Secure Store für Business Intelligence-Dienstanwendungen
GILT FÜR:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
In diesem Artikel wird beschrieben, wie Business Intelligence-Features von SharePoint Server mithilfe von Secure Store Service den Zugriff auf externe Datenquellen (wie SQL Server) für SharePoint Server-Benutzer bereitstellen. Dieser Artikel bezieht sich auf die folgenden Business Intelligence-Dienstanwendungen vonSharePoint Server:
Excel Services (nur SharePoint Server 2013)
PerformancePoint-Dienste
Visio Services
Die Business Intelligence-Dienstanwendungen von SharePoint Server bieten Benutzern zwei Methoden, um auf Daten zuzugreifen:
Integrierte Windows-Authentifizierung mit eingeschränkter Kerberos-Delegation
Secure Store Service (einschließlich eines unbeaufsichtigten Dienstkontos)
Excel Services und PerformancePoint-Dienste unterstützen das SQL Server Analysis Services (SSAS)-Feature "EffectiveUserName" für Analysis Services-Verbindungen ebenfalls.
Dieser Artikel behandelt Secure Store und die Beziehung zu den Business Intelligence-Dienstanwendungen.
Informationen über die Konfiguration spezifischer Szenarien in Ihrer SharePoint Server-Farm finden Sie in den folgenden Artikeln:
Verwenden von Excel Services mit Secure Store Service in SharePoint Server 2016
Verwenden von Visio Services mit Secure Store Service in SharePoint Server
Verwenden von PerformancePoint Services mit Secure Store Service in SharePoint Server
Secure Store Service und die Business Intelligence-Dienstanwendungen in SharePoint Server
Secure Store ist ein Feature in SharePoint Server, das den Zugriff auf Daten außerhalb von SharePoint Server (z. B. SQL Server-Daten) ermöglicht, indem eine Business Intelligence-Dienstanwendung im Auftrag eines SharePoint Server-Benutzers, der versucht, auf diese Daten zuzugreifen, einen Satz von Anmeldeinformationen mit Datenzugriff verwenden kann. Diese Art der Verwendung von Anmeldeinformationen durch Business Intelligence-Dienstanwendungen im Namen von Benutzern wird als Identitätswechsel bezeichnet.
Secure Store führt die Zuordnung von Business Intelligence-Dienstanwendungen, Benutzern und Anmeldeinformationen mithilfe einer Zielanwendung aus. Eine Secure Store-Zielanwendung bezeichnet eine Sammlung von Metadaten, die angibt, welchen Benutzern der Zugriff auf eine bestimmte Reihe von Anmeldeinformationen ermöglicht wird, die von einer Business Intelligence-Dienstanwendung beim Zugriff auf externe Daten für den Identitätswechsel verwendet werden. Diese Metadaten werden in der Secure Store-Datenbank zusammen mit den verschlüsselten Anmeldeinformationen gespeichert.
Secure Store-Zielanwendungen können auf unterschiedlichste Weise in SharePoint Server verwendet werden, doch im Rahmen von Business Intelligence-Szenarien für SharePoint Server setzen sich Zielanwendungen aus den folgenden Einstellungen zusammen, die vom Farmadministrator konfiguriert werden können:
Administratoren Zielanwendungsadministratoren sind Benutzer, die über Berechtigungen zum Verwalten einer bestimmten Secure Store-Zielanwendung verfügen. Dies kann je nach Ihren Anforderungen der Farmadministrator oder ein bestimmter Benutzer oder Benutzer sein.
Mitglieder Die Mitglieder einer Zielanwendung sind die Benutzer, in deren Namen die Business Intelligence-Dienstanwendung einen Identitätswechsel für die Anmeldeinformationen der Zielanwendung beim Zugreifen auf externe Daten vornimmt. Es kann sich um einen einzelnen Benutzer, mehrere Benutzer oder eine Active Directory-Gruppe handeln. Mitglieder werden auch als Besitzer der Anmeldeinformationen bezeichnet.
Anmeldeinformationen Anmeldeinformationen von Zielanwendungen setzen sich aus einem Konto mit direktem Zugriff auf Datenquellen zusammen. (Sie müssen den erforderlichen Datenzugriff auf dieses Konto direkt gewähren. Der Zugriff auf externe Datenquellen wird nicht von SharePoint Server gesteuert. Dies sollte ein Konto mit geringen Berechtigungen sein, das nur den Datenzugriff zulässt.) Es ist dieses Konto, das von Business Intelligence-Dienstanwendungen als Identität angenommen wird, um Benutzern Zugriff auf Daten zu gewähren.
Administratoren, Mitglieder und Anmeldeinformationen können direkt vom Farmadministrator über Secure Store konfiguriert werden. Darüber hinaus bieten sowohl Excel Services als auch PerformancePoint-Dienste eine Option, um automatisch eine Secure Store-Zielanwendung zu erstellen, die mit dem unbeaufsichtigten Dienstkonto verwendet werden kann.
Business Intelligence-Dienstanwendungen können Secure Store über eine der beiden folgenden Methoden verwenden:
Angegebene Zielanwendung Eine bestimmte Zielanwendung wird vom Excel-Arbeitsblatt, Visio-Diagramm oder von der PerformancePoint-Datenquelle angegeben. Wenn ein Benutzer auf das Arbeitsblatt, Diagramm oder Dashboard zugreift, verwendet Secure Store die dieser Zielanwendung zugeordneten Anmeldeinformationen für den Datenzugriff.
Keine angegebene Zielanwendung (Unbeaufsichtigtes Dienstkonto) Das unbeaufsichtigte Dienstkonto wird vom Excel-Arbeitsblatt, Visio-Diagramm oder von der PerformancePoint-Datenquelle angegeben. Wenn ein Benutzer auf das Arbeitsblatt, Diagramm oder Dashboard, verbunden mit einer externen Datenquelle, zugreift, verwendet Secure Store die in dieser Zielanwendung angegebenen globalen Einstellungen von Excel Services, Visio Services oder PerformancePoint-Dienste. Wird eine Zielanwendung global für eine Business Intelligence-Dienstanwendung angegeben, werden die Anmeldeinformationen für die Zielanwendung als unbeaufsichtigtes Dienstkonto bezeichnet.
Der Ablauf der Ereignisse gestaltet sich im Wesentlichen wie folgt:
Ein Benutzer von SharePoint Server greift auf ein mit Daten verbundenes Objekt wie ein Excel Services-Arbeitsblatt, ein Visio Services-Diagramm oder ein PerformancePoint-Dienste-Dashboard zu.
Die Business Intelligence-Dienstanwendung greift auf die vom Objekt angegebene Anwendung zu.
Wenn es sich beim Benutzer um ein Mitglied dieser Zielanwendung handelt, werden die in der Zielanwendung gespeicherten Anmeldeinformationen zurückgegeben und die Business Intelligence-Dienstanwendung nimmt beim Zugriff auf die Daten die Identität der Anmeldeinformationen an.
Die Daten werden dem Benutzer im Kontext des Arbeitsblatts, des Visio-Diagramms oder des Dashboards angezeigt.
Datenverbindungsdateien
Alle Business Intelligence-Dienstanwendungen können Datenverbindungsdateien zur Angabe von Authentifizierungsinformationen verwenden. In Excel Services und Visio Services werden ODC-Dateien (Office Data Connection) verwendet, während in PerformancePoint-Dienste PPSDC-Dateien (PerformancePoint Services Data Connection) verwendet werden. Durch die Verwendung solcher Dateien ist es für mehrere Excel Services-Arbeitsblätter, Visio Services-Diagramme oder PerformancePoint-Dienste-Dashboards möglich, eine Reihe von Datenzugriffsparametern gemeinsam zu nutzen.
Bei Business Intelligence-Dienstanwendungen in SharePoint Server werden Datenverbindungsdateien auf unterschiedliche Art verwendet. Eine Beschreibung der einzelnen Verwendungsweisen der Datenverbindungsdateien finden Sie im Abschnitt zur jeweiligen Dienstanwendung weiter unten.
Datenzugriff von Client und Server
Excel 2016 und Visio 2016 sind Clientanwendungen, die unabhängig von SharePoint Server ausgeführt werden. Obwohl sie Dokumente für SharePoint Server veröffentlichen können, können Sie Secure Store nicht direkt für die Authentifizierung verwenden. Wenn Sie ein mit Daten verbundenes Arbeitsblatt oder Diagramm erstellen oder bearbeiten, müssen Sie mithilfe der integrierten Windows-Authentifizierung oder einer anderen anwendbaren Authentifizierungsmethode direkt eine Verbindung von Excel 2016 oder Visio 2016 mit der Datenquelle herstellen. (Andere Authentifizierungsmethoden setzen möglicherweise die SQL-Authentifizierung oder eine OLEDB-Verbindungszeichenfolge ein.) Nach dem Veröffentlichen des Arbeitsblatts oder Diagramms in SharePoint Server, Excel Services oder Visio Services können Sie mithilfe von Secure Store beim Anzeigen der Inhalte für einen Benutzer eine Verbindung zur Datenquelle herstellen.
PerformancePoint Dashboard-Designer ist direkt in SharePoint Server integriert. Dashboard-Designer kann Secure Store direkt für die Authentifizierung mithilfe des unbeaufsichtigten Dienstkontos verwenden. Dadurch benötigen Benutzer des Dashboard-Designer keinen direkten Datenzugriff auf Datenquellen über die integrierte Windows-Authentifizierung, sofern das unbeaufsichtigte Dienstkonto über den erforderlichen Zugriff verfügt.
Siehe auch
Konzepte
Konfigurieren von Secure Store Service in SharePoint Server