Planification de l'authentification et des autorisations PowerPivot
Un déploiement PowerPivot pour SharePoint qui s'exécute dans une batterie de serveurs SharePoint 2010 utilise le sous-système d'authentification et le modèle d'autorisation fournis par les serveurs SharePoint. L'infrastructure de sécurité SharePoint s'étend au contenu et aux opérations PowerPivot, car l'ensemble du contenu relatif à PowerPivot est stocké dans des bases de données de contenu SharePoint et l'ensemble du traitement relatif à PowerPivot est effectué sur les services partagés PowerPivot de la batterie de serveurs. Les utilisateurs qui demandent un classeur contenant des données PowerPivot sont authentifiés à l'aide d'une identité d'utilisateur SharePoint basée sur leur identité d'utilisateur Windows. Les autorisations d'affichage sur le classeur déterminent si la demande est accordée ou refusée.
L'autorisation SharePoint est utilisée exclusivement pour tous les niveaux d'accès au traitement de données PowerPivot et aux services PowerPivot. Pour les données PowerPivot visualisées dans un classeur Excel, il n'existe dans le classeur aucune autorisation de niveau ligne qui permette une sécurité affinée au niveau ligne ou tableau. Vous ne pouvez pas sécuriser des parties différentes du classeur pour accorder ou refuser à des utilisateurs spécifiques l'accès à des données sensibles qu'il contient. Vous ne pouvez pas appliquer la sécurité Analysis Services basée sur des rôles pour sécuriser les données PowerPivot dans un classeur Excel. Les données PowerPivot incorporées sont entièrement disponibles pour les utilisateurs disposant d'autorisations d'affichage sur le classeur Excel dans une bibliothèque SharePoint.
Étant donné que l'intégration à Excel Services est requise pour les analyses de données libre-service, vous devez, pour sécuriser un serveur PowerPivot, bien comprendre également la sécurité d'Excel Services. Lorsqu'un utilisateur interroge un tableau croisé dynamique qui présente une connexion de données à des données PowerPivot, Excel Services envoie une demande de connexion de données à un serveur PowerPivot de la batterie pour charger les données. Du fait de cette interaction entre les serveurs, il est indispensable que vous compreniez comment configurer des paramètres de sécurité qui soient compatibles pour les deux.
Cliquez sur les liens suivants pour accéder à des sections spécifiques de cette rubrique :
Fournisseurs d'authentification pris en charge par PowerPivot pour SharePoint
Autorisation de l'utilisateur
Autorisations SharePoint
Utilisation de la sécurité Excel Services avec les classeurs PowerPivot
Fournisseurs d'authentification pris en charge par PowerPivot pour SharePoint
PowerPivot pour SharePoint est pris en charge pour les applications Web SharePoint configurées pour utiliser l'authentification Windows. L'authentification Windows est requise pour les connexions de données gérées par le service Web PowerPivot (spécifiquement, pour les requêtes qui proviennent des applications qui s'exécutent à l'extérieur de la batterie de serveurs). Cette configuration requise vérifie que le jeton de sécurité Windows de l'utilisateur est transféré correctement de l'application cliente vers l'application Web pour une utilisation ultérieure par le service Web PowerPivot.
Notes
Pour plus d'informations sur les types de connexions que le service Web gère, consultez Service Web PowerPivot (PowerPivot pour SharePoint).
Bien que l'authentification Windows ne soit pas requise pour le scénario d'accès aux données le plus courant (où les données PowerPivot sont extraites du classeur Excel qui les restitue), n'essayez pas d'utiliser PowerPivot pour SharePoint avec les applications Web SharePoint configurées pour utiliser d'autres fournisseurs d'authentification. Cette action provoquera un échec de connexion chaque fois que les utilisateurs essaieront de se connecter aux classeurs PowerPivot en tant que source de données externe.
Comment vérifier le fournisseur d'authentification pour votre application
Pour les applications Web existantes, utilisez les instructions suivantes pour vérifier si les applications sont configurées pour utiliser l'authentification Windows. Lors de la création d'applications Web, veillez à sélectionner l'option Authentification en mode classique dans la page Créer une application Web.
Dans Administration Centrale, sous Gestion des applications, cliquez sur Gérer les applications Web.
Sélectionnez l'application Web.
Cliquez sur Fournisseurs d'authentification.
Vérifiez que vous avez un fournisseur pour chaque zone et que la zone par défaut a la valeur Windows.
Comprendre l'obligation de compte de domaine
Les environnements de production exigent l'emploi de comptes d'utilisateur de domaine Windows ou de comptes de groupe. Les comptes doivent être des comptes de domaine. Vous ne pouvez pas utiliser de comptes d'utilisateur Windows locaux ou de comptes de groupe sur des serveurs de production.
En raison de cette obligation de compte de domaine, le serveur SharePoint doit disposer à tout moment d'une connectivité réseau à un contrôleur de domaine. Cette obligation est nécessaire parce que le service d'émission de jetons Revendications vers Windows authentifie chaque requête à l'aide de l'identité d'un utilisateur de domaine Windows (il n'authentifie pas les comptes locaux). L'authentification a lieu à chaque connexion. Le service Revendications vers Windows n'utilise pas d'informations d'identification mises en cache.
Notez que les requêtes transmises au serveur par une application cliente doivent se trouver dans le même domaine ou entre des domaines ayant une relation de confiance bidirectionnelle. Une relation de confiance à sens unique ne suffit pas pour actualiser les données sur le serveur.
Notes
Vous pouvez déployer SharePoint 2010, Excel Services et PowerPivot pour SharePoint sur un ordinateur virtuel Hyper-V si vous souhaitez tester les fonctionnalités et le comportement de SharePoint 2010 dans un environnement isolé, déconnecté d'un réseau d'entreprise. Pour plus d'informations, consultez Démarrage rapide : déploiement d'un serveur unique dans un environnement isolé Hyper-Vhttps://go.microsoft.com/fwlink/?LinkId=184620 sur le site Web TechNet.
Autorisation de l'utilisateur
Pour certains types de demandes, l'identité SharePoint de la personne qui demande un classeur est vérifiée par les instances du service PowerPivot pour vérifier les autorisations, générer des informations de journal précises et établir un historique d'utilisation. Les composants serveur PowerPivot utilisent l'identité SharePoint de l'utilisateur dans les cas suivants :
Requêtes adressées à des tableaux croisés dynamiques ou graphiques croisés dynamiques qui ont des connexions de données à une source de données PowerPivot, où une application de service PowerPivot établit de la part d'un utilisateur des connexions à une instance spécifique du service PowerPivot qui traite les données.
Chargement de données PowerPivot à partir du cache ou d'une bibliothèque si les données ne sont pas disponibles autrement. Si une demande de connexion de données concerne des données PowerPivot qui ne sont pas encore chargées dans le système, l'instance du service Analysis Services utilise l'identité Windows de l'utilisateur SharePoint pour récupérer la source de données d'une bibliothèque de contenu et la charger en mémoire.
Opérations d'actualisation des données qui enregistrent une copie mise à jour de la source de données dans le classeur d'une bibliothèque de contenu. Dans ce cas, un journal réel de l'opération est créé avec le nom d'utilisateur et le mot de passe récupérés d'une application cible dans le service Banque d'informations sécurisé. Les informations d'identification peuvent correspondre au compte d'actualisation des données PowerPivot sans assistance, mais aussi aux informations d'identification stockées avec la planification d'actualisation des données lors de sa création. Pour plus d'informations, consultez Configurer et utiliser les informations d'identification stockées pour l'actualisation des données PowerPivot.
Autorisations SharePoint
Pour exploiter au mieux les fonctionnalités de collaboration et de partage d'un classeur PowerPivot, le classeur doit être publié dans une bibliothèque SharePoint. Ce n'est qu'après publication du classeur sur un serveur SharePoint que vous pouvez tirer le meilleur parti du traitement rapide côté serveur par les instances du service PowerPivot de la batterie de serveurs, de connexions coordonnées et évolutives, de fonctionnalités de gestion de documents et d'un aperçu d'administration pertinent concernant l'utilisation de certains classeurs.
La publication, la gestion et la sécurisation d'un classeur PowerPivot ne sont pris en charge que via l'intégration SharePoint. Les serveurs SharePoint fournissent des modèles d'authentification et d'autorisation qui garantissent un accès légitime aux données. Il n'existe pas de scénarios pris en charge pour le déploiement sûr d'un classeur PowerPivot en dehors d'une batterie de serveurs SharePoint.
L'accès utilisateur à la source de données est en lecture seule sur le serveur, mais avec la possibilité de télécharger le fichier vers l'application bureautique Excel. La possibilité pour l'utilisateur de modifier le fichier localement est fonction des autorisations Collaboration définies sur le fichier en question. Ainsi, les niveaux d'autorisation Collaboration et Vue seule définissent le jeu d'autorisations réel pour l'accès utilisateur aux données PowerPivot. D'autres niveaux d'autorisation fonctionnent dans la mesure où ils présentent les mêmes autorisations que Collaboration et Vue seule (par exemple, puisque Lecture inclut les autorisations Vue seule, un utilisateur auquel ont été octroyées les autorisations Lecture a le même niveau d'accès qu'avec Vue seule).
Le tableau suivant résume les niveaux d'autorisation qui déterminent l'accès aux données PowerPivot et aux opérations de serveur :
Niveau d'autorisation |
Autorise les tâches suivantes |
|---|---|
Administrateur de batteries de serveurs ou de services |
Installation, activation et configuration de services et d'applications. Utilisation du tableau de bord de gestion PowerPivot et affichage des rapports d'administration. |
Contrôle total |
Activation de la fonctionnalité d'intégration PowerPivot au niveau de la collection de sites. Activation de l'aide en ligne. Création d'une Galerie PowerPivot. Création d'une bibliothèque de flux de données. |
Collaboration |
Ajout, modification, suppression et téléchargement de classeurs PowerPivot. Configuration de l'actualisation des données. Création de classeurs et rapports basés sur des classeurs PowerPivot sur un site SharePoint. Création de documents de service de données dans une bibliothèque de flux de données |
Vue seule |
Affichage de classeurs PowerPivot. Affichage de l'historique d'actualisation des données. Connexion d'un classeur local à un classeur PowerPivot sur un site SharePoint pour réutiliser ses données d'une autre façon. Téléchargement d'un instantané du classeur. L'instantané est une copie statique des données, sans segments, filtres, formules ou connexions de données. Le contenu de l'instantané est similaire à la copie de valeurs de cellules de la fenêtre de navigateur. |
Utilisation de la sécurité Excel Services avec les classeurs PowerPivot
Le traitement côté serveur PowerPivot est étroitement lié à Excel Services. L'intégration poussée commence au niveau du document. Les classeurs PowerPivot sont des fichiers de classeur Excel (.xlsx) qui contiennent ou qui référencent des données PowerPivot. Il n'existe pas d'extension de fichier distincte pour les données PowerPivot. Les données sont stockées dans le classeur ou référencées à partir d'un autre classeur. Lorsqu'un classeur PowerPivot est ouvert sur un site SharePoint, Excel Services lit la chaîne de connexion des données PowerPivot intégrée et transmet la requête au fournisseur OLE DB Analysis Services SQL Server 2008 R2 local. Le fournisseur transmet ensuite les informations de connexion à un serveur PowerPivot de la batterie. Pour que les requêtes transitent de façon transparente entre les deux serveurs, Excel Services doit être configuré de façon à utiliser les paramètres requis par PowerPivot pour SharePoint.
Dans Excel Services, les paramètres de configuration de sécurité sont spécifiés sur des emplacements, des fournisseurs de données approuvés et des bibliothèques de connexions de données approuvés. Le tableau suivant décrit les paramètres qui activent ou améliorent l'accès aux données PowerPivot. Si un paramètre n'apparaît pas ici, c'est qu'il n'a aucun effet sur les connexions de serveur PowerPivot. Pour savoir comment spécifier ces paramètres pas à pas, consultez la section « Activer Excel Services » dans Installer PowerPivot pour SharePoint sur un serveur SharePoint existant.
Notes
La plupart des paramètres relatifs à la sécurité s'appliquent à des emplacements approuvés. Si vous souhaitez conserver les valeurs par défaut ou utiliser des valeurs différentes pour des sites différents, vous pouvez créer un emplacement approuvé supplémentaire pour les sites qui contiennent les données PowerPivot, puis configurer les paramètres suivants uniquement pour ce site. Pour plus d'informations, consultez Créer un emplacement approuvé pour les sites PowerPivot.
Zone |
Paramètre |
Description |
|---|---|---|
Application Web |
Fournisseur d'authentification Windows |
PowerPivot convertit un jeton de revendications qu'il obtient d'Excel Services en une identité d'utilisateur Windows. Toutes les applications Web qui utilisent Excel Services comme ressource doivent être configurées pour utiliser le fournisseur d'authentification Windows. |
Emplacement approuvé |
Type d'emplacement |
Cette valeur doit être paramétrée sur Microsoft SharePoint Foundation. Les serveurs PowerPivot récupèrent une copie du fichier .xlsx et la chargent sur un serveur Analysis Services dans la batterie. Le serveur ne peut récupérer que des fichiers .xlsx d'une bibliothèque de contenu. |
Autoriser les données externes |
Ce paramètre doit avoir la valeur Bibliothèques de connexions de données approuvées et incorporées. Les connexions de données PowerPivot sont incorporées au classeur. Si vous interdisez les connexions incorporées, les utilisateurs peuvent consulter le cache de tableau croisé dynamique, mais ils ne seront pas en mesure d'interagir avec les données PowerPivot. |
|
Avertir lors de l'actualisation |
Cette valeur doit être désactivée si vous utilisez la Galerie PowerPivot pour stocker des classeurs et des rapports. La Galerie PowerPivot inclut une fonctionnalité d'aperçu des documents qui fonctionne mieux si les paramètres Actualisation à l'ouverture et Avertir lors de l'actualisation sont désactivés. |
|
Fournisseurs de données approuvés |
MSOLAP.4 |
MSOLAP.4 est inclus par défaut. Ne le supprimez pas de la liste des fournisseurs de données approuvés. Cette version du fournisseur OLE DB gère les requêtes pour les données PowerPivot dans une batterie de serveurs SharePoint. |
Bibliothèques de connexions de données approuvées |
Facultatif. |
Vous pouvez utiliser des fichiers Office Data Connection (.odc) dans les classeurs PowerPivot. Si vous utilisez des fichiers .odc pour fournir les informations de connexion aux classeurs PowerPivot locaux, vous pouvez ajouter les mêmes fichiers .odc à cette bibliothèque. |
Assembly de fonction défini par l'utilisateur |
Non applicable. |
Les serveurs PowerPivot ne sont pas affectés par les assemblys de fonction définis par l'utilisateur que vous générez pour Excel Services. |
Voir aussi