Планирование проверки подлинности и авторизации PowerPivot
Развертывание PowerPivot для SharePoint, работающее в пределах фермы SharePoin 2010, использует подсистему проверки подлинности и модель авторизации, предоставляемые серверами SharePoint. Инфраструктура безопасности SharePoint распространяется на содержимое и операции PowerPivot, поскольку все содержимое PowerPivot хранится в базах данных содержимого SharePoint, а обработка выполняется общими службами PowerPivot на ферме. Перед запросом книги, содержащей данные PowerPivot, пользователь должен пройти проверку подлинности при помощи удостоверения пользователя SharePoint, которое основано на учетных данных пользователя Windows. Разрешения на просмотр книги определяют, возможно ли выполнение запроса.
На всех уровнях доступа к обработке данных PowerPivot и к службам PowerPivot используется исключительно авторизация SharePoint. Для данных PowerPivot, визуализация которых производится с помощью книги Excel, отсутствует авторизация на уровне строк книги, которая обеспечивает детализацию доступа к строкам и таблицам. Невозможна частичная защита книги, позволяющая предоставлять или запрещать доступ отдельных пользователей к конфиденциальным данным, содержащимся в книге. Модель безопасности служб Analysis Services на основе ролей нельзя применять для защиты данных PowerPivot в книге Excel. Внедренные данные PowerPivot в полном объеме доступны пользователям, имеющим разрешения на просмотр книг Excel в библиотеке SharePoint.
Поскольку интеграция со службами Excel Services необходима для анализа данных в режиме самообслуживания, для овладения основами безопасности сервера PowerPivot необходимо знание основ безопасности служб Excel. Когда пользователь запрашивает сводную таблицу, имеющую подключение к данным PowerPivot, службы Excel перенаправляют запрос подключения к данным на сервер PowerPivot на ферме для загрузки данных. Такое взаимодействие между серверами требует навыков настройки параметров безопасности, подходящих для обоих серверов.
Перейдите по одной из следующих ссылок к соответствующему подразделу:
Поставщики проверки подлинности, поддерживаемые PowerPivot для SharePoint
Авторизация пользователей
Разрешения SharePoint
Использование безопасности служб Excel с книгами PowerPivot
Поставщики проверки подлинности, поддерживаемые PowerPivot для SharePoint
PowerPivot для SharePoint поддерживается в веб-приложениях SharePoint с настроенной проверкой подлинности Windows. Проверка подлинности Windows необходима для подключения к данным, которые обрабатываются веб-службой PowerPivot (в частности, для запросов, которые поступают из приложений, работающих за пределами фермы). Это требование гарантирует, что токен безопасности Windows пользователя правильно переносится из клиентского приложения в веб-приложение для последующего использования веб-службой PowerPivot.
.gif "Примечание") Примечание |
|---|
Дополнительные сведения о возможных типах соединений, обрабатываемых веб-службой, см. в разделе Веб-служба PowerPivot (PowerPivot для SharePoint). |
Хотя проверка подлинности Windows не требуется в более общем сценарии доступа к данным (где данные PowerPivot извлекаются из книги Excel, которая подготавливает их), не пытайтесь использовать PowerPivot для SharePoint с веб-приложениями SharePoint, настроенными для использования других поставщиков проверки подлинности. Подобные действия приведут к сбою соединения при каждой попытке пользователя подключиться к книге PowerPivot как к внешнему источнику данных.
Проверка поставщика проверки подлинности для приложения
Проверяя, настроена ли в существующих веб-приложениях проверка подлинности Windows, следуйте приведенным ниже инструкциям. При создании новых веб-приложений следует обязательно выбирать параметр Классический режим проверки подлинности на странице «Создание нового веб-приложения».
В разделе «Управление приложениями» центра администрирования выберите Управление веб-приложениями.
Выберите веб-приложение.
Нажмите кнопку Поставщики проверки подлинности.
Проверьте, что для каждой зоны есть только один поставщик, а для зоны, используемой по умолчанию, поставщиком проверки подлинности является Windows.
Основные сведения о требовании к учетной записи домена
В рабочей среде использование учетных записей пользователя или группы домена Windows является обязательным. Учетные записи должны являться учетными записями домена. На рабочих серверах нельзя использовать учетные записи пользователя или группы Windows локального компьютера.
Учитывая требования учетной записи домена, сервер SharePoint должен постоянно иметь сетевое подключение к контроллеру домена. Данное требование является обязательным, так как служба Claims to Windows Token выполняет проверку подлинности каждого запроса с помощью удостоверения пользователя домена Windows (она не выполняет проверку подлинности локальных учетных записей). Проверка подлинности выполняется для каждого соединения. Служба Claims to Windows Service не использует кэшированные учетные данные.
Обратите внимание, что запросы от клиентского приложения к серверу должны входить в один домен или в домены с двусторонними отношениями доверия. Для обновления данных на сервере одностороннего отношения доверия недостаточно.
| Примечание |
|---|
Чтобы проверить функции и работу SharePoint 2010 в изолированной среде, отключенной от корпоративной сети, можно развернуть SharePoint 2010, службы Excel и PowerPivot для SharePoint на виртуальной машине Hyper-V. Дополнительные сведения см. в статье Развертывание отдельного сервера в изолированной среде Hyper-V на веб-сайте TechNet. |
Авторизация пользователей
Для некоторых типов запросов удостоверение пользователя SharePoint, запрашивающего книгу, проверяется экземплярами службы PowerPivot для проверки разрешений, обеспечения точности ведения журнала и составления статистики использования. Серверные компоненты PowerPivot используют удостоверение пользователя SharePoint в следующих случаях.
Запросы к сводным таблицам и сводным диаграммам, которые имеют подключения к источникам данных PowerPivot, если приложение службы PowerPivot устанавливает соединения от имени пользователя с определенным экземпляром службы PowerPivot, обрабатывающим данные.
Загрузка данных PowerPivot из кэша или библиотеки, если данные не доступны другими способами. Если запрос подключения к данным выполняется для данных PowerPivot, которые еще не загружены в систему, то экземпляр Служба Analysis Services будет использовать удостоверение Windows для пользователя SharePoint, чтобы получить источник данных из библиотеки содержимого и загрузить его в память.
Операции обновления данных, которые сохраняют обновленную копию источника данных в книге в библиотеке содержимого. В этом случае фактическая операция входа выполняется с использованием имени пользователя и пароля, полученных из целевого приложения в службе Secure Store. Учетные данные могут представлять учетную запись автоматического обновления данных или учетные данные, сохраненные вместе с расписанием обновления данных во время создания. Дополнительные сведения см. в разделе Настройка и использование сохраненных учетных данных для обновления данных PowerPivot.
Разрешения SharePoint
Чтобы в полной мере использовать возможности совместной работы с книгой PowerPivot, необходимо опубликовать книгу в библиотеке SharePoint. Только после публикации книги на сервере SharePoint можно будет воспользоваться всеми преимуществами быстрой обработки на стороне сервера экземплярами служб PowerPivot на серверной ферме серверов, координируемости и масштабируемости соединений, функций управления документами и административных представлений для отслеживания использования конкретных книг.
Публикация, обеспечение безопасности книги PowerPivot и управление ею поддерживаются только через интеграцию с SharePoint. Серверы SharePoint обеспечивают проверку подлинности и модели авторизации для защиты доступа к данным. Не существует поддерживаемых сценариев для безопасного развертывания книги PowerPivot за пределами фермы SharePoint.
Пользователь производит доступ к источнику данным на сервере в режиме «только для чтения», но имеет возможность загрузить файл для работы с приложением Excel для настольных компьютеров. Разрешения уровня «Участие» для файла определяют, может ли пользователь изменять файл локально. Сами по себе уровни «Участие» и «Только просмотр» определяют эффективный набор разрешений для доступа пользователя к данным PowerPivot. Другие уровни разрешений тоже будут работать в той степени, в какой им предоставлены те же разрешения, что и для уровней «Участие» и «Только просмотр» (например, поскольку уровень «Чтение» включает разрешения уровня «Только просмотр», пользователь с уровнем «Чтение» будет иметь тот же уровень доступа, что и пользователь с уровнем «Только просмотр»).
В следующей таблице обобщены сведения по уровням разрешений, которые определяют доступ к данным PowerPivot и операциям сервера отчетов.
Уровень разрешений |
Разрешает следующие задачи |
|---|---|
Администратор фермы или службы |
Установка, включение и настройка служб и приложений. Использование панели мониторинга PowerPivot и просмотр административных отчетов. |
Полный доступ |
Активация интеграции функции PowerPivot на уровне семейств веб-сайтов. Активация справки в Интернете. Создание библиотеки галереи PowerPivot. Создание библиотеки веб-каналов данных. |
Участие |
Добавление, изменение, удаление и загрузка книг PowerPivot. Настройка обновления данных. Создание новых отчетов или книг на основе книг PowerPivot, расположенных на сайте SharePoint. Создание сервисных документов данных в библиотеке веб-каналов данных. |
Только просмотр |
Просмотр книг PowerPivot. Просмотр журнала обновления данных. Подключение локальной книги к книге PowerPivot на сайте SharePoint для повторного использования ее данных в других целях. Загрузите моментальный снимок книги. Моментальный снимок является статической копией данных, без срезов, фильтров, формул или подключений к данным. Содержимое моментального снимка аналогично копии значений ячеек из окна браузера. |
Использование безопасности служб Excel с книгами PowerPivot
Обработка на сервере PowerPivot тесно связана со службами Excel. Глубокая интеграция начинается на уровне документов. Книга PowerPivot представляет собой книгу Excel (XLSX), которая содержит или ссылается на данные PowerPivot. Для данных PowerPivot отдельного расширения файла не существует. Данные хранятся внутри книги или могут иметь ссылки из другой книги. При открытии книги PowerPivot на сайте SharePoint, службы Excel выполняют, считывают внедренную строку подключения к данным PowerPivot и передают запрос локальному поставщику данных OLE DB для служб SQL Server 2008 R2 Analysis Services. Затем этот поставщик передает сведения о соединении серверу PowerPivot в ферме. Для беспрепятственного обмена запросами между двумя серверами службы Excel должны быть настроены с параметрами, требуемыми PowerPivot для SharePoint.
В службах Excel параметры конфигурации, связанные с безопасностью, указываются в надежных расположениях, у надежных поставщиков данных и в надежных библиотеках подключения к данным. В приведенной ниже таблице описаны параметры, включающие или улучшающие доступ к данным PowerPivot. Параметры, отсутствующие в этом перечне, не влияют на серверные подключения PowerPivot. Пошаговые инструкции по настройке этих параметров см. в разделе «Включение служб Excel» документа установить PowerPivot для SharePoint на существующий сервер SharePoint.
| Примечание |
|---|
Большинство параметров безопасности применяется к надежным расположениям. Если необходимо сохранить значения по умолчанию или использовать различные значения для различных сайтов, можно создать дополнительное надежное расположение для сайтов, которые содержат данные PowerPivot, а затем настроить следующие параметры только для этих сайтов. Дополнительные сведения см. в разделе Создание надежного расположения для сайтов PowerPivot. |
Область |
Параметр |
Описание |
|---|---|---|
Веб-приложение |
Поставщик проверки подлинности Windows |
PowerPivot преобразует токен утверждений, получаемый от служб Excel, в удостоверение пользователя Windows. Каждое веб-приложение, которое использует службы Excel в качестве ресурса, должно быть настроено для использования поставщика проверки подлинности Windows. |
Надежное расположение |
Тип расположения |
Это значение должно быть равно Microsoft SharePoint Foundation. Серверы PowerPivot получают копию XLSX-файла и загружают ее на сервер служб Analysis Services в ферме. Этот сервер может получить XLSX-файл только из библиотеки содержимого. |
Разрешить внешние данные |
Это значение должно быть установлено равным Надежные библиотеки подключений к данным и внедренные. Подключения к данным PowerPivot внедряются в книгу. Если запретить внедренные соединения, то пользователи смогут просматривать кэш сводных таблиц, но не смогут взаимодействовать с данными PowerPivot. |
|
Предупреждать при обновлении |
Этот параметр должен быть отключен, если галерея PowerPivot используется для хранения книг и отчетов. Галерея PowerPivot имеет функцию предварительного просмотра документов, которая работает лучше, если отключены оба предупреждения на открытие и обновление. |
|
Надежные поставщики данных |
MSOLAP.4 |
MSOLAP.4 включен по умолчанию. Не удаляйте его из списка надежных поставщиков данных. Данная версия поставщика OLE DB обрабатывает запросы к данным PowerPivot в ферме SharePoint. |
Надежные библиотеки подключений к данным |
(Необязательный аргумент) |
Можно использовать файлы подключения к данным Office (ODC), хранящиеся в книгах PowerPivot. Если сведения о соединении с локальными книгами PowerPivot поставляются из ODC-файла, то эти же ODC-файлы можно добавить в данную библиотеку. |
Определяемая пользователем сборка функций |
Неприменимо. |
Серверы PowerPivot не доступны пользовательским сборкам функций, развернутым для служб Excel. |
См. также