Проверка подлинности данных для Excel Online в Office Online Server
Сводка Узнайте, как Excel Online поддерживает подключения с SQL Server Analysis Services (SSAS), SQL Server базами данных, а также источниками данных OLE DB и ODBC.
Для извлечения данных из источника пользователь должен пройти проверку подлинности в этом источнике, а затем авторизацию для доступа к содержащимся там данным. В случае с книгой Excel Online выполняет проверку подлинности в источнике данных от имени пользователя, просматривающего ее, чтобы обновить данные, к которым подключена книга.
Какой метод проверки подлинности Excel Online может использовать для получения данных, зависит от типа базового источника данных, как описано в следующей таблице. Если источник данных поддерживает несколько методов проверки подлинности, при подключении к данным должно быть указано, какой из этих методов следует использовать.
Источники данных и методы проверки подлинности для Excel Online
| Источник данных | Метод проверки подлинности |
|---|---|
| Службы Analysis Services |
проверка подлинности Windows (интегрированная система безопасности) с использованием ограниченного делегирования Kerberos с использованием службы Secure Store с использованием свойства строки подключения EffectiveUserName |
| SQL Server |
Один из следующих методов: проверка подлинности Windows (интегрированная система безопасности) с использованием ограниченного делегирования Kerberos с использованием службы Secure Store Проверка подлинности SQL Server |
| Настраиваемые поставщики данных |
Зависит от источника данных, обычно используется комбинация имени пользователя и пароля, хранящаяся в строке подключения. |
Следующие источники данных поддерживаются в Excel, но не поддерживаются в Excel Online:
Базы данных Access
Веб-контент
Данные XML
Microsoft Azure Marketplace
Текстовые файлы
Подключение к внешним данным с помощью Excel Online
Excel Online может подключаться к различным внешним источникам данных, включая SQL Server, службы Analysis Services и пользовательские поставщики данных OLE DB/ODBC. Для подключения к источнику данных Excel Online использует определенный поставщик данных для каждого источника данных.
Для подключения к источнику данных SQL Server может использоваться один из следующих методов:
Проверка подлинности Windows
Проверка подлинности SQL Server
Подключение к источнику данных службы аналитики выполняется с помощью проверки подлинности Windows
Для других источников данных используется строка подключения, обычно состоящая из имени пользователя и пароля.
Подключения к данным для книг Excel Online
Книги Excel Online используют один из двух типов подключений:
Внедренные подключения
Связанные подключения
Внедренные подключения хранятся как часть книги Excel. Связанные подключения хранятся вне книги в виде файлов подключения к данным Office (ODC-файлов). Чтобы использовать связанное подключение, книга должна ссылаться на ODC-файл, который также хранится в той же ферме SharePoint Server, что и книга. Каждое подключение данных состоит из следующих элементов:
Строка подключения
Строка запроса
Метод проверки подлинности
Метаданные для извлечения внешних данных (необязательный компонент)
Каждый вид подключения имеет свои преимущества и недостатки, которые мы здесь обсудим. Выбирайте тот вид, который оптимально подходит конкретному сценарию его использования.
Сравнение подключений к данным для Excel Online
| Тип подключения | Внедренные подключения | ODC-файлы |
|---|---|---|
| Преимущества |
Все сведения о подключении хранятся в книге. Поддержка внедренных подключений требует меньше административной работы. Внедренные подключения легко создавать. |
Связанные подключения можно централизованно хранить, управлять, проводить аудит, предоставлять общий доступ, а доступ к ним можно контролировать с помощью библиотеки документов SharePoint. Авторы книги могут использовать существующие подключения, не создавая запросы и строки подключения. Если сведения о подключении к какому-либо источнику данных изменятся, администратору достаточно будет лишь обновить один ODC-файл. После такого изменения все книги, содержащие ссылки на этот ODC-файл, при следующем обновлении будут использовать исправленные данные о подключении. (Такая ситуация может возникнуть, например, при перемещении сервера базы данных или изменении имени базы данных.) |
| Недостатки |
Если сведения о подключении к источнику данных изменяются, необходимо заново опубликовать все книги с внедренными подключениями к этому источнику, используя обновленные данные о подключении. Аудит внедренных подключений к данным представляет собой довольно сложную задачу для администраторов SharePoint. |
Для управления связанными подключениями, предоставления к ним общего доступа и обеспечения безопасности может потребоваться помощь администратора SharePoint. Сведения о связанных подключениях сохраняются открытым текстом и могут содержать пароли баз данных. В целях безопасности при работе с такими файлами следует соблюдать крайнюю осторожность. Требуется проверка подлинности между Office Online Server и SharePoint Server. Это добавляет дополнительные расходы на настройку и администрирование. |
Связанное подключение к данным через ODC-файл рекомендуется выбирать в ситуациях, требующих подключения к источнику данных масштаба предприятия, такому как SQL Server или службы аналитики. Связанные подключения наиболее целесообразны в сценариях, предполагающих их совместное использование множеством пользователей под контролем администратора.
Внедренное подключение рекомендуется выбирать в ситуациях, когда требуется подключение к данным, которое не будет широко использоваться.
ODC-файлы могут быть централизованы в библиотеке подключения к данным. Это имеет ряд преимуществ:
Администраторы могут ограничивать доступ для записи в эту библиотеку, разрешая его лишь доверенным создателям подключений, чтобы авторы книг использовали только безопасные, тщательно проверенные подключения.
Администраторы получают в свое распоряжение единый центр управления подключениями к данным для большой группы пользователей.
Администраторы могут легко утверждать, выполнять аудит и отменять файлы подключений к данным, а также управлять ими, используя средства управления версиями и рабочие процессы в библиотеке документов.
Библиотеки подключения к данным можно повторно использовать в других приложениях Office, таких как Visio и службы Visio.
Авторы книг могут искать подключения к данным книг только в одном месте, что обеспечивает более строгий порядок и снижает потребность в обучении пользователей.
Проверка подлинности Windows
проверка подлинности Windows требуется, чтобы Excel Online предъявил источнику данных набор учетных данных Windows. Такие учетные данные часто используются в сетях Windows, например для входа на компьютеры в домене Windows. Учетные данные Windows считаются наиболее защищенным и гибко управляемым средством контроля доступа к базам данных SQL Server. Однако одним из препятствий для использования проверка подлинности Windows в Excel Online является мера безопасности windows double hop, при которой учетные данные пользователя не могут быть переданы на нескольких компьютерах в сети Windows. Учитывая, что Excel Online, используемый с SharePoint Server, является многоуровневой системой, для получения данных от имени конечного пользователя Excel Online требуются специальные методы проверки подлинности.
Выбор метода проверки подлинности зависит от различных факторов, которые описаны в следующей таблице. Выбирайте метод, который оптимально подходит конкретному сценарию его использования.
Сравнение методов проверки подлинности
| Метод проверки подлинности | Делегирование Kerberos | Служба Secure Store | Действующее имя пользователя |
|---|---|---|---|
| Описание |
При ограниченном делегировании Kerberos учетные данные Windows средства просмотра книг отправляются непосредственно в источник данных. |
При использовании службы Secure Store учетные данные пользователя Windows, просматривающего книгу, сопоставляются с другим набором учетных данных, указанным в конечном приложении Secure Store. |
Используя глобальный параметр EffectiveUserName, имя пользователя домена передается источникам данных службы аналитики. |
| Учетные данные для подключений к данным |
Учетные данные пользователя Windows, просматривающего книгу. |
Учетные данные, указанные в конечном приложении Secure Store. |
Учетные данные Office Online Server удостоверения процесса. |
| Преимущества |
Протокол Kerberos является отраслевым стандартом в области управления учетными данными. Kerberos привязан к существующей инфраструктуре Active Directory. Делегирование Kerberos позволяет вести аудит отдельных операций доступа к источнику данных. Если удостоверение пользователя, просматривающего книгу, известно, авторы книг могут внедрять в книги персонализированные запросы к базам данных. |
Служба Secure Store является составной частью SharePoint Server, и ее проще настраивать, чем Kerberos. Сопоставления отличаются гибкостью: пользователь может быть сопоставлен по схеме "один к одному" или "многие к одному". Для подключения к источникам данных, не принимающим учетные данные Windows, можно использовать учетные данные других систем. Сопоставления, созданные для Excel Online, могут повторно использоваться другими приложениями бизнес-аналитики, такими как службы Visio. |
Безопасность данных определяется для пользователя и не требует настройки делегирования Kerberos. Минимальная настройка и затраты времени администратора. |
| Недостатки |
Дополнительные административные усилия, необходимые для настройки SharePoint Server и Excel Online. |
Определение таблиц сопоставления и управление ими требуют участия администратора. Secure Store разрешает ограниченный аудит. В сценарии "многие к 1" отдельные входящие пользователи сопоставляются с одними и теми же учетными данными через целевое приложение, эффективно смешивая их в одном пользователе. |
Работает только с источниками данных службы аналитики. |
| Условия успеха проверки подлинности |
Делегирование Kerberos необходимо настроить на Office Online Server. |
Служба Secure Store должна быть подготовлена и настроена в ферме SharePoint Server. В ней также должны содержаться необходимые сведения о сопоставлении для конкретного входящего пользователя. Кроме того, сведения о сопоставлении могут потребоваться при регулярном обновлении для отражения изменений в паролях сопоставляемой учетной записи. |
Параметр EffectiveUserName должен быть включен в Office Online Server. Пользователь должен быть участником соответствующей роли службы аналитики. |
Делегирование Kerberos
Выбирайте делегирование Kerberos для быстрой и безопасной проверки подлинности при доступе к реляционным источникам данных масштаба предприятия, поддерживающим проверку подлинности Windows. Если вы планируете настроить ограниченное делегирование Kerberos, следующие требования относятся к использованию ограниченного делегирования Kerberos с Excel Online в Office Online Server:
Утверждения к службе маркеров Windows должны выполняться на каждом сервере фермы Office Online Server и запускаться как локальная система.
Каждому серверу в ферме Office Online Server должно быть разрешено делегировать каждому внутреннему источнику данных, как показано в списке доменные службы Active Directory делегирования.
Файл c2wtshost.exe.config (расположенный по адресу \Program Files\Windows Identity Foundation\v3.5) должен быть обновлен, а теги комментариев удалены из списка NT AUTHORITY\Network Service allowedCallers:
<allowedCallers> <clear/> <add value="NT AUTHORITY\\Network Service" /> <!-- <add value="NT AUTHORITY\\Local Service" /> --> <!-- <add value="NT AUTHORITY\\System" /> --> <!-- <add value="NT AUTHORITY\\Authenticated Users" /> --> </allowedCallers>
Служба Secure Store
Выберите Безопасное хранилище для проверки подлинности в реляционных источниках данных корпоративного уровня, которые могут поддерживать или не поддерживают проверку подлинности Windows. Службу Secure Store также целесообразно использовать в случаях, когда требуется контролировать сопоставления учетных данных пользователей.
Сведения об использовании Secure Store с Excel Online см. в следующем разделе:
Проверка подлинности SQL Server
SQL Server проверка подлинности требует, чтобы Excel Online предъявил SQL Server имя пользователя и пароль источнику данных SQL Server для проверки подлинности. Excel Online передает строка подключения источнику данных. Срока подключения должна содержать имя пользователя и пароль.
Если имя пользователя и пароль хранятся в целевом приложении Secure Store (рекомендуется для обеспечения оптимальной безопасности), Excel Online будет олицетворять учетную запись сетевой службы Office Online Server, а при подключении учетные данные SQL задаются как свойства подключения.
Проверка подлинности при доступе к источникам данных OLE DB/ODBC
Проверка подлинности в сторонних источниках данных обычно требует, чтобы Excel Online предъявил имя пользователя и пароль источнику данных.
Если имя пользователя и пароль хранятся в книге или в ODC-файле, Excel Online олицетворяет удостоверение Windows в зависимости от того, какой параметр был выбран для службы Excel параметров проверки подлинности, либо в книге, либо в ODC-файле.
Если имя пользователя и пароль хранятся в целевом приложении Secure Store (рекомендуется для обеспечения оптимальной безопасности), Excel Online олицетворяет учетную запись сетевой службы Office Online Server, а при подключении учетные данные SQL задаются в качестве свойств подключения.
Обновление данных в Excel Online
Excel Online поддерживает обновление книг, подключенных к одному или нескольким из следующих источников данных:
SQL Server
Службы SQL Server Analysis Services (SSAS)
Примечание.
Если планируется подключение к источнику данных, которого нет в этом списке выше, его поддержку можно добавить путем создания настраиваемого поставщика данных. Эта технология позволяет упаковать существующие источники данных в источники данных, которые могут использоваться Excel Online.
Обновление внешних данных является результатом выполнения следующего набора действий в Excel Online.
Создание книги: Автор книги отправляет книгу, подключенную к данным, в SharePoint Server.
Запуск обновления: пользователь, просматривающий книгу, запускает обновление в книге, подключенной к данным.
Connections данных. Excel Online получает сведения о подключении к данным для каждого внешнего источника данных в книге.
Доверенные поставщики данных: Excel Online проверяет наличие доверенного поставщика данных, который может использовать для получения данных.
Проверки подлинности: Excel Online выполняет проверку подлинности в источнике данных и извлекает запрошенные данные от имени средства просмотра книг.
Обновление книги: Excel Online обновляет книгу на основе данных источника данных и возвращает ее средству просмотра.
Обновление может быть запущено из браузера следующими способами:
Конечный пользователь открывает книгу (если книга настроена на обновление при ее открытии).
Конечный пользователь нажимает кнопку обновления в уже открытой книге.
Если в кэше нет ранее записанных версий этой книги, любое из указанных действий может инициировать обновление книги.
См. также
Настройка служб Analysis Services и ограниченного делегирования Kerberos (KCD)