Authentification de données pour Excel Services dans SharePoint Server 2013

S’APPLIQUE À :  yes-img-13 2013  no-img-16 2016  no-img-19 2019  no-img-se Subscription Edition  no-img-sop SharePoint in Microsoft 365

Pour extraire des données d'une source de données, un utilisateur doit être authentifié par la source de données, puis autorisé à accéder aux données qu'elle contient. Dans le cas d'un classeur, Excel Services authentifie la source de données pour l'utilisateur qui l'affiche de façon à actualiser les données auxquelles le classeur est connecté.

La méthode d'authentification utilisable par Excel Services pour extraire les données dépend du type de la source de données sous-jacente, comme indiqué dans le tableau suivant. Les connexions de données doivent indiquer la méthode d'authentification à utiliser lorsque les sources de données en prennent plusieurs en charge.

Sources de données et méthodes d'authentification pour Excel Services

Source de données Méthode d'authentification
Analysis Services
Authentification Windows (sécurité intégrée)
à l’aide de la délégation Kerberos contrainte
à l’aide de la Banque d’informations sécurisée
à l’aide du compte de service automatisé
à l’aide de la chaîne de propriété de connexion EffectiveUserName
SQL Server
Au choix :
Authentification Windows (sécurité intégrée)
à l’aide de la délégation Kerberos contrainte
à l’aide de la Banque d’informations sécurisée
à l’aide du compte de service automatisé
Authentication SQL Server
Fournisseurs de données personnalisés
Varie selon la source de données, en général une paire formée par le nom d’utilisateur et le mot de passe, stockée dans la chaîne de connexion.

Des fournisseurs de données personnalisés peuvent également être utilisés.

Les sources de données suivantes sont prises en charge dans Excel, mais pas dans Excel Services :

  • Bases de données Access

  • Contenu web

  • Données XML

  • Microsoft Azure Marketplace

  • Fichiers texte

Connexion aux données externes avec Excel Services

Excel Services peut se connecter à différentes sources de données externes, dont SQL Server, Analysis Services et des fournisseurs de données OLE DB/ODBC personnalisés. Pour se connecter à la source de données, Excel Services utilise un fournisseur de données spécifique pour chaque source de données.

En tant que mesure de sécurité, Excel Services doit explicitement approuver les fournisseurs de données avant de pouvoir les utiliser. Il est possible de configurer les fournisseurs de données approuvés dans les paramètres de l'application de service Excel Services sur le le site Web Administration centrale de SharePoint.

La connexion à une source de données SQL Server peut être effectuée en utilisant au choix :

  • Authentification Windows

  • Authentication SQL Server

La connexion à une source de données Analysis Services s'effectue par le biais d'une authentification Windows.

D'autres sources de données utilisent une chaîne de connexion habituellement formée d'un nom d'utilisateur et d'un mot de passe.

Connexions de données pour les classeurs Excel Services

Les classeurs Excel Services utilisent l'un des deux types de connexions suivants :

  • Connexions incorporées

  • Connexions liées

Les connexions intégrées sont stockées dans le cadre du classeur Excel Services. Les connexions liées sont stockées en dehors d'un classeur dans des fichiers Office Data Connection (ODC). Pour utiliser une connexion liée, un classeur doit faire référence à un fichier .odc qui est également stocké dans la même batterie de serveurs que le classeur, dans une bibliothèque de connexions de données approuvée. Chaque connexion de données est composée des éléments suivants :

  • une chaîne de connexion ;

  • une chaîne de requête ;

  • une méthode d’authentification ;

  • éventuellement, des métadonnées nécessaires pour extraire des données externes.

Chaque type de connexion présente ses avantages et ses inconvénients, traités ici. Choisissez celui qui s'adapte le mieux à votre scénario.

Comparaison des connexions de données pour Excel Services

Type de connexion Connexions incorporées Fichiers ODC
Avantages
Toutes les informations de connexion sont stockées dans le classeur.
Les connexions incorporées nécessitent peu de tâches d’administration.
Les connexions incorporées sont faciles à créer.
Les connexions liées peuvent être stockées, gérées, auditées et partagées de façon centralisée et leur accès peut être contrôlé en utilisant une bibliothèque de connexions de données.
Les auteurs de classeurs peuvent utiliser des connexions existantes sans devoir créer de requêtes ni de chaînes de connexion.
En cas de modification des détails de la connexion de données d’une source de données, un administrateur doit simplement mettre à jour un fichier ODC. Avec cette modification, tous les classeurs qui font référence au fichier ODC utilisent les informations de connexion mises à jour à l’actualisation suivante (ce scénario est vérifié lorsque le serveur de base de données est déplacé ou que le nom de la base de données est modifié, par exemple).
Inconvénients
Si les détails de connexion de données d’une source de données changent, tous les workbooks avec des connexions incorporées à cette source de données doivent être republiés avec les informations de connexion mises à jour.
Les connexions de données incorporées sont plus difficiles à auditer par SharePoint administrateurs.
Les connexions liées peuvent nécessiter l’aide d’un administrateur SharePoint pour partager, gérer et sécuriser.
Les connexions liées sont sauvegardées en texte clair et peuvent contenir des mots de passe de base de données. Une attention particulière doit être apportée à la sécurisation de ces fichiers.

Choisissez une connexion de données liée, en utilisant un fichier ODC, pour les scénarios dans lesquels vous devez disposer d'une connexion de données à une source de données relationnelles à l'échelle de l'entreprise, telle que SQL Server ou Analysis Services. Les connexions de données liées sont très utiles dans les cas où elles doivent être partagées entre plusieurs utilisateurs et où contrôle de l'administrateur sur la connexion est important.

Notes

Les fichiers ODC doivent d’abord être créés dans Excel et exportés vers SharePoint Server 2013 avant de pouvoir être utilisés avec Excel Services.

Choisissez une connexion incorporée pour les scénarios où vous avez besoin d’une connexion de données qui ne sera pas largement utilisée.

Les fichiers ODC doivent être stockés dans une bibliothèque de connexions de données approuvée. Centraliser les connexions de données dans une telle bibliothèque de documents présente plusieurs avantages :

  • les administrateurs peuvent limiter l’accès en écriture à une bibliothèque de connexion de données à des auteurs de connexion de données approuvés pour garantir que seules des connexions de données dûment testés et sécurisées sont utilisées par les auteurs de classeurs ;

  • les administrateurs gèrent les connexions de données d’un groupe important d’utilisateurs à partir d’un seul emplacement ;

  • les administrateurs peuvent facilement approuver, auditer, rétablir et gérer des fichiers de connexion de données en utilisant les fonctions de contrôle de version et de flux de travail de la bibliothèque de documents ;

  • les bibliothèques de connexion de données peuvent être réutilisées sur d'autres applications Office telles que Visio, Visio Services, InfoPath 2016, InfoPath Forms Services et Word ;

  • les auteurs de classeurs cherchent les connexions de données de classeur dans un seul emplacement, ce qui limite la confusion et la formation des utilisateurs.

Pour plus d'informations sur la création des bibliothèques de connexion de données, voir Procédure : Créer et utiliser une bibliothèque de connexions de données (https://go.microsoft.com/fwlink/p/?LinkID=188117). Pour plus d'informations sur la création de fichiers ODC, voir Créer, modifier et gérer les connexions aux données externes (https://go.microsoft.com/fwlink/p/?LinkID=196894).

Authentification Windows

Pour l'authentification Windows, Excel Services doit présenter à la source de données un ensemble d'informations d'identification Windows. Ce type d’informations d’identification est courant sur les réseaux Windows et est le même que celui utilisé pour se connecter à des ordinateurs sur un domaine Windows ou pour se connecter à un ordinateur qui exécute Exchange. Les informations d'identification Windows sont considérées comme le moyen le plus sûr et le plus facile à gérer de contrôler l'accès aux bases de données SQL Server. Cependant, la mesure de sécurité Windows à double saut représente un obstacle à l'utilisation de l'authentification Windows avec Excel Services, car les informations d'identification d'un utilisateur ne peuvent pas être passées sur plusieurs ordinateurs dans un réseau Windows. Excel Services étant un système multiniveau, des méthodes d'authentification spéciales sont nécessaires pour qu'Excel Services puisse extraire des données pour l'utilisateur final.

Le choix de la méthode d'authentification dépend de divers facteurs comme indiqué dans le tableau suivant. Choisissez celle qui est la mieux adaptée à votre scénario.

Comparaison des méthodes d'authentification

Méthode d’authentification
Délégation Kerberos
Banque d'informations sécurisée
Compte de service automatisé
Nom d’utilisateur effectif
Description
À l’aide de la délégation Kerberos contrainte, les informations d’identification Windows de l’afficheur de classeurs sont envoyées directement à la source de données.
À l'aide du service Banque d'informations sécurisé, les informations d'identification Windows de l'afficheur sont mappées à un autre jeu d'informations d'identification indiqué dans une application cible de banque d'informations sécurisée.
À l'aide du service Banque d'informations sécurisé, tous les afficheurs sont mappés à un ensemble unique d'informations d'identification appelé Compte de service automatisé et stocké dans une application cible spécifique de la banque d'informations sécurisée indiquée dans les Paramètres globaux de Excel Services.
À l'aide du paramètre global EffectiveUserName, le nom d'utilisateur de domaine est transmis aux sources de données Analysis Services.
Informations d'identification de connexion de données
Informations d’identification Windows de l’afficheur de classeurs.
Informations d’identification indiquées dans l’application cible de la banque d’informations sécurisée.
Informations d'identification du compte de service automatisé.
Informations d'identification de l'identité de processus Excel Services.
Avantages
Le protocole Kerberos est un standard de l’industrie dans la gestion des informations d’identification.
Kerberos est étroitement lié à l’infrastructure Active Directory existante.
La délégation Kerberos permet l’audit des accès individuels à une source de données.
À condition que l’identité de l’afficheur de classeurs soit connue, les créateurs de classeurs peuvent incorporer des requêtes de base de données personnalisées dans des classeurs.
Le service Banque d’informations sécurisé fait partie de SharePoint Server et est plus simple à configurer que Kerberos.
Les mappages sont souples : un utilisateur peut être mappé dans une relation un-à-un ou plusieurs-à-un.
Les informations d'identification qui n'appartiennent pas à Windows peuvent être utilisées pour se connecter aux sources de données qui n'acceptent pas les informations d'identification Windows. (Requiert également la configuration du compte de service automatisé.)
Les mappages créés pour Excel Services peuvent être réutilisés par d'autres applications d'aide à la décision comme Visio Services.
Le compte de service automatisé est facile à déployer et à installer.
Le compte de service automatisé exige un minimum de tâches d’administration.
Sécurité des données par utilisateur sans avoir besoin de configurer la délégation Kerberos.
Configuration et tâches administratives minimales.
Inconvénients
Effort administratif supplémentaire requis pour configurer SharePoint Server 2013 et Excel Services.
Établir et gérer des tables de mappage impose des tâches d’administration.
La Banque d’informations sécurisée permet un audit limité. Dans le scénario plusieurs-à-un, des utilisateurs entrants individuels sont mappés aux mêmes informations d’identification via une application cible, ce qui les transforme en un seul utilisateur.
Tous les utilisateurs étant mappés aux mêmes informations d'identification, un administrateur ne peut pas savoir qui a accédé à une source de données.
Fonctionne uniquement avec des sources de données Analysis Services.
Pour que l'opération d'authentification aboutisse…
La délégation Kerberos doit être définie sur SharePoint Server 2013.
La Banque d’informations sécurisée doit être approvisionnée et configurée sur la batterie de serveurs. Elle doit également contenir les informations de mappage appropriées pour un utilisateur entrant donné. En outre, les informations de mappage peuvent avoir besoin d’être mises à jour régulièrement pour refléter les changements de mot de passe sur le compte mappé.
La Banque d'informations sécurisée doit être approvisionnée et configurée sur la batterie de serveurs. Elle doit également contenir les informations d'identification du compte de service automatisé. En outre, les informations de mappage peuvent avoir besoin d'être mises à jour régulièrement pour refléter les changements de mot de passe sur le compte mappé.
Les paramètres globaux Excel Services doivent être configurés afin d'utiliser le compte de service automatisé.
L'option EffectiveUserName doit être activée dans les paramètres globaux Excel Services.
L'utilisateur doit être membre du rôle Analysis Services approprié.

Délégation Kerberos

Choisissez la délégation Kerberos pour une authentification sécurisée et rapide aux sources de données relationnelles à l’échelle de l’entreprise qui prend en charge l’authentification Windows. Pour plus d’informations sur la configuration de la délégation Kerberos, voir :

Banque d’informations sécurisée

Choisissez la Banque d’informations sécurisée pour une authentification aux sources de données relationnelles à l’échelle de l’entreprise qui prend en charge ou non l’authentification Windows. La Banque d’informations sécurisée est également utile dans les cas où vous souhaitez contrôler les mappages des informations d’identification de l’utilisateur.

Pour plus d’informations sur l’utilisation du service Excel Services sécurisé, voir Utiliser Excel Services avec le service Service De SharePoint Server 2016.

Compte de service automatisé

Pour faciliter la configuration, Excel Services fournit une configuration spéciale permettant à un administrateur de créer un mappage unique associant tous les utilisateurs à un même ensemble d'informations d'identification.

Ce compte, appelé compte de service automatisé, doit être un compte de domaine Windows à faibles privilèges. Excel Services emprunte ce compte quand il se connecte à une source de données pour un afficheur de classeurs.

Il est d'usage de donner à ce compte aussi peu d'autorisations réseau que possible, en général uniquement l'accès pour se connecter au réseau et l'accès à la source de données à laquelle vous souhaitez que les utilisateurs se connectent. Pour une sécurité accrue, veillez à ce que le compte de service automatisé n'ait pas accès aux bases de données de configuration et de contenu SharePoint.

Le compte de service automatisé est utilisé par Excel Services dans ces scénarios :

  • lorsqu'un fichier ODC spécifie l'utilisation du service automatisé ;

  • lorsqu’une connexion de données incorporées spécifie le compte de service automatisé ;

  • lors de l'utilisation d'informations d'identification SQL stockées dans une application cible de la Banque d'informations sécurisée.

Notes

Le compte de service automatisé peut être un compte d'ordinateur local de type Windows. Si le compte de service automatisé est configuré en tant que compte d'ordinateur local, assurez-vous que la configuration est identique sur chaque serveur d'applications qui exécute Excel Services. Pour des raisons de simplicité de gestion, il est recommandé d'utiliser un compte de domaine.

Choisissez le compte de service automatisé pour les connexions à de petits déploiements ad hoc pour lesquels la sécurité est moins importante ou pour lesquels la vitesse de déploiement est essentielle.

Pour plus d’informations sur l’utilisation du compte de service sans surveillance avec Excel Services, voir Configure Excel Services data refresh by using the unattended service account in SharePoint Server 2016.

Authentification SQL Server

L'authentification SQL Server exige qu'Excel Services présente un nom d'utilisateur et un mot de passe SQL Server à une source de données SQL Server pour l'authentifier. Excel Services transmet la chaîne de connexion à la source de données. Cette chaîne de connexion doit contenir le nom d'utilisateur et le mot de passe.

Si le nom d'utilisateur et le mot de passe sont stockés dans une application cible de la Banque d'informations sécurisée (recommandé pour une meilleure sécurité), alors Excel Services emprunte l'identité du compte de service automatisé et lorsque la connexion est établie, les informations d'identification SQL sont définies en tant que propriétés de la connexion.

Authentification dans des sources de données OLEDB/ODBC

L'authentification aux sources de données tierces exige généralement qu'Excel Services présente un nom d'utilisateur et un mot de passe à une source de données.

Si le nom d'utilisateur et le mot de passe sont stockés dans le classeur ou dans le fichier ODC, alors Excel Services emprunte une identité Windows en fonction de l'option Paramètres d'authentification d'Excel Services sélectionnée, soit dans le classeur, soit dans le fichier ODC.

Si le nom d'utilisateur et le mot de passe sont stockés dans une application cible de la Banque d'informations sécurisée (recommandé pour une meilleure sécurité), alors Excel Services emprunte l'identité du compte de service automatisé et lorsque la connexion est établie, les informations d'identification SQL sont définies en tant que propriétés de la connexion.

Actualisation de données

Excel Services prend en charge l'actualisation des classeurs connectés à une ou plusieurs des sources de données suivantes :

  • SQL Server

  • SQL Server Analysis Services (SSAS)

Notes

Si la source de données à laquelle vous envisagez de vous connecter ne figure pas dans la liste ci-dessus, vous pouvez ajouter sa prise en charge en créant un fournisseur de données personnalisées. Cette technique vous permet d'encapsuler vos sources de données existantes dans une seule source consommable par Excel Services.

L'actualisation des données externes est le résultat des étapes suivantes exécutées dans Excel Services.

  1. Création d'un classeur : un auteur de classeurs télécharge un classeur connecté aux données dans SharePoint Server 2013.

  2. Déclenchement d'une actualisation : l'afficheur de classeurs déclenche l'actualisation sur un classeur connecté aux données.

  3. Connexions de données : Excel Services extrait les informations de connexion de données de chaque source de données externe dans le classeur.

  4. Fournisseurs de données approuvés : Excel Services vérifie s'il existe un fournisseur de données approuvé utilisable pour extraire les données.

  5. Authentification : Excel Services s'authentifie dans la source de données et extrait les données demandées pour l'afficheur de classeurs.

  6. Actualisation des classeurs : Excel Services met à jour le classeur en fonction des données de la source de données et le renvoie à l'afficheur.

L'actualisation peut être déclenchée de l'une des manières suivantes à partir du navigateur :

  • L’utilisateur final ouvre le classeur (si le classeur est configuré afin de s’actualiser à l’ouverture).

  • L’utilisateur final clique sur le bouton d’actualisation dans un classeur déjà ouvert.

En l’absence de versions précédemment mises en cache de ce classeur, n’importe laquelle de ces actions déclenche une actualisation et met à jour le classeur.