Excel Services の認証を計画する (SharePoint Server 2010)

 

適用先: Excel Services (SharePoint 2010), SharePoint Server 2010

トピックの最終更新日: 2016-11-30

この記事の内容

• Excel Services のセキュリティについて

• ユーザー認証を計画する

• サーバー間の通信を計画する

• 外部データの認証を計画する

Excel Services のセキュリティについて

Microsoft SharePoint 2010 製品を展開するためのセキュリティ要件に加えて、Excel Services アプリケーションを含む展開のセキュリティについても考慮事項を確認する必要があります。Microsoft SharePoint Foundation 2010 は、SharePoint Server 2010 が構築されているプラットフォームを提供します。

Excel Services アプリケーションの機能と SharePoint Server 2010 の組み合わせは、企業内の Excel ブックへのアクセスを制御、セキュリティ保護、および管理するための主要な方法です。Excel Services アプリケーションは、パフォーマンス、拡張性、およびセキュリティを重視した企業クラスのアプリケーション サーバーです。Excel Services アプリケーションの展開により、ブックの簡単な表示 (および対話操作) が可能になり、ビジネス インテリジェンスのダッシュボードで表示できるグラフ、ピボットテーブル レポートなどのブック コンポーネントを簡単に再利用できます。

Excel Services アプリケーションを使用すると、サーバー側での Excel ワークシートの計算をカスタム アプリケーションに利用できるので、ユーザーはブックをロックして、私的データや知的財産をセキュリティ保護できます。これにより、ブック内のデータを保護しながら、サーバーのブックを操作するユーザーは Excel Services アプリケーションのデータ更新および再計算機能を最大限に活用できます。

セキュリティは、これらのデータ表示シナリオを可能にするための重要な構成要素です。環境を計画するときは、サーバーで表示するブックの安全確保に役立つ多くの要素を考慮する必要があります。ブックのセキュリティ管理とサーバー自体のセキュリティ管理を計画する必要があります。Excel Services アプリケーションでは Excel ブックの処理と表示を非常に厳密に制御できます。サーバーでブックを開く方法や、各ブックで有効にする個々の機能を制御できます。

ここでは、展開を計画する際に考慮する必要がある Excel Services アプリケーションおよび関連コンポーネントのセキュリティおよび認証設定の概要を示します。また、Excel Services アプリケーションを使用してサーバーのブックに対するアクセスをセキュリティ保護および管理するための規範的ガイダンスも提供します。

Excel Services アプリケーションのセキュリティ モデルは、データの整合性と品質を確保するために、管理者は共有リソースやブックに含まれる企業の知的財産に対するユーザー アクセスを一元管理できる必要があるという概念に基づいています。この目的を達成するために、Excel Services アプリケーションを使用して以下のことを指定できます。

• 信頼できるファイル保存場所   Excel Calculation Services を使用してアクセスする前に明示的に信頼される必要のある、SharePoint ドキュメント ライブラリ、UNC パス、または HTTP Web サイトです。Excel Calculation Services は、信頼できるファイル保存場所にあるブックだけを開きます。

• 信頼できるデータ プロバイダー   ブックのデータ接続を処理する際に信頼するように Excel Calculation Services を明示的に構成する外部データベースです。Excel Calculation Services は信頼できるデータ プロバイダーに接続する場合にのみデータ接続の処理を試みます。

• 信頼できるデータ接続ライブラリ   Office データ接続 (.odc) ファイルが格納された SharePoint ドキュメント ライブラリです。.odc ファイルを使用して外部データ ソースへの接続を一元管理します。外部データ ソースへの接続の埋め込みを許可するのではなく、すべてのデータ接続に対して .odc ファイルの使用を要求するように Excel Calculation Services を構成できます。.odc ファイルはデータ接続ライブラリに格納され、Excel Calculation Services でブックにデータ接続ライブラリへのアクセスを許可するには、事前にデータ接続ライブラリを明示的に信頼する必要があります。

  既定では、ドメインを越えてブックおよびデータ接続にアクセスすることはできません。Web パーツ、Web ページ、または Web サービスを使用して、信頼できるファイル保存場所にあるブック (および信頼できるデータ接続ライブラリ内のデータ接続) にドメインを越えてアクセスできるようにするには、「Windows PowerShell を使用して Excel Services を管理する」の例に示すように Windows PowerShell コマンドレットを実行します。

  要求する Web ページとブックまたはデータ接続は、同じファーム内に存在する必要があります。

  注意

  Excel Calculation Services でブックを開くと、Excel Calculation Services を実行しているアプリケーション サーバーの %TEMP% フォルダーに一時ファイルが格納されます。

ユーザー認証を計画する

Excel Calculation Services で開く Excel ブックは、SharePoint Server 2010 コンテンツ データベースに格納する必要があります。これは、SharePoint Foundation 2010 がこれらのファイルに対するアクセス制御リスト (ACL) を維持しているためです。Excel Calculation Services は UNC パスや HTTP Web サイトからもブックを開くことができます。ただし、ブックの格納先には SharePoint Server 2010 コンテンツ データベースを使用することをお勧めします。

SharePoint ポータル サイトへのユーザー アクセスの認証は SharePoint Foundation 2010 が行います。既定では、SharePoint Foundation 2010 は統合 Windows 認証を使用します。

以上の認証方法の他に、Excel Services アプリケーションは標準的なフォーム ベースの認証もサポートしています。ただし、標準的なフォーム ベースの認証を使用するための SharePoint Foundation 2010 の構成についてはここでは触れません。

サーバー間の通信を計画する

クレーム ベース認証は、SharePoint Server 2010 での既定の認証機構です。これは Microsoft および業界の標準であり、広範にサポートされています。クレーム ベース認証は、ファーム、Office Business Applications、および SharePoint Service をさまざまな環境に展開するときのセキュリティおよび認証の改善に役立ちます。Excel Services アプリケーションでは、単一サーバー インストールかファーム環境かにかかわらず、すべての展開シナリオでクレーム ベース認証を使用します。また、SharePoint Server 2010 内部のすべてのコンテンツおよびリソースに対するユーザーの認証および承認は、クレーム ベース認証によって高いセキュリティで保護されます。

外部データの認証を計画する

ブックには、埋め込みの直接データ接続、およびデータ接続ライブラリに格納されたデータ接続ファイルへのリンクを含めることができます。更新の際に、Excel Services アプリケーションの構成に応じて、埋め込みの直接データ接続を使用してデータ ソースに対するクエリを実行することや、データ接続ライブラリ リンクを使用して .odc ファイルに対するクエリを実行できます。.odc ファイルはデータ接続情報を含むもので、データ接続ライブラリに格納されている必要があります。

外部データ ソースへの接続を処理するように Excel Services アプリケーションを構成するには、SharePoint サーバーの全体管理 Web アプリケーションで [Excel Services 信頼できるファイル保存場所の追加] ページの [外部データ] セクションで設定を選択します。

Excel Services アプリケーションの管理者設定を構成する場合は、「Excel Services の認証を管理する (SharePoint Server 2010) (現在不使用)」で詳細を調べてください。

統合接続を持つファーム展開では、SharePoint Server 2010 の要求ベースの認証を使用するようになりました。Excel Calculation Services が接続情報を取得するとき、資格情報は、格納されている資格情報 (Secure Store Service のデータベースから取得)、統合資格情報、または資格情報なしと指定されます。統合資格情報によるすべてのデータ接続は、複数のサーバーにスケール アウトされる展開で要求ベースの認証を使用するようになりました。スタンドアロン展開も既定の要求ベースの認証を使用します。

格納されている資格情報を使用する Excel Calculation Services アプリケーション サーバーでブックを開く場合のデータ接続について考えます。Excel Calculation Services は、Secure Store Service のデータベースから有効な資格情報を取得する必要があります。そうすることで、データが接続ができる前に、その資格情報を使用してデータ ソースに対する認証を行います。

Excel Services アプリケーションでは、統合 Windows 認証、Secure Store Service による認証、および何もしないという 3 種類の認証方式をサポートしています。

統合 Windows 認証

Kerberos プロトコルは、統合 Windows 認証を使用する場合に推奨されるセキュリティ構成です。SharePoint Server 2010 ではクレーム ベースの認証を使用するため、Excel Services アプリケーションのすべてのシナリオでもクレーム ベースの認証を使用します。統合 Windows 認証は、SharePoint Server 2010 の IIS 認証の設定でのみ使用されるようになりました。Excel Services アプリケーション用に Kerberos の制限付き委任を構成する方法の詳細については、Microsoft ダウンロード センターのページ「Configuring Kerberos Authentication for Microsoft SharePoint 2010 Products (英語)」を参照してください。

Secure Store Service による認証

Secure Store Service による認証を使用すると、ユーザーは認証資格情報を何度も入力しなくても複数のシステム リソースにアクセスできます。SharePoint Server 2010 は、Windows サービスとセキュリティ保護された資格情報データベースを組み込むことにより、Secure Store Service による認証を実装します。Excel Services アプリケーションがサポートするプラグ可能な Secure Store Service 機能を使用すると、Secure Store Service の独自のプロバイダーを実装できます。SharePoint Server 2010 には、Excel Services アプリケーションと連携する Secure Store Service のプロバイダーが含まれています。

Excel Services アプリケーションを使用して実装する Secure Store Service のプロバイダーでは、資格情報の種類と共に資格情報 (Windows 資格情報またはその他の資格情報) を送信するようにします。Excel Services アプリケーションは、Secure Store Service のデータベースを使用して、接続認証のための資格情報を取得します。

SharePoint Server 2010 での Secure Store Service による認証は、個別マッピングとグループ マッピングをサポートします。Secure Store Service は、SharePoint Server 2010 の Secure Store Service のデータベースに格納されたリソースのアプリケーション ID (App ID) に対する 1 組の資格情報を保持しています。個別マッピングでは、セキュリティ層が、Secure Store Service のデータベースに格納された 1 つの App ID 用の複数の個別リストに対して、ユーザー資格情報をチェックします。個別マッピングは、共有リソースへの個別のユーザー アクセスに関するログ情報が必要な場合に便利です。

グループ マッピングでは、セキュリティ層が、Secure Store Service のデータベースに格納された 1 つの App ID で識別されるリソース用の 1 組の資格情報に対して、複数のドメイン ユーザー グループ資格情報をチェックします。これは、フォーム ベースの認証や、使用するその他の要求プロバイダーに対しても機能します。グループ マッピングは個別マッピングより管理しやすく、パフォーマンスも優れています。

SharePoint Server 2010 で Secure Store Service の機能を有効にするには、SharePoint サーバーの全体管理 Web サイトで、Secure Store Service を新しく作成します。詳細については、「セキュリティで保護されたストアでの Excel サービスの使用 (SharePoint Server 2010)」を参照してください。

なし

Excel Services アプリケーション展開の認証方法として [なし] を指定すると、Excel Services アプリケーションは受信接続文字列を使用し、文字列で指定されたデータベースに接続を試みます。データベース プロバイダーによっては、データベースが接続文字列を使用してユーザーを認証できます。

Excel Services アプリケーションが接続文字列を解析して認証方法を決定することはありません。接続文字列はデータベース プロバイダーに渡されます。接続文字列では、統合 Windows 認証が必要であることを指定できます。また、接続文字列に特定のユーザー名とパスワードを含めることもできます。どちらの場合も、認証方法として [なし] を指定すると、Excel Services アプリケーションでは無人サービス アカウントの偽装が必要になります。

データベース プロバイダーが接続文字列で統合 Windows 認証が指定されていると判断し、データベースがアクセスを承認する場合は、無人アカウントのセキュリティ コンテキストを使用して接続が確立されます。接続文字列にユーザー名とパスワードが含まれ、データベースがアクセスを承認する場合は、承認されたユーザー アカウントのセキュリティ コンテキストを使用して接続が確立されます。

無人サービス アカウント

無人サービス アカウントは、暗号化された安全な特権アカウントです。Secure Store Service (SSS) は、無人アカウントの資格情報を保存し、認証方法として Windows ベースでない環境からの SSS 資格情報 (または [なし]) を使用するデータ接続を確立するときに、Excel Calculation Services が偽装できるようにします。無人サービス アカウントが構成されていない場合、認証方法として Windows 以外の環境からの SSS または [なし] を使用するデータ接続は失敗します。

無人アカウントを偽装することによって、SharePoint Server 2010 データベースおよび Excel Services アプリケーションが直接アクセスできるその他のデータ ソースは、Excel Calculation Services を使用して外部データ接続を開くクライアント コンピューターによる無許可の接続から保護されます。無人サービス アカウントが偽装された場合、Excel Calculation Services アプリケーション スレッドと関連付けられた資格情報を使用して、その他のデータベースにアクセスすることはできません。また、無人サービス アカウントが偽装された場合、外部データのクエリは、権限の高い Excel Calculation Services アプリケーション スレッドのセキュリティ コンテキストではなく、権限の低いアカウントのセキュリティ コンテキストの下で実行されます。

無人サービス アカウントは、ドメイン アカウントまたはローカル コンピューター アカウントとして構成できます。無人サービス アカウントをローカル コンピューター アカウントとして構成する場合は、Excel Calculation Services を実行しているすべてのアプリケーション サーバーを同じ構成にします。無人アカウントの資格情報は、接続時に、各ブック セッションでキャッシュされます。無人アカウントを使用するデータ接続が設定されたブックが読み込まれるたびに、資格情報がその接続に対してまだキャッシュされていない場合は、無人アカウントが Secure Store から取得され、使用されます。つまり、無人アカウントの資格情報はグローバルにはキャッシュされませんが、各セッションまたはデータ接続の必要に応じて、Secure Store から取得されます。無人サービス アカウントの権限は、ネットワークへのログオンだけができるように制限します。無人サービス アカウントが、どのデータ ソースや SharePoint Server 2010 データベースにもアクセスできないことを確認します。詳細については、「セキュリティで保護されたストアでの Excel サービスの使用 (SharePoint Server 2010)」を参照してください。

セキュリティ設定

セキュリティ設定を含め、Excel Services アプリケーションの管理者設定を構成するには、SharePoint サーバーの全体管理 Web アプリケーションを開き、[Excel Services の設定] ページにアクセスします。詳細については、「Excel Services の認証を管理する (SharePoint Server 2010) (現在不使用)」を参照してください。

[Excel Services の設定] ページでは、以下の構成の設定が提供されます。

• [セキュリティ]   Excel Services アプリケーションの認証、通信、および Web サービスの設定。

• [負荷分散]   Excel Calculation Services プロセス全体に対する Excel Services アプリケーション セッションの負荷分散。

• [セッションの管理]   Excel Calculation Services セッションの動作。

• [メモリ使用]   Excel Calculation Services でのメモリの割り当て。

• [ブックのキャッシュ]   ディスク上およびメモリでのブック ファイルのキャッシュに関連する設定。

• [外部データ]  Excel Calculation Services での外部データ接続の処理。

また、[Excel Services の設定] ページを使用して、安全な展開に直接影響するファイル アクセス方法と接続の暗号化のオプションを構成することもできます。

ファイル アクセス方法

[Excel Services アプリケーションの設定] ページの [セキュリティ] セクションで、[ファイル アクセス方法] の [偽装] または [プロセス アカウント] を選択します。

• [偽装]   そのスレッドを所有するプロセスのコンテキスト以外のセキュリティ コンテキストで、スレッドを実行できます。[偽装] を選択すると、Excel Calculation Services は UNC と HTTP の場所に格納されたブックにアクセスしようとするユーザーを承認する必要があります。これを選択しても、SharePoint Server 2010 データベースに格納されたブックには影響ありません。フロントエンド Web サーバーと Excel Calculation Services アプリケーション サーバーが別のコンピューターで実行されるほとんどのサーバー ファーム展開では、偽装によって制限付きの Kerberos 委任が必要になります。

• [プロセス アカウント]   Excel Calculation Services アプリケーション サーバーが UNC シェアや HTTP Web サイトからブックを開いている場合は、ユーザー アカウントを偽装できないので、プロセス アカウントを使用する必要があります。

接続の暗号化

インターネット プロトコル セキュリティ (IPSec) または SSL (Secure Sockets Layer) を使用して、Excel Calculation Services アプリケーション サーバー、データ ソース、クライアント コンピューター、およびフロントエンド Web サーバーの間でのデータ送信を暗号化できます。 クライアント コンピューターとフロントエンド Web サーバーの間で暗号化されたデータ送信を要求するには、[接続の暗号化] の設定で [必須とする] を選択します。 [必須としない] が既定の設定です。 [接続の暗号化] 設定を [必須とする] に変更すると、Excel Calculation Services アプリケーション サーバーでは、クライアント コンピューターとフロントエンド Web サーバーの間で SSL 接続を経由するデータ転送のみが許可されるようになります。

暗号化されたデータ送信を要求する場合は、IPsec または SSL を手動で構成する必要があります。クライアント コンピューターとフロントエンド Web サーバーとの間では暗号化された接続を要求し、フロントエンド Web サーバーと Excel Calculation Services アプリケーション サーバーとの間では暗号化されない接続を許可できます。

また、[Excel Services の管理] ページには、Excel Services アプリケーションの [信頼できるファイル保存場所]、[信頼できるデータ プロバイダー]、[信頼できるデータ接続ライブラリ]、および [ユーザー定義関数アセンブリ] ページも表示されます。

信頼できるファイル保存場所

信頼できるファイル保存場所は、Excel Calculation Services を実行しているサーバーがブックへのアクセスを許可される SharePoint サイト、UNC パス、または HTTP Web サイトです。

[Excel Services 信頼できるファイル保存場所の追加] ページの [場所] セクションで、アドレス、場所の種類、および信頼できるファイル保存場所の子ライブラリも信頼するかどうかを構成できます。[子の信頼] を選択すると管理性が向上します。ただし、信頼できるファイル保存場所のサブサイトやサブディレクトリを作成と同時に自動的に信頼できるようになるため、潜在的なセキュリティ問題が生じる可能性もあります。

[セッションの管理] セクションでは、リソースの可用性が保持され、Excel Calculation Services のパフォーマンスとセキュリティが向上するように設定を構成できます。多数のユーザーが複数の Excel Calculation Services セッションを同時に開くと、パフォーマンスが低下する可能性があります。実行中のセッションに対して 2 つのタイムアウト設定を構成することにより、リソースの消費を制御し、実行中の Excel Calculation Services セッションの期間を制限できます。

[セッションのタイムアウト] 設定では、ユーザー入力がない状態で Excel Calculation Services セッションを開いたままにできる時間を指定します。[短いセッションのタイムアウト] 設定では、最初のセッション要求の後ユーザー入力がない状態で Excel Calculation Services セッションを開いたままにできる時間を指定します。[新しいブック セッションのタイムアウト] 設定では、シャットダウンまでの間ユーザー入力がない状態で、新しいブックの Excel Calculation Services セッションを開いたままにできる時間を指定します。また、[要求時間の上限] 値を構成すると、1 つのセッション要求に対して許容される秒数を制御できます。セッションが開いたままになる時間を制限することは、サービス拒否攻撃の危険性を軽減するために役立ちます。

[ブックのプロパティ] セクションでは、Excel Calculation Services セッションで開くことができるブック、グラフ、または画像の最大サイズを構成できます。ユーザーが非常に大きなブックを開くと、パフォーマンスやリソースの可用性が低下する可能性があります。開いている Excel Calculation Services セッションで動作するブックの許容サイズを制御しないと、ユーザーが容量を超えるリソースを消費してサーバーに障害が発生する危険があります。

注意

Excel Calculation Services を実行しているアプリケーション サーバーが障害を起こした場合やシャットダウンされた場合は、サーバー上で開いているすべてのセッションが失われます。スタンドアロンのインストールでは、Excel Services アプリケーションを利用できなくなります。これは、Excel Calculation Services がブックの読み込み、再計算、更新、または取得を行えなくなることを意味します。Excel Calculation Services を実行する複数のアプリケーション サーバーがあるサーバー ファーム展開では、1 台のサーバーがシャットダウンされても、その他のサーバーで実行中のセッションには影響しません。シャットダウンされるサーバーでセッションを実行中のユーザーには、ブックを再度開くように求めるメッセージが表示されます。ユーザーが新しいセッションを開始すると、それらのセッションは Excel Calculation Services を実行しているアクティブなアプリケーション サーバーに自動的にルーティングされます。

[外部データ] セクションでは、信頼できるファイル保存場所に格納され、Excel Calculation Services セッションで開かれたブックが、外部データ ソースにアクセスできるかどうかを指定できます。[外部データの許可] を、[なし]、[信頼できるデータ接続ライブラリのみ]、または [信頼できるデータ接続ライブラリと、埋め込まれている接続] に設定します。[信頼できるデータ接続ライブラリのみ] または [信頼できるデータ接続ライブラリと、埋め込まれている接続] を選択すると、信頼できるファイル保存場所に保存されているブックから、外部データ ソースにアクセスできます。

外部データ接続は、ブックに埋め込まれているか、ブックからリンクされる場合にのみアクセスできます。Excel Calculation Services は、ブックを開く前に信頼できるファイル保存場所の一覧をチェックします。[なし] を選択すると、Excel Calculation Services は外部データ ソースにアクセスしようとする試みをすべてブロックします。多数のブック作成者のデータ接続を管理している場合は、[信頼できるデータ接続ライブラリのみ] を指定することを検討してください。この設定では、認証済みのブック作成者が生成する全ブックの全データ接続は、信頼できるデータ接続ライブラリを使用して外部データ ソースにアクセスする必要があります。

少数のブック作成者のデータ接続を管理している場合は、[信頼できるデータ接続ライブラリと、埋め込まれている接続] を指定することを検討してください。この設定では、ブック作成者は各自のブックに外部データ ソースへの直接接続を埋め込むことができ、さらに、埋め込みリンクが失敗した場合は信頼できるデータ接続ライブラリにアクセスできます。

[外部データ] セクションの [更新時の警告] 領域では、外部データ ソースからのブック更新の前に警告を表示するかどうかを指定できます。[更新時の警告の有効化] を選択すると、ユーザー入力がなければ外部データは自動的に更新されません。

[外部データ エラーの詳細を表示する] オプションで [外部データ エラーの詳細] 設定を有効にすると、説明的なエラー メッセージが表示され、接続に関する問題のトラブルシューティングと解決に役立つ情報を提供するようになります。

[開くときの更新が失敗した場合に、開く操作を中止する] 領域では、開くときに更新するデータ接続がブックに含まれていて、そのデータ接続に失敗した場合は、Excel Calculation Services が開く操作を中止するかどうかを指定できます。[開く操作の中止を有効化] チェック ボックスをオンにすると、ブックに対する表示のみの権限を持つユーザーがブックを開くときに更新操作が失敗した場合は、キャッシュされた値は表示されません。開くときの更新が成功した場合は、キャッシュされた値が削除されます。[開く操作の中止を有効化] チェック ボックスをオフにすると、開くときの更新が失敗した場合にキャッシュされた値が表示される危険があります。

[外部データ] セクションの [外部データ キャッシュの有効期間] 領域では、期限切れになるまでにキャッシュされた値を使用できる最大時間、および単一のセッション中に同時に実行できる外部データ クエリの最大数を指定できます。

信頼できる保存場所にあるブックに、信頼できるユーザーのみがアクセスできるようにするには、信頼できるファイル保存場所すべてに ACL を適用することが重要です。

Excel Services アプリケーションを使用して SharePoint Server 2010 を展開するための中心的なシナリオには、企業、小規模な部門、およびカスタムの 3 つがあります。

企業展開では、以下のガイドラインを検討してください。

• ユーザー定義関数のサポートを構成しません。

• ブックから埋め込みのデータ接続を使用して外部データ ソースに直接アクセスすることを許可しません。

• ブックから外部データ ソースへアクセスする際に、データ接続ライブラリの使用を制限します。

• Excel Calculation Services で開くことができるブックのサイズを制限します。

• 厳選した特定のファイル保存場所だけを信頼し、信頼するサイトおよびディレクトリでは [子の信頼] オプションを有効にしません。

小規模な部門展開では、以下のガイドラインを検討してください。

• 部門メンバーがブックの保存に使用するすべてのファイル保存場所に対して信頼を有効にします。

• 信頼するサイトおよびディレクトリすべてで [子の信頼] を有効にします。

• 問題が発生する場合は、厳選した特定のファイル保存場所だけにアクセスを制限します。

カスタム展開では、以下のガイドラインを検討してください。

• Excel Calculation Services が大きなブックを開けるようにします。

• セッション タイムアウト設定を長めに構成します。

• 大容量のデータ キャッシュを構成します。

• この展開用に 1 つの信頼できる保存場所を作成します。

• この信頼できる保存場所では [子の信頼] を有効にしません。

信頼できるデータ プロバイダー

外部データへのアクセスを制御するには、信頼されているデータ プロバイダーを明示的に定義し、信頼できるデータ プロバイダーの一覧に記録します。信頼できるデータ プロバイダーの一覧は、Excel Calculation Services で開くブックが接続を許可される特定の外部データ プロバイダーを指定します。

データ プロバイダーをインスタンス化してブックが外部データ ソースに接続できるようにする前に、Excel Calculation Services は接続情報をチェックして、プロバイダーが信頼できるデータ プロバイダーの一覧に記載されているかどうかを判断します。プロバイダーが一覧にある場合は接続が試みられ、一覧にない場合は接続要求は無視されます。

信頼できるデータ接続ライブラリ

信頼できるデータ接続ライブラリは, .odc ファイルにアクセスしても安全であると確認されているドキュメント ライブラリです。データ接続ライブラリは、Excel Calculation Services を実行しているサーバーによってアクセスされるブックのデータ接続をセキュリティ保護および管理するために使用します。信頼できるデータ接続ライブラリの一覧は、Excel Calculation Services で開かれたブックが .odc ファイルへのアクセスを許可される特定のデータ接続ライブラリを指定します。A.

Excel Calculation Services を実行するサーバーによってアクセスされるブックからデータ接続がリンクされている場合、サーバーは、接続情報および信頼できるデータ接続ライブラリの一覧を確認します。データ接続ライブラリが一覧にある場合は、データ接続ライブラリの .odc ファイルを使用して接続されますが、一覧にない場合、接続要求は無視されます。

表示のみの権限

ブックの表示だけを許可されるユーザーを指定するには、それらのユーザーを SharePoint Server 2010 表示者グループに追加するか、表示のみの権限を持つように構成された新しいグループを作成します。既定で、表示者グループは、表示のみの権限を持つように構成されます。表示のみの権限を持つように構成されたグループにユーザーを追加すると、そのユーザーはブックを表示し、開き、操作し、更新し、再計算できます。ただし、Excel Services アプリケーションを使用しないとファイル ソースにアクセスできません。この方法は機密情報を保護するために役立ちます。指定したユーザーにソース データが表示されることはありません。

また、表示のみの権限を持つように構成されたブックやブックのデータ オブジェクトは、Microsoft Excel 2010 で開くことができません。ただし、サーバー表示可能な範囲の値と書式設定だけを示すブックのスナップショットは、Excel 2013 で表示できます。

SharePoint Server 2010 でサイト設定を構成してブックのデータへのアクセスを制御するには、Web ブラウザーで表示される一元管理されたブックに表示のみの権限を設定します。また、SharePoint Server 2010 でサイト設定を構成すると、ブックがサーバー上で外部データを更新できるようにし、外部データ接続をセキュリティ保護および管理できます。指定したデータ オブジェクトを表示のみのアイテムとして保存する方法の詳細については、「Excel Services の認証を管理する (SharePoint Server 2010) (現在不使用)」を参照してください。

外部データ接続

Excel Services アプリケーションの Excel Calculation Services コンポーネントは外部データソースへの接続に使用します。Excel Calculation Services は、サーバーがデータ ソースに接続するために必要なすべての情報を含む外部データ接続情報を処理します。これには、認証方法、使用する接続文字列、使用するクエリ文字列、接続に使用する資格情報の収集場所と方法などが含まれます。これらの接続は、ブック内の埋め込みと .odc ファイルの 2 つの場所で定義できます。接続情報はどちらの場所でも同じです。.odc ファイルは、接続情報を書式なしのテキストおよび再利用可能な形式で保持する小さなファイルです。

.odc ファイルやブックに埋め込む接続は、Excel 2013 クライアントを使用して作成および編集できます。Excel 2013 クライアントでは、データ接続ウィザードを実行するか、[接続] プロパティ ページで設定を構成できます。また、これらの設定に基づいて .odc ファイルをエクスポートすることもできます。[接続] プロパティ ページには、Excel Services アプリケーションの認証プロパティなどの接続情報が表示されます。

.odc ファイル

ブックには .odc ファイルへのリンクと埋め込みの接続情報を含めることができます。こうすると、埋め込みの接続情報が失敗した場合に .odc ファイルを取得して内容を読み取り、外部データ ソースへの接続を試みることができます。.odc ファイルは、含まれているデータ接続情報が正確であるように管理および維持する必要があります。

埋め込まれた情報を使用した接続を最初に試みるのではなく, .odc ファイルの接続情報だけを使用するように Excel Calculation Services を構成することもできます。この方法では、管理者が多数のブックに最新の接続情報を提供する少数の管理された .odc ファイルを展開できます。

ブックの作成者はブックが使用できる接続情報を接続ごとに指定できます。これを行うには、Excel 2013 クライアントを開き、[データ] タブの [ブックの接続] をクリックします。ブックへの接続を追加し、[ブックの接続] を開いて追加した接続のプロパティを表示します。[定義] タブをクリックし、[常に接続ファイルを使用する] を選択します。こうすると、ブックはデータ接続ライブラリから接続ファイルを取得し、ファイル内の接続情報を使用して外部データ ソースに接続できます。また、この設定はデータ接続ウィザードの最後のページで [常に接続ファイルを使用する] を選択して構成することもできます。

.odc ファイルを管理する

データ接続ライブラリは .odc ファイルのコレクションのリポジトリを提供します。管理者は、データ接続ライブラリと、常に接続ファイルを使用することをブックに要求する .odc ファイルを作成することで、サーバーのデータ接続を管理できます。データ接続ライブラリからの接続を直接使用するブックは、最新の接続情報を取得してからデータ ソースに接続する必要があります。

データ ソース情報 (たとえばサーバー名) が変更された場合は、データ接続ライブラリの 1 つの .odc ファイルを更新するだけで、その .odc ファイルを使用するすべてのブックが次の更新時に自動的に更新されます。また、表示のみの権限を使用して .odc ファイルへのアクセスを制限することもできます。

ユーザー定義関数アセンブリ

Excel Calculation Services の機能を拡張するユーザー定義関数を含むブックが展開シナリオに含まれている場合は、ユーザー定義関数をサポートするように Excel Services アプリケーションを構成する必要があります。

このサポートを構成するには、ユーザー定義関数へのアクセスを必要とするブックを格納する信頼できるファイル保存場所で、ユーザー定義関数を有効にする必要があります。さらに、Excel Services アプリケーションのユーザー定義関数アセンブリ リストにユーザー定義関数アセンブリを登録する必要があります。ユーザー定義関数を有効にする方法の詳細については、「Excel Services の認証を管理する (SharePoint Server 2010) (現在不使用)」を参照してください。