanbieter und Datenverbindungsbibliotheken angegeben, die als vertrauenswürdig eingestuft wurden. In der folgenden Tabelle werden die Einstellungen beschrieben, die den PowerPivot-Datenzugriff aktivieren oder verbessern. Wenn eine Einstellung hier nicht aufgeführt wird, hat sie keine Auswirkungen auf PowerPivot-Serververbindungen. Schritt-für-Schritt-Anweisungen zum Angeben dieser Einstellungen finden Sie im Abschnitt "Aktivieren von Excel Services" unter Anfängliche Konfiguration (PowerPivot für SharePoint).
.gif "Hinweis") Hinweis |
|---|
Die meisten sicherheitsbezogenen Einstellungen gelten für vertrauenswürdige Speicherorte. Wenn Sie die Standardwerte beibehalten oder andere Werte für verschiedene Websites verwenden möchten, können Sie einen zusätzlichen vertrauenswürdigen Speicherort für Websites mit PowerPivot-Daten erstellen und dann die folgenden Einstellungen nur für diese Websites konfigurieren. Weitere Informationen finden Sie unter Erstellen eines vertrauenswürdigen Speicherorts für PowerPivot-Websites in der Zentraladministration. |
Bereich |
Einstellung |
Beschreibung |
|---|---|---|
Webanwendung |
Windows-Authentifizierungsanbieter |
PowerPivot konvertiert ein von Excel Services abgerufenes Forderungstoken in eine Windows-Benutzeridentität. Jede Webanwendung, die Excel Services als Ressource verwendet, muss für die Verwendung des Anbieters der Windows-Authentifizierung konfiguriert sein. |
Vertrauenswürdiger Speicherort |
Speicherorttyp |
Für diesen Wert muss Microsoft SharePoint Foundation festgelegt werden. PowerPivot-Server rufen eine Kopie der XLSX-Datei ab und laden sie auf einen Analysis Services-Server in der Farm hoch. Der Server kann nur XLSX-Dateien aus einer Inhaltsbibliothek abrufen. |
Externe Daten zulassen |
Für diesen Wert muss Vertrauenswürdige Datenverbindungsbibliotheken und eingebettete Verbindungen festgelegt werden. PowerPivot-Datenverbindungen sind in die Arbeitsmappe eingebettet. Wenn Sie keine eingebetteten Verbindungen zulassen, können Benutzer den PivotTable-Cache anzeigen, aber eine Interaktion mit PowerPivot-Daten kann nicht stattfinden. |
|
Beim Aktualisieren warnen |
Dieser Wert sollte deaktiviert werden, wenn Sie Arbeitsmappen und Berichte mithilfe des PowerPivot-Katalogs speichern. Der PowerPivot-Katalog umfasst eine Dokumentvorschaufunktion, die am besten funktioniert, wenn Beim Öffnen aktualisieren und Beim Aktualisieren warnen deaktiviert sind. |
|
Vertrauenswürdige Datenanbieter |
MSOLAP.4 MSOLAP.5 |
MSOLAP.4 ist standardmäßig eingeschlossen, aber der Zugriff auf PowerPivot-Daten erfordert, dass der MSOLAP.4-Anbieter der SQL Server 2008 R2-Version entspricht. MSOLAP.5 wird mit der SQL Server 2012-Version von PowerPivot für SharePoint installiert. Entfernen Sie diese Anbieter nicht aus der Liste vertrauenswürdiger Datenanbieter. In einigen Fällen kann es erforderlich sein, zusätzliche Kopien dieses Anbieters auf weiteren SharePoint-Servern in der Farm zu installieren. Weitere Informationen finden Sie unter Installieren des OLE DB-Anbieters für Analysis Services auf SharePoint-Servern. |
Vertrauenswürdige Datenverbindungsbibliotheken |
Optional. |
Sie können Office Data Connection (ODC)-Dateien in PowerPivot-Arbeitsmappen verwenden. Wenn Sie Verbindungsinformationen mithilfe von ODC-Dateien für lokale PowerPivot-Arbeitsmappen bereitstellen, können Sie der Bibliothek die gleichen ODC-Dateien hinzufügen. |
Benutzerdefinierte Funktionsassembly |
Nicht anwendbar. |
Benutzerdefinierte Funktionsassemblys, die Sie für Excel Services erstellen und bereitstellen, werden von PowerPivot für SharePoint ignoriert. Wenn Sie benutzerdefinierte Assemblys für ein bestimmtes Verhalten benötigen, beachten Sie, dass die von Ihnen erstellten benutzerdefinierten Funktionen bei der Verarbeitung von PowerPivot-Abfragen nicht verwendet werden. |
Siehe auch
Aufgaben
Konfigurieren von PowerPivot-Dienstkonten
Erstellen eines vertrauenswürdigen Speicherorts für PowerPivot-Websites in der Zentraladministration