Planen externer Datenverbindungen für Excel Services

Inhalt dieses Artikels:

• Informationen zu Excel Services-Verbindungen mit externen Daten

• Verbindungen und Excel-Arbeitsmappen

• Datenprovider

• Authentifizierung bei externen Daten

• Datenverbindungsbibliotheken und verwaltete Verbindungen

• Excel Services-Sicherheit und externe Daten

• Schrittweise Serverkonfiguration für externe Daten

• Schrittweise Arbeitsmappenkonfiguration für externe Daten

• Häufig gestellte Fragen

Wenn Sie Microsoft Office SharePoint Server 2007 so konfigurieren möchten, dass externe Daten in Arbeitsmappen, die in Excel Services in Microsoft Office SharePoint Server 2007 geladen sind, aktualisiert werden, müssen Sie zunächst die Beziehungen und Abhängigkeiten zwischen Microsoft Office SharePoint Server 2007 und Excel Services verstehen.

Die Anleitungen in diesem Artikel helfen Ihnen dabei, die Fehlermeldung Fehler bei der Datenaktualisierung zu beheben.

Informationen zu Excel Services-Verbindungen mit externen Daten

Dieser Artikel bietet Ihnen Hilfestellung bei der Konfiguration der folgenden Microsoft Office SharePoint Server 2007-Anwendungsserverkomponenten:

• Excel Services

• Einmaliges Anmelden (Single Sign-On, SSO)

• Microsoft Office SharePoint Server 2007

Dieser Artikel enthält zudem Hintergrundinformationen, die eine Übersicht über die Anwendungsserver und externen Datenkonzepte bieten, von denen einige speziell für Office Excel 2007 gelten. Diese Hintergrundinformationen enthalten wichtige Daten, mit denen Sie Excel Services erfolgreich einrichten können, um die Verwendung von externen Daten in Arbeitsmappen zu ermöglichen.

Darüber hinaus finden Sie in diesem Artikel eine Anleitung zum Konfigurieren von Office Excel 2007-Arbeitsmappen sowie Antworten auf häufig gestellte Fragen, einschließlich Fragen zu:

• Serversicherheit und externen Daten

• Verwalteten Datenverbindungen

Verbindungen und Excel-Arbeitsmappen

Jede Excel-Arbeitsmappe, die externe Daten verwendet, enthält eine Verbindung mit einer Datenquelle. Diese Verbindung umfasst alles, was zum Einrichten der Kommunikation mit einer externen Datenquelle und zum Abrufen von Daten aus dieser Datenquelle erforderlich ist. Dazu gehört Folgendes:

• Eine Verbindungszeichenfolge (eine Zeichenfolge, die angibt, mit welchem Server und auf welche Weise eine Verbindung hergestellt werden soll)

• Eine Abfrage (eine Zeichenfolge, die angibt, welche Daten abgerufen werden sollen)

• Alle anderen Informationen, die zum Abrufen der Daten erforderlich sind

Eingebettete und verknüpfte Verbindungen

Excel-Arbeitsmappen können eingebettete Verbindungen und verknüpfte Verbindungen enthalten. Eingebettete Verbindungen werden intern als Teil der Arbeitsmappe gespeichert. Verknüpfte Verbindungen werden als separate Dateien, auf die eine Arbeitsmappe verweisen kann, extern gespeichert.

Funktionell besteht kein Unterschied zwischen eingebetteten und verknüpften Verbindungen. Beide stellen alle erforderlichen Parameter für das Verbinden mit externen Daten bereit. Verknüpfte Verbindungsdateien können zentral gespeichert, gesichert, verwaltet und wiederverwendet werden. Sie sind häufig eine gute Wahl, wenn eine allgemeine Vorgehensweise zum Verbinden einer großen Gruppe von Benutzern mit externen Daten geplant werden soll. Weitere Informationen finden Sie unter Datenverbindungsbibliotheken und verwaltete Verbindungen.

Eine Arbeitsmappe kann für eine einzelne Verbindung sowohl eine eingebettete Kopie der Verbindungsinformationen als auch eine Verknüpfung zu einer externen Verbindungsdatei aufweisen. Die Verbindung kann so konfiguriert werden, dass stets eine externe Verbindungsdatei verwendet wird, um Daten aus einer externen Datenquelle zu aktualisieren. In diesem Beispiel kann die Arbeitsmappe keine Daten abrufen, wenn die externe Verbindungsdatei nicht aufgerufen oder keine Verbindung mit der Datenquelle hergestellt werden kann. Wenn die Verbindung nicht ausschließlich für die Verwendung einer externen Verbindungsdatei konfiguriert ist, wird von Excel versucht, die eingebettete Kopie einer Verbindung zu verwenden. Wenn dies nicht gelingt, wird versucht, mithilfe der Verbindungsdatei eine Verbindung mit der externen Datenquelle herzustellen. Die Möglichkeit anzugeben, dass nur Verbindungsdateien zum Herstellen einer Kommunikationsverbindung mit einer externen Datenquelle verwendet werden darf, ist ein neues Feature von 2007 Microsoft Office System und bietet Unterstützung für die verwalteten Verbindungsszenarien, die unter Datenverbindungsbibliotheken und verwaltete Verbindungen beschrieben werden.

In Excel Services können Verbindungen, die über eine externe Verbindungsdatei hergestellt werden, und Verbindungen, die in die Arbeitsmappen eingebettet sind, verwendet werden. Für externe Verbindungsdateien gibt es einige Einschränkungen. Weitere Informationen finden Sie unter Excel Services-Sicherheit und externe Daten. Wenn beide Arten von Verbindungen auf dem Server zulässig sind, entspricht das Verhalten von Excel dem im vorherigen Absatz beschriebenen Verhalten.

Für Sicherheitszwecke kann Excel Services so konfiguriert werden, dass nur Verbindungen aus Verbindungsdateien zulässig sind. In dieser Konfiguration werden für Arbeitsmappen, die auf dem Server geladen sind, alle eingebetteten Verbindungen ignoriert, und das Herstellen von Verbindungen wird nur versucht, wenn eine Verknüpfung zu einer gültigen Verbindungsdatei vorhanden ist, die vom Serveradministrator als vertrauenswürdig eingestuft wurde. Weitere Informationen finden Sie unter Vertrauenswürdige Datenverbindungsbibliotheken.

Hinweis

Es gibt viele Arten von Verbindungsdateien. Excel Services kann nur mit Office-Datenverbindungsdateien (ODC-Dateien) verwendet werden.

Datenprovider

Datenprovider sind Treiber, die von Clientanwendungen (z. B. Excel und Excel Services) verwendet werden, um Verbindungen mit bestimmten Datenquellen herzustellen. Beispielsweise wird ein spezieller MSOLAP-Datenprovider verwendet, um eine Verbindung mit Microsoft SQL Server 2005 Analysis Services herzustellen. Der Datenprovider wird als Teil der Verbindung in der Verbindungszeichenfolge angegeben. In Zusammenhang mit diesem Artikel müssen Sie nicht viel über Datenprovider wissen, Sie sollten jedoch Folgendes verstehen:

• Datenprovider sind normalerweise gründlich getestete, stabile Sätze von Bibliotheken, die zum Herstellen von Verbindungen mit externen Daten verwendet werden können.

• Alle von Excel Services verwendeten Datenprovider müssen vom Serveradministrator explizit als vertrauenswürdig eingestuft worden sein. Weitere Informationen zum Hinzufügen eines neuen Datenproviders zur Liste der vertrauenswürdigen Provider finden Sie unter Hinzufügen eines vertrauenswürdigen Datenproviders für Excel Services.

  Hinweis

  Standardmäßig gelten in Excel Services viele bekannte und stabil Datenprovider als vertrauenswürdig. In den meisten Fällen ist es nicht erforderlich, einen neuen Datenprovider hinzuzufügen. Datenprovider werden normalerweise für benutzerdefinierte Lösungen hinzugefügt.

• Datenprovider behandeln Abfragen, analysieren Verbindungszeichenfolgen und andere verbindungsspezifische Logik. Diese Funktionalität ist nicht Teil von Excel Services. Das Verhalten von Datenprovidern kann nicht durch Excel Services gesteuert werden.

Authentifizierung bei externen Daten

Datenserver erfordern, dass ein Benutzer authentifiziert wird. Die Authentifizierung besteht im Wesentlichen darin, dem Server mitzuteilen, wer Sie sind. Im nächsten Schritt erfolgt die Autorisierung. Die Autorisierung besteht im Wesentlichen darin, dem Server mitzuteilen, was Sie tun können. Die Authentifizierung ist erforderlich, damit der Datenserver die Autorisierung vornehmen oder Sicherheitseinschränkungen erzwingen kann, die verhindern, dass Daten unautorisierten Benutzern preisgegeben werden.

In Excel Services muss der Datenquelle mitgeteilt werden, wer die Daten anfordert. In den meisten Szenarien ist dies der Benutzer, der einen Excel-Bericht in einem Browser anzeigt. Im Wesentlichen hat dieser Artikel den Zweck, die Authentifizierung zwischen Excel Services und einer externen Datenquelle zu erläutern. Die Authentifizierung auf dieser Ebene wird im folgenden Diagramm dargestellt. Der Pfeil auf der rechten Seite kennzeichnet die Authentifizierungsverknüpfung auf einem Anwendungsserver unter Dienste für Excel-Berechnungen mit einer externen Datenquelle.

Es gibt viele Möglichkeiten zur Implementierung der Authentifizierung. Dieser Artikel konzentriert sich auf die drei Methoden, die für Excel Services relevant sind:

• Windows-Authentifizierung

• SSO

• Keine

In Excel Services wird der Typ der Authentifizierung auf Grundlage einer Verbindungseigenschaft bestimmt. Diese Eigenschaft muss explizit festgelegt werden und kann mithilfe des Office Excel 2007-Client festgelegt werden. Wenn der Authentifizierungstyp fehlt, wird die standardmäßige Windows-Authentifizierung versucht. Weitere Informationen finden Sie unter Festlegen der Serverauthentifizierung für eine vorhandene Verbindung.

Windows-Authentifizierung

Diese Methode verwendet Ihre Windows-Benutzeridentität zur Authentifizierung bei einer Datenquelle. Im Rahmen dieses Artikels müssen Sie den speziellen Mechanismus, den das Betriebssystem dazu verwendet (z. B. NTLM oder eingeschränkte Delegierung), nicht kennen. Viel wichtiger ist, dass Sie verstehen, dass die Windows-Authentifizierung als sicherste Möglichkeit für den Zugriff auf externe Daten gilt und bei Verwendung eines Excel-Clients zum Verbinden mit Datenquellen wie SQL Server 2005 Analysis Services in der Regel die Standardmethode für den externen Datenzugriff darstellt.

In den meisten Unternehmensumgebungen wird Excel Services als Teil einer Farm mit einem Front-End-Webserver, einem Back-End-Dienste für Excel-Berechnungen-Server und einer Datenquelle eingerichtet, die alle auf verschiedenen Computern ausgeführt werden, wie im Diagramm unter Authentifizierung bei externen Daten dargestellt ist. Dies bedeutet, dass eine Delegierung oder Kerberos (eingeschränkte Delegierung empfohlen) erforderlich ist, damit Datenverbindungen mit Windows-Authentifizierung möglich sind. Dies liegt daran, dass die Delegierung erforderlich ist, um sicherzustellen, dass Benutzeridentitäten auf vertrauenswürdige und sichere Weise von einem Computer zum anderen übertragen werden können. In einer Farmbereitstellung funktioniert diese Art von Verbindung auf Excel Services erst, nachdem Kerberos ordnungsgemäß konfiguriert wurde.

SSO

Bei SSO (Single Sign-On, einmaliges Anmelden) handelt es sich um eine zentrale Datenbank, die häufig zum Speichern von Anmeldeinformationen (Benutzer-ID mit zugehörigem Kennwort) verwendet wird, die von Anwendungen zur Authentifizierung bei anderen Anwendungen verwendet werden. In diesem Fall wird SSO von Excel Services zum Speichern und Abrufen von Anmeldeinformationen für die Authentifizierung bei externen Datenquellen verwendet.

Jeder SSO-Eintrag enthält eine Anwendungs-ID, nach der beim Abrufen des entsprechenden Anmeldeinformationensatzes gesucht werden kann. Für jede Anwendungs-ID können Berechtigungen erteilt werden, sodass nur bestimmte Benutzer oder Gruppen Zugriff auf die Anmeldeinformationen haben, die für diese Anwendung gespeichert sind.

Wenn in Excel Services eine Anwendungs-ID vorhanden ist, werden die Anmeldeinformationen im Namen des Benutzers, der auf die Arbeitsmappe zugreift (entweder über den Browser oder über Excel-Webdienste), aus der SSO-Datenbank abgerufen. Diese Anmeldeinformationen werden dann von Excel Services zur Authentifizierung bei der Datenquelle und zum Abrufen von Daten verwendet.

Hinweis

Die Anwendungs-ID muss für die Verbindung explizit festgelegt werden. Weitere Informationen zum Festlegen einer Anwendungs-ID finden Sie unter Festlegen der Serverauthentifizierung für eine vorhandene Verbindung.

Keine

Diese Authentifizierungsmethode bedeutet einfach, dass keine Anmeldeinformationen abgerufen werden sollen oder dass keine besondere Aktion zur Authentifizierung für die Verbindung ausgeführt wird. Beispielsweise sollten von Excel Services keine Anmeldeinformationen delegiert oder aus der SSO-Datenbank abgerufen werden. In diesen Fällen sollte von Excel Services nur die Verbindungszeichenfolge an den Datenprovider übergeben und die Authentifizierung dem Provider überlassen werden.

In der Praxis bedeutet dies, dass eine Verbindungszeichenfolge normalerweise einen Benutzernamen und ein Kennwort angibt, die zusammen zum Herstellen einer Verbindung mit der Datenquelle verwendet werden sollen. Die Verbindungszeichenfolge kann jedoch manchmal angeben, dass die integrierte Sicherheit verwendet werden soll. Dies bedeutet, dass die Windows-Identität des Benutzers oder Computers, der die Anforderung ausgibt, für die Verbindung mit der Datenquelle verwendet werden soll. In diesen Fällen wird die Verbindung mit der Datenquelle nicht als Excel Services, sondern als unbeaufsichtigtes Konto hergestellt. Weitere Informationen finden Sie unter Unbeaufsichtigtes Konto .

Datenverbindungsbibliotheken und verwaltete Verbindungen

Eine Datenverbindungsbibliothek ist ein neuer Listentyp, der in Microsoft Office SharePoint Server 2007 hinzugefügt wurde. Hierbei handelt es sich um eine SharePoint-Liste zum Speichern von Verbindungsdateien, die dann von 2007 Office System-Anwendungen wie Office Excel 2007 referenziert werden können.

Datenverbindungsbibliotheken bieten Kunden die Möglichkeit, Datenverbindungen zentral zu verwalten, zu schützen, zu speichern und wieder zu verwenden.

Wiederverwenden von Verbindungen

Da sich die Datenverbindungsbibliothek an einem bekannten Ort in Microsoft Office SharePoint Server 2007 befindet und Anzeigefirmennamen und Beschreibungen enthält, können Benutzer Verbindungen, die von anderen Personen erstellt oder konfiguriert wurden, wiederverwenden. Erfahrene Information Worker oder Datenexperten können Verbindungen erstellen, und andere Personen können diese wiederverwenden, ohne die Details über Datenprovider, Servernamen oder Authentifizierung zu kennen. Der Speicherort der Datenverbindungsbibliothek kann sogar in Office-Clients veröffentlicht werden, sodass die Datenverbindungen direkt in Excel oder in anderen Clientanwendungen angezeigt werden, die die Datenverbindungsbibliothek verwenden. Weitere Informationen finden Sie unter Erstellen einer Datenverbindungsbibliothek.

Verwalten von Verbindungen

Da Arbeitsmappen eine Verknüpfung zur Verbindungsdatei in der Datenverbindungsbibliothek enthalten, muss bei Änderungen an der Verbindung (z. B. bei Änderung des Servernamens oder der SSO-Anwendungs-ID) nur eine einzelne Verbindungsdatei aktualisiert werden und nicht gleich Hunderte von Arbeitsmappen. Die Arbeitsmappen übernehmen dann automatisch alle Änderungen, wenn sie die Verbindungsdatei das nächste Mal zur Datenaktualisierung in Excel oder Excel Services verwenden.

Schützen von Verbindungen

Die Datenverbindungsbibliothek ist eine SharePoint-Liste und unterstützt dieselben Berechtigungen wie Microsoft Office SharePoint Server 2007, einschließlich der Ordner- und Elementberechtigungen. Dies hat den Vorteil, dass eine Datenverbindungsbibliothek auf dem Server zu einem gesperrten Datenverbindungsspeicher werden kann, der streng überwacht werden kann. Viele Benutzer verfügen eventuell nur über Lesezugriff für die Datenverbindungsbibliothek, sodass Sie zwar die Datenverbindungen verwenden, aber keine neuen Verbindungen hinzufügen können. Durch die Verwendung von Zugriffssteuerungslisten (Access Control List, ACL) in Verbindung mit der Datenverbindungsbibliothek und die Beschränkung der Berechtigungen zum Hochladen von Verbindungen auf vertrauenswürdige Autoren wird die Datenverbindungsbibliothek zu einem Speicher für vertrauenswürdige Verbindungen. Vertrauenswürdige Verbindungen sind Verbindungen, die bekanntermaßen keine böswilligen Abfragen enthalten.

Excel Services kann so konfiguriert werden, dass nur Verbindungsdateien aus Datenverbindungsbibliotheken geladen werden, die vom Serveradministrator explizit als vertrauenswürdig eingestuft wurden, und dass das Laden eingebetteter Verbindungen blockiert wird. In dieser Konfiguration wird die Datenverbindungsbibliothek von Excel Services verwendet, um Datenverbindungen noch sicherer zu machen.

Datenverbindungsbibliotheken können auch in Verbindung mit der neuen Viewer-Rolle in Microsoft Office SharePoint Server 2007 verwendet werden, die es ermöglicht, dass diese Verbindungen Arbeitsmappen aktualisieren, die auf Excel Services geladen sind. Wenn die Viewer-Rolle angewendet wird, können die Benutzer über eine Clientanwendung wie Excel nicht auf die Verbindungsdateiinhalte zugreifen. Dadurch ist der Inhalt der Verbindungsdatei geschützt, während die Datei weiterhin zur Aktualisierung von Arbeitsmappen auf dem Server verwendet werden kann.

Excel Services-Sicherheit und externe Daten

Excel Services verfügt über zahlreiche Sicherheitsebenen. Die folgenden Unterabschnitte behandeln nur jene Konzepte, die direkt für den Zugriff auf externe Daten relevant sind.

Vertrauenswürdige Dateispeicherorte

In Excel Services werden nur Arbeitsmappen aus vertrauenswürdigen Dateispeicherorten geladen. Ein vertrauenswürdiger Dateispeicherort ist im Wesentlichen ein Verzeichnis (möglicherweise einschließlich aller Unterverzeichnisse), das vom Administrator explizit für das Laden von Arbeitsmappen zugelassen wurde. Diese Verzeichnisse werden in Excel Services einer internen Liste hinzugefügt. Diese Liste wird als Liste der vertrauenswürdigen Dateispeicherorte bezeichnet.

Vertrauenswürdige Speicherorte können eine Reihe von Einschränkungen für die Arbeitsmappen festlegen, die aus ihnen geladen werden. Für alle Arbeitsmappen, die aus einem vertrauenswürdigen Speicherort geladen werden, gelten auch die Einstellungen, die für diesen vertrauenswürdigen Speicherort gelten. Hier ist eine kurze Liste der Einstellungen vertrauenswürdiger Speicherorte, die externe Daten beeinflussen:

• Wie auf externe Daten zugegriffen werden kann. Zu diesen Optionen gehören Folgende:

  • Kein Datenzugriff zulässig (Standard).

  • Es dürfen nur Verbindungsdateien in einer Microsoft Office SharePoint Server 2007-Datenverbindungsbibliothek verwendet werden.

  • In Arbeitsmappen eingebettete Verbindungen sind zusätzlich zu Verbindungsdateien aus einer Datenverbindungsbibliothek zulässig.

• Sollen bei Abfrageaktualisierungen Warnungen angezeigt werden?

• Ob beim Laden der Arbeitsmappe ein Fehler gemeldet wird, wenn externe Daten beim Öffnen der Arbeitsmappe nicht aktualisiert werden. Dies wird in Szenarien verwendet, in denen die Arbeitsmappe Datenergebnisse zwischengespeichert hat, die sich je nach Identität des Benutzers, der die Arbeitsmappe anzeigt, ändern. Das Ziel besteht darin, diese zwischengespeicherten Ergebnisse auszublenden und sicherzustellen, dass jeder Benutzer, der die Arbeitsmappe anzeigt, nur jene Daten zu sehen bekommt, die für ihn bestimmt sind. In diesem Fall versucht die Arbeitsmappe, die Daten beim Öffnen zu aktualisieren. Sie können für jede Verbindung festlegen, dass die Daten beim Öffnen aktualisiert werden. Wenn bei der Aktualisierung ein Fehler auftritt, wird die Arbeitsmappe Benutzern, die sie nicht im Excel-Client öffnen können, nicht angezeigt.

  Hinweis

  Dies ist nur möglich, wenn die Arbeitsmappe durch die Berechtigungen der Viewer-Rolle in Microsoft Office SharePoint Server 2007 gesperrt ist, da ein Benutzer, der die Arbeitsmappe direkt in Excel öffnen kann, immer die zwischengespeicherten Datenergebnisse sehen kann.

• Ablaufzeitpunkt für externe Daten im Zwischenspeicher. Zur Verbesserung der Skalierung und der Leistung werden Daten auf dem Server von vielen Benutzern gemeinsam verwendet. Die Lebensdauer dieser Daten im Zwischenspeicher kann angepasst werden. Dadurch werden Szenarien ermöglicht, in denen die Abfrageausführung auf ein Minimum beschränkt werden wird, da die Abfrage lange dauern kann. In diesen Szenarien ändern sich die Daten oft nur täglich, wöchentlich oder monatlich im Gegensatz zu anderen Szenarien mit Änderungen im Minuten- oder Stundentakt.

Vertrauenswürdige Datenverbindungsbibliotheken

Wie bei Arbeitsmappendateien werden von Excel Services nur Verbindungsdateien aus vertrauenswürdigen Datenverbindungsbibliotheken von Microsoft Office SharePoint Server 2007 geladen. Eine vertrauenswürdige Datenverbindungsbibliothek ist eine Bibliothek, die der Serveradministrator explizit einer internen vertrauenswürdigen Liste hinzugefügt hat. Informationen darüber, wie Datenverbindungsbibliotheken es einem Administrator ermöglichen, Verbindungsdateien zu schützen und zu verwalten, finden Sie unter Datenverbindungsbibliotheken und verwaltete Verbindungen. Informationen darüber, wie Sie eine Datenverbindungsbibliothek für die Verwendung mit Excel Services als vertrauenswürdig einstufen, finden Sie unter Vertrauen in eine Datenverbindungsbibliothek in Excel Services.

Vertrauenswürdige Datenanbieter

Von Excel Services werden nur externe Datenprovider verwendet, die einer internen Liste vertrauenswürdiger Anbietern hinzugefügt wurden. Dies ist ein Sicherheitsmechanismus, mit dem verhindert wird, dass der Server Anbieter verwendet, denen der Administrator nicht vertraut. Informationen zum Vertrauen eines Datenproviders finden Sie unter Hinzufügen eines vertrauenswürdigen Datenproviders für Excel Services.

Unbeaufsichtigtes Konto

Das unbeaufsichtigte Konto ist ein spezielles Konto, das jedes Mal von Excel Services imitiert wird, wenn versucht wird, eine Datenquelle zu authentifizieren, die nicht die integrierte Windows-Authentifizierung verwendet. Da Excel Services keine Kontrolle über den Datenprovider hat und providerspezifische Verbindungszeichenfolgen nicht direkt analysiert, muss er die Sicherheitsbedrohungen verringern, wobei die Identität von Excel Services selbst zum Herstellen einer Verbindung mit einer Datenquelle verwendet werden kann. Das unbeaufsichtigte Konto dient dazu, solche Bedrohungen einzudämmen.

Excel Services wird häufig unter einem Konto mit hohen Berechtigungen ausgeführt, und diese Berechtigungsstufe ist nicht für Endbenutzer geeignet, die nur Daten anzeigen möchten. Wenn die externe Datenauthentifizierung entweder auf Keine oder auf SSO festgelegt ist und die SSO-Anwendungs-ID keine Windows-Anmeldeinformationen speichert, wird das unbeaufsichtigte Konto imitiert, bevor eine Verbindung mit den Daten hergestellt wird. Da nicht erwartet wird, dass das unbeaufsichtigte Konto über Berechtigungen für die Datenquelle verfügt, werden dadurch versehentliche oder böswillige Verbindungen mit den Datenquellen im Kontext eines berechtigten Kontos vermieden.

Wenn das unbeaufsichtigte Konto Zugriff auf die Datenquelle hat (wenn der Authentifizierungstyp auf Keine festgelegt ist), wird mithilfe der Anmeldeinformationen des unbeaufsichtigten Dienstkontos eine Verbindung hergestellt. Gehen Sie beim Entwerfen von Lösungen, die dieses Konto absichtlich zum Herstellen von Verbindungen mit Daten verwenden, vorsichtig vor. Dies ist ein einzelnes Konto, das potenziell von jeder Arbeitsmappe auf dem Server verwendet werden kann. Jeder Benutzer, der eine Arbeitsmappe in Excel Services lädt und den Authentifizierungstyp auf Keine festlegt, kann diese Daten mithilfe des Servers anzeigen. In manchen Szenarien kann dies erforderlich sein. SSO ist aber dennoch die bevorzugte Lösung für die Verwaltung von Kennwörtern auf Benutzer- oder Gruppenbasis.

Vertrauenswürdiges Subsystem und Delegierung

Bei der Bereitstellung von Excel Services wird die Methode angegeben, die zur Kommunikation zwischen den verschiedenen Komponenten der Serverfarm verwendet wird. Sie wird entweder im vertrauenswürdigen Subsystemmodus oder im Delegierungsmodus konfiguriert. Dieser Modus kann nur mithilfe des Befehlszeilentools Stsadm.exe geändert werden.

Das vertrauenswürdige Subsystem (Standard bei der Farmbereitstellung) ist ein Modus, in dem die Front-End- und Back-End-Serverkomponenten eine bidirektionale Vertrauensstellung aufweisen. Dadurch können Dateien unter Verwendung des Excel Services-Kontos aus Microsoft Office SharePoint Server 2007 abgerufen werden. Obwohl die Dateien von Excel Services abgerufen werden, wird eine Sicherheitsüberprüfung durchgeführt, um sicherzustellen, dass der Benutzer, der die Datei angefordert hat, über die entsprechenden Berechtigungen verfügt. In diesem Modus kennt der Back-End-Server von -Dienste für Excel-Berechnungen die Benutzeridentität, verfügt jedoch nicht über ein vollständiges Benutzersicherheitstoken und kann sie daher nicht an andere Computer delegieren.

Die Delegierung (Standard bei einzelnen Computern oder einer Testbereitstellung) ist ein Modus, in dem die Front-End-Server der Farm immer die Benutzeridentität an die Back-End-Server delegieren. In diesem Fall werden die Dateien durch den Endbenutzer abgerufen, der die Arbeitsmappe anfordert, anstatt durch das Excel Services-Konto. Der Back-End-Server von Dienste für Excel-Berechnungen verfügt über die vollständige Benutzeridentität (Sicherheitstoken) und kann sie somit an andere Server delegieren.

Hinweis

Im Delegierungsmodus kann der Back-End-Server von Dienste für Excel-Berechnungen an alle Computer delegieren, die sich auf dem gleichen Server befinden. Für eine Delegierung an andere Computer, die sich auf einem anderen Server befinden, muss Kerberos konfiguriert werden.

Verbindungen, die die Windows-Authentifizierung verwenden, funktionieren nur, wenn Excel Services im Delegierungsmodus bereitgestellt wird. Dies liegt daran, dass die Back-End-Berechnungskomponente des Anwendungsservers im vertrauenswürdigen Subsystemmodus nicht das vollständige Sicherheitstoken des Endbenutzers (der Person, die die Arbeitsmappe anzeigt) besitzt und daher die Identität nicht an die Datenquelle delegieren kann.

Schrittweise Serverkonfiguration für externe Daten

Dieser Abschnitt enthält eine schrittweise Anleitung zur Ausführung der Basiskonfiguration auf der Serverseite zur Aktivierung der externen Datenkonnektivität. Dazu gehört die Konfiguration aller Office Server-Komponenten, die für Excel Services zur Aktualisierung externer Daten erforderlich sind, und umfasst daher mehr als nur die Verwaltung von Excel Services.

In diesem Abschnitt wird auf die Website für die SharePoint-Zentraladministration und die SSP-Verwaltung (Shared Services Provider) verwiesen. Darüber hinaus enthält er Anweisungen zum Starten dieser Konsolen. Zum Ausführen dieser Schritte benötigen Sie Zugriff auf die Zentraladministration und die SSP-Verwaltung.

Zugriff auf die Zentraladministrationskonsole

• Zeigen Sie auf der Taskleiste im Startmenü auf Alle Programme, zeigen Sie auf Microsoft Office Server, und klicken Sie dann auf SharePoint 3.0-Zentraladministration.

Zugriff auf die SSP-Verwaltungskonsole

1. Führen Sie an der Zentraladministrationskonsole eines der folgenden Verfahren aus:

2. Wählen Sie den Namen des SSP auf der linken Navigationsleiste aus, z. B. SharedServices1 wie in der folgenden Abbildung dargestellt.

   

3. Klicken Sie auf der oberen Navigationsleiste auf die Registerkarte Anwendungsverwaltung.

   1. Klicken Sie auf der Seite Anwendungsverwaltung auf Gemeinsame Dienste dieser Farm erstellen oder konfigurieren.

   2. Wählen Sie auf der Seite Gemeinsame Dienste dieser Farm erstellen oder konfigurieren den Namen des SSP aus.

Hinzufügen eines vertrauenswürdigen Datenproviders für Excel Services

In Excel Services werden nur Verbindungen hergestellt, die vertrauenswürdige Datenprovider verwenden. Für die am häufigsten verwendeten Datenverbindungstypen (wie ODBC, OLE DB, SQL Server und OLAP) müssen keine Provider hinzugefügt werden, da viele Standardprovider von Excel Services standardmäßig als vertrauenswürdig eingestuft werden. Provider werden normalerweise nur für benutzerdefinierte Lösungen hinzugefügt. Weitere Informationen finden Sie unter Datenprovider.

Hinzufügen eines neuen Providers für die Verwendung mit Excel Services

1. Stellen Sie sicher, dass der Datenprovider auf jedem Server in der Farm installiert ist. Dies ist je nach Datenprovider verschieden und würde den Rahmen dieses Artikels sprengen.

2. Starten Sie die SSP-Verwaltungskonsole. Weitere Informationen finden Sie unter Schrittweise Serverkonfiguration für externe Daten.

3. Klicken Sie im Abschnitt Excel Services-Einstellungen auf Sichere Datenprovider, wie in der folgenden Abbildung dargestellt.

   

4. Klicken Sie auf der Seite Vertrauenswürdige Datenprovider von Excel Services auf Vertrauenswürdigen Datenprovider hinzufügen.

5. Füllen Sie die Werte für Provider-ID, Providertyp und Beschreibung aus, wie in der folgenden Abbildung dargestellt.

   

6. Klicken Sie auf OK.

   Hinweis

   Die unter Provider ID angezeigte ID sollte in den von diesem Provider generierten Verbindungszeichenfolgen verwendet werden.

Zulassen von externen Daten für Excel Services

Externe Daten müssen für jeden vertrauenswürdigen Dateispeicherort explizit aktiviert werden.

Aktivieren des externen Datenzugriffs für einen vertrauenswürdigen Dateispeicherort

1. Starten Sie die SSP-Verwaltungskonsole. Weitere Informationen finden Sie unter Schrittweise Serverkonfiguration für externe Daten.

2. Klicken Sie im Abschnitt Excel Services-Einstellungen auf Vertrauenswürdige Dateispeicherorte, wie in der folgenden Abbildung dargestellt.

   

3. Wählen Sie auf der Seite Vertrauenswürdige Dateispeicherorte von Excel Services den Namen des vertrauenswürdigen Dateispeicherorts aus, aus dem Sie Arbeitsmappen laden möchten, oder klicken Sie auf Vertrauenswürdigen Dateispeicherort hinzufügen, um einen neuen Dateispeicherort zu erstellen, wie in der folgenden Abbildung dargestellt.

   

4. Führen Sie auf der Detailseite für den vertrauenswürdigen Dateispeicherort einen Bildlauf nach unten zum Abschnitt Externe Daten aus, wie in der folgenden Abbildung dargestellt.

   

5. Wählen Sie das Optionsfeld Nur vertrauenswürdige Datenverbindungsbibliotheken aus, um den Zugriff auf Verbindungsdateien in einer Datenverbindungsbibliothek zu gestatten, oder wählen Sie das Optionsfeld Vertrauenswürdige Datenverbindungsbibliotheken und eingebettete Verbindungen aus, um sowohl in eine Arbeitsmappe eingebettete Verbindungen als auch Verbindungen aus einer Datenverbindungsbibliothek zuzulassen. Hier können Sie auch andere Einstellungen für externe Daten aktivieren oder deaktivieren, die den Server beeinflussen, z. B. Aktualisierungswarnungen, Datencache-Timeouts usw.

Festlegen des unbeaufsichtigten Kontos

Das unbeaufsichtigte Konto wird für Verbindungen benötigt, bei denen die Authentifizierung entweder auf Keine oder auf SSO festgelegt wurde und die SSO-Anwendungs-ID keine Windows-Anmeldeinformationen verwendet. Weitere Informationen zum unbeaufsichtigten Konto finden Sie unter Unbeaufsichtigtes Konto . Wenn diese Verbindungstypen nicht verwendet werden, muss das unbeaufsichtigte Konto nicht konfiguriert werden.

Konfigurieren der Einstellungen des unbeaufsichtigten Kontos

1. Starten Sie die SSP-Verwaltungskonsole. Weitere Informationen finden Sie unter Schrittweise Serverkonfiguration für externe Daten.

2. Klicken Sie auf der Homepage der gemeinsamen Dienste im Abschnitt Excel Services-Einstellungen auf Excel Services-Einstellungen bearbeiten, wie in der folgenden Abbildung dargestellt.

   

3. Führen Sie auf der Seite Excel Services-Einstellungen bearbeiten einen Bildlauf nach unten zum Abschnitt Unbeaufsichtigtes Dienstkonto aus. Geben Sie den Domänenbenutzernamen und das Kennwort des Kontos ein, das Sie verwenden möchten, wie in der folgenden Abbildung dargestellt.

   

4. Klicken Sie auf OK.

Konfigurieren von SSO für Office Server

SSO ermöglicht Middle-Tier-Anwendungsservern das Speichern und Abrufen von Benutzeranmeldeinformationen. Der Schlüssel zum Abrufen von Anmeldeinformationen ist die Anwendungs-ID.

Anwendungs-IDs werden verwendet, um Benutzer einem Satz von Anmeldeinformationen zuzuordnen. Diese Zuordnung steht für Gruppen und Einzelpersonen zur Verfügung. Eine Gruppenzuordnung bedeutet, dass jeder Benutzer, der Mitglied einer bestimmten Domänengruppe ist, demselben Satz von Anmeldeinformationen zugeordnet wird. Gruppenzuordnungen sind für die Skalierung und Leistung von Excel Services von Vorteil, da sie die gemeinsame Verwendung des externen Datencache ermöglichen. Durch Einzelzuordnungen wird jeder Benutzer einem eigenen Satz von Anmeldeinformationen zugeordnet.

Von Microsoft Office SharePoint Server 2007 können alle SSO-Anbieter unterstützt werden, die die austauschbare Microsoft Office SharePoint Server 2007-SSO-Schnittstelle implementieren. Office Server wird mit einer eigenen Version von SSO ausgeliefert, Office SharePoint SSO genannt. Dieser Abschnitt befasst sich ausschließlich mit der Konfiguration von Office SharePoint SSO. SSO-Providerkonfigurationen von Drittanbietern werden nicht ausführlich behandelt.

Wenn Benutzer weitere SSO-Funktionen benötigen, die über die Funktionen von Office SharePoint SSO hinausgehen, kann ein anderer SSO-Provider verwendet werden.

Hinweis

Microsoft bietet auch eine neue Version von Enterprise Einmaliges Anmelden (EntSSO) mit Microsoft Host Integration Server und Microsoft BizTalk Server. EntSSO wird von Excel Services nicht unterstützt. EntSSO bietet weitere Funktionen, z. B. Anwendungs-IDs, die mehrere Gruppenzuordnungen unterstützen, Verwaltung der Anwendungs-IDs pro Anwendungs-ID sowie Funktionen, die Sie beim Ausfüllen und Aktualisieren der in der SSO-Datenbank gespeicherten Kennwörter unterstützen.

Dieser Abschnitt soll keine umfassende Anleitung für alle Funktionen bieten, die ein Benutzer mithilfe von SSO ausführen kann. Er soll nur die grundlegenden Schritte vermitteln, die in häufig verwendeten Konfigurationen erforderlich sind, um Office SharePoint SSO so auf dem Server zu konfigurieren, dass es zur Aktualisierung von Daten in Excel Services verwendet werden kann.

Starten des Microsoft-Diensts für einmaliges Anmelden

Der Microsoft-Dienst für einmaliges Anmelden sollte auf jedem Server in der Farm gestartet werden.

Starten des Diensts für einmaliges Anmelden

1. Klicken Sie unter Verwaltung auf Dienste.

2. Doppelklicken Sie auf Microsoft Dienst für einmaliges Anmelden, um die Eigenschaftenseite des Diensts für einmaliges Anmelden zu öffnen, wie in der folgenden Abbildung dargestellt.

   

3. Legen Sie auf der Registerkarte Allgemein der Eigenschaftenseite des Diensts für einmaliges Anmelden den Starttyp auf Automatisch fest.

   

4. Klicken Sie auf der Registerkarte Anmelden der Eigenschaftenseite des Diensts für einmaliges Anmelden auf Dieses Konto, und geben Sie dann das Domänenkonto ein, unter dem der Dienst ausgeführt werden soll, wie in der folgenden Abbildung dargestellt.

   

   Hinweis

   Bei den meisten Test- oder Demobereitstellungen, z. B. bei einer Installation per Mausklick, ist es am einfachsten, die gleichen Anmeldeinformationen zu verwenden wie das Konto, das zum Installieren von Office Server verwendet wurde. Weitere Informationen zu den Kontoanforderungen für die Installation von SSO finden Sie unter Weitere Informationen zu Office Server SSO-Konten und -Berechtigungen.

5. Klicken Sie auf Übernehmen.

6. Klicken Sie auf der Registerkarte Allgemein der Eigenschaftenseite des Diensts für einmaliges Anmelden auf Start, um den Dienst zu starten, und klicken Sie dann auf OK.

Konfigurieren von SSO für Office Server

SSO muss so konfiguriert werden, dass Anwendungs-IDs und Kennwörter hinzugefügt werden können. Weitere Informationen zur Konfiguration von Anwendungs-IDs finden Sie unter Erstellen einer neuen Anwendungs-ID in SSO.

Konfigurieren von SSO für Office Server

1. Starten Sie die Zentraladministrationskonsole. Weitere Informationen finden Sie unter Schrittweise Serverkonfiguration für externe Daten.

2. Wählen Sie auf der Registerkarte Vorgänge im Abschnitt Sicherheitskonfiguration die Option Einstellungen für einmaliges Anmelden verwalten aus, wie in der folgenden Abbildung dargestellt.

   

3. Wählen Sie auf der Seite Einstellungen für einmaliges Anmelden verwalten die Option Servereinstellungen verwalten aus, wie in der folgenden Abbildung dargestellt.

   

4. Geben Sie auf der Seite Einstellungen für einmaliges Anmelden verwalten die Anmeldeinformationen des SSO-Administratorkontos und des Administratorkontos für die Enterpriseanwendungsdefinition ein.

   Hinweis

   Das Administratorkonto für die Enterpriseanwendungsdefinition wird zur Verwaltung der Anwendungs-IDs und Kennwörter in SSO verwendet. In den meisten Konfigurationen kann das Konto, das zur Installation des Servers verwendet wurde, sowohl für das SSO-Administratorkonto als auch für das Administratorkonto für die Enterpriseanwendungsdefinition verwendet werden. Weitere Informationen zu den Konten, die zur Einrichtung von SSO verwendet werden, finden Sie unter Weitere Informationen zu Office Server SSO-Konten und -Berechtigungen.

5. Übernehmen Sie die standardmäßigen Datenbank- und Timeouteinstellungen. Klicken Sie auf OK, um die Seite zu speichern und zu schließen.

Weitere Informationen zu Office Server SSO-Konten und -Berechtigungen

Dieser Abschnitt enthält weitere Details zu den Mitgliedschaften, Rechten und Berechtigungen der verschiedenen Konten, die zum Konfigurieren von Office Server SSO verwendet werden. Dies gilt nicht unbedingt für alle austauschbaren SSO-Provider von Drittanbietern.

Zu Test- oder Demonstrationszwecken kann das Konto, das zur Installation von Office Server verwendet wurde, auch zum Konfigurieren von SSO verwendet werden. Dies ist die einfachste Konfiguration. In einer Produktions- oder Enterprisebereitstellung ist es jedoch besser, sicherzustellen, dass das SSO-Administrator- und Dienstkonto nicht dem Konto entspricht, das zur Installation des Servers verwendet wurde.

• SSO-Dienstkonto Der Benutzer, unter dem das SSO-Dienstkonto ausgeführt wird, muss Mitglied der Gruppe WSS_Admin_WPG auf dem lokalen Computer und zudem ein Domänenkonto sein.

• SSO-Administratorkonto Dies kann eine beliebige Domänengruppe oder ein beliebiges Benutzerkonto sein. Der Benutzer, der das SSO-Administratorkonto festlegt, muss Mitglied der Domänengruppe sein, für die das Administratorkonto festgelegt wird. Wenn ein einzelnes Konto als SSO-Administratorkonto verwendet wird, muss es das Konto des aktuellen Benutzers sein.

  Wenn Excel Services in einem vertrauenswürdigen Subsystem konfiguriert ist, muss das SSP-Anwendungspoolkonto Mitglied der SSO-Administratorgruppe sein. (Weitere Informationen finden Sie unter Vertrauenswürdiges Subsystem und Delegierung. ) Dies ermöglicht das SSO-Ticketing, das von Excel Services in solchen Konfigurationen verwendet wird. Das SSP-Anwendungspoolkonto ist das Sicherheitskonto, das zum Ausführen des gemeinsamen Dienstanwendungspools in IIS verwendet wird.

• SSO-Anwendungs-Managerkonto Dies kann eine beliebige Domänengruppe oder ein einzelnes Benutzerkonto sein. Konten, die als SSO-Anwendungs-Manager hinzugefügt werden, müssen zumindest über Lesezugriff für die Zentraladministratorwebsite verfügen, da dies die Website ist, auf der die SSO-Konten verwaltet werden.

• SSO-Konfigurationskonto Dieser Abschnitt behandelt die Anforderungen des Kontos, das zum Konfigurieren von SSO verwendet wird. Das zum Einrichten und Konfigurieren von SSO verwendete Konto muss Folgendes sein:

  • Ein lokaler Administrator des Servers, auf dem der für die Kennwortverschlüsselung/-entschlüsselung verwendete Hauptschlüssel gespeichert ist. Dieser Server wird auch als "geheimer Server" bezeichnet.

  • Ein Mitglied der folgenden SQL Server-Rollen auf dem Computer mit SQL Server, auf dem die SSO-Kennwörter gespeichert sind: SecurityAdmin, ServerAdmin und DbCreator.

  • Ein Office Server-Farmadministrator. Dies ermöglicht dem Benutzer bei der SSO-Konfiguration das Schreiben in die Konfigurationsdatenbank von Microsoft Office SharePoint Server 2007.

  • Ein Mitglied der SSO-Administratorgruppe, die während der SSO-Konfiguration festgelegt wird.

  • In der Lage, sich an der Konsole des Servers anzumelden, auf dem SSO konfiguriert werden soll.

Beispiel für SSO-Konten und Berechtigungen

Ein Administrator mit dem Namen Paul verwendet das Domänenkonto FIRMENDOMÄNE\ServerAdmin zum Installieren von Microsoft Office SharePoint Server 2007. Dieses Konto ist ein Administratorkonto auf jedem Server in der Farm und verfügt auch über Rechte für die Office Server-Farmadministration. Paul meldet sich auf dem Computer mithilfe des Kontos FIRMENDOMÄNE\ServerAdmin an. Er fügt das Konto FIRMENDOMÄNE\ServerService der Gruppe WSS_Admin_WPG auf jedem Computer hinzu. Paul startet den Dienst für einmaliges Anmelden auf jedem Computer unter dem Dienstnamen FIRMENDOMÄNE\ServerService.

Anschließend startet Paul die Zentraladministrationskonsole zum Konfigurieren von SSO. Paul legt die Domänengruppe FIRMENDOMÄNE\OfficeServerAdmins sowohl als SSO-Administratorkonto als auch als SSO-Anwendungs-Managerkonto fest. Das Konto FIRMENDOMÄNE\ServerAdmin das Paul für diese Konfiguration verwendet, ist Mitglied der Domänengruppe FIRMENDOMÄNE\OfficeServerAdmins. Paul wechselt zu den SSP-Verwaltungsseiten, um das Konto, unter dem der SSP ausgeführt wird, zu überprüfen. Er sieht, dass der SSP als FIRMENDOMÄNE\SharedServiceAdmin ausgeführt wird. Paul weiß, dass FIRMENDOMÄNE\SharedServiceAdmin über SSO-Administratorrechte verfügen muss, damit es unter Excel Services verwendet werden kann. FIRMENDOMÄNE\SharedServiceAdmin ist Mitglied der Domänengruppe FIRMENDOMÄNEOfficeServerAdmins, die als SSO-Administrator verwendet wurde. Nach dem Konfigurieren der restlichen Komponenten des Servers und von Excel Services sieht Paul, dass SSO von Excel Services zur Aktualisierung externer Daten verwendet werden kann.

Erstellen einer neuen Anwendungs-ID in SSO

Erstellen einer neuen Anwendungs-ID in SSO

1. Starten Sie die Zentraladministrationskonsole. Weitere Informationen finden Sie unter Schrittweise Serverkonfiguration für externe Daten.

2. Wählen Sie auf der Registerkarte Vorgänge im Abschnitt Sicherheitskonfiguration die Option Einstellungen für einmaliges Anmelden verwalten aus.

3. Wählen Sie auf der Seite Einstellungen für einmaliges Anmelden verwalten die Option Einstellungen für Enterpriseanwendungsdefinitionen verwalten aus, wie in der folgenden Abbildung dargestellt.

   

4. Klicken Sie auf der Seite Enterpriseanwendungsdefinitionen verwalten auf der Symbolleiste auf Neuer Eintrag, um eine neue Anwendungs-ID zu erstellen.

5. Geben Sie die Werte für die neue Anwendung ein. Die Benutzer müssen in ihre Datenverbindungen im Excel-Client als SSO-Anwendungs-ID den Anwendungsnamen eingeben, wenn Sie die Verbindung auf dem Server konfigurieren. In der Regel sollten der Name unter Anzeige und der Name unter Anwendung identisch sein.

6. Geben Sie die E-Mail-Adresse des Benutzers oder der Gruppe ein, der bzw. die diese Anwendungsdefinition verwalten wird.

7. Wählen Sie für Konto einen Typ aus.

   1. Wählen Sie Gruppe aus, wenn alle Benutzer einer bestimmten Gruppe einem einzelnen Satz von Anmeldeinformationen zugeordnet werden sollen. Sie erhalten später Gelegenheit zum Definieren der Domänengruppe, aus der die Zuordnung erfolgen soll.

   2. Wählen Sie Individuell aus, wenn jeder Benutzer einem eigenen Satz von Anmeldeinformationen zugeordnet werden soll.

      Hinweis

      Wählen Sie nicht Gruppe mit eingeschränkten Konto aus. Dies wird von Excel Services nicht unterstützt.

8. Aktivieren Sie im Abschnitt Authentifizierungstyp das Kontrollkästchen Windows-Authentifizierung, wenn die Anmeldeinformationen, die Sie für diese Anwendungs-ID speichern möchten, Windows-Domänenanmeldeinformationen sein sollen.

   Hinweis

   Da dieser SSO-Eintrag den Benutzernamen und Kennwörter speichern soll, müssen die Werte für Feld unter Anmeldekontoinformationen am Fuß der Seite bei Excel Services-Szenarien nicht geändert werden.

9. Konfigurieren Sie ggf. die Einstellungen für eine Anwendung, die eine Gruppenzuordnung verwendet und Windows-Anmeldeinformationen speichert, wie in der folgenden Abbildung dargestellt. Dies ist eine allgemeine Konfiguration beim Abrufen aus einer OLAP-Quelle, z. B. SQL Server 2005 Analysis Services.

   

10. Klicken Sie unten auf der Seite auf OK, um die Anwendungsdefinition zu speichern.

11. Klicken Sie auf der Seite Einstellungen für einmaliges Anmelden verwalten auf Kontoinformationen verwalten, wie in der folgenden Abbildung dargestellt.

    

12. Auf der Seite zur Verwaltung der Kontoinformationen für Enterpriseanwendungen können Sie steuern, welche Konten können auf die für eine Anwendungs-ID gespeicherten Anmeldeinformationen zugreifen können, und die eigentlichen Anmeldeinformationen verwalten, die für eine Anwendungs-ID gespeichert sind.

13. Wählen Sie aus der Dropdownliste Enterpriseanwendungsdefinition die Anwendungs-ID aus, die Sie im letzten Schritt eingegeben haben, wie in der folgenden Abbildung dargestellt.

    

14. Geben Sie in das Textfeld Gruppenkontoname die Gruppe ein, die Zugriff auf die für diese Anwendung gespeicherten Anmeldeinformationen erhalten soll. Dies ist nicht das Konto, das für den Zugriff auf die Datenquelle verwendet wird, sondern nur die Domänengruppe oder das Benutzerkonto, die bzw. das den Anmeldeinformationen zugeordnet werden soll, die tatsächlich zum Authentifizieren bei der Datenquelle verwendet werden.

    Hinweis

    Wenn jedem Benutzer in der Domäne der Zugriff auf diese Anmeldeinformationen gestattet sein soll, geben Sie in dieses Textfeld die Zeichenfolge DOMÄNE\Domänenbenutzer ein.

15. Stellen Sie sicher, dass das Optionsfeld Kontoinformationen aktualisieren ausgewählt ist, und klicken Sie auf die Schaltfläche Festlegen.

16. Die Seite mit den Kontoinformationen wird geöffnet. Geben Sie den Benutzernamen und das Kennwort des Kontos ein, der bzw. das in SSO gespeichert werden soll, wie in der folgenden Abbildung dargestellt. Dies ist das Konto, das von Excel Services für den Zugriff auf die Datenquelle verwendet wird. Klicken Sie nach Eingabe der Anmeldeinformationen auf OK.

    

    Hinweis

    Wenn das Kennwort leer gelassen wird und die SSO-Anmeldeinformationen Windows-Anmeldeinformationen sind, wird von Excel Services im Namen des Endbenutzers ein Protokollübergang versucht, um eine Verbindung mit der Datenquelle herzustellen. Eine Beschreibung des Protokollübergangs würde den Rahmen dieses Artikels sprengen.

17. Sie kehren nun zur Seite für das Verwalten der Kontoinformationen zurück. Sie können den Browser schließen oder auf Fertig klicken, um zur SSO-Verwaltungshomepage zurückzukehren.

Erstellen einer Datenverbindungsbibliothek

Die Datenverbindungsbibliothek ist eine Listenvorlage in Microsoft Office SharePoint Server 2007. Sie kann in Microsoft Office SharePoint Server 2007 fast überall dort erstellt werden, wo eine Liste erstellt werden kann.

Hinweis

Auf der Berichtscenterwebsite wird standardmäßig eine Datenverbindungsbibliothek erstellt. Diese dient zur einfachen Verwaltung aller Datenverbindungen, die von den Berichten auf dieser Website verwendet werden.

Hinzufügen einer Datenverbindungsbibliothek zu einer vorhandenen SharePoint-Website

1. Klicken Sie auf einer SharePoint-Website in der linken Navigationsleiste für die Website auf Alle Websiteinhalte einblenden, wie in der folgenden Abbildung dargestellt.

   

2. Klicken Sie im oberen Bereich der Seite auf die Schaltfläche Erstellen, wie in der folgenden Abbildung dargestellt.

   

3. Wählen Sie auf der nächsten Seite im Abschnitt Bibliotheken die Option Datenverbindungsbibliothek aus, wie in der folgenden Abbildung dargestellt.

   

4. Geben Sie auf der nächsten Seite einen Namen für die Datenverbindungsbibliothek und eine optionale Beschreibung ein, wie in der folgenden Abbildung dargestellt.

   

5. Klicken Sie auf Erstellen.

Vertrauen in eine Datenverbindungsbibliothek in Excel Services

Bevor Verbindungsdateien von Excel Services verwendet werden können, muss die Datenverbindungsbibliothek explizit der internen Liste der vertrauenswürdigen Datenverbindungsbibliotheken hinzugefügt werden.

Hinzufügen einer Datenverbindungsbibliothek zur vertrauenswürdigen Liste

1. Starten Sie die SSP-Verwaltungskonsole. Weitere Informationen finden Sie unter Schrittweise Serverkonfiguration für externe Daten.

2. Wählen Sie im Abschnitt Excel Services-Einstellungen die Option Vertrauenswürdige Datenverbindungsbibliotheken aus.

3. Geben Sie auf der Seite Vertrauenswürdige Datenverbindungsbibliotheken von Excel Services die URL der Datenverbindungsbibliothek und eine optionale Beschreibung ein, wie in der folgenden Abbildung dargestellt.

   

Hinweis

Die URL muss direkt zur Datenverbindungsbibliothek führen, wie in der vorherigen Abbildung dargestellt. Die URL darf keine Verbindung mit dem Formularverzeichnis oder der standardmäßige ASPX-Seite herstellen. Wenn Sie eine Verknüpfung mit einer Datenverbindungsbibliothek direkt aus Ihrem Browser kopieren, müssen Sie alle */forms*- oder */default.aspx*-Zeichenfolgen aus der URL löschen.

1. Klicken Sie auf OK.

Anzeigen der Datenverbindungsbibliothek im Office-Client

Damit Verbindungen leichter ermittelt und wiederverwendet werden können, können die Datenverbindungsbibliotheken in der Benutzeroberfläche des Office-Clients angezeigt werden (wird gegenwärtig in Office Excel 2007 und Microsoft Office Visio 2007 angezeigt). Dadurch können die Benutzer im Rahmen der Dokumenterstellung basierend auf dem angezeigten Namen und einer Beschreibung eine Verbindung aus der Datenverbindungsbibliothek auswählen.

Damit Datenverbindungsbibliotheken direkt in der Clientanwendung angezeigt werden können, muss die Datenverbindungsbibliothek vom Server auf dem Clientcomputer veröffentlicht werden. Dazu muss der Clientcomputer diesem Server zugeordnet sein, oder es muss ein Registrierungsschlüssel direkt festgelegt werden muss.

Veröffentlichen der Datenverbindungsbibliothek für den Office-Client

Veröffentlichen der Datenverbindungsbibliothek für den Office-Client

1. Starten Sie die SSP-Verwaltungskonsole. Weitere Informationen finden Sie unter Schrittweise Serverkonfiguration für externe Daten.

2. Klicken Sie im Abschnitt Benutzerprofile und Meine Websites auf Veröffentlichte Links für Office-Clientanwendungen, wie in der folgenden Abbildung dargestellt.

   

3. Klicken Sie auf der Seite Veröffentlichte Links für Office-Clientanwendungen auf Neu.

4. Geben Sie die URL zur Datenverbindungsbibliothek ein.

   Hinweis

   Die URL muss direkt zur Datenverbindungsbibliothek führen, wie in der Abbildung dargestellt, und darf keine Verbindung mit dem Formularverzeichnis oder der standardmäßige ASPX-Seite herstellen. Wenn Sie eine Verknüpfung mit einer Datenverbindungsbibliothek direkt aus Ihrem Browser kopieren, müssen Sie alle /forms- oder /default.aspx-Zeichenfolgen aus der URL löschen.

5. Wählen Sie aus der Dropdownliste Typ die Option Datenverbindungsbibliothek aus, wie in der folgenden Abbildung dargestellt.

   

6. Klicken Sie auf OK.

   Hinweis

   Bei Verwendung von Zielgruppenadressierung erhalten nur Benutzer, die Mitglieder der angegebenen SharePoint-Zielgruppe sind, die Verknüpfung zur Datenverbindungsbibliothek. Wird Zielgruppenadressierung nicht verwendet, erhalten standardmäßig alle Benutzer die Verknüpfung zur Datenverbindungsbibliothek, wenn sie zum Anzeigen der Datenverbindungsbibliothek berechtigt sind.

Zuordnen des Clientcomputers zum Server

Damit der Clientcomputer die veröffentlichte Liste der Datenverbindungsbibliotheken erhält, muss er zuerst dem Portalserver zugeordnet werden. Diese Zuordnung kann durch Aktivieren von Meine Website und durch Verwendung eines Standardwerts für Meine Website vorgenommen werden.

Hinweis

In den meisten realen Bereitstellungen ist dies bereits erfolgt, und in diesen Fällen muss nichts unternommen werden.

Aktivieren von "Meine Website"

1. Starten Sie die Zentraladministrationskonsole. Weitere Informationen finden Sie unter Schrittweise Serverkonfiguration für externe Daten.

2. Klicken Sie auf der oberen Navigationsleiste auf die Registerkarte Anwendungsverwaltung.

3. Klicken Sie auf der Seite Anwendungsverwaltung im Abschnitt Anwendungssicherheit auf Self-Service Site-Verwaltung, wie in der folgenden Abbildung dargestellt.

   

4. Wählen Sie auf der Seite Self-Service Site-Verwaltung eine Webanwendung aus (die Standardanwendung ist in den meisten Bereitstellungen akzeptabel), und klicken Sie auf Aktiviert, wie in der folgenden Abbildung dargestellt.

   

5. Klicken Sie auf OK.

Das Festlegen der eigenen Website als Standardwert sollte vom Endbenutzer vorgenommen werden, der die Verbindungen aus einer Datenverbindungsbibliothek wiederverwenden möchte.

Festlegen von "Meine Website" als Standardwert

1. Navigieren Sie zum Portal, und klicken Sie rechts oben auf der Symbolleiste auf Meine Website, wie in der folgenden Abbildung dargestellt.

   

2. Wählen Sie rechts oben auf der Seite Meine Website die Option Als Standard für 'Meine Website' festlegen aus, wie in der folgenden Abbildung dargestellt.

   

3. Klicken Sie im Dialogfeld, das daraufhin geöffnet wird, auf OK.

   Hinweis

   Die Standardeinstellung für Meine Website kann über Active Directory an andere Server für diesen Benutzer übermittelt werden.

Festlegen eines Registrierungsschlüssels zum Anzeigen einer Datenverbindungsbibliothek im Client

Dieser Abschnitt enthält detaillierte Schritte zur Erstellung eines Registrierungsschlüssels für das Anzeigen einer Datenverbindungsbibliothek oder eines anderen HTTP- oder UNC-Speicherorts in der Verbindungsbenutzeroberfläche.

Erstellen eines Registrierungsschlüssels für das Anzeigen einer Datenverbindungsbibliothek

1. Klicken Sie auf der Taskleiste auf Start und dann auf Ausführen. Geben Sie regedit ein, und drücken Sie dann die Eingabetaste, wie in der folgenden Abbildung dargestellt.

   

2. Navigieren Sie zum Ordner unter HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\Server Links\Published.

3. Wenn der Ordner Published nicht vorhanden ist, müssen Sie diesen erstellen. Klicken Sie in diesem Fall mit der rechten Maustaste auf den Ordner Server Verknüpfungen, und wählen Sie Neuer Schlüssel aus, wie in der folgende Abbildung dargestellt. Nennen Sie den Schlüssel Published.

   

4. Erstellen Sie einen neuen Zeichenfolgenwert für den Ordner Published, indem Sie mit der rechten Maustaste in den Ordner klicken und den Wert Neue Zeichenfolge auswählen, wie in der folgenden Abbildung dargestellt.

   

5. Geben Sie der Zeichenfolge den Anzeigenamen der Datenverbindungsbibliothek.

6. Klicken Sie mit der rechten Maustaste auf den Zeichenfolgenwert, und wählen Sie Ändern aus, wie in der folgenden Abbildung dargestellt.

   

7. Geben Sie den HTTP-Pfad zur Datenverbindungsbibliothek in das Dialogfeld Zeichenfolge bearbeiten ein, wie in der folgenden Abbildung dargestellt.

   

8. Klicken Sie auf OK.

Schrittweise Arbeitsmappenkonfiguration für externe Daten

In diesem Abschnitt werden die allgemeinen Optionen behandelt, die im Excel-Client konfiguriert werden müssen, damit eine Arbeitsmappe externe Daten aktualisieren kann, wenn diese in Excel Services geladen wird. Darüber hinaus wird die Wiederverwendung von Verbindungen aus einer Datenverbindungsbibliothek sowie das Exportieren von Verbindungen in eine Datenverbindungsbibliothek behandelt.

Erstellen einer neuen Verbindung

Die einfachste Möglichkeit zum Erstellen einer neue Datenverbindung in einer Excel-Arbeitsmappe ist die Verwendung des Datenverbindungs-Assistenten. Mithilfe dieses Assistenten können Sie auch die Authentifizierungsoptionen für Excel Services konfigurieren. Durch den Datenverbindungs-Assistenten werden ODC-Dateien erstellt, die mit der Arbeitsmappe verknüpft sind, wie unter Eingebettete und verknüpfte Verbindungen beschrieben.

Erstellen einer neuen Verbindung

1. Wählen Sie in Excel auf der Registerkarte Daten im Abschnitt Externe Daten die Option Aus anderen Quellen aus, und wählen Sie aus der Dropdownliste den Eintrag Vom Datenverbindungs-Assistenten, wie in der folgenden Abbildung dargestellt.

   

2. Gehen Sie die einzelnen Bildschirme des Assistenten durch, und nehmen Sie die entsprechende Auswahl für eine Datenquelle vor. Klicken Sie im letzten Bildschirm auf die Schaltfläche Authentifizierungseinstellungen, wie in der folgenden Abbildung dargestellt.

   

3. Wählen Sie im Dialogfeld Authentifizierung das Optionsfeld aus, das der von Ihnen ausgewählten Authentifizierung entspricht. Die verschiedenen Authentifizierungstypen werden in Authentifizierung bei externen Daten beschrieben und sind in der folgenden Abbildung dargestellt.

   

4. Klicken Sie auf OK, um das Dialogfeld Authentifizierung zu schließen, und klicken Sie dann auf Fertig stellen, um den Assistenten zu beenden.

   Hinweis

   Durch diesen Assistenten wird eine ODC-Datei erstellt, die direkt in einer Datenverbindungsbibliothek gespeichert werden kann. Klicken Sie dazu im letzten Bildschirm des Assistenten auf die Schaltfläche Durchsuchen, und geben Sie den HTTP-Pfad zur Datenverbindungsbibliothek in das entsprechende Dateidialogfeld ein. Wenn sich die Datei in der Datenverbindungsbibliothek befindet, können andere Benutzer sie wiederverwenden.

Wiederverwenden einer vorhandenen Verbindung aus einer Datenverbindungsbibliothek

Wenn eine Datenverbindungsbibliothek mit Verbindungsdateien aufgefüllt und für den Office-Client verfügbar gemacht wird, können Verbindungen daraus direkt in Excel wiederverwendet werden. Weitere Informationen finden Sie unter Anzeigen der Datenverbindungsbibliothek im Office-Client.

Wiederverwenden einer vorhandenen Verbindung

1. Wählen Sie auf der Excel-Multifunktionsleiste Daten die Option Vorhandene Verbindungen aus, wie in der folgenden Abbildung dargestellt.

   

   Der DCL-Ordner wird im Dialogfeld Vorhandene Verbindungen unter den Verbindungsdateien im Abschnitt Netzwerk angezeigt, wie in der folgenden Abbildung dargestellt.

   

2. Jede Datenverbindungsbibliothek verfügt über einen eigenen Ordner. Doppelklicken Sie auf den Ordner für eine Datenverbindungsbibliothek, um die darin gespeicherten Verbindungen anzuzeigen, wie in der folgenden Abbildung dargestellt.

   

3. Wählen Sie die gewünschte Verbindung aus, und klicken Sie dann auf Öffnen.

4. Wählen Sie im Dialogfeld Daten importieren aus, wie die Daten in Excel angezeigt werden sollen, wie in der folgenden Abbildung dargestellt.

   

   Hinweis

   Die Option Tabelle wird in Excel Services nicht unterstützt. Wenn diese Option ausgewählt ist, wird diese Arbeitsmappe in Excel Services nicht geladen.

Angeben der Serverauthentifizierung für eine vorhandene Verbindung

In diesem Abschnitt wird veranschaulicht, wie die Serverauthentifizierung für Verbindungen festgelegt wird, die zuvor in einer Excel-Arbeitsmappe erstellt wurden. Informationen zum Erstellen einer neuen Verbindung finden Sie unter Erstellen einer neuen Verbindung.

Angeben der Serverauthentifizierung

1. Klicken Sie in der Excel-Multifunktionsleiste Daten im Abschnitt Verbindungen auf Verbindungen, wie in der folgenden Abbildung dargestellt.

   

2. Wählen Sie im Dialogfeld Arbeitsmappenverbindungen, in dem alle zurzeit von der Arbeitsmappe verwendeten externen Datenverbindungen angezeigt werden, die Verbindung aus, die geändert werden soll, und klicken Sie dann auf Eigenschaften, wie in der folgenden Abbildung dargestellt.

   

3. Klicken Sie im Dialogfeld Verbindungseigenschaften, in dem zahlreiche Eigenschaften der Verbindung, einschließlich der Einstellung Beim Öffnen aktualisieren, geändert werden können, auf die Registerkarte Definition, wie in der folgenden Abbildung dargestellt.

   

4. Klicken Sie auf die Schaltfläche Authentifizierungseinstellungen.

5. Wählen Sie im Dialogfeld Excel Services-Authentifizierungseinstellungen das Optionsfeld für Ihren bevorzugten Authentifizierungstyp aus, wie in der folgenden Abbildung dargestellt. Weitere Informationen zu Authentifizierungstypen finden Sie unter Authentifizeriung bei externen Daten.

   

6. Klicken Sie auf OK, um das Dialogfeld Excel Services-Authentifizierungseinstellungen zu schließen, und klicken Sie dann in den Dialogfeldern Arbeitsmappenverbindungen und Einstellungen auf OK.

Speicherung einer vorhandenen Verbindung in einer Datenverbindungsbibliothek

Speichern einer vorhandenen Verbindung

1. Klicken Sie im Dialogfeld Verbindungseigenschaften auf der Registerkarte Definition auf Verbindungsdatei exportieren, wie in der folgenden Abbildung dargestellt.

   

2. Geben Sie in das Dialogfeld Datei den HTTP-Pfad zur Datenverbindungsbibliothek ein, und klicken Sie dann auf Speichern. Wenn eine ODC-Datei auf diese Weise exportiert wird, wird die Arbeitsmappenverbindung mit dieser ODC-Datei verknüpft, wie unter Verbindungen und Excel-Arbeitsmappen beschrieben.

Weitere Informationen zu den Eigenschaften auf der Registerkarte "Definition"

Auf der Registerkarte Definition im Dialogfeld Verbindungseigenschaften befinden sich weitere Eigenschaften, die beeinflussen können, wie Verbindungen verwendet werden und wie sie sich auf dem Clientcomputer und dem Server verhalten. All diese Eigenschaften sind in der ODC-Datei gespeichert, die durch Klicken auf Verbindungsdatei exportieren generiert wird, und werden von allen Arbeitsmappen geerbt, die später diese ODC-Datei verwenden.

Diese Einstellungen gelten sowohl im Excel-Client als auch in Excel Services. Dieser Abschnitt enthält Informationen zu den Auswirkungen, die zwei der wichtigsten Eigenschaften auf Verbindungen über Clientcomputer und Server haben. Weitere Informationen über das allgemeine Verhalten dieser beiden Einstellungen finden Sie unter Verbindungen und Excel-Arbeitsmappen.

• Verbindungsdatei Dies ist der Pfad zur Verbindungsdatei, mit der diese Arbeitsmappenverbindung verknüpft ist. Klicken Sie auf die Schaltfläche Durchsuchen, und geben Sie einen Pfad zu einer neuen Verbindungsdatei ein, um zu einer anderen Verbindungsdatei zu wechseln.

  Hinweis

  Durch Änderung der Einstellungen auf der Registerkarte Definition im Dialogfeld Verbindungseigenschaften wird die Verknüpfung zur Verbindungsdatei gelöst, da die Kopie der Verbindung in der Arbeitsmappe nicht mehr eine exakte Replik der Verbindungsdatei ist.

• Verbindungsdatei immer verwenden Hiermit wird angegeben, ob zuerst die eingebettete Kopie der Verbindung verwendet werden soll, oder ob stets der Inhalt der verknüpften Verbindungsdatei zum Aktualisieren von Daten verwendet werden soll. Wenn dieses Kontrollkästchen aktiviert ist, wird die eingebettete Kopie der Verbindungsdaten immer ignoriert, unabhängig davon, ob die Verbindung über die Verbindungsdatei hergestellt werden konnte.

Häufig gestellte Fragen

Wie bekomme ich Daten aus Microsoft Access in meine Arbeitsmappen in Excel Services?

Arbeitsmappen, die Daten aus einer Access-Datenbank aktualisieren, werden mit den Features von Excel Services nicht unterstützt. Dies liegt daran, dass bei diesen Arten von Lösungen in einer Enterprise-Serverumgebung Skalierungs- und Leistungsprobleme auftreten. Obwohl sie durch Hinzufügen des richtigen Providers zur Liste der vertrauenswürdigen Provider und Installation aller erforderlichen Datenquellennamen-Dateien (DSN) auf dem Server durchaus funktionieren könnte, wird diese Funktion nicht unterstützt.

Wie verwende ich andere Arbeitsmappen als Datenquellen in Excel Services?

Dies wird in dieser Version von Excel Services nicht unterstützt. Verknüpfte Arbeitsmappen sind ein nicht unterstütztes Feature. Solche Arbeitsmappen werden auf dem Server nicht geladen. Sie sollten in Betracht ziehen, die Daten aus den verknüpften Arbeitsmappen in eine einzelne Arbeitsmappe zu verschieben. Ein alternativer Ansatz wäre die Verwendung einer benutzerdefinierten Funktion (UDF) zum Abrufen von Daten aus einer anderen Arbeitsmappe.

Warum sind Windows-Authentifizierungsverbindungen nicht funktionsfähig, obwohl ich Kerberos in der Farm ordnungsgemäß konfiguriert habe?

Dies geschieht entweder, weil der Benutzer, der die Arbeitsmappe anzeigt, nicht über die erforderlichen Berechtigungen für die Datenquelle verfügt, oder weil das Access-Modell des Servers als vertrauenswürdiges Subsystem konfiguriert wurde. Im vertrauenswürdigen Subsystemmodus wird bei Verbindungen im Windows-Authentifizierungsstil automatisch ein Fehler gemeldet, da der Back-End-Berechnungsserver nicht über die vollständige Identität (Sicherheitstoken) des Benutzers verfügt und daher nicht an die Datenquelle delegieren kann.

Wie kann Excel Services benutzerspezifische Berechtigungsüberprüfungen für Dateien ausführen, wenn die Anmeldeinformationen nicht delegiert werden?

Auch wenn das Access-Modell ein vertrauenswürdiges Subsystem ist, können von Excel Services weiterhin benutzerspezifische Berechtigungsüberprüfungen für Dateien in Microsoft Office SharePoint Server 2007 durchgeführt werden. Excel Services ist Teil von Microsoft Office SharePoint Server 2007 und daher ausreichend vertrauenswürdig, um selbst benutzerspezifische Berechtigungsüberprüfungen durchzuführen, auch wenn es die Identität eines Endbenutzers nicht delegieren kann. Dies hat jedoch keinen Einfluss darauf, wie Excel Services Verbindungen mit externen Daten herstellt.

Wie im vorherigen Absatz beschrieben, funktionieren in diesen Topologien keine Verbindungen im Windows-Authentifizierungsstil, da der Back-End-Anwendungsserver die Identität des Benutzers, der die Arbeitsmappe anzeigt, nicht delegieren kann.

Welche Anweisungen gelten für die Verwendung von lokalen Cubes auf dem Server?

Lokale Cubes für SQL Server 2005 Analysis Services werden von Excel Services nicht unterstützt. Diese lokalen Cubes lassen sich in einer Enterprise-Produktionsumgebung schlecht skalieren, da sie nicht dafür gedacht sind, die Anforderungen vieler Benutzer für eine sofortige Datenaktualisierung zu erfüllen. Eine Verwendung mit Excel Services wird daher nicht empfohlen.

Wie kann ich stärker darauf Einfluss nehmen, wie über den Server auf externe Daten zugegriffen wird?

Vertrauenswürdige Dateispeicherorte ermöglichen eine genaue Kontrolle über das Verhalten der Arbeitsmappen auf dem Server, einschließlich der Aktualisierung externer Daten. Wenn ein Benutzer eine Arbeitsmappe in Excel Services lädt, wird der vertrauenswürdige Dateispeicherort der Arbeitsmappe bis zur untersten Ebene aufgelöst. Angenommen, eine Arbeitsmappe wird aus https://server/site/doc%20lib/ geladen, und es ist ein Satz von vertrauenswürdigen Speicherortregeln für https://server sowie ein anderer Satz für https://server/site/doc%20lib/ vorhanden. In diesem Fall werden die Regeln des letzteren Satzes angewendet. Dadurch können Szenarien, in denen eine bestimmte Gruppe von Sicherheitseinschränkungen gilt, in großem Umfang oder sehr detailliert angewendet werden.

Beispielsweise kann das gesamte Portal als vertrauenswürdiger Speicherort (https://server oder http://) hinzugefügt werden.

Hinweis

Sie müssen das Kontrollkästchen Untergeordnete einschließen aktivieren, damit Arbeitsmappen aus allen Unterverzeichnissen geladen werden können. Sie können die Einstellungen für den vertrauenswürdigen Speicherort auf dieser Ebene so konfigurieren, dass stets Datenwarnungen angezeigt werden und nur Aktualisierungen mithilfe von Datenverbindungsbibliotheken zulässig sind. Arbeitsmappen, die in einer sichereren Dokumentbibliothek gespeichert sind, können eventuell beliebige Datenverbindungen laden (Datenverbindungsbibliotheken oder eingebettete Verbindungen). Die externen Datencache-Timeoutwerte sind möglicherweise sehr hoch, da Arbeitsmappen in dieser Dokumentbibliothek lange brauchen, um Daten zu aktualisieren, und die Daten nicht sehr häufig aktualisiert werden.

Administratoren sollten vertrauenswürdige Dateispeicherorte hinzufügen und die jeweiligen Berechtigungen so ändern, dass ihre speziellen Sicherheitsanforderungen erfüllt werden.

Welche Faktoren sollten hinsichtlich Leistung und externen Daten berücksichtigt werden?

Es gibt einige Aspekte, die bei der Planung des externen Datenzugriffs in Excel Services berücksichtigt werden sollten.

• In Excel Services erfolgt die Freigabe von Datencaches in der mittleren Ebene. Der Cache wird freigegeben, wenn die Verbindungen identisch sind und die Anmeldeinformationen, die zum Verbinden mit der Datenquelle verwendet wurden, dieselben sind. Dadurch wird sichergestellt, dass die Benutzer über Zugriffsrechte für dieselben Daten verfügen. Dies bedeutet, dass Excel Services besser skaliert werden kann, wenn dieselben Anmeldeinformationen von mehreren Benutzern für Datenverbindungen verwendet werden. In diesen Fällen sind SSO-Gruppenzuordnungen, Keine (bei Speicherung des Benutzernamens/Kennworts in einer Verbindungszeichenfolge) oder Keine (bei Verwendung des unbeaufsichtigten Kontos) geeignete Authentifizierungstypen. Allerdings sollte angemerkt werden, dass SSO hinsichtlich der Sicherheit hier die beste Option darstellt.

• Für SQL Server 2005 Analysis Services oder höher können Datencaches selbst dann freigegeben werden, wenn individuelle SSO- oder Windows-Anmeldeinformationen verwendet werden. Hierbei handelt es sich um eine Optimierung, die nur für SQL Server 2005 Analysis Services oder höher gilt, und zwar nur dann, wenn die Benutzer in Analysis Services Mitglieder derselben Gruppen sind und keine Cubeberechnungen oder Sicherheitsfunktionen verwendet werden, die von der Identität eines einzelnen Benutzers abhängen.

• Erhöhen Sie Lebensdauer des externen Datencache, wenn dies sinnvoll erscheint. Wenn eine Arbeitsmappe aufgrund der Größe einer Abfrage besonders lange braucht, um Daten zu aktualisieren, sollten Sie überlegen, das Datencache-Timeout für diese vertrauenswürdigen Speicherort zu erhöhen.

• Deaktivieren Sie die Interaktivität im Dashboard für OLAP-PivotTable-Berichte. Wenn Benutzer mit OLAP-basierten PivotTable-Berichten interagieren, werden neue Abfragen für die Sitzung dieses Benutzers an die Backend-Datenquelle ausgegeben. In diesem Fall beendet dieser Benutzer die Freigabe des Datencache. Ziehen Sie in Betracht, die Arbeitsmappe zu veröffentlichen, sodass die Ansicht der Daten für die meisten Benutzer geeignet ist, und deaktivieren Sie die Interaktivität dort, wo es sinnvoll erscheint.

Wie kann ich Daten sichern, sodass sie nur über eine in Excel Services veröffentlichte Arbeitsmappe angezeigt werden können?

In Excel Services wird die Berechtigung Nur anzeigen genutzt, die in Microsoft Office SharePoint Server 2007 festgelegt wird. Alle Benutzer, die in Microsoft Office SharePoint Server 2007 der Gruppe Viewer hinzugefügt werden, verfügen standardmäßig über diese Berechtigung. Diese gilt jedoch nur für Dateien, die aus Microsoft Office SharePoint Server 2007 geladen werden, wenn der vertrauenswürdige Dateispeicherort den Typ SharePoint aufweist.

Benutzer mit der Berechtigung Nur anzeigen können Arbeitsmappen laden, rendern, damit interagieren, aktualisieren, neu berechnen und Snapshots von Arbeitsmappen erstellen, die in Excel Services geladen sind. Diese Benutzer können jedoch nicht direkt auf die Dateiquelle oder den Inhalt der Arbeitsmappe zugreifen. Das bedeutet, dass sie die Arbeitsmappe nicht herunterladen, speichern oder direkt in Excel öffnen können oder auf andere Weise als mit Excel Services auf den Dateiinhalt zugreifen können. Dies ist die empfohlene Methode zur Sicherung von Arbeitsmappen.

In diesem Fall können die Benutzer nur jene Teile der Arbeitsmappe anzeigen, die vom Autor der Arbeitsmappe im Excel-Client mithilfe des Features zur Veröffentlichung in Excel Services als "auf dem Server sichtbar" gekennzeichnet wurden. Durch Veröffentlichung bestimmter Teile der Arbeitsmappe und Sicherung der Arbeitsmappe durch die Berechtigung Nur anzeigen kann der Arbeitsmappenautor sicherstellen, dass keine Daten oder proprietäre Informationen aus der Arbeitsmappe preisgegeben werden, wenn er dies nicht möchte.

In Fällen, in denen Benutzer die Quelle der Arbeitsmappe herunterladen dürfen, aber keinen direkten Zugriff auf die Datenquelle haben, können die Benutzer diese Verbindung nicht über den Excel-Client aktualisieren, falls die Datenverbindung SSO oder das unbeaufsichtigte Konto zur Aktualisierung auf dem Server verwendet. Dies liegt daran, dass der Excel-Client das unbeaufsichtigte Konto des Servers oder SSO nicht zur direkten Aktualisierung von Verbindungen verwenden kann. Der Arbeitsmappenautor sollte in diesen Fällen darauf achten, alle zwischengespeicherten Daten aus der Arbeitsmappe zu entfernen oder sicherzustellen, dass alle zwischengespeicherten Daten in der Arbeitsmappe von allen Benutzern angezeigt werden dürfen, die die Arbeitsmappe im Excel-Client öffnen können.

Ich habe die Anweisungen in diesem Artikel befolgt, aber wenn ich meine Arbeitsmappe auf dem Server lade, wird eine Fehlermeldung angezeigt, dass einige Features in Verbindung mit den Abfragtabellen nicht unterstützt werden. Wie kann ich das Problem beheben?

Beim Erstellen einer Arbeitsmappe und erstmaligen Einfügen externer Daten in eine Arbeitsmappe wird das Dialogfeld Daten importieren mit Optionen zur visuellen Darstellung der Daten angezeigt, wie in der folgenden Abbildung dargestellt.

Wenn Sie in diesem Dialogfeld die Option Tabelle auswählen, wird eine Abfragetabelle erstellt. Diese Strukturen werden in Excel Services nicht unterstützt, und die Arbeitsmappe wird nicht auf dem Server geladen. Zum Beheben dieses Problems löschen Sie die Tabelle aus der Arbeitsmappe. Verbinden Sie die Daten neu, und wählen Sie das nächste Mal die Option PivotTable-Bericht.

Mithilfe der PivotTable-Tools, der Registerkarte Entwurf und der Multifunktionsleiste kann ein PivotTable-Bericht so verändert werden, dass er fast wie eine Abfragetabelle aussieht. Deaktivieren Sie Teilergebnisse, Gesamtergebnisse und die Drillsymbole. Wählen Sie anschließend als Berichtslayout das Tabellenformat aus.

Eine weitere Möglichkeit, die benutzerdefinierten Code erfordert, ist die Verwendung einer UDF zum Abrufen der Daten und die Rückgabe an die Arbeitsmappe in Form einer Tabelle. Diese kann dann in Excel Services gerendert, geladen und aktualisiert werden. Eine detaillierte Beschreibung würde jedoch den Rahmen dieses Artikels sprengen.

Ich habe eine ODBC-Verbindung und daher keine ODC-Datei. Wie kann ich meine Verbindung mit einer Datenverbindungsbibliothek verwenden, sodass sie in Excel Services funktioniert?

Excel Services funktioniert nur mit ODC-Dateien. Wenn eine Ihrer Arbeitsmappen eine Verbindung enthält, die Sie in einer Datenverbindungsbibliothek speichern und in Excel Services verwenden möchten, müssen Sie diese Verbindung als ODC-Datei exportieren. Der Befehl Verbindungsdatei exportieren im Dialogfeld Verbindungseigenschaften, der unter Angeben der Serverauthentifizierung für eine vorhandene Verbindung beschrieben wird, kann hierfür verwendet werden, da er stets ODC-Dateien exportiert.

Wie werden die Berechtigung "Nur anzeigen" und die ODC-Dateien in einer Datenverbindungsbibliothek verwendet?

Die Berechtigung Nur anzeigen gewährt Benutzern das Recht zur Verwendung einer Excel-Datei in Excel Services, aber nicht in einer anderen Clientanwendung, auch nicht in Excel. Die ODC-Dateien funktionieren auf die gleiche Weise. Wenn eine Arbeitsmappe eine ODC-Datei verwendet, um Daten zu aktualisieren, wird die Serverkopie dieser Arbeitsmappe ordnungsgemäß für einen Benutzer mit der Berechtigung Nur anzeigen für die ODC-Datei aktualisiert. Aber selbst wenn der Benutzer über Berechtigungen zum Öffnen der Arbeitsmappe im Excel-Client verfügt, kann die Verbindung die ODC-Datei nicht zur Aktualisierung im Excel-Client verwenden. Der Benutzer kann die ODC-Datei nur zur Aktualisierung von Arbeitsmappen auf dem Server, auf dem die ODC-Datei ausgeführt wird, verwenden.

Normalerweise verfügt der Benutzer über die gleichen Nur anzeigen-Berechtigungen für die Arbeitsmappe und die ODC-Datei. Wenn Benutzer die Arbeitsmappe im Excel-Client öffnen sollen, die ODC-Datei hingegen nicht, sollte die die eingebettete Verbindung in der Arbeitsmappe den Inhalt der ODC-Datei nicht preisgeben. In diesem Fall sollte die eingebettete Verbindung keine Kopie der ODC-Datei sein. Stellen Sie sicher, dass die zwischengespeicherten Daten in der Arbeitsmappe keine Daten aus der Datenquelle preisgeben, auf die die ODC-Datei verweist.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

• Planen von Websites und Features, Teil 1

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007.

Siehe auch

Konzepte

Planen der Sicherheit von Excel Services
SharePoint Server 2007
Ermitteln der Ressourcenanforderungen für die Unterstützung von Excel Services

Weitere Ressourcen

Excel Services (in englischer Sprache)
Excel Services- Architektur (in englischer Sprache)
Übersicht über einmaliges Anmelden (in englischer Sprache)
Implementieren eines austauschbaren SSO-Providers (in englischer Sprache)
Erstellen benutzerdefinierter Lösungen mit Excel Services (in englischer Sprache)
Kerberos-Authentifizierung in Windows Server 2003 (in englischer Sprache)
Demo: Aktivieren von Excel Services und Datenverbindungen für eine SharePoint-Teamwebsite