Archiviazione sicura per applicazioni di servizio di business intelligence

Articolo
02/17/2017

Si applica a: SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

In questo articolo viene illustrata la modalità di utilizzo del servizio di archiviazione sicura da parte delle caratteristiche di business intelligence di Microsoft SharePoint Server 2010 per fornire l'accesso a origini dati esterne (ad esempio SQL Server) per gli utenti di SharePoint Server 2010. Ai fini di questo articolo, le applicazioni di servizio di business intelligence di SharePoint Server 2010 sono:

Excel Services
PerformancePoint Services
Visio Services

Nelle applicazioni di servizio di business intelligence di SharePoint Server 2010 sono disponibili due metodi di accesso ai dati per gli utenti:

Autenticazione integrata di Windows tramite delega vincolata Kerberos
Servizio di archiviazione sicura

In questo articolo vengono illustrati il servizio di archiviazione sicura e le relative relazioni con le applicazioni di servizio di business intelligence. Per informazioni sull'utilizzo dell'autenticazione integrata di Windows con delega vincolata Kerberos, vedere Pianificare l'autenticazione Kerberos (SharePoint Server 2010).

Servizio di archiviazione sicura

L'archiviazione sicura è una caratteristica di SharePoint Server 2010 che fornisce l'accesso ai dati esterni a SharePoint Server 2010 (ad esempio dati di SQL Server) consentendo a un'applicazione di servizio di business intelligence di utilizzare un insieme di credenziali con accesso ai dati per conto di un utente di SharePoint Server 2010 che sta tentando di accedere ai dati. Questo utilizzo delle credenziali da parte di applicazioni di servizio di business intelligence per conto degli utenti è noto come rappresentazione.

L'archiviazione sicura fornisce questa associazione tra le applicazioni di servizio di business intelligence, gli utenti e le credenziali mediante l'utilizzo di un'applicazione di destinazione. Un'applicazione di destinazione dell'archiviazione sicura è un insieme di metadati che specifica quali utenti saranno autorizzati ad accedere a un gruppo specifico di credenziali che verranno utilizzate da un'applicazione di servizio di business intelligence per la rappresentazione per l'accesso a dati esterni. Questi metadati sono archiviati nel database di archiviazione sicura insieme alle credenziali stesse, che sono crittografate.

Le applicazioni di destinazione dell'archiviazione sicura possono essere utilizzate in molti modi nell'ambito di SharePoint Server 2010, ma ai fini degli scenari di business intelligence di SharePoint Server 2010 sono costituite dalle impostazioni seguenti, che possono essere configurate dall'amministratore di farm:

Amministratori Gli amministratori delle applicazioni di destinazione sono utenti con privilegi per l'amministrazione di una data applicazione di destinazione dell'archiviazione sicura, ad esempio l'amministratore di farm oppure uno o più utenti specifici, a seconda delle esigenze. Per le applicazioni di destinazione create da PerformancePoint Services l'amministratore viene configurato automaticamente da PerformancePoint Services e l'utente che configura l'account di servizio automatico viene aggiunto come amministratore.
Membri I membri di un'applicazione di destinazione sono gli utenti per conto dei quali l'applicazione di servizio di business intelligence rappresenterà le credenziali dell'applicazione di destinazione per l'accesso a dati esterni. I membri possono essere rappresentati da uno o più utenti oppure da un gruppo di Active Directory. Vengono indicati anche come proprietari di credenziali. Per le applicazioni di destinazione create da PerformancePoint Services, viene utilizzato come membro l'account di servizio utilizzato dal pool di applicazioni PerformancePoint Services.
Credenziali Le credenziali delle applicazioni di destinazione sono costituite da un account di Active Directory con accesso diretto a origini dati. È necessario concedere l'accesso necessario ai dati direttamente a questo account. L'accesso alle origini dati esterne non è controllato da SharePoint Server 2010. Questo account non deve disporre di privilegi elevati. È sufficiente che sia autorizzato ad accedere ai dati. È questo l'account rappresentato dalle applicazioni di servizio di business intelligence per concedere agli utenti l'accesso ai dati.

Gli amministratori, i membri e le credenziali possono essere configurati direttamente dall'amministratore di farm tramite l'archiviazione sicura di Excel Services e Visio Services. Per PerformancePoint Services, questi valori vengono configurati tramite Impostazioni applicazione PerformancePoint Service e non devono essere modificati tramite l'archiviazione sicura.

In Visio Services ed Excel Services è possibile utilizzare l'archiviazione sicura tramite uno dei due metodi seguenti:

Applicazione di destinazione specificata Viene indicata un'applicazione di destinazione specifica dal foglio di lavoro di Excel o dal disegno Web di Visio. Quando un utente accede al foglio di lavoro o al disegno Web, l'archiviazione sicura utilizza le credenziali associate a tale applicazione di destinazione per l'accesso ai dati. Per Visio Services, questa applicazione di destinazione deve essere specificata utilizzando un file ODC ospitato in SharePoint Server 2010.
Nessuna applicazione di destinazione specificata (account di servizio automatico) Non è specificata alcuna applicazione di destinazione dal foglio di lavoro di Excel o dal disegno Web di Visio. Quando un utente accede al foglio di lavoro o al disegno Web connesso a un'origine dati esterna, l'archiviazione sicura utilizza l'applicazione di destinazione specificata nelle impostazioni globali di Excel Services o Visio Services. Quando un'applicazione di destinazione è specificata a livello globale per un'applicazione di servizio di business intelligence, le credenziali dell'applicazione di destinazione vengono indicate come account di servizio automatico.

In PerformancePoint Services non è possibile indicare un'applicazione di destinazione dell'archiviazione sicura specifica. È possibile utilizzare l'archiviazione sicura solo con l'account di servizio automatico.

Viene illustrata di seguito la sequenza di base degli eventi:

Un utente di SharePoint Server 2010 accede a un oggetto connesso a dati, ad esempio un foglio di lavoro di Excel Services, un disegno Web di Visio Services o un dashboard di PerformancePoint Services.
Se l'oggetto è configurato per l'utilizzo dell'archiviazione sicura per l'autenticazione dei dati, l'applicazione di servizio di business intelligence chiamerà il servizio di archiviazione sicura per accedere all'applicazione di destinazione specificata dall'oggetto.
Se l'utente è membro di tale applicazione di destinazione, verranno restituite le credenziali archiviate nell'applicazione di destinazione e l'applicazione di servizio di business intelligence rappresenterà le credenziali durante l'accesso ai dati.
I dati vengono visualizzati all'utente nel contesto del foglio di lavoro, del disegno Web o del dashboard.

File di connessione dati

In tutte le applicazioni di servizio di business intelligence possono essere utilizzati file di connessione dati per specificare informazioni di autenticazione. In Excel Services e Visio Services vengono utilizzati file Office Data Connection (ODC), mentre in PerformancePoint Services vengono utilizzati file di connessione dati di PerformancePoint Services (PPSDC). Questi file consentono di utilizzare più fogli di lavoro di Excel Services, disegni Web di Visio Services o dashboard di PerformancePoint Services per condividere un insieme comune di parametri di accesso ai dati.

In ogni applicazione di servizio di business intelligence di SharePoint Server 2010 i file di connessione dati vengono utilizzati in modo diverso. Per una descrizione dei diversi utilizzi, vedere la sezione relativa a ogni applicazione di servizio più avanti.

Account di servizio automatico

Per account di servizio automatico si intendono le credenziali di un'applicazione di destinazione dell'archiviazione sicura specificata nelle impostazioni globali di un'applicazione di servizio di business intelligence. Questa applicazione di destinazione è utilizzata per fornire agli utenti l'accesso ai dati qualora non sia specificato un altro metodo di autenticazione. Per Visio Services l'account di servizio automatico è sempre necessario quando non viene utilizzata l'autenticazione integrata di Windows, anche se vengono fornite ulteriori informazioni di connessione nel file di connessione (ad esempio un stringa di autenticazione di SQL Server).

Accesso ai dati da client e server

Microsoft Excel 2010 e Microsoft Visio 2010 sono applicazioni client che funzionano in modo indipendente da SharePoint Server 2010. Benché possano pubblicare documenti in SharePoint Server 2010, non possono utilizzare direttamente l'archiviazione sicura per l'autenticazione nelle origini dati. Quando si crea o si modifica un foglio di lavoro o un disegno Web connesso a dati, è necessario utilizzare l'autenticazione integrata di Windows o un altro metodo di autenticazione applicabile per la connessione diretta a un'origine dati da Excel 2010 o Visio 2010. Tra gli altri metodi di autenticazione che è possibile utilizzare sono inclusi l'autenticazione di SQL Server o una stringa di connessione OLEDB. Dopo la pubblicazione del foglio di lavoro o del disegno Web in SharePoint Server 2010, è possibile utilizzare in Excel Services o Visio Services l'archiviazione sicura per la connessione all'origine dati durante la visualizzazione del contenuto a un utente.

PerformancePoint Services Dashboard Designer è integrato direttamente con SharePoint Server 2010. In Dashboard Designer è possibile utilizzare direttamente l'archiviazione sicura per l'autenticazione tramite l'account di servizio automatico. Ne consegue che gli utenti di Dashboard Designer non devono necessariamente accedere direttamente alle origini dati tramite l'autenticazione integrata di Windows, purché l'account di servizio automatico disponga dell'accesso necessario.

Excel Services e Servizi Visio

In Excel Services e Visio Services l'archiviazione sicura viene utilizzata in modo simile:

Entrambe le applicazioni possono archiviare un'applicazione di destinazione dell'archiviazione sicura specificata in un file ODC.
Entrambe le applicazioni possono utilizzare l'account di servizio automatico.

Esistono tuttavia alcune differenze chiave tra Excel Services e Visio Services, illustrate nelle sezioni riportate di seguito.

Excel Services

Le connessioni dati utilizzate da Excel Services devono essere configurate in Excel 2010 prima della pubblicazione in un sito di SharePoint Server 2010. Un foglio di lavoro di Excel 2010 può specificare direttamente informazioni di connessioni dati oppure includere un puntatore a un file ODC contenente le informazioni di connessione.

In una cartella di lavoro di Excel 2010 connessa a dati o in un file ODC sono disponibili le impostazioni di autenticazione seguenti:

Autenticazione integrata di Windows Specifica l'autenticazione integrata di Windows con delega Kerberos per autenticare ogni singolo utente quando viene visualizzata una cartella di lavoro di Excel 2010 tramite Excel Services.
ID servizio di archiviazione sicura Designa un'applicazione di destinazione dell'archiviazione sicura specifica da utilizzare per l'accesso alle origini dati.
Nessuno Utilizza le eventuali credenziali specificate nella stringa di connessione, altrimenti utilizza l'account di servizio automatico dell'archiviazione sicura designato nelle impostazioni globali di Excel Services.

Queste impostazioni possono essere modificate solo aprendo il foglio di lavoro o il file ODC in Excel 2010.

Servizi Visio

Visio Services supporta due metodi di connessione dati per i disegni Web di Visio:

Informazioni di connessione incorporate
Informazioni di connessione esterne che utilizzano un file ODC

Quando si crea un diagramma di Visio e lo si connette direttamente a un'origine dati, Visio 2010 archivia le informazioni sull'origine dati direttamente nel file quando si pubblica il disegno Web in SharePoint Server 2010. Quando un utente visualizza il disegno Web, Visio Services si connette all'origine dati utilizzando l'account di servizio automatico dell'archiviazione sicura specificato nelle impostazioni globali di Visio Services.

Se anziché effettuare direttamente la connessione a un'origine dati da Visio 2010 si effettua la connessione a un'origine dati utilizzando un file ODC esterno archiviato in SharePoint Server 2010, Visio 2010 mantiene il collegamento a tale file ODC quando si pubblica il disegno Web. Visio Services utilizza quindi le informazioni di connessione archiviate nel file ODC per la connessione all'origine dati. Questo metodo include l'utilizzo di una specifica applicazione di destinazione dell'archiviazione sicura, se indicata nel file ODC.

In Visio 2010 non è possibile modificare i file ODC. È consigliabile procedere come indicato di seguito per utilizzare un file ODC con un disegno Web di Visio: creare il file ODC in Excel 2010, pubblicarlo in SharePoint Server 2010 e quindi connetterlo a un'origine dati da Visio 2010 quando si crea un nuovo diagramma connesso a dati. È necessario utilizzare Excel 2010 per modificare i file ODC se si desidera modificare la query di dati o le informazioni di autenticazione, specificare un'applicazione di destinazione oppure modificare altre impostazioni.

Visio Services non consente di analizzare query SQL complesse. Se si tenta di utilizzare un file ODC contenente una query complessa, Visio Services potrebbe non consentire di eseguire la query e recuperare i dati.

PerformancePoint Services

In PerformancePoint Services viene utilizzata l'archiviazione sicura solo con l'account di servizio automatico. La scelta tra l'autenticazione integrata di Windows e l'account di servizio automatico viene effettuata tramite Dashboard Designer quando si crea o si modifica un'origine dati.

L'applicazione di destinazione dell'archiviazione sicura per l'account di servizio automatico di PerformancePoint Services viene configurata nell'ambito delle impostazioni dell'applicazione di servizio PerformancePoint Services da un amministratore. Anche se questa applicazione di destinazione è contenuta nell'elenco delle applicazioni di destinazione dell'archiviazione sicura, non deve essere modificata direttamente tramite l'archiviazione sicura.

Riepilogo delle differenze

Come descritto in questo articolo, in ogni applicazione di servizio di business intelligence l'archiviazione sicura viene utilizzata in modo diverso. Nella tabella riportata di seguito vengono riepilogate le funzionalità dell'archiviazione sicura e le opzioni per ogni applicazione di servizio di business intelligence.

Nota

Ogni applicazione di servizio di business intelligence supporta l'autenticazione integrata di Windows. Se è specificata l'autenticazione integrata di Windows, le opzioni dell'archiviazione sicura non vengono utilizzate.

Applicazione di servizio	Archiviazione sicura	Connessioni dati
PerformancePoint Services	Solo account di servizio automatico.	Create sempre tramite un file PPSDC.
Excel Services	L'applicazione di destinazione dell'archiviazione sicura può essere specificata in un file ODC o incorporata in un file XLSX. In caso contrario, verrà utilizzato l'account di servizio automatico.	Incorporate nel foglio di calcolo o specificate in un file ODC. I file ODC devono essere modificati in Excel 2010.
Visio Services	L'applicazione di destinazione dell'archiviazione sicura può essere specificata in un file ODC. Se non viene utilizzato alcun file ODC oppure se nel file ODC non è specificata alcuna applicazione di destinazione, verrà utilizzato l'account di servizio automatico. Se non viene utilizzata l'autenticazione integrata di Windows, sarà necessario utilizzare l'account automatico a meno che nel file ODC non sia specificata un'applicazione di destinazione diversa.	Incorporate in un disegno Web o specificate in un file ODC. Supporto limitato per query complesse. I file ODC devono essere modificati in Excel 2010. In Visio 2010 non possono essere modificati file ODC.

PerformancePoint Services

Solo account di servizio automatico.

Create sempre tramite un file PPSDC.

Excel Services

L'applicazione di destinazione dell'archiviazione sicura può essere specificata in un file ODC o incorporata in un file XLSX. In caso contrario, verrà utilizzato l'account di servizio automatico.

Incorporate nel foglio di calcolo o specificate in un file ODC. I file ODC devono essere modificati in Excel 2010.

Visio Services

L'applicazione di destinazione dell'archiviazione sicura può essere specificata in un file ODC. Se non viene utilizzato alcun file ODC oppure se nel file ODC non è specificata alcuna applicazione di destinazione, verrà utilizzato l'account di servizio automatico.

Se non viene utilizzata l'autenticazione integrata di Windows, sarà necessario utilizzare l'account automatico a meno che nel file ODC non sia specificata un'applicazione di destinazione diversa.

Incorporate in un disegno Web o specificate in un file ODC. Supporto limitato per query complesse. I file ODC devono essere modificati in Excel 2010. In Visio 2010 non possono essere modificati file ODC.