Planear autenticación de PowerPivot y autorización
Una implementación de PowerPivot para SharePoint que se ejecuta dentro de una granja de servidores de SharePoint 2010 usa el subsistema de autenticación y el modelo de autorización que proporcionan los servidores de SharePoint. La infraestructura de seguridad de SharePoint se extiende al contenido y a las operaciones de PowerPivot porque todo el contenido relacionado con PowerPivot está almacenado en bases de datos de contenido de SharePoint, y todo el procesamiento relacionado con PowerPivot se realiza en los servicios compartidos de PowerPivot en la granja. Los usuarios que solicitan un libro que contiene los datos PowerPivot se autentican usando una identidad de usuario de SharePoint que se basa en su identidad de usuario de Windows. Los permisos para ver el libro determinan si la solicitud se concede o se deniega.
La autorización de SharePoint se utiliza exclusivamente para todos los niveles de acceso a los servicios de PowerPivot y al procesamiento de datos PowerPivot. Para los datos PowerPivot que se visualizan dentro de un libro de Excel, no hay ninguna autorización de filas en el libro que habilite la seguridad específica en el nivel de las filas o las tablas. No puede proteger partes diferentes del libro para conceder o denegar el acceso a los datos importantes que contiene para usuarios concretos. No puede aplicar las características de seguridad basadas en roles de Analysis Services para proteger los datos PowerPivot en un libro de Excel. Los datos incrustados PowerPivot están completamente disponibles para los usuarios que tienen permisos para ver el libro de Excel en una biblioteca de SharePoint.
Dado que para el análisis de los datos de autoservicio se requiere la integración con Excel Services, la protección de un servidor de PowerPivot requiere que también se conozca la seguridad de Excel Services. Cuando un usuario consulta una tabla dinámica que tiene una conexión de datos a datos PowerPivot, Excel Services reenvía una solicitud de conexión de datos a un servidor de PowerPivot de la granja para cargar los datos. xEsta interacción entre los servidores requiere saber cómo establecer una configuración de seguridad que sea compatible para ambos.
Haga clic en los vínculos siguientes para leer secciones concretas de este tema:
Proveedores de autenticación admitidos por PowerPivot para SharePoint
Autorización del usuario
Permisos de SharePoint
Usar la seguridad de Excel Services con libros PowerPivot
Proveedores de autenticación admitidos por PowerPivot para SharePoint
Las aplicaciones web de SharePoint configuradas para utilizar la autenticación de Windows admiten PowerPivot para SharePoint. La autenticación de Windows es necesaria para las conexiones de datos administradas por el servicio web PowerPivot (concretamente, para las solicitudes que se originan en aplicaciones que se ejecutan fuera de la granja). Este requisito garantiza el token de seguridad de Windows del usuario se transfiere correctamente de la aplicación cliente a la aplicación web para su uso posterior por parte del servicio web PowerPivot.
Nota
Para obtener más información acerca de los tipos de conexiones que administra el servicio web, vea Servicio web de PowerPivot (PowerPivot para SharePoint).
Aunque la autenticación de Windows no es necesaria en el escenario de acceso a datos más frecuente (cuando los datos PowerPivot se extraen del libro de Excel que los representa), no intente utilizar PowerPivot para SharePoint con aplicaciones web de SharePoint configuradas para utilizar otros proveedores de autenticación. Si lo hace, se producirá un error de conexión cada vez que los usuarios intenten conectar con libros PowerPivot como origen de datos externo.
Comprobar el proveedor de autenticación para la aplicación
En el caso de aplicaciones web existentes, utilice las siguientes instrucciones para comprobar están configuradas para utilizar la autenticación de Windows. Cuando cree nuevas aplicaciones web, asegúrese de seleccionar la opción Modo clásico de autenticación en la página Crear nueva aplicación web.
En Administración central, en Administración de aplicaciones, haga clic en Administrar las aplicaciones web.
Seleccione la aplicación web.
Haga clic en Proveedores de autenticación.
Compruebe que tiene un proveedor para cada zona, y la zona predeterminada está establecida en Windows.
Entender el requisito de cuenta de dominio
En entornos de producción, es necesario usar el dominio del usuario de Windows o la cuenta de grupo. Las cuentas deben ser las cuentas de dominio. No puede usar usuarios de Windows locales o cuentas de grupo en servidores de producción.
Debido a los requisitos de cuenta de dominio, el servidor de SharePoint debe tener en todo momento conectividad de red con un controlador de dominio. Este requisito es necesario porque las notificaciones al Servicio de token de Windows autentican cada solicitud mediante la identidad de un usuario del dominio de Windows (no autentican cuentas locales). La autenticación se produce para cada conexión. Las notificaciones al servicio Windows no usan credenciales almacenadas en memoria caché.
Observe que las solicitudes que proceden de una aplicación cliente al servidor deben estar en el mismo dominio o entre dominios que tienen una relación de confianza bidireccional. La confianza unidireccional no es suficiente para la actualización de datos en el servidor.
Nota
Puede implementar SharePoint 2010, Excel Services y PowerPivot para SharePoint en una máquina virtual de hyper-V si desea probar las características y comportamiento de SharePoint 2010 en un entorno aislado, sin conexión de una red corporativa. Para obtener más información, vea Implementación de un servidor único en un entorno de Hyper-V aislado en el sitio web de TechNet.
Autorización del usuario
En tipos específicos de solicitudes, la identidad de usuario de SharePoint de la persona que solicita un libro es comprobada por las instancias de servicio PowerPivot para comprobar los permisos, generar una información de registro precisa y establecer un historial de uso. Los componentes de servidor de PowerPivot utilizarán una identidad de usuario de SharePoint en los siguientes casos:
Consultas a tablas dinámicas o gráficos dinámicos que tengan conexiones de datos a un origen de datos PowerPivot, donde una aplicación de servicio PowerPivot establece las conexiones en nombre de un usuario a una instancia de servicio PowerPivot concreta que procesa los datos.
La carga de datos PowerPivot de la memoria caché o de una biblioteca, si los datos no están disponibles de otra forma. Si se realiza una solicitud de conexión de datos para un origen de datos PowerPivot que aún no está cargado en el sistema, la instancia de Servicio Analysis Services usará la identidad de usuario de Windows del usuario de SharePoint para recuperar el origen de datos de una biblioteca de contenido y cargarlo en la memoria.
Las operaciones de actualización de datos que guardan una copia actualizada del origen de datos al libro en una biblioteca de contenido. En este caso, se realiza un registro real de la operación utilizando el nombre de usuario y la contraseña que se recuperan de una aplicación de destino en el Servicio de almacenamiento seguro. Las credenciales pueden ser la cuenta de actualización de datos desatendida de PowerPivot o las credenciales que se almacenaron con la programación de actualización de datos al crearse. Para obtener más información, vea Configurar y usar credenciales almacenadas para la actualización de datos PowerPivot.
Permisos de SharePoint
Para hacer un uso completo de las características de uso compartido y colaboración para un libro PowerPivot, el libro se debe publicar en una biblioteca de SharePoint. Solo una vez publicado un libro en un servidor de SharePoint, se obtienen las ventajas de un procesamiento rápido del servidor por parte de las instancias de servicio PowerPivot en la granja de servidores, conexiones escalables y coordinadas, características de administración de documentos y la visión administrativa en la actividad de uso de libros determinados.
La publicación, administración y protección de un libro PowerPivot solamente se admite a través de la integración de SharePoint. Los servidores de SharePoint proporcionan modelos de autenticación y autorización que garantizan un acceso legítimo a los datos. No hay ningún escenario admitido para implementar de forma segura un libro PowerPivot fuera de una granja de servidores de SharePoint.
El acceso de usuario al origen de datos es de solo lectura en el servidor, pero con la capacidad de descargar el archivo en la aplicación de escritorio de Excel. Los permisos de contribución en el archivo determinarán si el usuario puede modificar este localmente. Por tanto, los niveles de permisos Contribuir y Solo ver definen el conjunto efectivo de permisos para el acceso de los usuarios a los datos PowerPivot. Otros niveles de permisos funcionan hasta el punto en que tienen los mismos permisos que Contribuir y Solo ver (por ejemplo, dado que Lectura incluye los permisos Solo ver, un usuario al que se le asigne Lectura tendrá el mismo acceso que otro con el permiso Solo ver).
En la siguiente tabla se resumen los niveles de permisos que determinan el acceso a los datos PowerPivot y operaciones del servidor:
Nivel del permiso |
Permite estas tareas |
|---|---|
Administrador de granja o de servicio |
Instalar, habilitar y configurar servicios y aplicaciones. Usar el panel de administración de PowerPivot y ver informes administrativos. |
Control total |
Activar la integración de características de PowerPivot en el nivel de colección de sitios. Activar la ayuda en línea. Crear una biblioteca de la galería de PowerPivot. Crear una biblioteca de fuentes de distribución de datos. |
Contribuir |
Agregar, modificar, eliminar y descargar libros PowerPivot. Configurar actualización de datos. Crear nuevos libros e informes basados en libros PowerPivot en un sitio de SharePoint. Crear documentos de servicio de datos en una biblioteca de fuentes de distribución de datos |
Solo ver |
Ver libros PowerPivot. Ver el historial de la actualización de datos. Conectarse con un libro local a un libro PowerPivot en un sitio de SharePoint, para cambiar sus datos de otras maneras. Descargue una instantánea del libro. La instantánea es una copia estática de los datos, segmentaciones de datos, filtros, fórmulas ni conexiones de datos. El contenido de la instantánea es parecido al que se obtiene al copiar los valores de las celdas de la ventana del explorador. |
Usar la seguridad de Excel Services con libros PowerPivot
El procesamiento de PowerPivot en el lado servidor se acopla herméticamente con los servicios de Excel. La integración profunda comienza en el nivel de documento. Los libros PowerPivot son archivos de libro de Excel (.xlsx) que o contienen o hacen referencia a datos PowerPivot. No hay ninguna extensión de archivo independiente para los datos PowerPivot. Los datos están almacenados dentro del libro o hacen referencia a otro libro. Cuando un libro PowerPivot se abre en un sitio de SharePoint, Excel Services lee las cadenas de conexión de datos PowerPivot incrustadas y reenvía la solicitud al proveedor OLE DB de Analysis Services de SQL Server 2008 R2 local. A continuación, el proveedor pasa la información de conexión a un servidor de PowerPivot en la granja. Para que la solicitud fluya uniformemente entre los dos servidores, Excel Services se debe configurar para usar valores que son requeridos por PowerPivot para SharePoint.
En Excel Services, la configuración relativa a la seguridad se especifica en las ubicaciones confiables, proveedores de datos confiables y bibliotecas de conexiones de datos confiables. En la siguiente tabla se describen los valores que habilitan o mejoran el acceso a datos PowerPivot. Si no aparece aquí un valor, no tiene ningún efecto en las conexiones con el servidor de PowerPivot. Para obtener instrucciones acerca de cómo especificar estos valores paso a paso, vea la sección "Habilitar Excel Services" en Instalar PowerPivot para SharePoint en un servidor de SharePoint existente.
Nota
La mayoría de la configuración relacionada con la seguridad se aplica a las ubicaciones confiables. Si desea conservar los valores predeterminados o usar valores diferentes para sitios distintos, puede crear una ubicación confiable adicional para sitios que contienen datos PowerPivot y, a continuación, configurar los siguientes valores solo para ese sitio. Para obtener más información, vea Crear una ubicación de confianza para los sitios de PowerPivot.
Área |
Opción |
Descripción |
|---|---|---|
Aplicación web |
Proveedor de autenticación de Windows |
PowerPivot convierte un token de notificación que obtiene de Excel Services en una identidad de usuario de Windows. Cualquier aplicación web que use Excel Services como un recurso se debe configurar para usar el proveedor de autenticación de Windows. |
Ubicación confiable |
Tipo de ubicación |
Este valor debe estar establecido en Microsoft SharePoint Foundation. Los servidores de PowerPivot recuperan una copia del archivo .xlsx y la cargan en un servidor de Analysis Services en la granja. El servidor solo puede recuperar archivos .xlsx de una biblioteca de contenidos. |
Permitir datos externos |
Este valor debe estar establecido en Bibliotecas de conexiones de datos de confianza e incrustadas. Los libros PowerPivot contienen conexiones de datos incrustadas. Si deniega las conexiones incrustadas, los usuarios pueden ver la memoria caché de la tabla dinámica, pero no podrán utilizar los datos PowerPivot. |
|
Avisar al actualizar |
Este valor debería estar deshabilitado si está usando la galería de PowerPivot para almacenar libros e informes. La galería de PowerPivot incluye una característica de vista previa de documentos que funciona mejor si actualizar al abrir y avisar al actualizar están desactivadas. |
|
Proveedores de datos confiables |
MSOLAP.4 |
MSOLAP.4 está incluido de forma predeterminada. No lo quite de la lista de proveedores de datos confiables. Esta versión del proveedor OLE DB administra las solicitudes de datos PowerPivot en una granja de SharePoint. |
Bibliotecas de conexiones de datos confiables |
Opcional. |
Puede usar archivos de conexión de datos de Office (.odc) en libros PowerPivot. Si utiliza archivos .odc para proporcionar información de conexión a libros PowerPivot locales, puede agregar los mismos archivos .odc a esta biblioteca. |
Ensamblados de funciones definidas por el usuario |
No aplicable. |
Los servidores de PowerPivot no se ven afectados por ensamblados de funciones definidas por el usuario que implemente para Excel Services. |
Vea también