Проверка подлинности и авторизация PowerPivot
Развертывание PowerPivot для SharePoint, работающее в пределах фермы SharePoin 2010, использует подсистему проверки подлинности и модель авторизации, предоставляемые серверами SharePoint. Инфраструктура безопасности SharePoint распространяется на содержимое и операции PowerPivot, поскольку все содержимое PowerPivot хранится в базах данных содержимого SharePoint, а все операции, связанные с PowerPivot, выполняются общими службами PowerPivot на ферме. Перед запросом книги, содержащей данные PowerPivot, пользователь должен пройти проверку подлинности при помощи удостоверения пользователя SharePoint, которое основано на учетных данных пользователя Windows. Разрешения на просмотр книги определяют, возможно ли выполнение запроса.
Поскольку интеграция со службами Excel Services необходима для анализа данных в режиме самообслуживания, для овладения основами безопасности сервера PowerPivot необходимо знание основ безопасности служб Excel. Когда пользователь запрашивает сводную таблицу, имеющую подключение к данным PowerPivot, службы Excel перенаправляют запрос подключения к данным на сервер PowerPivot на ферме для загрузки данных. Такое взаимодействие между серверами требует понимания принципов настройки параметров безопасности для обоих серверов.
Перейдите по одной из следующих ссылок к соответствующему подразделу:
Windows Authentication Using Classic Mode Sign-in Requirement
Операции PowerPivot, требующие авторизации пользователей
Разрешения SharePoint для доступа к данным PowerPivot
Вопросы безопасности служб Excel для доступа к данным PowerPivot
Проверка подлинности Windows с использованием классического режима входа
PowerPivot для SharePoint поддерживает часть параметров проверки подлинности, доступных в SharePoint. При развертывании PowerPivot для SharePoint из доступных параметров проверки подлинности поддерживается только проверка подлинности Windows. Кроме того, веб-приложение, через которое выполняется вход, должно быть настроено на классический режим.
Проверка подлинности Windows требуется потому, что при развертывании PowerPivot для SharePoint подсистема обработки данных служб Analysis Services поддерживает только проверку подлинности Windows. Службы Excel устанавливают соединения со службами Analysis Services через поставщик OLE DB MSOLAP, используя удостоверение пользователя, подлинность которого была проверена через NTLM или по протоколу Kerberos.
Второе требование: чтобы гарантировать работоспособность работы веб-службы PowerPivot, требуется проверка подлинности в классическом режиме. Веб-служба PowerPivot — это компонент, который запускается на веб-сервере и обеспечивает перенаправление HTTP-запросов на сервер PowerPivot для SharePoint на ферме. Веб-служба поддерживает утверждения в маркере безопасности для связи между службами, но не поддерживает их для запросов подключения к данным, которые маршрутизируются в общую службу PowerPivot на ферме. Запросы на загрузку данных PowerPivot поддерживаются только для проверенных соединений, поступающих из IIS с удостоверением Windows. Классический режим входа в веб-приложение обеспечивает успешное подключение веб-служб PowerPivot к общим службам PowerPivot на ферме.
Хотя классический режим входа не требуется для более распространенного способа доступа к данным (когда данные PowerPivot извлекаются из той же книги Excel, где производится подготовка к просмотру), не пытайтесь использовать PowerPivot для SharePoint с веб-приложениями SharePoint, настроенными на использование других поставщиков проверки подлинности. Подобные действия приведут к сбою соединения при каждой попытке пользователя подключиться к книге PowerPivot как к внешнему источнику данных.
Без классического входа в систему следующие типы запросов, управляемые веб-службой PowerPivot, завершатся ошибкой:
Любой запрос данных PowerPivot, поступивший из-за пределов фермы (например, создание отчетов в конструкторе отчетов или построителе отчетов, где источник данных — это URL-адрес SharePoint для подключения к книге PowerPivot)
Запросы внутри фермы от клиентского приложения или отчета, которые используют книгу PowerPivot в качестве внешнего источника данных (например, создание книги в приложении Excel, когда в качестве источника данных используется вторая опубликованная книга Excel с данными PowerPivot)
Проверка поставщика проверки подлинности для приложения
При создании новых веб-приложений следует обязательно выбирать параметр Классический режим проверки подлинности на странице «Создание нового веб-приложения».
Для существующих веб-приложений выполните следующие инструкции, чтобы проверить, настроено ли веб-приложение на использование проверки подлинности Windows.
В разделе «Управление приложениями» центра администрирования выберите Управление веб-приложениями.
Выберите веб-приложение.
Нажмите кнопку Поставщики проверки подлинности.
Проверьте, что для каждой зоны есть только один поставщик, а для зоны, используемой по умолчанию, поставщиком проверки подлинности является Windows.
Операции PowerPivot, требующие авторизации пользователей
Для всех уровней доступа к обработке запросов и данных PowerPivot используется исключительно авторизация SharePoint.
Авторизация на основе ролей служб Analysis Services не поддерживается. Авторизация на основе ролей на уровне ячеек, строк или таблицы не существует. Невозможна частичная защита книги, позволяющая предоставлять или запрещать доступ отдельных пользователей к конфиденциальным данным, содержащимся в книге. Внедренные данные PowerPivot в полном объеме доступны пользователям, имеющим разрешения на просмотр книг Excel в библиотеке SharePoint.
PowerPivot для SharePoint будет выполнять олицетворение пользователя SharePoint в следующих случаях:
Запросы к сводным таблицам или диаграммам, которые имеют соединения с базой данных PowerPivot, когда приложение службы PowerPivot от имени пользователя устанавливает соединения с конкретной общей службой PowerPivot, обрабатывающей данные.
Загрузка данных PowerPivot из кэша или библиотеки, если данные не доступны другими способами. Если подключение к данным производится для данных PowerPivot, еще не загруженных в систему, то экземпляр Службы Analysis Services пользуется удостоверением пользователя SharePoint для получения источника данных из библиотеки содержимого и его загрузки в память.
Операции обновления данных, которые сохраняют обновленную копию источника данных в книге в библиотеке содержимого. В этом случае фактическая операция входа выполняется с использованием имени пользователя и пароля, полученных из целевого приложения в службе Secure Store. Учетные данные могут представлять учетную запись автоматического обновления данных или учетные данные, сохраненные вместе с расписанием обновления данных во время создания. Дополнительные сведения см. в разделах Настройка сохраненных учетных данных для обновления данных PowerPivot (PowerPivot для SharePoint) и Настройка учетной записи автоматического обновления данных PowerPivot (PowerPivot для SharePoint).
Разрешения SharePoint для доступа к данным PowerPivot
Публикация, обеспечение безопасности книги PowerPivot и управление ею поддерживаются только через интеграцию с SharePoint. Серверы SharePoint имеют подсистемы проверки подлинности и авторизации, обеспечивающие санкционированный доступ к данным. Не существует поддерживаемых сценариев для безопасного развертывания книги PowerPivot за пределами фермы SharePoint.
Имея разрешения на просмотр или выше, пользователи могут производить доступ к данным PowerPivot на сервере только для чтения. Разрешения на участие позволяют добавлять и изменять файлы. Чтобы изменять данные PowerPivot, необходимо загрузить книгу в приложение Excel для настольной системы, на котором установлена надстройка PowerPivot для Excel. Разрешения на участие для файла определяют, может ли пользователь загрузить файл в свою систему, а затем сохранить изменения в SharePoint.
Сами по себе уровни «Участие» и «Только просмотр» определяют эффективный набор разрешений для доступа пользователя к данным PowerPivot. Другие уровни разрешений тоже будут работать в той степени, в какой им предоставлены те же разрешения, что и для уровней «Участие» и «Только просмотр» (например, поскольку уровень «Чтение» включает разрешения уровня «Только просмотр», пользователь с уровнем «Чтение» будет иметь тот же уровень доступа, что и пользователь с уровнем «Только просмотр»).
В следующей таблице обобщены сведения по уровням разрешений, которые определяют доступ к данным PowerPivot и операциям сервера отчетов.
Уровень разрешений |
Разрешает следующие задачи |
|---|---|
Администратор фермы или службы |
Установка, включение и настройка служб и приложений. Использование панели мониторинга PowerPivot и просмотр административных отчетов. |
Полный доступ |
Активация интеграции функции PowerPivot на уровне семейств веб-сайтов. Создание библиотеки галереи PowerPivot. Создание библиотеки веб-каналов данных. |
Участие |
Добавление, изменение, удаление и загрузка книг PowerPivot. Настройка обновления данных. Создание новых отчетов или книг на основе книг PowerPivot, расположенных на сайте SharePoint. Создание сервисных документов данных в библиотеке веб-каналов данных. |
Чтение |
Доступ к книгам PowerPivot в качестве внешнего источника данных, когда URL-адрес книги вводится явным образом в диалоговом окне соединения (например, через мастер подключения к данным Excel). |
Только просмотр |
Просмотр книг PowerPivot. Просмотр журнала обновления данных. Подключение локальной книги к книге PowerPivot на сайте SharePoint для повторного использования ее данных в других целях. Загрузите моментальный снимок книги. Моментальный снимок является статической копией данных, без срезов, фильтров, формул или подключений к данным. Содержимое моментального снимка аналогично копии значений ячеек из окна браузера. |
Вопросы безопасности служб Excel для книг PowerPivot
Обработка запросов на сервере PowerPivot тесно связана со службами Excel. Интеграция продукта начинается с уровня документа, поскольку книги PowerPivot представляют собой файлы книг Excel (XLSX-файлы), в которых содержатся данные PowerPivot или ссылки на них. Отдельного расширения файла для книги PowerPivot не существует.
Когда книга PowerPivot открывается на сайте SharePoint, службы Excel считывают внедренную в нее строку подключения к данным PowerPivot и передают запрос локальному поставщику данных OLE DB для служб SQL Server Analysis Services. Затем этот поставщик передает сведения о соединении серверу PowerPivot в ферме. Для беспрепятственного обмена запросами между двумя серверами службы Excel должны быть настроены с параметрами, требуемыми PowerPivot для SharePoint.
В службах Excel параметры конфигурации, связанные с безопасностью, указываются в надежных расположениях, у надежных поставщиков данных и в надежных библиотеках подключения к данным. В приведенной ниже таблице описаны параметры, включающие или улучшающие доступ к данным PowerPivot. Параметры, которых нет в этом списке, не влияют на серверные подключения PowerPivot. Пошаговые инструкции по настройке этих параметров см. в разделе «Включение служб Excel» документа Первоначальная конфигурация (PowerPivot для SharePoint).
.gif "Примечание") Примечание |
|---|
Большинство параметров безопасности применяется к надежным расположениям. Если необходимо сохранить значения по умолчанию или использовать различные значения для различных сайтов, можно создать дополнительное надежное расположение для сайтов, которые содержат данные PowerPivot, а затем настроить следующие параметры только для этих сайтов. Дополнительные сведения см. в разделе Создание надежного расположения для сайтов PowerPivot в центре администрирования. |
Область |
Параметр |
Описание |
|---|---|---|
Веб-приложение |
Поставщик проверки подлинности Windows |
PowerPivot преобразует токен утверждений, получаемый от служб Excel, в удостоверение пользователя Windows. Каждое веб-приложение, которое использует службы Excel в качестве ресурса, должно быть настроено для использования поставщика проверки подлинности Windows. |
Надежное расположение |
Тип расположения |
Это значение должно быть равно Microsoft SharePoint Foundation. Серверы PowerPivot получают копию XLSX-файла и загружают ее на сервер служб Analysis Services в ферме. Этот сервер может получить XLSX-файл только из библиотеки содержимого. |
Разрешить внешние данные |
Это значение должно быть установлено равным Надежные библиотеки подключений к данным и внедренные. Подключения к данным PowerPivot внедряются в книгу. Если запретить внедренные соединения, то пользователи смогут просматривать кэш сводных таблиц, но не смогут взаимодействовать с данными PowerPivot. |
|
Предупреждать при обновлении |
Этот параметр должен быть отключен, если галерея PowerPivot используется для хранения книг и отчетов. Галерея PowerPivot имеет функцию предварительного просмотра документов, которая работает лучше, если отключены оба предупреждения на открытие и обновление. |
|
Надежные поставщики данных |
MSOLAP.4 MSOLAP.5 |
MSOLAP.4 включается по умолчанию, но для доступа к PowerPivot поставщиком MSOLAP.4 должна быть версия SQL Server 2008 R2. MSOLAP.5 устанавливается с PowerPivot для SharePoint версии SQL Server 2012. Не удаляйте эти поставщики из списка надежных поставщиков данных. В некоторых случаях может потребоваться установка дополнительных копий этого поставщика на других серверах SharePoint на ферме. Дополнительные сведения см. в разделе Установка поставщика OLE DB служб Analysis Services на серверах SharePoint. |
Надежные библиотеки подключений к данным |
Необязательно. |
Можно использовать файлы подключения к данным Office (ODC), хранящиеся в книгах PowerPivot. Если сведения о соединении с локальными книгами PowerPivot поставляются из ODC-файла, то эти же ODC-файлы можно добавить в данную библиотеку. |
Определяемая пользователем сборка функций |
Неприменимо. |
PowerPivot для SharePoint игнорирует сборки пользовательских функций, созданные и развернутые для служб Excel. Если пользовательские сборки необходимы для каких-то операций, помните, что подсистема обработки запросов PowerPivot не будет использовать созданные функции, определяемые пользователем. |
См. также
Задания
Указание учетных записей служб PowerPivot
Настройка учетной записи автоматического обновления данных PowerPivot (PowerPivot для SharePoint)
Создание надежного расположения для сайтов PowerPivot в центре администрирования