Planen der PowerPivot-Authentifizierung und -Autorisierung
Eine PowerPivot für SharePoint-Bereitstellung, die innerhalb einer SharePoint 2010-Farm ausgeführt wird, verwendet das von den SharePoint-Servern bereitgestellte Authentifizierungssubsystem und Autorisierungsmodell. Die SharePoint-Sicherheitsinfrastruktur erstreckt sich auch auf PowerPivot-Inhalte und -Vorgänge, da sämtliche PowerPivot-bezogenen Inhalte in SharePoint-Inhaltsdatenbanken gespeichert werden und die gesamte PowerPivot-bezogene Verarbeitung von freigegebenen PowerPivot-Diensten in der Farm ausgeführt wird. Benutzer, die eine Arbeitsmappe mit PowerPivot-Daten anfordern, werden mit einer SharePoint-Benutzeridentität authentifiziert, die auf deren Windows-Benutzeridentität basiert. Anzeigeberechtigungen für die Arbeitsmappe bestimmen, ob die Anforderung gewährt oder verweigert wird.
Die SharePoint-Autorisierung wird ausschließlich für alle Zugriffsebenen für die PowerPivot-Datenverarbeitung und die PowerPivot-Services verwendet. Für die innerhalb einer Excel-Arbeitsmappe dargestellten PowerPivot-Daten ist keine Autorisierung auf Zeilenebene verfügbar, die eine differenzierte Sicherheit auf Zeilen- oder Tabellenebene bietet. Sie können nicht verschiedene Teile der Arbeitsmappe sichern, um ausgewählten Benutzern Zugriff auf vertrauliche Daten in der Datenquelle zu gewähren oder zu verweigern. Sie können nicht die rollenbasierte Analysis Services-Sicherheit anwenden, um PowerPivot-Daten in einer Excel-Arbeitsmappe zu sichern. Eingebettete PowerPivot-Daten sind für Benutzer mit Anzeigeberechtigungen für die Excel-Arbeitsmappe in einer SharePoint-Bibliothek uneingeschränkt verfügbar.
Da die Integration mit Excel Services für Self-Service-Datenanalysen erforderlich ist, sollten Ihnen zum Sichern eines PowerPivot-Servers auch die Sicherheitsfunktionen von Excel Services vertraut sein. Wenn ein Benutzer eine PivotTable abfragt, die über eine Datenverbindung zu PowerPivot-Daten verfügt, leiten die Excel Services eine Datenverbindungsanforderung zum Laden der Daten an einen PowerPivot-Server in der Farm weiter. Aufgrund der Interaktion zwischen den Servern sollten Sie wissen, wie Sie Sicherheitseinstellungen konfigurieren, die für beide Server kompatibel sind.
Klicken Sie auf die folgenden Links, um bestimmte Abschnitte in diesem Thema zu lesen:
Authentifizierungsanbieter, die von PowerPivot für SharePoint unterstützt werden
Benutzerautorisierung
SharePoint-Berechtigungen
Verwenden von Excel Services-Sicherheit mit PowerPivot-Arbeitsmappen
Authentifizierungsanbieter, die von PowerPivot für SharePoint unterstützt werden
PowerPivot für SharePoint wird für SharePoint-Webanwendungen unterstützt, die für die Verwendung der Windows-Authentifizierung konfiguriert sind. Die Windows-Authentifizierung ist für Datenverbindungen erforderlich, die vom PowerPivot-Webdienst behandelt werden (besonders für Anforderungen, die aus außerhalb der Farm ausgeführten Anwendungen stammen). Diese Anforderung stellt sicher, dass das Windows-Sicherheitstoken des Benutzers von der Clientanwendung ordnungsgemäß auf die Webanwendung zur nachfolgenden Verwendung auf dem PowerPivot-Webdienst übertragen wird.
.gif "Hinweis") Hinweis |
|---|
Weitere Informationen zu den Verbindungstypen, die der Webdienst behandelt, finden Sie unter PowerPivot-Webdienst (PowerPivot für SharePoint). |
Obwohl die Windows-Authentifizierung für das allgemeinere Datenzugriffsszenario (in dem PowerPivot-Daten aus der bereitstellenden Excel-Arbeitsmappe extrahiert werden) nicht erforderlich ist, verwenden Sie PowerPivot für SharePoint nicht mit SharePoint-Webanwendungen, die zur Verwendung anderer Authentifizierungsanbieter konfiguriert sind. Das führt zu einem Verbindungsfehler, wenn Benutzer eine Verbindung mit PowerPivot-Arbeitsmappen als externe Datenquelle herstellen möchten.
So überprüfen Sie den Authentifizierungsanbieter für eine Anwendung
Für vorhandene Webanwendungen befolgen Sie die folgenden Anweisungen, um sicherzustellen, dass sie zur Verwendung der Windows-Authentifizierung konfiguriert sind. Aktivieren Sie bei der Erstellung einer neuen Webanwendung auf der Seite "Neue Webanwendung erstellen" die Option Klassischer Authentifizierungsmodus.
Klicken Sie in der Zentraladministration unter Anwendungsverwaltung auf Webanwendungen verwalten.
Wählen Sie die Webanwendung aus.
Klicken Sie auf Authentifizierungsanbieter.
Überprüfen Sie, ob es einen Anbieter für jede Zone gibt und die Standardzone auf Windows festgelegt ist.
Grundlegendes zur Domänenkontovoraussetzung
In Produktionsumgebungen ist die Verwendung von Windows-Domänenbenutzer- oder -gruppenkonten erforderlich. Bei diesen Konten muss es sich um Domänenkonten handeln. Sie können keine lokalen Windows-Benutzer- oder -gruppenkonten auf Produktionsservern verwenden.
Aufgrund der Voraussetzung von Domänenkonten muss der SharePoint-Server jederzeit über Netzwerkkonnektivität mit einem Domänencontroller verfügen. Diese Anforderung ist notwendig, da Forderungen an den Windows-Tokendienst alle Anforderungen mit der Identität eines Windows-Domänenbenutzers authentifiziert (lokalen Konten werden nicht authentifiziert). Die Authentifizierung erfolgt für alle Verbindungen. Forderungen an den Windows-Tokendienst verwendet keine zwischengespeicherten Anmeldeinformationen.
Beachten Sie, dass Anforderungen, die von einer Clientanwendung zum Server fließen, sich in der gleichen Domäne oder in zwei Domänen mit einer bidirektionalen Vertrauensstellung befinden müssen. Eine unidirektionale Vertrauensstellung ist für die Datenaktualisierung auf dem Server nicht ausreichend.
| Hinweis |
|---|
Sie können SharePoint 2010, Excel Services und PowerPivot für SharePoint auf einem virtuellen Hyper-V-Computer bereitstellen, wenn Sie die Funktionen und das Verhalten von SharePoint 2010 in einer isolierten Umgebung und ohne Verbindung zum Unternehmensnetzwerk testen möchten. Weitere Informationen finden Sie unter Bereitstellen eines einzelnen Servers in einer isolierten Hyper-V-Umgebung auf der TechNet-Website bereit. |
Benutzerautorisierung
Für bestimmte Anforderungstypen wird die SharePoint-Benutzeridentität der Person, die eine Arbeitsmappe anfordert, von PowerPivot-Dienstinstanzen überprüft, um Berechtigungen zu verifizieren, korrekte Protokollinformationen zu generieren und einen Verwendungsverlauf zu erstellen. PowerPivot-Serverkomponenten verwenden in den folgenden Fällen eine SharePoint-Benutzeridentität:
Abfragen an PivotTables oder PivotCharts, die über Datenverbindungen mit einer PowerPivot-Datenquelle verfügen. Dabei stellt eine PowerPivot-Dienstanwendung im Namen eines Benutzers Verbindungen mit einer bestimmten PowerPivot-Dienstinstanz her, die die Daten verarbeitet.
Das Laden von PowerPivot-Daten aus dem Zwischenspeicher oder einer Bibliothek, wenn die Daten andernfalls nicht verfügbar sind. Wenn eine Datenverbindungsanforderung für PowerPivot-Daten ausgegeben wird, die noch nicht in das System geladen wurden, verwendet die Analysis Services-Dienst-Instanz die Windows-Benutzeridentität des SharePoint-Benutzers, um die Daten aus einer Inhaltsbibliothek abzurufen und in den Arbeitsspeicher zu laden.
Datenaktualisierungsvorgänge, bei denen eine aktualisierte Kopie der Datenquelle in der Arbeitsmappe in einer Inhaltsbibliothek gespeichert wird. In diesem Fall wird ein aktuelles Protokoll für den Vorgang unter Verwendung des Benutzernamens und des Kennworts ausgeführt, der/das aus einer Zielanwendung in Secure Store Service abgerufen wird. Die Anmeldeinformationen können das Konto der unbeaufsichtigten PowerPivot-Datenaktualisierung, oder die Anmeldeinformationen sein, die zusammen mit dem Datenaktualisierungszeitplan bei seiner Erstellung gespeichert wurden. Weitere Informationen finden Sie unter Konfigurieren und Verwenden gespeicherter Anmeldeinformationen für die PowerPivot-Datenaktualisierung.
SharePoint-Berechtigungen
Damit die Funktionen für Freigabe und Zusammenarbeit für eine PowerPivot-Arbeitsmappe optimal genutzt werden können, muss die Arbeitsmappe in einer SharePoint-Bibliothek veröffentlicht werden. Vorteile wie eine schnelle serverseitige Verarbeitung durch PowerPivot-Dienstinstanzen in der Serverfarm, koordinierte und skalierbare Verbindungen, Dokumentverwaltungsfunktionen sowie administrativer Einblick in die Verwendungsaktivitäten bestimmter Arbeitsmappen können erst nach der Veröffentlichung der Arbeitsmappe auf einem SharePoint-Server genutzt werden.
Die Veröffentlichung, Verwaltung und Sicherung einer PowerPivot-Arbeitsmappe wird nur durch die SharePoint-Integration unterstützt. SharePoint-Server bieten Authentifizierungs- und Autorisierungsmodelle, die den berechtigten Zugang zu Daten sicherstellen. Szenarien für die sichere Bereitstellung einer PowerPivot-Arbeitsmappe außerhalb einer SharePoint-Farm werden nicht unterstützt.
Obwohl Benutzerzugriffe auf die Datenquelle auf dem Server schreibgeschützt sind, kann die Datei in die Excel-Desktopanwendung heruntergeladen werden. Mitwirken-Berechtigungen für die Datei bestimmen, ob der Benutzer die Datei lokal ändern kann. Dies bedeutet, dass der effektive Berechtigungssatz für den Benutzerzugriff auf PowerPivot-Daten durch die Berechtigungsstufen Mitwirken und Anzeigen definiert wird. Andere Berechtigungsstufen können insofern verwendet werden, dass sie die gleichen Berechtigungen wie Mitwirken und Nur anzeigen beinhalten. (Beispiel: Da Lesen die Berechtigung Nur anzeigen einschließt, verfügt ein Benutzer, dem Lesen zugewiesen wird, über die gleiche Zugriffsebene wie ein Nur anzeigen.)
In der folgenden Tabelle werden die Berechtigungsebenen zusammengefasst, die den Zugriff auf PowerPivot-Daten- und -Servervorgänge bestimmen:
Berechtigungsebene |
Lässt diese Tasks zu |
|---|---|
Farm- oder Dienstadministrator |
Installieren, Aktivieren und Konfigurieren von Diensten und Anwendungen Verwenden des PowerPivot-Management-Dashboards und Anzeigen von Administratorberichten |
Vollzugriff |
Aktivieren der Integration von PowerPivot-Funktionen auf Website-Sammlungsebene Aktivieren der Onlinehilfe Erstellen einer PowerPivot-Galeriebibliothek Erstellen einer Datenfeedbibliothek |
Teilnehmen |
Hinzufügen, Bearbeiten, Löschen und Herunterladen von PowerPivot-Arbeitsmappen Konfigurieren der Datenaktualisierung Erstellen neuer Arbeitsmappen und Berichte auf Grundlage von PowerPivot-Arbeitsmappen auf einer SharePoint-Website Erstellen von Datendienstdokumenten in einer Datenfeedbibliothek |
Nur anzeigen |
Anzeigen von PowerPivot-Arbeitsmappen Anzeigen des Datenaktualisierungsverlaufs Herstellen einer Verbindung mit einer PowerPivot-Arbeitsmappe auf einer SharePoint-Website, um die Daten auf andere Weise erneut zu nutzen Laden Sie eine Momentaufnahme der Arbeitsmappe herunter. Die Momentaufnahme ist eine statische Kopie der Daten, ohne Datenschnitte, Filter, Formeln oder Datenverbindungen. Der Inhalt der Momentaufnahme entspricht den Zellenwerten im Browserfenster. |
Verwenden von Excel Services-Sicherheit mit PowerPivot-Arbeitsmappen
Die serverseitige PowerPivot-Verarbeitung ist eng mit Excel Services verbunden. Die weitreichende Integration beginnt auf der Dokumentebene. PowerPivot-Arbeitsmappen sind Excel-Arbeitsmappendateien (.xlsx), die PowerPivot-Daten enthalten oder darauf verweisen. Es gibt keine separate Dateierweiterung für PowerPivot-Daten. Die Daten werden in der Arbeitsmappe gespeichert, oder es wird von einer anderen Arbeitsmappe darauf verwiesen. Wenn eine PowerPivot-Arbeitsmappe auf einer SharePoint-Website geöffnet wird, liest Excel Services die eingebettete PowerPivot-Datenverbindungszeichenfolge und leitet die Anforderung an den lokalen OLE DB-Anbieter für SQL Server 2008 R2 Analysis Services weiter. Der Anbieter übergibt die Verbindungsinformationen daraufhin an einen PowerPivot-Server in der Farm. Damit die Anforderungen ungehindert zwischen den zwei Servern ausgetauscht werden können, muss Excel Services so konfiguriert werden, dass die für PowerPivot für SharePoint erforderlichen Einstellungen verwendet werden.
In Excel Services werden sicherheitsbezogene Konfigurationseinstellungen für Speicherorte, Datenanbieter und Datenverbindungsbibliotheken angegeben, die als vertrauenswürdig eingestuft wurden. In der folgenden Tabelle werden die Einstellungen beschrieben, die den PowerPivot-Datenzugriff aktivieren oder verbessern. Wenn eine Einstellung hier nicht aufgeführt wird, hat sie keine Auswirkungen auf PowerPivot-Serververbindungen. Schritt-für-Schritt-Anweisungen zum Angeben dieser Einstellungen finden Sie im Abschnitt "Aktivieren von Excel Services" unter Installieren von PowerPivot für SharePoint auf einem vorhandenen SharePoint-Server.
| Hinweis |
|---|
Die meisten sicherheitsbezogenen Einstellungen gelten für vertrauenswürdige Speicherorte. Wenn Sie die Standardwerte beibehalten oder andere Werte für verschiedene Websites verwenden möchten, können Sie einen zusätzlichen vertrauenswürdigen Speicherort für Websites mit PowerPivot-Daten erstellen und dann die folgenden Einstellungen nur für diese Websites konfigurieren. Weitere Informationen finden Sie unter Erstellen eines vertrauenswürdigen Speicherorts für PowerPivot-Websites. |
Bereich |
Einstellung |
Beschreibung |
|---|---|---|
Webanwendung |
Windows-Authentifizierungsanbieter |
PowerPivot konvertiert ein von Excel Services abgerufenes Forderungstoken in eine Windows-Benutzeridentität. Jede Webanwendung, die Excel Services als Ressource verwendet, muss für die Verwendung des Anbieters der Windows-Authentifizierung konfiguriert sein. |
Vertrauenswürdiger Speicherort |
Speicherorttyp |
Für diesen Wert muss Microsoft SharePoint Foundation festgelegt werden. PowerPivot-Server rufen eine Kopie der XLSX-Datei ab und laden sie auf einen Analysis Services-Server in der Farm hoch. Der Server kann nur XLSX-Dateien aus einer Inhaltsbibliothek abrufen. |
Externe Daten zulassen |
Für diesen Wert muss Vertrauenswürdige Datenverbindungsbibliotheken und eingebettete Verbindungen festgelegt werden. PowerPivot-Datenverbindungen sind in die Arbeitsmappe eingebettet. Wenn Sie keine eingebetteten Verbindungen zulassen, können Benutzer den PivotTable-Cache anzeigen, aber eine Interaktion mit PowerPivot-Daten kann nicht stattfinden. |
|
Beim Aktualisieren warnen |
Dieser Wert sollte deaktiviert werden, wenn Sie Arbeitsmappen und Berichte mithilfe der PowerPivot-Galerie speichern. Die PowerPivot-Galerie umfasst eine Dokumentvorschaufunktion, die am besten funktioniert, wenn Beim Öffnen aktualisieren und Beim Aktualisieren warnen deaktiviert sind. |
|
Vertrauenswürdige Datenanbieter |
MSOLAP.4 |
MSOLAP.4 ist standardmäßig enthalten. Entfernen Sie es nicht aus der Liste der vertrauenswürdigen Datenanbieter. Diese Version des OLE DB-Anbieters behandelt Anforderungen von PowerPivot-Daten in einer SharePoint-Farm. |
Vertrauenswürdige Datenverbindungsbibliotheken |
Optional. |
Sie können Office Data Connection (ODC)-Dateien in PowerPivot-Arbeitsmappen verwenden. Wenn Sie Verbindungsinformationen mithilfe von ODC-Dateien für lokale PowerPivot-Arbeitsmappen bereitstellen, können Sie der Bibliothek die gleichen ODC-Dateien hinzufügen. |
Benutzerdefinierte Funktionsassembly |
Nicht zutreffend. |
Benutzerdefinierte Funktionsassemblys, die Sie für Excel Services erstellen und bereitstellen, wirken sich nicht auf PowerPivot-Server aus. |
Siehe auch