Planeación de la seguridad de Excel Services

  • Artículo

En este artículo:

  • Acerca de la seguridad de Excel Services

  • Planeación de la autenticación de usuarios

  • Planeación de la comunicación entre servidores

  • Planeación de la autenticación de datos externos

  • Hojas de trabajo

Acerca de la seguridad de Excel Services

Además de los requisitos de seguridad para implementar Microsoft Office SharePoint Server 2007, debe revisar las consideraciones de seguridad para una implementación que incluya Servicios de Excel en Microsoft Office SharePoint Server 2007. Windows SharePoint Services 3.0 proporciona la plataforma en que se basa Office SharePoint Server 2007.

La funcionalidad de Servicios de Excel en Microsoft Office SharePoint Server 2007, en combinación con Office SharePoint Server 2007, es el método principal para controlar, proteger y administrar el acceso a los libros de Excel en la empresa. Servicios de Excel es un servidor de aplicaciones de clase empresarial diseñado para maximizar el rendimiento, la escalabilidad y la seguridad. Una implementación de Servicios de Excel proporciona una representación ligera de los libros e interactividad con ellos, y permite reutilizar fácilmente los componentes de los libros de trabajo, como los gráficos e informes de tabla dinámica, que se pueden representar en los paneles de inteligencia empresarial.

Servicios de Excel permite aprovechar los cálculos de las hojas de cálculo de Excel del servidor para las aplicaciones personalizadas y ofrece a los usuarios la posibilidad de bloquear los libros y proteger los datos privados y la propiedad intelectual. Esto garantiza que los datos de los libros estarán protegidos mientras los usuarios que interactúan con los libros en un servidor pueden aprovechar al máximo las funciones de actualización de datos y nuevos cálculos de Servicios de Excel.

La seguridad es un componente importante para la habilitación de estos escenarios de representación de datos. Es necesario tener en cuenta diversos factores durante la planeación de un entorno cuyo fin es garantizar la seguridad de los libros representados en un servidor. Debe planear la administración de la seguridad de los libros y del servidor. Servicios de Excel proporciona un nivel considerable de control granular para el procesamiento y la presentación de libros de Excel. Puede controlar el modo en que se abren los libros en el servidor y una serie de capacidades específicas habilitadas para cada libro.

Este artículo es una introducción a la configuración de seguridad de Servicios de Excel y los componentes relacionados que debe tener en cuenta al planear una implementación. Además, en este artículo se proporciona una guía prescriptiva para el uso de Servicios de Excel para proteger y administrar el acceso a los libros del servidor.

El modelo de seguridad para Servicios de Excel se basa en el concepto de que para garantizar la integridad y la calidad de los datos, el administrador debe poder administrar de forma centralizada los recursos compartidos y el acceso de los usuarios a la propiedad intelectual corporativa incluida en los libros. Para ello, Servicios de Excel permite especificar lo siguiente:

  • Ubicaciones de archivos de confianza   Se trata de bibliotecas de documentos de SharePoint, rutas UNC o sitios web HTTP en los que se debe confiar explícitamente para que Excel Calculation Services tenga acceso a ellos. Excel Calculation Services sólo abre los libros almacenados en ubicaciones de archivos de confianza.

  • Proveedores de datos de confianza   Se trata de bases de datos externas en las que Excel Calculation Services confía explícitamente al procesar las conexiones de datos de los libros. Excel Calculation Services sólo intenta procesar una conexión de datos si dicha conexión se establece con un proveedor de datos de confianza.

  • Bibliotecas de conexiones de datos de confianza   Se trata de bibliotecas de documentos de SharePoint que contienen archivos de conexión de datos de Office (.odc). Los archivos .odc se usan para administrar de forma centralizada las conexiones con orígenes de datos externos. En lugar de permitir conexiones incrustadas con orígenes de datos externos, Excel Calculation Services se puede configurar para requerir el uso de archivos .odc para todas las conexiones de datos. Los archivos .odc se almacenan en bibliotecas de conexiones de datos y es necesario confiar explícitamente en dichas bibliotecas para que Excel Calculation Services permita que los libros tengan acceso a ellas.

    De forma predeterminada, no se permite el acceso a los libros y las conexiones de datos entre dominios. Para permitir que los elementos web, las páginas o los servicios web tengan acceso a los libros de las ubicaciones de archivos de confianza (y las conexiones de datos de las bibliotecas de conexiones de datos de confianza) entre dominios, ejecute la utilidad de línea de comandos Stsadm.exe, como se muestra en el siguiente ejemplo, donde el Nombre del SSP es el nombre del proveedor de servicios compartidos de Excel Services:

    stsadm.exe -o Set-EcsSecurity -Ssp <Nombre del SSP> -AllowCrossDomainAccess true|false

    Las páginas web que realizan la solicitud y los libros o las conexiones de datos deben ubicarse en la misma granja de servidores.

    Nota

    Al abrir un libro en Excel Calculation Services, se almacena un archivo temporal en la carpeta %TEMP% del servidor de aplicaciones que ejecuta Excel Calculation Services.

Planeación de la autenticación de usuarios

Los libros de Excel que se abren con Excel Calculation Services se deben almacenar en la base de datos de contenido de Office SharePoint Server 2007, ya que Windows SharePoint Services 3.0 mantiene una lista de control de acceso (ACL) para estos archivos. Excel Calculation Services también puede abrir los libros desde rutas UNC y sitios web HTTP, aunque se recomienda usar la base de datos de contenido de Office SharePoint Server 2007 para almacenar los libros.

La autenticación para el acceso de usuarios a un sitio de portal de SharePoint se realiza con Windows SharePoint Services 3.0. De forma predeterminada, Windows SharePoint Services 3.0 usa la autenticación integrada de Windows.

Además de los métodos de autenticación incluidos, Servicios de Excel también admite la autenticación basada en formularios genérica. No obstante, la configuración de Windows SharePoint Services 3.0 para usar la autenticación basada en formularios genérica no se incluye en este artículo.

Planeación de la comunicación entre servidores

Puede determinar cómo se comunican los servidores cliente web con los servidores de aplicaciones de Excel Calculation Services y cómo se comunican los servidores de aplicaciones con los orígenes de datos back-end mediante la configuración de Servicios de Excel para usar el acceso a los datos del subsistema de confianza o la delegación. El subsistema de confianza es la configuración predeterminada para una granja de servidores de Windows dado que no tiene requisitos de configuración adicionales para el modelo de delegación. En el modelo del subsistema de confianza, los servidores cliente web y los servidores de aplicaciones de Excel Calculation Services confían en las cuentas de las aplicaciones de Office SharePoint Server 2007 asociadas mediante el uso del proveedor de servicios compartidos (SSP).

En un entorno de un subsistema de confianza, al abrir los archivos desde Office SharePoint Server 2007, las comprobaciones de permisos en los archivos se pueden realizar con identidades de usuario final, incluso aunque no se haya configurado Kerberos. Si los servidores de aplicaciones de Excel Calculation Services abren los libros desde recursos compartidos UNC o sitios web HTTP, la cuenta de usuario no se puede suplantar y se debe usar la cuenta de proceso.

Nota

Para suplantar la cuenta de usuario e implementar la autorización de libros, debe configurar la delegación limitada de Kerberos entre los servidores de aplicaciones de Excel Calculation Services y los recursos UNC o HTTP.

La delegación limitada de Kerberos es la configuración más segura para la comunicación entre servidores cliente web y servidores de aplicaciones de Excel Calculation Services. La delegación limitada de Kerberos es también la configuración más segura para obtener acceso a los orígenes de datos back-end desde servidores de aplicaciones. La delegación limitada de Kerberos es la configuración preferida para implementar Servicios de Excel. Para las conexiones de datos externos, la autenticación integrada de Windows sólo funciona si se implementa el modelo de delegación.

Planeación de la autenticación de datos externos

Los libros pueden contener conexiones de datos directas incrustadas y vínculos a los archivos de conexión de datos almacenados en las bibliotecas de conexiones de datos. Durante la actualización, según la configuración de Servicios de Excel, se puede usar la conexión de datos directa incrustada para consultar el origen de datos o se puede usar el vínculo a la biblioteca de conexiones de datos para consultar el archivo .odc. El archivo .odc contiene información de conexión de datos y se debe almacenar en una biblioteca de conexiones de datos.

Para configurar Servicios de Excel para procesar las conexiones a los orígenes de datos externos, seleccione una configuración en la sección Datos externos de la página Excel Services: Agregar ubicación de archivo de confianza de la aplicación web de Administración central de SharePoint.

Para establecer la configuración administrativa de Servicios de Excel, abra la aplicación web de Administración central de SharePoint desde Office SharePoint Server 2007 y realice el siguiente procedimiento.

Configuración administrativa de Excel Services

  1. En la página principal de Administración central, haga clic en Administración de aplicaciones.

  2. En la página Administración de aplicaciones, en la sección Servicios compartidos de Office SharePoint Server, haga clic en Crear o configurar los servicios compartidos de esta granja de servidores.

  3. En la página Administrar los servicios compartidos de esta granja de servidores, haga clic en SharedServices1 (Predeterminado). Se trata del SSP que configurará.

  4. En la página principal de Servicios compartidos, en la sección Configuración de Excel Services, haga clic en Ubicaciones de archivos de confianza.

  5. En la página Ubicaciones de archivos de confianza de Excel Services, haga clic en Agregar ubicación de archivo de confianza.

  6. En la sección Dirección, escriba la ubicación y el nombre de la biblioteca de documentos de SharePoint que desee agregar como ubicación de archivos de confianza en Servicios de Excel. Si la biblioteca de documentos se almacena en la base de datos de contenido de Windows SharePoint Services 3.0, asegúrese de que Windows SharePoint Services 3.0 esté seleccionado como Tipo de ubicación.

La delegación es obligatoria en la mayoría de las implementaciones de granjas de servidores con conexiones integradas. Cuando Excel Calculation Services recupera la información de conexión, las credenciales se designan como Almacenadas (se recuperarán de la base de datos de SSO), Incrustadas o Ninguna. Para las conexiones de datos con credenciales incrustadas, la delegación es obligatoria para las implementaciones escaladas en varios servidores. En una implementación independiente, la delegación no es obligatoria.

Supongamos que se establece una conexión de datos en un libro abierto en un servidor de aplicaciones de Excel Calculation Services que usa el método de credenciales almacenadas. Excel Calculation Services tiene que recuperar las credenciales válidas de una base de datos de autenticación de inicio de sesión único (SSO). A continuación, usa las credenciales para realizar la autenticación en un origen de datos para poder establecer la conexión de datos.

Servicios de Excel es compatible con tres métodos de autenticación de datos: la autenticación integrada de Windows, la autenticación SSO y ninguna autenticación.

Autenticación integrada de Windows

La autenticación integrada de Windows suele requerir la delegación limitada de Kerberos, que es el método de autenticación más seguro. Se recomienda habilitar la delegación limitada de Kerberos para la autenticación desde servidores cliente web para servidores de aplicaciones que ejecuten Excel Calculation Services y desde Excel Calculation Services para orígenes de datos externos. Para los escenarios de Servicios de Excel, se recomienda usar la autenticación integrada de Windows.

Autenticación SSO

La autenticación SSO permite a los usuarios tener acceso a varios recursos del sistema sin tener que proporcionar credenciales de autenticación más de una vez. Office SharePoint Server 2007 implementa la autenticación SSO mediante la inclusión de un servicio de Windows y una base de datos de credenciales seguras. Las funciones de SSO acoplables compatibles con Servicios de Excel le permiten implementar su propio proveedor de SSO. Office SharePoint Server 2007 incluye un proveedor de SSO de Windows que funciona con Servicios de Excel.

Todos los proveedores de SSO que implemente con Servicios de Excel deben mantener un indicador para cada entrada de SSO que especifique si la entrada de SSO usa credenciales basadas en Windows o credenciales de otro entorno. El proveedor de SSO de Windows de Office SharePoint Server 2007 mantiene un indicador con este fin. Servicios de Excel usa la base de datos de SSO para recuperar credenciales para la autenticación de conexiones.

La autenticación SSO de Office SharePoint Server 2007 admite asignaciones individuales y asignaciones de grupos. SSO mantiene un conjunto de credenciales para las identidades de aplicación (identificadores de aplicación) de los recursos almacenados en la base de datos de SSO de Office SharePoint Server 2007. En el caso de las asignaciones individuales, un nivel de seguridad comprueba las credenciales de usuario en varias listas individuales para un identificador de aplicación almacenado en la base de datos de SSO. Las asignaciones individuales son útiles si necesita información de registro del acceso de usuarios individuales a los recursos compartidos.

En el caso de las asignaciones de grupos, un nivel de seguridad comprueba las credenciales de grupo para varios usuarios del dominio en un conjunto único de credenciales para un recurso identificado mediante un identificador de aplicación almacenado en la base de datos de SSO. Las asignaciones de grupos son más fáciles de mantener que las asignaciones individuales y su rendimiento es superior.

Para habilitar las funciones de SSO para Office SharePoint Server 2007, inicie el servicio de inicio de sesión único de Microsoft y, a continuación, configure las opciones de SSO en la aplicación web de Administración central de SharePoint. Use los siguientes procedimientos para instalar y configurar una base de datos de SSO para autenticar las conexiones de datos.

Inicio del servicio de inicio de sesión único

  1. En Herramientas administrativas, haga clic en Servicios.

  2. Haga doble clic en Servicio de Inicio de sesión único de Microsoft.

  3. En la ficha Iniciar sesión de la página de propiedades del servicio de inicio de sesión único, haga clic en Esta cuenta y, a continuación, escriba el dominio, el nombre de usuario y la contraseña que usó para instalar y administrar el servidor.

  4. Haga clic en Aplicar.

  5. En la ficha General de la página de propiedades del servicio de inicio de sesión único, cambie el tipo de inicio a Automático, haga clic en Iniciar y, a continuación, haga clic en Aceptar.

    Nota

    Inicie el servicio de inicio de sesión único en todos los servidores cliente web y todos los servidores de aplicaciones de la granja de servidores que ejecutan Excel Calculation Services.

Administración de la configuración de SSO

  1. En Herramientas administrativas, abra la aplicación web de Administración central de SharePoint.

  2. En la página principal de Administración central, haga clic en Operaciones.

  3. En la sección Configuración de seguridad, haga clic en Administrar configuración de inicio de sesión único (Single Sign-on).

  4. En la página Administrar configuración de inicio de sesión único (Single Sign-on), haga clic en Administrar la configuración del servidor.

  5. En el cuadro Nombre de cuenta de la cuenta de administrador de SSO, escriba el mismo dominio y nombre de usuario que los usados para configurar el servicio de inicio de sesión único. Si el nombre de usuario usado para configurar el servicio de inicio de sesión único es miembro de un grupo de seguridad de Windows, puede escribir el nombre del grupo de seguridad de Windows en lugar del nombre de usuario.

  6. En el cuadro Cuenta de administrador de definiciones de aplicaciones de empresa, escriba el mismo dominio y nombre de usuario que usó para configurar el servicio de inicio de sesión único.

Ninguno

Si se especifica Ninguno como método de autenticación para la implementación de Servicios de Excel, Servicios de Excel intenta usar las cadenas de conexión entrante para conectarse con la base de datos especificada en la cadena. Según el proveedor de bases de datos, la base de datos puede usar la cadena de conexión para autenticar al usuario.

Servicios de Excel no analiza las cadenas de conexión para determinar un método de autenticación. Las cadenas de conexión se pasan simplemente al proveedor de bases de datos. Las cadenas de conexión pueden especificar que la autenticación integrada de Windows es obligatoria. Las cadenas de conexión también pueden incluir un nombre de usuario y una contraseña específicos. En cualquier caso, al especificar Ninguno como método de autenticación, Servicios de Excel requiere la suplantación de una cuenta de servicio desatendida.

Si el proveedor de bases de datos determina que la cadena de conexión especifica la autenticación integrada de Windows y si la base de datos autoriza el acceso, la conexión se establece mediante el contexto de seguridad de la cuenta desatendida. Si la cadena de conexión contiene un nombre de usuario y una contraseña y si la base de datos autoriza el acceso, la conexión se establece mediante el contexto de seguridad de la cuenta de usuario autorizada.

Cuenta de servicio desatendida

La cuenta de servicio desatendida es una cuenta con permisos de bajo nivel que Excel Calculation Services puede suplantar al establecer una conexión de datos que use credenciales de SSO desde un entorno no basado en Windows o cuyo método de autenticación sea Ninguno. Si no se configura ninguna cuenta de servicio desatendida, las conexiones de datos generan un error si se usa el SSO de un entorno distinto de Windows o Ninguno como método de autenticación.

La suplantación de la cuenta desatendida protege las bases de datos de Office SharePoint Server 2007 y cualquier otro origen de datos al que Servicios de Excel tenga acceso directo, incluidas las conexiones no autorizadas de los equipos cliente que usan Excel Calculation Services para abrir conexiones de datos externos. Si se suplanta una cuenta de servicio desatendida, las credenciales asociadas a un subproceso de aplicación de Excel Calculation Services no se pueden usar para obtener acceso a otras bases de datos. Además, si se suplanta una cuenta de servicio desatendida, las consultas de datos externos se ejecutan en el contexto de seguridad de una cuenta con permisos de bajo nivel en lugar de en el contexto de seguridad de un subproceso de aplicación de Excel Calculation Services con permisos de nivel superior.

Puede configurar la cuenta de servicio desatendida como una cuenta de dominio o una cuenta de equipo local. Si la cuenta de servicio desatendida se configura como una cuenta de equipo local, asegúrese de que la configuración es idéntica en cada servidor de aplicaciones que ejecute Excel Calculation Services. Restrinja los permisos de la cuenta de servicio desatendida para habilitar sólo el inicio de sesión en la red. Compruebe que la cuenta de servicio desatendida no tenga acceso a ningún origen de datos o base de datos de Office SharePoint Server 2007. Use el siguiente procedimiento para habilitar la cuenta de servicio desatendida.

Habilitación de la cuenta de servicio desatendida

  1. En los cuadros Nombre y Contraseña de la sección Datos externos de la página Configuración de Excel Services, escriba el nombre y la contraseña que desee usar.

  2. Haga clic en Aceptar.

Configuración de seguridad

Para configurar las opciones administrativas de Servicios de Excel, incluida la configuración de seguridad, abra la aplicación web de Administración central de SharePoint desde Herramientas administrativas de Microsoft Windows Server 2003 y realice el siguiente procedimiento.

Configuración de seguridad de Excel Services

  1. En la página principal de Administración central, haga clic en Administración de aplicaciones.

  2. En la página Administración de aplicaciones, en la sección Servicios compartidos de Office SharePoint Server, haga clic en Crear o configurar los servicios compartidos de esta granja de servidores.

  3. En la página Administrar los servicios compartidos de esta granja de servidores, haga clic en SharedServices1 (Predeterminado). Se trata del SSP que configurará.

  4. En la página principal de Servicios compartidos, en la sección Configuración de Excel Services, haga clic en Editar configuración de Excel Services.

Además, puede usar la página Configuración de Excel Services para configurar las opciones del método de acceso a archivos y el cifrado de datos, que tienen una repercusión directa en la implementación segura.

Método de acceso a archivos

En la sección Seguridad de la página Configuración de Excel Services, vaya a Método de acceso a los archivos y seleccione Suplantación o Cuenta de proceso.

  • Suplantación   Permite ejecutar un subproceso en un contexto de seguridad distinto del contexto del proceso propietario del subproceso. Seleccione Suplantación para que Excel Calculation Services autorice a los usuarios cuando intenten obtener acceso a los libros almacenados en las ubicaciones UNC y HTTP. Esta selección no afecta en absoluto a los libros almacenados en las bases de datos de Office SharePoint Server 2007. En la mayoría de las implementaciones de granjas de servidores en que los servidores cliente web y los servidores de aplicaciones de Excel Calculation Services se ejecutan en distintos equipos, la suplantación requiere la delegación limitada de Kerberos.

  • Cuenta de proceso   Si los servidores de aplicaciones de Excel Calculation Services van a abrir libros desde recursos compartidos UNC o sitios web HTTP, la cuenta de usuario no se puede suplantar y se debe usar la cuenta de proceso.

Cifrado de datos

Puede usar el protocolo de seguridad de Internet (IPsec) o la Capa de sockets seguros (SSL) para cifrar la transmisión de datos entre servidores de aplicaciones, orígenes de datos, equipos cliente y servidores cliente web de Excel Calculation Services. Para requerir la transmisión de datos cifrada entre los equipos cliente y los servidores cliente web, cambie la opción Cifrado de la conexión de Ninguno a Todas las conexiones. Ninguno es el valor predeterminado. Si cambia la opción Cifrado de la conexión a Todas las conexiones, el servidor de aplicaciones de Excel Calculation Services sólo permite la transmisión de datos entre equipos cliente y servidores cliente web mediante conexiones SSL.

Si decide requerir la transmisión de datos cifrada, deberá configurar manualmente IPsec o SSL. Puede requerir conexiones cifradas entre los equipos cliente y los servidores cliente web a la vez que permite conexiones no cifradas entre los servidores cliente web y los servidores de aplicaciones de Excel Calculation Services.

Ubicaciones de archivos de confianza

Las ubicaciones de archivos de confianza son sitios de SharePoint, rutas UNC o sitios web HTTP en los que un servidor que ejecuta Excel Calculation Services tiene permiso para obtener acceso a los libros.

En la sección Ubicación de la página Excel Services: Agregar ubicación de archivo de confianza, puede configurar la dirección, el tipo de ubicación y si las bibliotecas secundarias de las ubicaciones de archivos de confianza también son de confianza. Si selecciona Confiar en nodos secundarios, puede aumentar la capacidad de administración, pero también puede generar un posible problema de seguridad al habilitar la confianza automática en los subsitios y subdirectorios de ubicaciones de confianza recién creados.

Acción de hoja de trabajo

Use la hoja de trabajo de ubicaciones de archivos de confianza (en inglés) (https://go.microsoft.com/fwlink/?linkid=73327&clcid=0xC0A) (en inglés) para registrar los nombres de los sitios de SharePoint, las rutas UNC y los sitios web HTTP de confianza.

En la sección Administración de sesiones, puede configurar opciones para conservar la disponibilidad de los recursos y aumentar el rendimiento y la seguridad de Excel Calculation Services. El rendimiento puede verse afectado si un número considerable de usuarios tienen varias sesiones de Excel Calculation Services abiertas a la vez. Puede controlar el consumo de recursos y limitar la duración de las sesiones de Excel Calculation Services abiertas si configura dos opciones de tiempo de espera distintas para las sesiones abiertas.

La opción Tiempo de espera de la sesión determina la cantidad de tiempo durante el que una sesión de Excel Calculation Services puede permanecer abierta e inactiva después de cada interacción del usuario. La opción Tiempo de espera de sesión breve determina la cantidad de tiempo durante el que una sesión de Excel Calculation Services puede permanecer abierta e inactiva después de la solicitud de sesión inicial. Además, puede controlar el número de segundos permitidos para una sola solicitud de sesión mediante la configuración del valor Duración máxima de la solicitud. Al limitar la cantidad de tiempo durante el cual las sesiones permanecen abiertas, puede reducir el riesgo de ataques por denegación de servicio.

En la sección Propiedades del libro, puede configurar un tamaño máximo para cualquier libro con permiso para abrirlo en una sesión de Excel Calculation Services. El rendimiento y la disponibilidad de los recursos se pueden reducir si los usuarios abren libros extremadamente grandes. A menos que controle el tamaño permitido de los libros en ejecución en las sesiones de Excel Calculation Services abiertas, existe el riesgo de que los usuarios superen la capacidad de los recursos y se produzca un error en el servidor.

Nota

Si un servidor de aplicaciones que ejecuta Excel Calculation Services genera un error o se apaga, todas las sesiones abiertas en el servidor se pierden. En una instalación independiente, Servicios de Excel deja de estar disponible. Esto significa que los libros no se pueden cargar, volver a calcular, actualizar o recuperar mediante Excel Calculation Services. En una implementación de granja de servidores que incluya varios servidores de aplicaciones que ejecuten Excel Calculation Services, el hecho de que se apague un servidor no afecta a las sesiones abiertas que se ejecutan en el resto de los servidores. Los usuarios con sesiones que se ejecutan en un servidor que se apaga reciben un mensaje para volver a abrir los libros. Si los usuarios inician una sesión nueva, se les dirige automáticamente a los servidores de aplicaciones activos que ejecutan Excel Calculation Services.

En la sección Datos externos, puede determinar si los libros almacenados en ubicaciones de archivos de confianza y abiertos en sesiones de Excel Calculation Services pueden tener acceso a un origen de datos externos. Puede especificar si Permitir datos externos se establece en Ninguno, Sólo bibliotecas de conexiones de datos de confianza o Bibliotecas de conexiones de datos de confianza e incrustadas. Si selecciona Sólo bibliotecas de conexiones de datos de confianza o Bibliotecas de conexiones de datos de confianza e incrustadas, se permite a los libros almacenados en las ubicaciones de archivos de confianza obtener acceso a los orígenes de datos externos.

Se puede tener acceso a las conexiones de datos externos sólo si están incrustadas en un libro o vinculadas en un libro. Excel Calculation Services comprueba la lista de ubicaciones de archivos de confianza antes de abrir un libro. Si selecciona Ninguno, Excel Calculation Services bloquea todos los intentos de acceso a un origen de datos externos. Si administra las conexiones de datos para un número amplio de autores de libros, considere la posibilidad de especificar Sólo bibliotecas de conexiones de datos de confianza. De este modo, se garantiza que todas las conexiones de datos de todos los libros generados por autores de libros autenticados usen una biblioteca de conexiones de datos de confianza para obtener acceso a todos los orígenes de datos externos.

Si administra conexiones de datos para un número reducido de autores de libros, considere la posibilidad de especificar Bibliotecas de conexiones de datos de confianza e incrustadas. Esto permite a los autores de libros incrustar conexiones directas a orígenes de datos externos en los libros a la vez que se mantiene el acceso a las bibliotecas de conexiones de datos de confianza en caso de error de los vínculos incrustados.

En el área Avisar al actualizar de la sección Datos externos, puede especificar si se va a mostrar una advertencia antes de que se actualice un libro desde un origen de datos externos. Al seleccionar Advertencia de actualización habilitada, garantiza que los datos externos no se actualicen automáticamente sin la interacción del usuario.

En el área Detener si no es posible actualizar al abrir, puede especificar si Excel Calculation Services detiene la apertura de un libro si éste contiene una conexión de datos con actualización al abrir que genera un error. Si selecciona Detención de apertura habilitada, garantiza que los valores almacenados en la memoria caché no se muestren si se produce un error en la operación de actualización al abrir el libro. Si la actualización al abrir se realiza correctamente, los valores almacenados en la memoria caché se purgan. Si se desactiva la casilla Detención de apertura habilitada, existe el riesgo de mostrar los valores almacenados en la memoria caché si la operación de actualización al abrir no se realiza correctamente.

En el área Duración en caché de datos externos de la sección Datos externos, puede especificar el tiempo máximo durante el que se pueden usar los valores almacenados en la memoria caché antes de que expiren.

Para asegurarse de que sólo los usuarios de confianza tienen acceso a los libros almacenados en ubicaciones de confianza, es importante exigir la aplicación de las ACL en todas las ubicaciones de archivos de confianza.

Hay tres escenarios principales para implementar Servicios de Excel con Office SharePoint Server 2007: empresas, departamentos de tamaño reducido y escenarios personalizados.

En una implementación empresarial, tenga en cuenta las siguientes instrucciones:

  • No configure la compatibilidad con funciones definidas por el usuario.

  • No permita que los libros usen conexiones de datos incrustadas para tener acceso directamente a los orígenes de datos externos.

  • Limite el uso de bibliotecas de conexiones de datos para el acceso a orígenes de datos externos desde los libros.

  • Limite el tamaño de los libros que se pueden abrir en Excel Calculation Services.

  • Confíe de forma selectiva en las ubicaciones de archivos específicas y no habilite Confiar en nodos secundarios para los sitios y directorios de confianza.

En una implementación de un departamento de tamaño reducido, tenga en cuenta las siguientes instrucciones:

  • Habilite la confianza para todas las ubicaciones de archivos usadas por los miembros del departamento para almacenar los libros.

  • Habilite Confiar en nodos secundarios para todos los sitios y directorios de confianza.

  • Limite el acceso de forma selectiva a ubicaciones de archivos específicas en caso de problemas.

En una implementación personalizada, tenga en cuenta las siguientes instrucciones:

  • Habilite Excel Calculation Services para que abra libros de gran tamaño.

  • Configure un tiempo de espera de sesión prolongado.

  • Configure memorias caché de datos de gran tamaño.

  • Cree una sola ubicación de confianza para esta implementación.

  • No habilite Confiar en nodos secundarios para esta ubicación de confianza.

Proveedores de datos de confianza

Puede controlar el acceso a datos externos si define explícitamente los proveedores de datos de confianza y los registra en la lista de proveedores de datos de confianza. La lista de proveedores de datos de confianza designa proveedores de datos externos específicos con los que pueden conectarse los libros abiertos en Excel Calculation Services.

Antes de crear una instancia de un proveedor de datos para permitir que un libro se conecte con un origen de datos externos, Excel Calculation Services comprueba la información de conexión para determinar si el proveedor aparece en la lista de proveedores de datos de confianza. Si el proveedor está en la lista, se intenta establecer la conexión; de lo contrario, la solicitud de conexión se omite.

Acción de hoja de trabajo

Use la hoja de trabajo de proveedores de datos de confianza (en inglés) (https://go.microsoft.com/fwlink/?linkid=73325&clcid=0xC0A) (en inglés) para registrar los nombres de los proveedores de datos de confianza.

Bibliotecas de conexiones de datos de confianza

Una biblioteca de conexiones de datos de confianza es una biblioteca de documentos en la que se ha determinado que es seguro obtener acceso a los archivos .odc. Las bibliotecas de conexiones de datos se usan para proteger y administrar las conexiones de datos para los libros a los que se tiene acceso mediante un servidor que ejecuta Excel Calculation Services. En la lista de bibliotecas de conexiones de datos de confianza se designan bibliotecas de conexiones de datos específicas desde las que los libros abiertos en Excel Calculation Services tienen permiso para obtener acceso a los archivos .odc.

Si una conexión de datos está vinculada desde un libro al que tiene acceso un servidor que ejecuta Excel Calculation Services, el servidor comprueba la información de la conexión y la lista de bibliotecas de conexiones de datos de confianza. Si la biblioteca de conexiones de datos está en la lista, se intenta establecer una conexión mediante el archivo .odc de la biblioteca de conexiones de datos; de lo contrario, la solicitud de conexión se omite.

Acción de hoja de trabajo

Use la hoja de trabajo de bibliotecas de conexiones de datos de confianza (en inglés) (https://go.microsoft.com/fwlink/?linkid=73324&clcid=0xC0A) (en inglés) para registrar los nombres de las bibliotecas de conexiones de datos de confianza.

Permisos de sólo vista

Para especificar usuarios que sólo tengan permiso para ver los libros, agréguelos al grupo Lectores de Office SharePoint Server 2007 o cree un grupo nuevo configurado con permisos de sólo vista. El grupo Lectores se configura con permisos de sólo vista de forma predeterminada. Los usuarios agregados a un grupo configurado con permisos de sólo vista pueden ver, abrir, interactuar con, actualizar y volver a calcular los libros, pero no pueden tener acceso al origen de los archivos en modo alguno, excepto si usan Servicios de Excel. Esto facilita la protección de la información con derechos de propiedad. Los datos de origen nunca se muestran a los usuarios designados.

Los libros y los objetos de datos de los libros configurados con permisos de sólo vista no se pueden abrir en Office Excel 2007; no obstante, en Office Excel 2007 se puede representar una instantánea del libro que muestre sólo los valores y el formato de los intervalos que puede ver el servidor.

Puede configurar las opciones de los sitios en Office SharePoint Server 2007 para controlar el acceso a los datos de los libros mediante la configuración de permisos de sólo vista en libros administrados de forma centralizada y representados en un explorador web. Además, puede configurar las opciones de los sitios en Office SharePoint Server 2007 para permitir que los libros actualicen los datos externos en el servidor y proteger y administrar las conexiones de datos externos. Use el siguiente procedimiento para guardar los objetos de datos especificados como elementos de sólo vista.

Almacenamiento de los objetos de datos especificados como elementos de sólo vista

  1. Abra un libro que contenga objetos de datos, como gráficos y tablas, en Office Excel 2007.

  2. Publique el libro en una biblioteca de documentos de SharePoint incluida como una ubicación de confianza para Servicios de Excel.

  3. En el cuadro Nombre de archivo del cuadro de diálogo Guardar como, escriba la dirección URL de la biblioteca de documentos de SharePoint en que desea guardar el archivo. Asegúrese de que la casilla Abrir libro en Excel Services está activada.

  4. Haga clic en Opciones de Excel Services.

  5. En el cuadro de diálogo Opciones de Excel Services, seleccione Elementos en el libro en el menú desplegable.

  6. Seleccione los elementos que desee representar y, a continuación, haga clic en Aceptar.

  7. En el cuadro de diálogo Guardar como, haga clic en Guardar.

Conexiones de datos externos

El componente Excel Calculation Services de Servicios de Excel se usa para establecer una conexión con orígenes de datos externos. Excel Calculation Services procesa la información de conexión de datos externos, que contiene todo lo que el servidor necesita para conectarse con un origen de datos, incluidos el modo de autenticación, la cadena de conexión usada, la cadena de consulta usada y dónde y cómo recopilar las credenciales para la conexión. Estas conexiones se pueden definir en dos ubicaciones: incrustadas en los libros y en los archivos .odc. La información de conexión es idéntica en ambas ubicaciones. Los archivos .odc son archivos de tamaño reducido que conservan la información de conexión en texto sin formato y en un formato reutilizable.

Puede usar el cliente de Office Excel 2007 para crear y editar archivos .odc y conexiones incrustadas en los libros. En el cliente de Office Excel 2007, puede ejecutar el Asistente para la conexión de datos o configurar las opciones en la página de propiedades Conexiones. Además, puede exportar un archivo .odc según esta configuración. La página de propiedades Conexiones muestra la información de conexión, incluidas las propiedades de autenticación de Servicios de Excel.

Acción de hoja de trabajo

Use la hoja de trabajo de conexiones de datos externos (en inglés) (https://go.microsoft.com/fwlink/?linkid=73323&clcid=0xC0A) (en inglés) para registrar los nombres de los archivos .odc y las ubicaciones de los orígenes de datos externos correspondientes.

Archivos .odc

Los libros pueden contener vínculos a archivos .odc e información de conexión incrustada. Esto permite a los libros recuperar el archivo .odc, leer el contenido e intentar conectarse a un origen de datos externos si la información de conexión incrustada genera un error. Los archivos .odc se deben administrar y mantener para garantizar que contienen información exacta acerca de las conexiones de datos.

Además, puede configurar Excel Calculation Services para usar la información de conexión del archivo .odc exclusivamente en vez de intentar conectarse en primer lugar mediante la información incrustada. Este enfoque permite a los administradores implementar un conjunto reducido de archivos .odc administrados que proporcionan información de conexión actualizada para varios libros.

Los autores de los libros pueden especificar, para cada conexión, qué información de conexión puede usar cada libro. Para ello, abra el cliente de Office Excel 2007 y haga clic en Conexiones del libro en la ficha Datos. Agregue una conexión al libro, abra Conexiones del libro y, a continuación, vea las propiedades de la conexión recién agregada. En la ficha Definición, seleccione Utilizar siempre archivo de conexión. Esta opción permite que el libro recupere un archivo de conexión de una biblioteca de conexiones de datos y use la información de conexión del archivo para conectarse a un origen de datos externos. Además, puede establecer esta configuración si selecciona Utilizar siempre archivo de conexión en la página final del Asistente para la conexión de datos.

Administración de archivos .odc

Las bibliotecas de conexiones de datos proporcionan un repositorio para las colecciones de archivos .odc. Los administradores pueden administrar las conexiones de datos en el servidor mediante la creación de una biblioteca de conexiones de datos y archivos .odc que requieren que los libros usen siempre un archivo de conexión. Los libros que consumen conexiones directamente de una biblioteca de conexiones de datos siempre obtienen información de conexión actualizada antes de conectarse a un origen de datos.

Si la información del origen de datos (por ejemplo, el nombre del servidor) cambia, sólo tiene que actualizar un archivo .odc en la biblioteca de conexiones de datos y todos los libros que usan el archivo .odc se actualizarán automáticamente en la próxima actualización. Además, puede usar los permisos de sólo vista para restringir el acceso a los archivos .odc.

Funciones definidas por el usuario

Si los escenarios de implementación incluyen libros que contienen funciones definidas por el usuario para ampliar las capacidades de Excel Calculation Services, debe configurar Servicios de Excel para que admita las funciones definidas por el usuario.

Para configurar esta compatibilidad, debe habilitar las funciones definidas por el usuario en las ubicaciones de archivos de confianza que contienen los libros que requieren acceso a las funciones definidas por el usuario. Además, debe registrar los ensamblados de funciones definidas por el usuario en la lista de ensamblados de funciones definidas por el usuario de Servicios de Excel. Use los siguientes procedimientos para habilitar las funciones definidas por el usuario.

Habilitación de funciones definidas por el usuario

  1. En la sección Excel Services de la página principal de Servicios compartidos, haga clic en Funciones definidas por el usuario.

  2. En la página Funciones definidas por el usuario de Excel Services, haga clic en Agregar un ensamblado de función definida por el usuario.

  3. En el cuadro Ensamblado, escriba el nombre seguro del ensamblado o la ruta de acceso al archivo del ensamblado de la función definida por el usuario que desea registrar.

  4. En Ubicación del ensamblado, lleve a cabo las siguientes acciones:

    1. Seleccione la memoria caché de ensamblados global (GAC) si implementa un ensamblado de funciones definidas por el usuario en la GAC de cada servidor de aplicaciones de Excel Calculation Services de la granja de servidores.

    2. Seleccione Archivo local si desea guardar una función definida por el usuario en un directorio que se encuentre en un servidor de aplicaciones de Excel Calculation Services (una ruta de acceso local) o en un recurso compartido de red (una ruta de acceso UNC).

    3. Asegúrese de que la casilla Habilitar ensamblado esté activada y, a continuación, haga clic en Aceptar.

Habilitación de funciones definidas por el usuario para libros en una ubicación de archivos de confianza

  1. En la sección Excel Services de la página principal de Servicios compartidos, haga clic en Ubicaciones de archivos de confianza.

  2. En la página Ubicaciones de archivos de confianza de Excel Services, haga clic en la dirección URL de la ubicación del archivo de confianza cuyas propiedades desea editar.

  3. En la sección Funciones definidas por el usuario de la página Excel Services: Modificar ubicación de archivo de confianza, seleccione Funciones definidas por el usuario permitidas y, a continuación, haga clic en Aceptar.

Hojas de trabajo

Use las siguientes hojas de trabajo para planear la seguridad de Excel Services:

Descarga de este libro

En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:

Vea la lista completa de libros disponibles en la página que muestra el contenido descargable para Office SharePoint Server 2007.

Vea también

Otros recursos

Demostración: habilitación de Excel Services y conexiones de datos para un sitio de grupo de SharePoint (en inglés)