Condividi tramite


Pianificare l'autenticazione di Excel Services (SharePoint Server 2010)

 

Si applica a: Excel Services (SharePoint 2010), SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

Contenuto dell'articolo:

  • Informazioni sulla sicurezza di Excel Services

  • Pianificare l'autenticazione degli utenti

  • Pianificare la comunicazione tra server

  • Pianificare l'autenticazione dei dati esterni

Informazioni sulla sicurezza di Excel Services

Oltre ai requisiti di sicurezza per eseguire la distribuzione di Prodotti Microsoft SharePoint 2013, è necessario considerare i requisiti di sicurezza per una distribuzione che include l'applicazione Excel Services. Microsoft SharePoint Foundation 2010 fornisce la piattaforma su cui si basa SharePoint Server 2010.

L'applicazione Excel Services, abbinata a SharePoint Server 2010, rappresenta la soluzione principale per il controllo, la protezione e la gestione dell'accesso alle cartelle di lavoro di Excel all'interno di un'organizzazione. L'applicazione Excel Services è un server applicazioni enterprise progettato per ottimizzare le prestazioni, la scalabilità e la sicurezza. Una distribuzione dell'applicazione Excel Services consente il thin rendering delle cartelle di lavoro, oltre all'interazione con esse, e semplifica il riutilizzo dei componenti delle cartelle di lavoro, quali grafici e rapporti di tabella pivot, di cui può essere eseguito il rendering in dashboard di business intelligence.

L'applicazione Excel Services consente di utilizzare i calcoli dei fogli di calcolo di Excel sul lato server per le applicazioni personalizzate e offre agli utenti la possibilità di bloccare le cartelle di lavoro e di proteggere i dati privati e la proprietà intellettuale. In questo modo, è possibile garantire una migliore protezione dei dati delle cartelle di lavoro, nonché permettere agli utenti che interagiscono con le cartelle di lavoro in un server di usufruire di tutti i vantaggi offerti dalle funzionalità di ricalcolo e aggiornamento dei dati disponibili nell'applicazione Excel Services.

La sicurezza è un componente fondamentale per questi scenari di rendering dei dati. È necessario prendere in considerazione numerosi fattori quando si pianifica un ambiente che sia in grado di garantire la sicurezza delle cartelle di lavoro di cui viene eseguito il rendering su un server. È necessario pianificare la gestione della sicurezza delle cartelle di lavoro e del server stesso. L'applicazione Excel Services offre un notevole livello di controllo dettagliato per l'elaborazione e la visualizzazione delle cartelle di lavoro di Excel. È possibile controllare l'apertura delle cartelle di lavoro sul server e le funzionalità specifiche attivate per ogni cartella di lavoro.

In questo articolo vengono riepilogate le impostazioni di sicurezza e autenticazione per l'applicazione Excel Services e dei componenti correlati che è necessario prendere in considerazione durante la pianificazione di una distribuzione. Vengono inoltre fornite indicazioni sull'utilizzo dell'applicazione Excel Services per la protezione e la gestione dell'accesso alle cartelle di lavoro nel server.

Il modello di sicurezza dell'applicazione Excel Services è basato sul concetto che, per assicurare l'integrità e la qualità dei dati, un amministratore deve essere in grado di gestire a livello centrale le risorse condivise e l'accesso degli utenti ai dati di proprietà intellettuale dell'azienda contenuti nelle cartelle di lavoro. A tale scopo, è possibile utilizzare l'applicazione Excel Services per specificare gli elementi seguenti:

  • Posizioni attendibili file   Si tratta di raccolte documenti di SharePoint, percorsi UNC o siti Web HTTP che devono essere esplicitamente considerati attendibili affinché Servizi di calcolo Excel possa accedervi. Servizi di calcolo Excel apre solo le cartelle di lavoro archiviate in posizioni attendibili di file.

  • Provider di dati attendibili   Si tratta di database esterni per i quali Servizi di calcolo Excel viene esplicitamente configurato in modo da considerarli attendibili durante l'elaborazione delle connessioni dati nelle cartelle di lavoro. Servizi di calcolo Excel tenta di elaborare una connessione dati solo se tale connessione è indirizzata a un provider di dati attendibile.

  • Raccolte connessioni dati attendibili   Si tratta di raccolte documenti di SharePoint contenenti file di connessione dati (ODC) di Office. Tali file vengono utilizzati per gestire a livello centrale le connessioni a origini dati esterne. Anziché consentire le connessioni incorporate alle origini dati esterne, Servizi di calcolo Excel può essere configurato in modo da richiedere l'utilizzo dei file ODC per tutte le connessioni dati. I file ODC sono archiviati in raccolte connessioni dati, le quali devono essere esplicitamente considerate attendibili affinché Servizi di calcolo Excel consenta alle cartelle di lavoro di accedervi.

    Per impostazione predefinita, l'accesso a cartelle di lavoro e connessioni dati in domini diversi non è consentito. Per consentire a web part, pagine Web o servizi Web di accedere alle cartelle di lavoro archiviate in percorsi file attendibili e alle connessioni dati archiviate in raccolte di connessioni dati attendibili in domini diversi, eseguire i cmdlet di Windows PowerShell, come illustrato negli esempi riportati in Gestire Excel Services con Windows PowerShell.

    Le pagine Web che richiedono l'accesso e le cartelle di lavoro o le connessioni dati devono trovarsi nella stessa farm.

    Nota

    Quando si apre una cartella di lavoro in Servizi di calcolo Excel, viene archiviato un file temporaneo nella cartella %TEMP% del server applicazioni che esegue Servizi di calcolo Excel.

Pianificare l'autenticazione degli utenti

Le cartelle di lavoro di Excel aperte da Servizi di calcolo Excel devono essere archiviate nel database del contenuto di SharePoint Server 2010, poiché SharePoint Foundation 2010 gestisce un elenco di controllo di accesso (ACL) per tali file. Servizi di calcolo Excel è inoltre in grado di aprire cartelle di lavoro da percorsi UNC e siti Web HTTP, tuttavia è consigliabile utilizzare il database del contenuto di SharePoint Server 2010 per l'archiviazione delle cartelle di lavoro.

L'autenticazione dell'accesso degli utenti a un sito portale di SharePoint viene eseguito da SharePoint Foundation 2010. Per impostazione predefinita, SharePoint Foundation 2010 utilizza l'autenticazione integrata di Windows.

Oltre ai metodi di autenticazione elencati, l'applicazione Excel Services supporta anche l'autenticazione generica basata su form. Tuttavia, la configurazione di SharePoint Foundation 2010 per l'utilizzo di questo tipo di autenticazione non è descritta in questo articolo.

Pianificare la comunicazione tra server

L'autenticazione basata sulle attestazioni costituisce il meccanismo di autenticazione predefinito in SharePoint Server 2010. Si tratta di uno standard Microsoft e del settore per il quale è disponibile ampio supporto. L'autenticazione basata sulle attestazioni consente di migliorare gli aspetti relativi a sicurezza e autenticazione in fase di distribuzione di farm, applicazioni aziendali di Office e servizi di SharePoint in ambienti diversi. Nell'applicazione Excel Services viene utilizzata l'autenticazione basata sulle attestazioni per tutti gli scenari di distribuzione, sia per installazioni a server singolo che in ambienti farm. Questo tipo di autenticazione garantisce inoltre una sicurezza decisamente maggiore per l'autenticazione e l'autorizzazione degli utenti per tutti i contenuti e le risorse di SharePoint Server 2010.

Pianificare l'autenticazione dei dati esterni

Le cartelle di lavoro possono contenere connessioni dati incorporate direttamente e collegamenti a file di connessioni dati archiviati in raccolte connessioni dati. A seconda della configurazione dell'applicazione Excel Services, è possibile utilizzare la connessione dati incorporata per eseguire query sull'origine dati oppure il collegamento alla raccolta connessioni dati per eseguire query sul file ODC. Il file ODC contiene le informazioni sulla connessione dati e deve essere archiviato in una raccolta connessioni dati.

Per configurare l'applicazione Excel Services per l'elaborazione delle connessioni alle origini dati esterne, selezionare un'impostazione nella sezione Dati esterni della pagina Excel Services: Aggiungi posizione attendibile nell'applicazione Web Amministrazione centrale SharePoint.

Per ulteriori informazioni su come configurare le impostazioni amministrative per l'applicazione Excel Services, vedere OBSOLETO Gestire l'autenticazione di Excel Services (SharePoint Server 2010).

Per le distribuzioni in farm con connessioni integrate viene ora utilizzata l'autenticazione basata sulle attestazioni di SharePoint Server 2010. Quando tramite Servizi di calcolo Excel vengono recuperate le informazioni sulla connessione, le credenziali vengono designate come archiviate (da recuperare dal database del servizio di archiviazione sicura) o integrate oppure senza alcuno stato specifico. Per tutte le connessioni dati con credenziali integrate viene ora utilizzata l'autenticazione basata sulle attestazioni per le distribuzioni con scalabilità orizzontale in più server. L'autenticazione predefinita basata sulle attestazioni viene utilizzata anche per le distribuzioni autonome.

Si consideri una connessione dati in una cartella di lavoro aperta in un server applicazioni di Servizi di calcolo Excel in cui vengono utilizzate le credenziali archiviate. Servizi di calcolo Excel deve recuperare credenziali valide da un database di autenticazione (servizio di archiviazione sicura), quindi utilizzare le credenziali per eseguire l'autenticazione in un'origine dati, affinché sia possibile stabilire la connessione dati.

L'applicazione Excel Services supporta tre metodi di autenticazione dei dati: l'autenticazione integrata di Windows, il servizio di archiviazione sicura e nessuna autenticazione.

Autenticazione integrata di Windows

Il protocollo Kerberos rappresenta la configurazione di sicurezza consigliata da utilizzare con l'autenticazione integrata di Windows. Poiché in SharePoint Server 2010 viene utilizzata l'autenticazione basata sulle attestazioni, questo tipo di autenticazione viene utilizzato anche in tutti gli scenari relativi all'applicazione Excel Services. L'autenticazione integrata di Windows viene ora utilizzata esclusivamente per le impostazioni di autenticazione IIS in SharePoint Server 2010. Per ulteriori informazioni su come configurare la delega Kerberos vincolata per applicazione Excel Services, vedere Configurazione dell'autenticazione Kerberos per prodotti Microsoft SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) nell'Area download Microsoft.

Autenticazione del servizio di archiviazione sicura

Utilizzando l'autenticazione del servizio di archiviazione sicura, gli utenti possono accedere a più risorse del sistema senza dover immettere una o più volte le credenziali di autenticazione. In SharePoint Server 2010 l'autenticazione del servizio di archiviazione sicura viene implementata includendo un servizio Windows e un database delle credenziali sicuro. Utilizzando la funzionalità del servizio di archiviazione sicura supportata dall'applicazione Excel Services, è possibile implementare il proprio provider del servizio di archiviazione sicura. SharePoint Server 2010 include un provider del servizio di archiviazione sicura che funziona con l'applicazione Excel Services.

Qualsiasi provider del servizio di archiviazione sicura implementato con l'applicazione Excel Services deve inviare le credenziali insieme a un tipo di credenziali, Windows o di altro tipo. Nell'applicazione Excel Services viene utilizzato il database del servizio di archiviazione sicura per recuperare le credenziali per l'autenticazione della connessione.

L'autenticazione del servizio di archiviazione sicura in SharePoint Server 2010 supporta i mapping singoli e di gruppo. Il servizio di archiviazione sicura gestisce un set di credenziali per gli ID applicazione delle risorse archiviate nel database del servizio di archiviazione sicura di SharePoint Server 2010. Per i mapping singoli, un livello di sicurezza consente di verificare le credenziali utente confrontandole con diversi singoli elenchi di ID applicazione archiviati nel database del servizio di archiviazione sicura. I mapping singoli sono utili se è necessario registrare le informazioni sull'accesso di un singolo utente alle risorse condivise.

Per i mapping di gruppo, un livello di sicurezza consente di verificare le credenziali di gruppo per più utenti di dominio confrontandole con un unico set di credenziali relative a una risorsa identificata da un ID applicazione archiviato nel database del servizio di archiviazione sicura. Questo processo funziona anche con l'autenticazione basata su form o qualsiasi altro tipo di provider di attestazioni utilizzato. I mapping di gruppo sono più semplici da gestire rispetto ai mapping singoli e offrono prestazioni migliori.

Per abilitare le funzionalità del servizio di archiviazione sicura per SharePoint Server 2010, creare un nuovo servizio di archiviazione sicura nel sito Web Amministrazione centrale SharePoint. Per ulteriori informazioni, vedere Utilizzare Excel Services con l'archivio sicuro (SharePoint Server 2010).

Nessuno

Se si specifica Nessuno come metodo di autenticazione per la distribuzione dell'applicazione Excel Services, l'applicazione Excel Services tenterà di utilizzare stringhe di connessione in ingresso per effettuare la connessione al database specificato nella stringa. A seconda del provider di database, il database potrebbe utilizzare la stringa di connessione per autenticare l'utente.

L'applicazione Excel Services non analizza le stringhe di connessione per determinare un metodo di autenticazione. Tali stringhe vengono passate al provider di database. Le stringhe di connessione possono specificare che è necessaria l'autenticazione integrata di Windows. Possono inoltre contenere un nome utente e una password specifici. In entrambi i casi, quando si specifica Nessuno come metodo di autenticazione, l'applicazione Excel Services richiede la rappresentazione di un account di servizio automatico.

Se il provider di database determina che la stringa di connessione specifica l'autenticazione integrata di Windows e se il database autorizza l'accesso, la connessione viene stabilita utilizzando il contesto di sicurezza dell'account automatico. Se la stringa di connessione contiene un nome utente e una password e se il database autorizza l'accesso, la connessione viene stabilita utilizzando il contesto di sicurezza dell'account utente autorizzato.

Account del servizio automatico

L'account del servizio automatico è un account privilegiato crittografato e sicuro. Tramite il servizio di archiviazione sicura vengono archiviate le credenziali dell'account automatico, in modo che Servizi di calcolo Excel sia in grado di eseguire la rappresentazione per stabilire una connessione dati che utilizza le credenziali del servizio di archiviazione sicura di un ambiente non basato su Windows oppure l'impostazione Nessuno per il metodo di autenticazione. Se non è configurato un account del servizio automatico, le connessioni dati non potranno essere stabilite se come metodo di autenticazione viene utilizzato il servizio di archiviazione sicura di un ambiente non Windows o l'impostazione Nessuno.

Mediante l'utilizzo dell'account automatico i database di SharePoint Server 2010 e tutte le altre origini dati a cui l'applicazione Excel Services può accedere direttamente risultano protetti dalle connessioni non autorizzate da parte di computer client che utilizzano Servizi di calcolo Excel per aprire connessioni dati esterne. Con la rappresentazione di un account del servizio automatico, le credenziali associate a un thread dell'applicazione Servizi di calcolo Excel non possono essere utilizzate per accedere ad altri database. In tal caso, inoltre, le query di dati esterne vengono eseguite nel contesto di sicurezza di un account con autorizzazioni limitate, anziché nel contesto di un thread dell'applicazione Servizi di calcolo Excel che dispone di autorizzazioni più elevate.

È possibile configurare l'account del servizio automatico come account di dominio o come account del computer locale. Se l'account del servizio automatico è configurato come account del computer locale, assicurarsi che la configurazione sia identica in tutti i server applicazioni che eseguono Servizi di calcolo Excel. Le credenziali dell'account del servizio automatico vengono memorizzate nella cache per la connessione e in ogni sessione della cartella di lavoro. Ogni volta che viene caricata una cartella di lavoro che dispone di una connessione dati che utilizza l'account automatico e se le credenziali non sono già memorizzate nella cache per tale connessione, l'account automatico viene ottenuto dall'archivio sicuro e utilizzato. In altri termini, le credenziali dell'account automatico non vengono memorizzate nella cache a livello globale, ma vengono recuperate dall'archivio sicuro quando necessario per ogni sessione o connessione dati. Limitare le autorizzazioni dell'account del servizio automatico per consentire solo l'accesso alla rete. Verificare che l'account del servizio automatico non disponga di accesso ad alcuna origine dati o alcun database di SharePoint Server 2010. Per ulteriori informazioni, vedere Utilizzare Excel Services con l'archivio sicuro (SharePoint Server 2010).

Impostazioni di sicurezza

Per configurare le impostazioni amministrative per l'applicazione Excel Services, incluse le impostazioni di sicurezza, aprire l'applicazione Web Amministrazione centrale SharePoint e accedere alla pagina Impostazioni Excel Services. Per ulteriori informazioni, vedere OBSOLETO Gestire l'autenticazione di Excel Services (SharePoint Server 2010).

Nella pagina Impostazioni Excel Services sono disponibili le impostazioni di configurazione per gli elementi seguenti:

  • Sicurezza   Impostazioni relative ai servizi Web, alle comunicazioni e all'autenticazione dell'applicazione Excel Services.

  • Bilanciamento del carico   Bilanciamento del carico delle sessioni dell'applicazione Excel Services tra i processi di Servizi di calcolo Excel.

  • Gestione sessioni   Comportamento delle sessioni di Servizi di calcolo Excel.

  • Utilizzo memoria   Allocazione della memoria in Servizi di calcolo Excel.

  • Cache cartelle di lavoro   Impostazioni correlate alla memorizzazione dei file delle cartelle di lavoro nella cache su disco e in memoria.

  • Dati esterni  Gestione delle connessioni a dati esterni in Servizi di calcolo Excel.

È inoltre possibile utilizzare la pagina Impostazioni Excel Services per configurare le opzioni per il metodo di accesso ai file e per la crittografia della connessione, che influiscono direttamente sulla sicurezza della distribuzione.

Metodo di accesso ai file

Nella sezione Sicurezza della pagina Impostazioni dell'applicazione Excel Services, in Metodo di accesso ai file selezionare Rappresentazione o Account processo.

  • Rappresentazione   La rappresentazione consente l'esecuzione di un thread in un contesto di sicurezza diverso da quello del processo proprietario del thread. Selezionare Rappresentazione per configurare Servizi di calcolo Excel in modo che autorizzi gli utenti che tentano di accedere a cartelle di lavoro archiviate in percorsi UNC e HTTP. Questa impostazione non si applica alle cartelle di lavoro archiviate in database di SharePoint Server 2010. Nella maggior parte delle distribuzioni di server farm in cui i server Web front-end e i server applicazioni di Servizi di calcolo Excel vengono eseguiti su computer diversi, la rappresentazione richiede la delega Kerberos vincolata.

  • Account processo   Se i server applicazioni di Servizi di calcolo Excel aprono cartelle di lavoro da condivisioni UNC o siti Web HTTP, non è possibile rappresentare l'account utente ed è necessario utilizzare l'account di processo.

Crittografia connessione

È possibile utilizzare Internet Protocol Security (IPsec) o Secure Sockets Layer (SSL) per crittografare la trasmissione dei dati tra server applicazioni di Servizi di calcolo Excel, origini dati, computer client e server Web front-end. Per richiedere la trasmissione crittografata dei dati tra i computer client e i server Web front-end, fare clic sull'impostazione Necessario relativa a Crittografia connessione. L'impostazione predefinita è Non necessario. Se si modifica l'impostazione Crittografia connessione impostandola su Necessario, il server applicazioni di Servizi di calcolo Excel consentirà la trasmissione dei dati esclusivamente tra i computer client e i server Web front-end in connessioni SSL.

Se si decide di impostare la trasmissione crittografata dei dati, sarà necessario configurare manualmente IPsec o SSL. È possibile richiedere connessioni crittografate tra i computer client e i server Web front-end e, allo stesso tempo, consentire connessioni non crittografate tra i server Web front-end e i server applicazioni di Servizi di calcolo Excel.

Nella pagina Gestisci Excel Services sono inoltre elencate le pagine Percorsi attendibili file, Provider di dati attendibili, Raccolte connessioni dati attendibili e Assembly di funzioni definite dall'utente per l'applicazione Excel Services.

Percorsi attendibili file

Le posizioni attendibili file sono siti di SharePoint, percorsi UNC o siti Web HTTP dai quali un server che esegue Servizi di calcolo Excel può accedere a cartelle di lavoro.

Nella sezione Posizione della pagina Excel Services: Aggiungi posizione attendibile file è possibile configurare l'indirizzo, il tipo di posizione e l'attendibilità o meno delle raccolte figlio delle posizioni attendibili file. Selezionando Attendibilità elementi figlio è possibile semplificare la gestione, ma anche introdurre un potenziale problema di sicurezza impostando automaticamente come attendibili i siti secondari e le sottodirectory delle posizioni attendibili appena vengono creati.

Nella sezione Gestione sessioni è possibile configurare impostazioni che consentono di conservare la disponibilità delle risorse e migliorare il livello di prestazioni e sicurezza di Servizi di calcolo Excel. Quando un numero elevato di utenti apre contemporaneamente più sessioni di Servizi di calcolo Excel, le prestazioni potrebbero peggiorare. È possibile controllare il consumo delle risorse e limitare la durata delle sessioni di Servizi di calcolo Excel aperte configurando due impostazioni di timeout per le sessioni aperte.

L'impostazione Timeout sessione determina per quanto tempo una sessione di Servizi di calcolo Excel può rimanere aperta e inattiva dopo ogni interazione dell'utente. L'impostazione Timeout sessione breve determina per quanto tempo una sessione di Servizi di calcolo Excel può rimanere aperta e inattiva dopo la richiesta di sessione iniziale. L'impostazione Timeout sessione nuova cartella di lavoro determina per quanto tempo una sessione di Servizi di calcolo Excel per una nuova cartella di lavoro può rimanere aperta e inattiva prima di venire chiusa. È inoltre possibile controllare il numero di secondi consentiti per ogni richiesta di sessione singola configurando il valore di Durata massima richiesta. Limitando la durata delle sessioni aperte, è possibile ridurre il rischio di attacchi Denial of Service.

Nella sezione Proprietà cartella di lavoro è possibile configurare la dimensione massima di qualsiasi cartella di lavoro, grafico o immagine che è possibile aprire in una sessione di Servizi di calcolo Excel. L'apertura di cartelle di lavoro di dimensioni molto grandi può infatti compromettere le prestazioni e la disponibilità delle risorse. Se non si controllano le dimensioni consentite per le cartelle di lavoro eseguite in sessioni di Servizi di calcolo Excel aperte, si rischia che gli utenti superino la capacità delle risorse causando un errore del server.

Nota

In caso di errore o arresto di un server applicazioni che esegue Servizi di calcolo Excel, tutte le sessioni aperte sul server andranno perdute. In un'installazione autonoma, l'applicazione Excel Services non sarà più disponibile. Ciò significa che le cartelle di lavoro non potranno essere caricate, ricalcolate, aggiornate o recuperate da Servizi di calcolo Excel. In una distribuzione di server farm che include più server applicazioni che eseguono Servizi di calcolo Excel, l'arresto di un server non ha alcun effetto sulle sessioni aperte su altri server. Agli utenti con sessioni aperte su un server che viene arrestato viene chiesto di riaprire le proprie cartelle di lavoro. Quando gli utenti avviano una nuova sessione, vengono automaticamente indirizzati sui server applicazioni attivi che eseguono Servizi di calcolo Excel.

Nella sezione Dati esterni è possibile determinare se le cartelle di lavoro archiviate in posizioni attendibili di file e aperte in sessioni di Servizi di calcolo Excel possono accedere a un'origine dati esterna. È possibile stabilire se impostare l'opzione Impostazione dati esterni consentiti su Nessuna, Solo raccolte di connessioni dati attendibili o Raccolte di connessioni dati attendibili e connessioni incorporate. Se si seleziona Solo raccolte di connessioni dati attendibili o Raccolte di connessioni dati attendibili e connessioni incorporate, le cartelle di lavoro archiviate nelle posizioni attendibili di file potranno accedere a origini dati esterne.

È possibile accedere a connessioni dati esterne solo se tali connessioni sono incorporate o collegate da una cartella di lavoro. Servizi di calcolo Excel controlla l'elenco di posizioni attendibili di file prima di aprire una cartella di lavoro. Se è stata selezionata l'opzione Nessuna, Servizi di calcolo Excel bloccherà qualsiasi tentativo di accedere a un'origine dati esterna. Se si gestiscono connessioni dati per molti autori di cartelle di lavoro, è consigliabile selezionare Solo raccolte di connessioni dati attendibili. Ciò assicura che tutte le connessioni dati in tutte le cartelle di lavoro generate da autori di cartelle di lavoro autenticati utilizzino una raccolta connessioni dati attendibile per accedere alle origini dati esterne.

Se si gestiscono connessioni dati per un numero ridotto di autori di cartelle di lavoro, è consigliabile selezionare Raccolte di connessioni dati attendibili e connessioni incorporate. In questo modo gli autori delle cartelle di lavoro possono incorporare le connessioni dirette alle origini dati esterne nelle cartelle di lavoro, ma hanno ancora accesso alle raccolte di connessioni dati attendibili se le connessioni incorporate non vengono stabilite.

Nell'area Avviso in caso di aggiornamento della sezione Dati esterni è possibile specificare se deve essere visualizzato un avviso prima che una cartella di lavoro venga aggiornata da un'origine dati esterna. La selezione di Attiva avviso di aggiornamento assicura che i dati esterni non vengano aggiornati automaticamente senza alcuna interazione da parte dell'utente.

Se per l'opzione Visualizza errori dettagliati dati esterni si attiva l'impostazione Errori dettagliati dati esterni, vengono forniti messaggi di errore descrittivi da visualizzare, che offrono informazioni utili per la risoluzione e la correzione dei problemi di connessione.

Nell'area Interruzione in caso di errore durante l'aggiornamento all'apertura è possibile specificare se Servizi di calcolo Excel deve interrompere l'apertura di una cartella di lavoro se questa contiene una connessione dati che prevede l'aggiornamento all'apertura non riuscita. Se si seleziona Attiva interruzione apertura, i valori memorizzati nella cache non vengono visualizzati se un'operazione di aggiornamento ha esito negativo durante l'apertura della cartella di lavoro da parte di un utente che dispone delle autorizzazioni Solo visualizzazione per la cartella di lavoro. In caso di esito positivo dell'operazione di aggiornamento all'apertura, i valori memorizzati nella cache vengono eliminati. Se si deseleziona la casella di controllo Attiva interruzione apertura, è possibile che i valori memorizzati nella cache vengano visualizzati in caso di esito negativo dell'operazione di aggiornamento all'apertura.

Nell'area Durata cache dati esterni della sezione Dati esterni è possibile specificare il tempo massimo consentito per l'utilizzo dei valori memorizzati nella cache prima della scadenza e il numero massimo di query su dati esterni che possono essere eseguite simultaneamente in una singola sessione.

Per avere la certezza che solo gli utenti attendibili abbiano accesso alle cartelle di lavoro archiviate in posizioni attendibili, è importante applicare gli elenchi ACL su tutte le posizioni attendibili di file.

La distribuzione dell'applicazione Excel Services con SharePoint Server 2010 presenta tre scenari principali: a livello di azienda, a livello di piccolo reparto e personalizzato.

In una distribuzione aziendale considerare le linee guida seguenti:

  • Non configurare il supporto per le funzioni definite dall'utente.

  • Non consentire alle cartelle di lavoro di utilizzare connessioni dati incorporate per accedere direttamente alle origini dati esterne.

  • Limitare l'utilizzo delle raccolte connessioni dati per l'accesso alle origini dati esterne da cartelle di lavoro.

  • Limitare le dimensioni delle cartelle di lavoro che possono essere aperte in Servizi di calcolo Excel.

  • Scegliere in modo selettivo i percorsi file da considerare attendibili e non selezionare Attendibilità elementi figlio per i siti e le directory attendibili.

In una distribuzione a livello di piccolo reparto considerare le linee guida seguenti:

  • Impostare come attendibili tutti i percorsi file utilizzati dai membri del reparto per archiviare le cartelle di lavoro.

  • Selezionare Attendibilità elementi figlio per tutti i siti e le directory attendibili.

  • Limitare l'accesso in modo selettivo a percorsi file specifici, in caso di problemi.

In una distribuzione personalizzata considerare le linee guida seguenti:

  • Impostare Servizi di calcolo Excel per l'apertura di cartelle di lavoro di grandi dimensioni.

  • Configurare le impostazioni di timeout per le sessioni lunghe.

  • Configurare cache di dati di grandi dimensioni.

  • Creare una singola posizione attendibile per la distribuzione.

  • Non selezionare Attendibilità elementi figlio per questo percorso attendibile.

Provider di dati attendibili

È possibile controllare l'accesso ai dati esterni definendo in modo esplicito i provider di dati attendibili e registrandoli nell'elenco dei provider di dati attendibili. L'elenco dei provider di dati attendibili consente di definire provider di dati esterni specifici a cui sono autorizzate a connettersi le cartelle di lavoro aperte in Servizi di calcolo Excel.

Prima di creare un'istanza di un provider di dati per consentire la connessione da una cartella di lavoro a un'origine dati esterna, Servizi di calcolo Excel controlla le informazioni di connessione per stabilire se il provider è incluso nell'elenco dei provider di dati attendibili. Se il provider compare nell'elenco viene eseguito un tentativo di connessione. In caso contrario la richiesta di connessione viene ignorata.

Raccolte di connessioni dati attendibili

Una raccolta connessioni dati attendibile è una raccolta documenti da cui è possibile accedere ai file ODC in modo sicuro. Le raccolte connessioni dati vengono utilizzate per favorire la sicurezza e la gestione delle connessioni dati per le cartelle di lavoro a cui si accede tramite un server che esegue Servizi di calcolo Excel. Un elenco delle raccolte connessioni dati consente di definire le raccolte connessioni dati specifiche da cui le cartelle di lavoro aperte in Servizi di calcolo Excel sono autorizzate ad accedere ai file ODC.

Se la connessione dati è collegata da una cartella di lavoro a cui accede un server che esegue Servizi di calcolo Excel, il server controlla le informazioni di connessione e l'elenco di raccolte connessioni dati attendibili. Se la raccolta connessioni dati è inclusa nell'elenco, viene eseguito un tentativo di connessione tramite il file ODC dalla raccolta connessioni dati. In caso contrario, la richiesta di connessione viene ignorata.

Autorizzazioni Solo visualizzazione

È possibile specificare gli utenti autorizzati esclusivamente alla visualizzazione delle cartelle di lavoro aggiungendoli al gruppo Visualizzatori di SharePoint Server 2010 oppure creando un nuovo gruppo configurato con le autorizzazioni di sola visualizzazione. Il gruppo Visualizzatori è configurato con le autorizzazioni di sola visualizzazione per impostazione predefinita. Gli utenti aggiunti a un gruppo configurato con tali autorizzazioni possono visualizzare, aprire, interagire con, aggiornare e ricalcolare le cartelle di lavoro, ma non possono accedere all'origine file in alcun modo, se non utilizzando l'applicazione Excel Services. Ciò assicura la protezione delle informazioni proprietarie. I dati di origine non vengono mai visualizzati agli utenti designati.

Non è possibile aprire in Microsoft Excel 2010 le cartelle di lavoro e gli oggetti dati di cartelle di lavoro configurati per l'utilizzo delle autorizzazioni di sola visualizzazione. È tuttavia consentito il rendering in Excel 2010 di uno snapshot della cartella di lavoro, in cui sono visualizzati solo i valori e la formattazione degli intervalli visualizzabili nel server.

È possibile configurare le impostazioni del sito in SharePoint Server 2010 per controllare l'accesso ai dati delle cartelle di lavoro definendo le autorizzazioni di sola visualizzazione per le cartelle di lavoro gestite a livello centrale di cui viene eseguito il rendering in un Web browser. È inoltre possibile configurare le impostazioni del sito in SharePoint Server 2010 per consentire alle cartelle di lavoro di aggiornare i dati esterni sul server e per proteggere e gestire le connessioni dati esterne. Per ulteriori informazioni su come salvare oggetti dati specifici come elementi di sola visualizzazione, vedere OBSOLETO Gestire l'autenticazione di Excel Services (SharePoint Server 2010).

Connessioni dati esterne

Il componente Servizi di calcolo Excel dell'applicazione Excel Services viene utilizzato per eseguire la connessione a origini dati esterne. Servizi di calcolo Excel elabora le informazioni relative alle connessioni a origini dati esterne, ovvero tutte le informazioni necessarie al server per effettuare il collegamento a un'origine dati. Sono incluse la modalità di autenticazione, la stringa di connessione e la stringa di query da utilizzare e la posizione e la modalità di raccolta delle credenziali da utilizzare per la connessione. Tali connessioni possono essere incorporate in cartelle di lavoro o in file ODC. Le informazioni sulle connessioni sono identiche in entrambe le posizioni. Il file ODC sono file di piccole dimensioni in cui le informazioni sulle connessioni sono salvate in modo permanente come testo normale e in un formato riutilizzabile.

È possibile utilizzare il client di Excel 2010 per creare e modificare i file ODC e le connessioni incorporate in cartelle di lavoro. Nel client di Excel 2010 è possibile eseguire la Connessione guidata dati o configurare le impostazioni nella pagina delle proprietà Connessioni. È inoltre possibile esportare un file ODC in base a tali impostazioni. Nella pagina delle proprietà Connessioni sono visualizzate le informazioni sulle connessioni, incluse le proprietà di autenticazione dell'applicazione Excel Services.

File ODC

Le cartelle di lavoro possono contenere collegamenti a file ODC e informazioni sulle connessioni incorporate. Ciò consente alle cartelle di lavoro di recuperare il file ODC, leggerne il contenuto e tentare di eseguire la connessione e un'origine dati in caso la connessione basata sulle informazioni incorporate abbia esito negativo. È necessario gestire i file ODC in modo da assicurare la correttezza delle informazioni sulle connessioni dati che contengono.

È inoltre possibile configurare Servizi di calcolo Excel in modo che utilizzi le informazioni sulle connessioni contenute nel file ODC anziché tentare prima di stabilire la connessione utilizzando le informazioni incorporate. Questo approccio consente agli amministratori di distribuire un numero ridotto di file ODC gestiti che forniscono informazioni sulle connessioni aggiornate a numerose cartelle di lavoro.

Gli autori di cartelle di lavoro possono specificare, per ogni singola connessione, le informazioni che possono essere utilizzate dalla cartella di lavoro. A tale scopo, aprire il client di Excel 2010 e quindi fare clic su Connessioni cartella di lavoro nella scheda Dati. Aggiungere una connessione a una cartella di lavoro, aprire Connessioni cartella di lavoro e quindi visualizzare le proprietà della connessione aggiunta. Nella scheda Definizione selezionare Usa sempre file di connessione. Questa impostazione consente alla cartella di lavoro di recuperare un file di connessione da una raccolta connessioni dati e di utilizzare le informazioni sulla connessione contenute nel file per effettuare la connessione a un'origine dati esterna. È possibile configurare questa impostazione anche selezionando Connessioni cartella di lavoro nella pagina finale della Connessione guidata dati.

Gestione dei file ODC

Le raccolte connessioni dati offrono un archivio per i file ODC. Gli amministratori possono gestire le connessioni dati sul server creando una raccolta connessioni dati e file ODC che richiedano alle cartelle di lavoro di utilizzare sempre un file di connessione. Le cartelle di lavoro che utilizzano le connessioni direttamente da una raccolta connessioni dati otterranno sempre informazioni sulle connessioni aggiornate prima di eseguire la connessione a un'origine dati.

Se le informazioni relative a un'origine dati vengono modificate (ad esempio il nome del server), sarà sufficiente aggiornare un file ODC nella raccolta connessioni dati affinché tutte le cartelle di lavoro che utilizzano tale file vengano aggiornate automaticamente all'aggiornamento successivo. È inoltre possibile utilizzare le autorizzazioni di sola visualizzazione per limitare l'accesso ai file ODC.

Assembly di funzioni definite dall'utente

Se gli scenari di distribuzione previsti includono cartelle di lavoro che contengono funzioni definite dall'utente per estendere le funzionalità di Servizi di calcolo Excel, è necessario configurare l'applicazione Excel Services per il supporto delle funzioni definite dall'utente.

Per configurare tale supporto, è necessario attivare le funzioni definite dall'utente per i percorsi file attendibili contenenti cartelle di lavoro che richiedono l'accesso a tali funzioni. È inoltre necessario registrare gli assembly delle funzioni definite dall'utente nel corrispondente elenco dell'applicazione Excel Services. Per ulteriori informazioni su come attivare le funzioni definite dall'utente, vedere OBSOLETO Gestire l'autenticazione di Excel Services (SharePoint Server 2010).