Applications de service Banque sécurisée pour le Décisionnel

Article
01/19/2017

S’applique à : SharePoint Server 2010

Dernière rubrique modifiée : 2016-11-30

Cet article décrit comment les fonctionnalités d’aide à la décision Microsoft SharePoint Server 2010 utilisent le service Banque d’informations sécurisé pour permettre aux utilisateurs de SharePoint Server 2010 d’accéder à des sources de données externes (telles que SQL Server). Pour les besoins de cet article, les SharePoint Server 2010applications des services d’aide à la décision suivantes sont utilisées :

Excel Services
PerformancePoint Services
Visio Services

Les applications des services d’aide à la décision SharePoint Server 2010 offrent aux utilisateurs deux méthodes d’accès aux données :

Authentification Windows intégrée à l’aide de la délégation Kerberos contrainte
Service Banque d’informations sécurisé

Cet article décrit le service Banque d’informations sécurisé et sa relation avec les applications des services d’aide à la décision. Pour plus d’informations sur l’utilisation de l’authentification Windows intégrée à l’aide de la délégation Kerberos contrainte, voir Planifier l’authentification Kerberos (SharePoint Server 2010).

Service Banque d’informations sécurisé

Le service Banque d’informations sécurisé est une fonctionnalité de SharePoint Server 2010 qui fournit l’accès à des données autres que SharePoint Server 2010 (par exemple, des données SQL Server), en permettant à une application de service d’aide à la décision d’utiliser un ensemble d’informations d’identification avec un accès aux données de la part d’un utilisateur SharePoint Server 2010 tentant d’accéder à ces données. L’utilisation d’informations d’identification par des applications des services d’aide à la décision de la part d’utilisateurs s’appelle l’emprunt d’identité.

La banque d’informations sécurisée fournit un mappage entre les applications de services d’aide à la décision, les utilisateurs et les informations d’identification par le biais d’une application cible. Une application cible de la banque d’informations sécurisée est une collection de métadonnées définissant les utilisateurs habilités à accéder à un ensemble d’informations d’identification particulier qu’une application de service d’aide à la décision utilisera pour l’emprunt d’identité afin d’accéder aux données externes. Ces métadonnées sont stockées dans la base de données de la banque d’informations sécurisée avec les informations d’identification chiffrées.

Les applications cibles de la banque d’informations sécurisée peuvent être utilisées dans SharePoint Server 2010 de diverses manières, mais pour les besoins des scénarios d’aide à la décision de SharePoint Server 2010, les applications cibles possèdent les paramètres suivants, configurables par l’administrateur de la batterie de serveurs :

Administrateurs Les administrateurs des applications cibles sont des utilisateurs disposant de privilèges d’administration d’une application cible donnée de la banque d’informations sécurisée. Il peut s’agir d’un administrateur de la batterie de serveurs, voire d’un ou de plusieurs utilisateurs selon les besoins. Pour les applications cibles créées par PerformancePoint Services, l’administrateur est configuré automatiquement par PerformancePoint Services et l’utilisateur configurant le compte de service autonome est ajouté en tant qu’administrateur.
Membres Les membres d’une application cible sont les utilisateurs de la part desquels l’application de service d’aide à la décision va emprunter les informations d’identification de l’application cible pour accéder aux données externes. Il peut s’agir d’un ou de plusieurs utilisateurs, ou bien d’un groupe Active Directory. Les membres sont également appelés propriétaires des informations d’identification. Pour les applications cibles créées par PerformancePoint Services, le compte de service utilisé par le pool d’applications PerformancePoint Services sert de membre.
Informations d’identification Les informations d’identification de l’applications cible se composent d’un compte Active Directory accédant directement aux sources de données. (Vous devez accorder directement à ce compte l’accès aux données requis, l’accès aux sources de données externes n’étant pas contrôlé par SharePoint Server 2010. Il doit s’agir d’un compte à faible privilège autorisant uniquement l’accès aux données.) C’est l’identité de ce compte qui est empruntée par les applications des services d’aide à la décision pour permettre aux utilisateurs d’accéder aux données.

Il incombe à l’administrateur de batteries de serveurs de configurer directement les administrateurs, membres et informations d’identification par le biais de la banque d’informations sécurisée pour Excel Services et Visio Services. Pour PerformancePoint Services, ces valeurs sont configurées dans les Paramètres de l’application de service PerformancePoint et ne doivent en aucun cas être modifiées par le biais de la banque d’informations sécurisée.

Visio Services et Excel Services peuvent utiliser la banque d’informations sécurisée à l’aide de l’une des deux méthodes suivantes :

Application cible spécifiée Une application cible spécifique est définie dans la feuille de calcul Excel ou le dessin Web Visio. Lorsqu’un utilisateur accède à la feuille de calcul ou au dessin Web, la banque d’informations sécurisée utilise les informations d’identification associées à cette application cible pour l’accès aux données. Pour Visio Services, cette application cible doit être définie dans un fichier ODC hébergé sur SharePoint Server 2010.
Aucune application cible spécifiée (compte de service autonome) Aucune application cible n’est spécifiée dans la feuille de calcul Excel ou le dessin Web Visio. Lorsqu’un utilisateur accède à la feuille de calcul ou au dessin Web connecté à une source de données externe, la banque d’informations sécurisée utilise l’application cible spécifiée dans les paramètres globaux de Excel Services ou de Visio Services. Lorsqu’une application cible est spécifiée globalement pour une application de service d’aide à la décision, ses informations d’identification sont appelées Compte de service autonome.

PerformancePoint Services ne peut pas spécifier une application cible de la banque d’informations sécurisée ; ce composant ne peut utiliser qu’une banque d’informations sécurisée avec le compte de service autonome.

La séquence d’événements de base qui se produit est la suivante :

Un utilisateur SharePoint Server 2010 accède à un objet connecté aux données tel qu’une feuille de calcul Excel Services, un dessin Web Visio Services ou un tableau de bord PerformancePoint Services.
Si l’objet est configuré pour utiliser la banque d’informations sécurisée pour l’authentification des données, l’application de service d’aide à la décision appelle le service Banque d’informations sécurisé pour accéder à l’application cible spécifiée par l’objet.
Si l’utilisateur est un membre de cette application cible, les informations d’identification stockées dans l’application cible sont renvoyées, et l’application de service d’aide à la décision les emprunte pour accéder aux données.
Les données sont affichées dans le cadre de la feuille de calcul, du dessin Web ou du tableau de bord.

Fichiers de connexion aux données

Toutes les applications des services d’aide à la décision peuvent utiliser des fichiers de connexion aux données pour spécifier des informations d’authentification. Excel Services et Visio Services utilisent les fichiers Office Data Connection (.ODC) et PerformancePoint Services, les fichiers PerformancePoint Services Data Connection (.PPSDC). L’utilisation de ces fichiers permet à plusieurs feuilles de calcul Excel Services, dessins Web Visio Services ou tableaux de bord PerformancePoint Services de partager un ensemble de paramètres d’accès aux données.

Les applications des services d’aide à la décision SharePoint Server 2010 utilisent les fichiers de connexion aux données chacune à leur manière. Pour plus d’informations sur la façon dont elles utilisent chacune les fichiers de connexion aux données, voir ci-après la section relative à chaque application de service.

Compte de service autonome

Le compte de service autonome désigne les informations d’identification d’une application cible de la banque d’informations sécurisée qui est spécifiée dans les paramètres globaux d’une application de service d’aide à la décision. Cette application cible permet aux utilisateurs d’accéder à des données lorsqu’une aucune autre méthode d’authentification n’est définie. Pour Visio Services, le compte de service autonome est nécessaire chaque fois que l’authentification Windows intégrée n’est pas utilisée, même si des informations de connexion supplémentaires sont fournies dans le fichier de connexion (par exemple, une chaîne d’authentification SQL).

Accès aux données à partir du client et du serveur

Microsoft Excel 2010 et Microsoft Visio 2010 sont des applications clientes qui fonctionnent indépendamment de SharePoint Server 2010. Si elles sont capables de publier des documents dans SharePoint Server 2010, en revanche elles ne peuvent pas utiliser directement la banque d’informations sécurisée pour l’authentification auprès des sources de données. Lorsque vous créez ou modifiez une feuille de calcul ou un dessin Web connecté aux données, vous devez utiliser l’authentification Windows intégrée ou une autre méthode d’authentification compatible pour vous connecter directement à une source de données à partir d’Excel 2010 ou de Visio 2010. (D’autres méthodes d’authentification possibles sont notamment l’authentification SQL ou une chaîne de connexion OLEDB.) Lorsque la feuille de calcul ou le dessin Web est publié sur SharePoint Server 2010, Excel Services ou Visio Services peut utiliser la banque d’informations sécurisée pour se connecter à la source de données lors de l’affichage du contenu pour un utilisateur.

PerformancePoint Services Dashboard Designer est directement intégré à SharePoint Server 2010. Dashboard Designer peut utiliser directement la banque d’informations sécurisée pour l’authentification à l’aide du compte de service autonome. Les utilisateurs de Dashboard Designer n’ont donc pas besoin d’accéder directement aux sources de données par le biais de l’authentification Windows intégrée, sous réserve que le compte de service autonome dispose du niveau d’accès approprié.

Excel Services et Visio Services

Excel Services et Visio Services utilisent la banque d’informations sécurisée de manière identique :

Les deux services peuvent stocker une application cible de la banque d’informations sécurisée dans un fichier ODC.
Les deux services peuvent utiliser le compte de service autonome.

Il existe toutefois des différences majeures entre Excel Services et Visio Services, qui sont présentées dans les sections suivantes.

Excel Services

Les connexions de données utilisées par Excel Services doivent être configurées dans Excel 2010 préalablement à la publication sur un site SharePoint Server 2010. Une feuille de calcul Excel 2010 peut spécifier les informations de connexion aux données directement ou inclure un pointeur vers un fichier ODC dans lequel les informations de connexion sont stockées.

Les paramètres d’authentification suivants sont disponibles dans une feuille de calcul Excel 2010 connecté aux données ou un fichier ODC :

Authentification Windows intégrée Spécifie l’authentification Windows intégrée à l’aide la délégation Kerberos pour authentifier chaque utilisateur individuel lors de l’affichage d’une feuille de calcul Excel 2010 par le biais d’Excel Services.
ID SSS Désigne une application cible spécifique de la banque d’informations sécurisée qui sera utilisée pour l’accès aux sources de données.
Aucune Utilise les informations d’identification spécifiées dans la chaîne de connexion, si elles existent. Dans le cas contraire, utilise le compte de service autonome de la banque d’informations sécurisée désignée dans les paramètres globaux d’Excel Services.

Vous ne pouvez modifier ces paramètres qu’en ouvrant la feuille de calcul ou le fichier ODC dans Excel 2010.

Visio Services

Visio Services prend en charge deux méthodes de connexion de données pour les dessins Web Visio :

Informations de connexion incorporées
Informations de connexion externes utilisant un fichier ODC

Lorsque vous créez un diagramme Visio et le connectez directement à une source de données, Visio 2010 stocke directement les informations de source de données dans le fichier lors de la publication dessin Web sur SharePoint Server 2010. Lorsqu’un utilisateur affiche le dessin, Visio Services vous connecte à la source de données à l’aide du compte de service autonome de la banque d’informations sécurisée spécifié dans les paramètres globaux Visio Services.

Si, au lieu de vous connecter directement à une source de données à partir de Visio 2010, vous vous connectez à une source de données à l’aide d’un fichier ODC stocké sur SharePoint Server 2010, Visio 2010 conserve le lien vers ce fichier ODC lors de la publication du dessin Web. Visio Services utilise ensuite les informations stockées dans le fichier ODC lors de la connexion à la source de données. Cette procédure inclut l’utilisation d’une application cible spécifique de la banque d’informations sécurisée, s’il en existe une dans le fichier ODC.

Visio 2010 ne peut pas modifier les fichiers ODC. Pour utiliser un fichier ODC avec un dessin Web Visio, nous vous recommandons d’adopter la procédure suivante : créez le fichier ODC dans Excel 2010, publiez-le dans SharePoint Server 2010, puis connectez-vous au fichier en tant que source de données à partir de Visio 2010 lorsque vous créez un diagramme connecté aux données. Vous devez utiliser Excel 2010 pour modifier les fichiers ODC si vous souhaitez modifier la requête de données, changer les informations d’authentification, spécifier une application cible ou modifier d’autres paramètres.

Visio Services ne peut pas analyser les requêtes SQL complexes. Si vous tentez d’utiliser un fichier ODC contenant une requête complexe, Visio Services peut ne pas être en mesure d’exécuter la requête et d’extraire les données.

PerformancePoint Services

PerformancePoint Services n’utilise la banque d’informations sécurisée par le biais du compte de service autonome. Le choix entre l’authentification Windows intégrée et le compte de service autonome s’effectue par l’intermédiaire de Dashboard Designer lorsque vous créez ou modifiez une source de données.

L’application cible de la banque d’informations sécurisée pour le compte de service autonome PerformancePoint Services est configurée dans le cadre des paramètres de l’application de service PerformancePoint Services par un administrateur. L’application cible apparaît dans la liste des applications cibles de la banque d’informations sécurisée mais ne doit pas être modifiée directement par le biais de la banque d’informations sécurisée.

Récapitulatif des différences

Comme le décrit cet article, chacune des applications des services d’aide à la décision utilise la banque d’informations sécurisée à sa manière. Le tableau suivant récapitule les fonctionnalités et options de la banque d’informations sécurisée pour chaque application de service d’aide à la décision.

Notes

Chaque application de service d’aide à la décision prend en charge l’authentification Windows intégrée. Si l’authentification Windows intégrée est spécifiée, les options de la banque d’informations sécurisée ne sont pas utilisées.

Application de service	Banque d’informations sécurisée	Connexions de données
PerformancePoint Services	Compte de service autonome uniquement.	Toujours établies à l’aide d’un fichier PPSDC.
Excel Services	L’application cible de la banque d’informations sécurisée peut être spécifiée dans un fichier ODC ou incorporée dans un fichier XLSX. Lorsqu’aucune application cible n’est incorporée ou spécifiée dans un fichier ODC, le compte de service autonome est utilisé.	Incorporées dans une feuille de calcul ou spécifiées dans un fichier ODC. Les fichiers ODC doivent être modifiés dans Excel 2010.
Visio Services	L’application cible de la banque d’informations sécurisée peut être spécifiée dans un fichier ODC. Lorsqu’aucun fichier ODC n’est utilisé ou qu’un fichier ODC ne mentionne pas une application cible, le compte de service autonome est utilisé. Chaque fois qu’une authentification Windows non intégrée est utilisée, le compte autonome est requis, sauf si le fichier ODC indique une autre application cible.	Incorporées dans un dessin Web ou spécifiées dans un fichier ODC. Prise en charge limitée des requêtes complexes. Les fichiers ODC doivent être modifiés dans Excel 2010. (Visio 2010 ne peut pas modifier les fichiers ODC.)

PerformancePoint Services

Compte de service autonome uniquement.

Toujours établies à l’aide d’un fichier PPSDC.

Excel Services

L’application cible de la banque d’informations sécurisée peut être spécifiée dans un fichier ODC ou incorporée dans un fichier XLSX. Lorsqu’aucune application cible n’est incorporée ou spécifiée dans un fichier ODC, le compte de service autonome est utilisé.

Incorporées dans une feuille de calcul ou spécifiées dans un fichier ODC. Les fichiers ODC doivent être modifiés dans Excel 2010.

Visio Services

L’application cible de la banque d’informations sécurisée peut être spécifiée dans un fichier ODC. Lorsqu’aucun fichier ODC n’est utilisé ou qu’un fichier ODC ne mentionne pas une application cible, le compte de service autonome est utilisé.

Chaque fois qu’une authentification Windows non intégrée est utilisée, le compte autonome est requis, sauf si le fichier ODC indique une autre application cible.

Incorporées dans un dessin Web ou spécifiées dans un fichier ODC. Prise en charge limitée des requêtes complexes. Les fichiers ODC doivent être modifiés dans Excel 2010. (Visio 2010 ne peut pas modifier les fichiers ODC.)