Office Online Serverでの Excel Online のデータ認証
概要Excel Online が、SQL Server Analysis Services (SSAS)、SQL Server データベース、OLE DB および ODBC データ ソースとの接続をサポートする方法について説明します。
データ ソースからデータを取得するには、ユーザーがデータ ソースに認証され、さらに、そのデータ ソース内のデータへのアクセスが許可される必要があります。 ブックの場合、Excel Online は、ブックが接続されているデータを更新するために、表示しているユーザーに代わってデータ ソースに対して認証を行います。
Excel Online でデータの取得に使用できる認証方法は、次の表に示すように、基になるデータ ソースの種類によって異なります。 データ ソースが複数の認証方法をサポートしている場合は、データ接続でどの認証方法を使用するかを指定する必要があります。
Excel Online のデータ ソースと認証方法
| データ ソース | 認証方法 |
|---|---|
| Analysis Services |
Windows 認証 (統合セキュリティ) Kerberos の制約付き委任の使用 Secure Store の使用 EffectiveUserName 接続文字列プロパティの使用 |
| SQL Server |
次のいずれか: Windows 認証 (統合セキュリティ) Kerberos の制約付き委任の使用 Secure Store の使用 SQL Server 認証 |
| カスタム データ プロバイダー |
データ ソースごとに異なります。一般的には、接続文字列に格納されたユーザー名とパスワードのペアを使用します。 |
Excel では次のデータ ソースがサポートされていますが、Excel Online ではサポートされていません。
Access データベース
Web コンテンツ
XML データ
Microsoft Azure Marketplace
テキスト ファイル
Excel Online を使用して外部データに接続する
Excel Online は、SQL Server、Analysis Services、カスタム OLE DB/ODBC データ プロバイダーなど、さまざまな外部データ ソースに接続できます。 Excel Online では、データ ソースに接続するために、データ ソースごとに特定のデータ プロバイダーを使用します。
SQL Server データ ソースには、次のどちらかの方法で接続できます。
Windows 認証
SQL Server 認証
Analysis Services データ ソースには、Windows 認証を使用して接続できます。
その他のデータ ソースでは接続文字列を使用します。通常、接続文字列は、ユーザー名とパスワードで構成されます。
Excel Online ブックのデータ接続
Excel Online ブックでは、次の 2 種類の接続のいずれかを使用します。
埋め込み接続
リンク接続
埋め込み接続は、Excel ブックの一部として格納されます。 リンク接続は、ブックの一部としてではなく、Office データ接続 (ODC) ファイルに格納されます。 リンク接続を使用するには、ブックと同じ SharePoint Server ファームにも格納されている .odc ファイルをブックで参照する必要があります。 各データ接続は、次の要素で構成されます。
接続文字列
クエリ文字列
認証方法
外部データの取得に必要なメタデータ (オプション)
以下で説明するように、どちらの接続にも長所と短所があります。 状況に応じて、最適な接続を選択してください。
Excel Online のデータ接続の比較
| 接続の種類 | 埋め込み接続 | ODC ファイル |
|---|---|---|
| メリット |
接続情報はすべてブックに格納されます。 埋め込み接続では、サポートの管理オーバーヘッドはほとんど発生しません。 埋め込み接続は容易に作成できます。 |
リンクされた接続は、SharePoint ドキュメント ライブラリを使用して、一元的に保存、管理、監査、共有、アクセスを制御できます。 ブック作成者は、クエリや接続文字列を作成しなくても、既存の接続を使用できます。 データ ソースのデータ接続の詳細が変更された場合、管理者は 1 つの ODC ファイルのみを更新する必要があります。 この変更により、ODC ファイルを参照するすべてのブックは、次回の更新が行われるときに更新された接続情報を使用します。 (このシナリオの例は、データベース サーバーが移動されたとき、またはデータベース名が変更されたときです)。 |
| 欠点 |
データ ソースのデータ接続の詳細に変更が生じた場合、そのデータ ソースへの埋め込み接続を含むブックはすべて、新しい接続情報を反映して再発行する必要があります。 SharePoint 管理者が埋め込みデータ接続を監査するのは非常に困難です。 |
リンク接続を共有、管理、およびセキュリティ保護するには、SharePoint 管理者の介入が必要となる場合があります。 リンクされた接続はクリア テキストで保存され、データベース パスワードが含まれている場合があります。 これらのファイルをセキュリティで保護するには、特別な注意が必要です。 Office Online Serverと SharePoint Server の間のサーバー間認証が必要です。 これにより、構成と管理のオーバーヘッドが追加されます。 |
SQL Server、Analysis Services などのエンタープライズ規模のデータ ソースに接続する必要があるシナリオでは、ODC ファイルを使用したリンク データ接続を選択してください。 リンク データ接続が最も効果的なのは、リンク データ接続を多数のユーザー間で共有したり、接続を管理者が制御したりする必要がある場合です。
広く使用されないデータ接続が必要なシナリオでは、埋め込み接続を選択します。
ODC ファイルは、データ接続ライブラリで一元化できます。 これを行うと、いくつかの利点があります。
管理者が、データ接続ライブラリへの書き込みアクセスを、信頼できるデータ接続作成者のみに制限できます。こうすることで、ブック作成者は、綿密なテストが実施済みで、かつセキュリティ保護されたデータ接続のみを使用できるようになります。
管理者は、単一の場所から大規模なユーザー グループのデータ接続を管理できます。
管理者が、ドキュメント ライブラリのバージョン管理およびワークフロー機能を使用して、データ接続ファイルを容易に承認、監査、復元、および管理できます。
データ接続ライブラリは、Visio や Visio Services などの他の Office アプリケーション間で再利用できます。
ブック作成者は単一の場所でのみブック データ接続を検索します。したがって、混乱が少なく、ユーザー トレーニングを実施する手間を省くことができます。
Windows 認証
Windows 認証では、Excel Online が一連の Windows 資格情報をデータ ソースに提示する必要があります。 この種類の資格情報は Windows ネットワークで一般的であり、Windows ドメイン上のコンピューターにログオンするために使用される資格情報と同じです。 Windows 資格情報は、SQL Server データベースへのアクセスを制御する最も安全で管理しやすい手段と見なされます。 ただし、Excel Online でWindows 認証を使用する場合の障害の 1 つは、Windows ネットワーク内の複数のコンピューターにユーザーの資格情報を渡すことができない Windows ダブルホップ セキュリティ対策です。 SharePoint Server で使用される Excel Online は多層システムであるため、Excel Online がエンド ユーザーに代わってデータを取得するには、特別な認証方法が必要です。
どの認証方法を選択するかは、以下の表で説明するさまざまな要因によって異なります。 状況に応じて、最適な認証方法を選択してください。
認証方法の比較
| 認証方法 | Kerberos 委任 | Secure Store | 有効なユーザー名 |
|---|---|---|---|
| 説明 |
Kerberos 制約付き委任を使用すると、ブック ビューアーの Windows 資格情報がデータ ソースに直接送信されます。 |
Secure Store Service を使用して、表示者の Windows 資格情報が Secure Store のターゲット アプリケーションに指定された別の資格情報にマップされます。 |
EffectiveUserName グローバル設定を使用すると、ユーザーのドメイン ユーザー名が Analysis Services データ ソースに渡されます。 |
| データ接続資格情報 |
ブック表示者の Windows 資格情報。 |
Secure Store のターゲット アプリケーションに指定された資格情報。 |
Office Online Server プロセス ID の資格情報。 |
| メリット |
Kerberos プロトコルは資格情報管理の業界標準です。 Kerberos は既存の Active Directory インフラストラクチャに結合されます。 Kerberos 委任により、データ ソースへの個々のアクセスの監査が許可されます。 ブック表示者の ID がわかっている場合、ブック作成者は、個人用のデータベース クエリを ブックに埋め込むことができます。 |
Secure Store Service は SharePoint Server の一部で、Kerberos よりも構成が容易です。 マッピングは柔軟に行うことができます。ユーザーを一対一または多対一のどちらでもマッピングできます。 Windows 以外の資格情報を使用して、Windows 資格情報を受け付けないデータ ソースに接続できます。 Excel Online 用に作成されたマッピングは、Visio Services などの他のビジネス インテリジェンス アプリケーションで再利用できます。 |
Kerberos 委任を構成せずに、ユーザーごとのデータ セキュリティを実現できます。 構成と管理オーバーヘッドを最小限に抑えられます。 |
| 欠点 |
SharePoint Server と Excel Online を構成するために必要な追加の管理作業。 |
マッピング テーブルを作成および管理するのに多少の管理オーバーヘッドが必要です。 Secure Store で許可される監査には制限があります。 多対一のシナリオでは、各ユーザーはターゲット アプリケーションを介して同じ資格情報にマップされて、1 名のユーザーに効果的に組み合わされます。 |
Analysis Services データ ソースでしか動作しません。 |
| 認証操作を正常に行うには |
Office Online Serverで Kerberos 委任を設定する必要があります。 |
Secure Store Service は、SharePoint Server ファームでプロビジョニングおよび構成する必要があります。 また、Secure Store Service に、特定のユーザー用の適切なマッピング情報を含める必要もあります。 さらに、マッピング情報を定期的に更新して、マップされたアカウントのパスワードの変更を反映する必要もあります。 |
EffectiveUserName オプションは、Office Online Serverで有効にする必要があります。 ユーザーは適切な Analysis Services ロールのメンバーである必要があります。 |
Kerberos 委任
Windows 認証をサポートするエンタープライズ規模のリレーショナル データ ソースに対する迅速、かつセキュリティ保護された認証には、Kerberos 委任を選択してください。 Kerberos 制約付き委任を構成する予定の場合、次の要件は、Office Online Serverで Excel Online で Kerberos 制約付き委任を使用する場合に固有です。
Windows トークン サービスへの要求は、Office Online Server ファーム内の各サーバーで実行し、ローカル システムとして実行するように設定する必要があります。
Office Online Server ファーム内の各サーバーは、Active Directory Domain Services委任リストに示すように、各バックエンド データ ソースに委任できる必要があります。
c2wtshost.exe.config ファイル (\Program Files\Windows Identity Foundation\v3.5 にあります) を更新し、 NT AUTHORITY\Network Service allowedCallers リストからコメント タグを削除する必要があります。
<allowedCallers> <clear/> <add value="NT AUTHORITY\\Network Service" /> <!-- <add value="NT AUTHORITY\\Local Service" /> --> <!-- <add value="NT AUTHORITY\\System" /> --> <!-- <add value="NT AUTHORITY\\Authenticated Users" /> --> </allowedCallers>
Secure Store
Windows 認証をサポートする場合とサポートされていない可能性があるエンタープライズ規模のリレーショナル データ ソースに対する認証には、 セキュリティで保護されたストア を選択します。 また、Secure Store は、ユーザー資格情報のマッピングを制御するシナリオでも役立ちます。
Excel Online で Secure Store を使用する方法については、次を参照してください。
SQL Server 認証
SQL Server認証では、認証を行うために、Excel Online が SQL Server データ ソースにSQL Serverユーザー名とパスワードを提示する必要があります。 Excel Online は、接続文字列をデータ ソースに渡します。 接続文字列には、ユーザー名とパスワードが含まれている必要があります。
ユーザー名とパスワードがセキュリティで保護されたストア ターゲット アプリケーションに格納されている場合 (最適なセキュリティを確保するために推奨されます)、Excel Online はOffice Online Serverネットワーク サービス アカウントを偽装し、接続が確立されると、SQL 資格情報が接続のプロパティとして設定されます。
OLEDB/ODBC データ ソースに対する認証
サード パーティのデータ ソースに対する認証では、通常、Excel Online でデータ ソースにユーザー名とパスワードを提示する必要があります。
ユーザー名とパスワードがブックまたは ODC ファイルに格納されている場合、Excel Online は、ブックまたは ODC ファイル内の認証設定Excel Services選択されているオプションに依存する Windows ID を偽装します。
ユーザー名とパスワードがセキュリティで保護されたストア ターゲット アプリケーションに格納されている場合 (最適なセキュリティを確保するために推奨されます)、Excel Online はOffice Online Server ネットワーク サービス アカウントを偽装し、接続が確立されると、SQL 資格情報が接続のプロパティとして設定されます。
Excel Online でのデータ更新
Excel Online では、次の 1 つ以上のデータ ソースに接続されているブックの更新がサポートされています。
SQL Server
SQL Server Analysis Services (SSAS)
注:
上記の一覧に、接続先データ ソースが含まれていない場合は、カスタム データ プロバイダーを作成して、データ ソースのサポートを追加できます。 このテクノロジを使用すると、既存のデータ ソースを Excel Online で使用できるデータ ソースにラップできます。
外部データ更新は、Excel Online を使用した次の一連の手順の結果です。
ブックの作成: ブック作成者は、データに接続されたブックを SharePoint Server にアップロードします。
更新の発生: ブック表示者が、データ接続されたブックの更新を開始します。
データ Connections: Excel Online は、ブック内の各外部データ ソースのデータ接続情報を取得します。
信頼されたデータ プロバイダー: Excel Online は、データの取得に使用できる信頼されたデータ プロバイダーがあるかどうかを確認します。
認証: Excel Online は、データ ソースに対して認証を行い、ブック ビューアーの代わりに要求されたデータを取得します。
ブックの更新: Excel Online は、データ ソース データに基づいてブックを更新し、ビューアーに返します。
更新は、ブラウザー内から次のどちらかの場合に開始できます。
エンドユーザーがブックを開く (ブックが開いたときに更新されるように構成されている場合)。
既に開いているブック内でエンドユーザーが更新ボタンをクリックする。
このブックがまだ一度もキャッシュされていない場合は、上記のどちらの操作が行われてもブックは更新されます。