Excel Services の外部データ接続を計画する

  • [アーティクル]

この記事の内容 :

  • Excel Services の外部データ接続について

  • 接続と Excel ブック

  • データ プロバイダ

  • 外部データに対する認証

  • データ接続ライブラリとマネージ接続

  • Excel Services のセキュリティと外部データ

  • 外部データを利用するためのサーバー構成の手順

  • 外部データを利用するためのブック構成の手順

  • よく寄せられる質問

Microsoft Office SharePoint Server 2007 の Excel Services に読み込まれたブックで外部データを最新の情報に更新できるように Microsoft Office SharePoint Server 2007 を構成するには、Office SharePoint Server 2007 と Excel Services との依存関係を理解する必要があります。

ここでは、次に示す [データの更新が失敗しました] というエラー メッセージを解決する方法を説明します。

Excel Services - データ更新失敗のメッセージ

Excel Services の外部データ接続について

ここでは、以下の Office SharePoint Server 2007 アプリケーション サーバー コンポーネントを構成するのに役立つガイダンスを示します。

  • Excel Services

  • シングル サインオン (SSO)

  • Office SharePoint Server 2007

また、基礎的な情報として、アプリケーション サーバーおよび外部データの概念の概要についても説明しますが、これらには Office Excel 2007 に固有の情報も含まれます。この基礎的な情報には、ブックで外部データを利用できるように Excel Services を正しく設定するための重要な情報が含まれています。

さらに、Office Excel 2007 ブックの構成方法と、次のような内容に関するよく寄せられる質問への回答も示します。

  • サーバー セキュリティと外部データ

  • マネージ データ接続

接続と Excel ブック

外部データを使用する Excel ブックには必ず、データ ソースへの接続が含まれています。接続は、外部データ ソースとの通信を確立してデータを読み込むために必要なすべての要素によって構成されます。その内容は次のとおりです。

  • 接続文字列 (接続先のサーバーと接続方法を指定する文字列)

  • クエリ (取得するデータを指定する文字列)

  • その他データ取得に必要な詳細情報

埋め込み接続とリンク接続

Excel ブックに含まれる接続には、埋め込み接続とリンク接続があります。埋め込み接続はブックの一部として内部に保存され、リンク接続はブックから参照可能な別ファイルとして外部に保存されます。

機能面では、埋め込み接続とリンク接続の違いはありません。どちらの接続でも、データに正常に接続するのに必要なすべてのパラメータが正確に指定されます。リンク接続のファイルは、中央に保存して、セキュリティで保護し、管理および再利用することができます。外部データに接続するユーザーの数が多いときは、多くの場合、この方法が適しています。詳細については、「データ接続ライブラリとマネージ接続」を参照してください。

同じ接続について、ブックに接続情報を埋め込むと共に、外部接続ファイルへのリンクを同じブックに入れることもできます。データを最新の情報に更新するために外部データ ソースからデータを取り込むときは必ず外部接続ファイルを使用するように、接続を構成することができます。この例では、外部接続ファイルを取得できない場合、またはデータ ソースへの接続を確立できない場合に、ブックにデータを取り込むことができなくなります。外部接続ファイルのみを使用するように接続が構成されていない場合、Excel は埋め込まれた接続の使用を試みます。埋め込まれた接続を使用できない場合は、接続ファイルを使用して外部データ ソースへの接続を試みます。外部データ ソースへの通信リンクを確立するときに接続ファイルのみを使用することを指定できる機能は、2007 Microsoft Office system で導入されました。「データ接続ライブラリとマネージ接続」に記載されているマネージ接続のシナリオは、この機能によってサポートされます。

Excel Services では、外部接続ファイルからの接続と、ブックに埋め込まれた接続を使用できます。外部接続ファイルに関しては、いくつかの制限があります。詳細については、「Excel Services のセキュリティと外部データ」を参照してください。両方の種類の接続がサーバーで許可されている場合の動作は、前の段落で説明した Excel の動作と同様です。

セキュリティのために、接続ファイルからの接続のみを許可するように Excel Services を構成することができます。この構成では、サーバー上で読み込まれたブックに埋め込まれた接続はすべて無視され、サーバー管理者によって信頼されている有効な接続ファイルへのリンクが存在するときにのみ接続が試行されます。 詳細については、「信頼できるデータ接続ライブラリ」を参照してください。

注意

接続ファイルには多くの種類がありますが、Excel Services で使用できるのは Office データ接続ファイル (.odc) のみです。

データ プロバイダ

データ プロバイダは、クライアント アプリケーション (Excel、Excel Services など) が特定のデータ ソースに接続するために使用するドライバです。たとえば、Microsoft SQL Server 2005 Analysis Services への接続には、特別な MSOLAP データ プロバイダが使用されます。データ プロバイダは、接続の一部として接続文字列の中で指定されます。ここでは、データ プロバイダについて詳しくは説明しませんが、以下のことを理解してください。

  • データ プロバイダとは、外部データへの接続に使用できるライブラリの集まりで、通常は十分なテストを経ており、安定しています。

  • Excel Services で使用するすべてのデータ プロバイダは、サーバー管理者によって明示的に信頼されている必要があります。信頼できるプロバイダのリストに新しいデータ プロバイダを追加する方法の詳細については、「Excel Services 用の信頼できるデータ プロバイダを追加する」を参照してください。

    注意

    既定では、既知の安定したデータ プロバイダの多くが Excel Services によって信頼されています。ほとんどの場合、新しいデータ プロバイダを追加する必要はありません。データ プロバイダを追加するのは一般に、カスタム ソリューションの場合です。

  • データ プロバイダは、クエリ、接続文字列の解析、および接続固有のその他のロジックを処理します。これは、Excel Services の機能の一部ではありません。Excel Services がデータ プロバイダの動作を制御することはできません。

外部データに対する認証

データ サーバーを利用するには、ユーザーは認証を受ける必要があります。認証とは本質的に、自分がだれであるかをサーバーに知らせることです。その次に、承認が行われます。承認とは本質的に、自分が何を実行できるかをサーバーに知らせることです。認証は、データ サーバーが承認を実行するために必要です。つまり、承認を受けたユーザー以外にデータが公開されるのを防ぐセキュリティ制限を適用するために必要です。

Excel Services は、だれがデータを要求しているかをデータ ソースに知らせる必要があります。ほとんどのシナリオでは、これはブラウザで Excel レポートを表示しようとするユーザーのことです。この記事の目的は、Excel Services と外部データ ソースとの間の認証について説明することです。このレベルの認証を次の図に示します。右側の矢印は、Excel Calculation Services を実行しているアプリケーション サーバーから外部データ ソースへの認証リンクを表しています。

Excel Services - 外部データに対する認証

認証を実装する方法は多数ありますが、ここでは Excel Services に適用できる次の 3 つの方法について重点的に説明します。

  • Windows 認証

  • SSO

  • なし

Excel Services は、接続のプロパティに基づいて認証の種類を決定します。このプロパティは明示的に設定されている必要があり、Office Excel 2007 クライアントを使用して設定できます。認証の種類が見つからない場合は、既定の認証である Windows 認証が試行されます。詳細については、「既存の接続のサーバー認証を指定する」を参照してください。

Windows 認証

この方法では、Windows ユーザー ID を使用してデータ ソースに対する認証を行います。この認証を行うためにオペレーティング システムが使用する具体的な機構 (NTLM や制限付き委任) の説明は、この記事の範疇ではありません。外部データにアクセスするには Windows 認証が最も安全だと見なされていることと、Excel クライアントを使用して SQL Server 2005 Analysis Services などの外部データ ソースに接続するときに通常はこの方法が既定の認証となっていることを理解してください。

ほとんどのエンタープライズ環境では、Excel Services はファームの一部として設定されます。ファームには、フロントエンド Web サーバー、バックエンド Excel Calculation Services サーバー、およびデータ ソースがあり、「外部データに対する認証」の図に示すように、それぞれ異なるコンピュータで実行されています。したがって、Windows 認証を使用するデータ接続を可能にするには、委任つまり Kerberos (制限付き委任を推奨) が必要になります。コンピュータ間のユーザー ID の送受信が、信頼できる、安全な方法で行われるようにするには、委任が必要であるからです。ファーム展開では、Kerberos が正しく構成されていなければ、この種の接続は Excel Services に対して機能しません。

SSO

シングル サインオン (SSO) は、アプリケーションが他のアプリケーションに対して認証を受けるときに使用される資格情報 (ユーザー ID とパスワードのペア) を保存するために一般的に使用される、中央データベースです。この場合、Excel Services は、外部データ ソースに対する認証で使用する資格情報の保存と取得を、SSO に依存して行います。

各 SSO エントリには、適切な資格情報のセットを取得するためのルックアップとなるアプリケーション ID が含まれます。アプリケーション ID ごとにアクセス許可を設定できるので、そのアプリケーション ID に対して保存されている資格情報に特定のユーザーまたはグループのみがアクセスできるようにすることができます。

アプリケーション ID が与えられると、Excel Services は、ブラウザまたは Excel Web サービス を通じてブックにアクセスするユーザーに代わって SSO データベースから資格情報を取得します。Excel Services は、この資格情報を使用してデータ ソースに対する認証を行い、データを取得します。

注意

アプリケーション ID は、接続に対して明示的に設定される必要があります。アプリケーション ID の指定方法の詳細については、「既存の接続のサーバー認証を指定する」を参照してください。

なし

この認証方法は、単に資格情報の取得を行う必要がない、または接続のための認証に関して特別なアクションが必要ないことを表します。たとえば、Excel Services が資格情報の委任を試みたり、SSO データベースから資格情報の取得を試みたりすることはありません。この場合、Excel Services はデータ プロバイダに接続文字列を渡すだけで、認証方法の決定はデータ プロバイダに任せます。

より具体的に説明すると、この方法では一般に、データ ソースへの接続に使用されるユーザー名とパスワードが接続文字列の中で指定されることになります。ただし、場合によっては、統合セキュリティを使用することが接続文字列の中で指定されることもあります。つまり、データを要求しているユーザーまたはコンピュータの Windows ID が、データ ソースへの接続に使用されることになります。このような場合、データ ソースへの接続は Excel Services としてではなく、無人アカウントとして行われます。詳細については、「無人アカウント」を参照してください。

データ接続ライブラリとマネージ接続

データ接続ライブラリは、Office SharePoint Server 2007 に追加された新しいタイプのリストです。これは、接続ファイルを格納するために設計された SharePoint リストで、Office Excel 2007 などの 2007 Office system アプリケーションによって参照できます。

データ接続ライブラリを利用すると、データ接続を中央で管理し、セキュリティで保護して、保存および再利用することができます。

接続を再利用する

データ接続ライブラリは Office SharePoint Server 2007 の中の既知の場所にあり、データ接続ライブラリによってフレンドリ ビジネス名と説明が表示されるので、あるユーザーが作成または構成した接続を他のユーザーが再利用できるようになります。専門的知識を持つインフォメーション ワーカーやデータの専門家が接続を作成すれば、他のユーザーは、データ プロバイダ、サーバー名、および認証の詳細を知らなくても接続を再利用することができます。データ接続ライブラリの保存場所を Office クライアントに公開すれば、Excel や、データ接続ライブラリを利用するその他のクライアント アプリケーションの中でデータ接続が表示されます。詳細については、「データ接続ライブラリを作成する」を参照してください。

接続を管理する

ブックにはデータ接続ライブラリのファイルへのリンクが含まれるので、接続に関する情報 (サーバー名や SSO アプリケーション ID) が変更されても、更新が必要なのは数百ものブックではなく、1 つの接続ファイルだけです。次回、ブックで Excel または Excel Services から最新の情報に更新するためにその接続ファイルを使用するときに、接続の変更が自動的に取得されます。

接続をセキュリティで保護する

データ接続ライブラリは SharePoint リストで、フォルダ単位やアイテム単位のアクセス許可など、 Office SharePoint Server 2007 が行うすべてのアクセス許可をサポートします。このことによるサーバー上での利点は、データ接続ライブラリが、ロックされた、高度な制御が可能なデータ接続保管場所となることです。多くのユーザーは、データ接続を使用できるようにデータ接続ライブラリへの読み取り専用のアクセス権を与えられていますが、ユーザーによる新規接続の追加を禁止することができます。アクセス制御リスト (ACL) をデータ接続ライブラリと共に使用し、信頼できる作成者のみに接続のアップロードを許可することによって、データ接続ライブラリには信頼できる接続が保管されていることになります。信頼できる接続とは、悪意のあるクエリが含まれていないことが判明している接続のことです。

サーバー管理者によって明示的に信頼されているデータ接続ライブラリからのみ接続ファイルを読み込み、埋め込まれた接続からの読み込みはブロックするように Excel Services を構成することができます。この構成では、Excel Services でデータ接続ライブラリを使用することによって、データ接続を取り巻くセキュリティが一段と強化されます。

データ接続ライブラリを、Office SharePoint Server 2007 で新たに追加された "校閲者" ロールと共に使用することによって、Excel Services に読み込まれたブックの更新のために接続の使用を許可することもできます。校閲者ロールが適用されると、ユーザーは Excel などのクライアント アプリケーションから接続ファイルの内容にアクセスすることはできなくなります。このようにして、接続ファイルの内容は保護されますが、サーバー上でブックを最新の情報に更新するためにこの接続ファイルを使用することはできます。

Excel Services のセキュリティと外部データ

Excel Services は、何層ものセキュリティで保護されています。ここでは、外部データ アクセスに直接関係する概念のみを説明します。

信頼できるファイル保存場所

Excel Services は、信頼できるファイル保存場所からのみブックを読み込みます。信頼できるファイル保存場所とは、実際にはディレクトリ (すべてのサブディレクトリを含む) で、このディレクトリからのブックの読み込みが管理者によって明示的に許可されているものをいいます。これらのディレクトリは Excel Services が内部的に保持するリストに追加されます。このリストは、信頼できるファイル保存場所リストと呼ばれます。

信頼できる保存場所から読み込まれるブックに対して、一連の制限が指定されていることもあります。信頼できる保存場所から読み込まれるブックはすべて、その信頼できる保存場所の設定に準拠します。信頼できる保存場所の設定のうち、外部データに影響を与えるものを以下に示します。

  • 外部データにはどのようなアクセスが可能か。以下のオプションがあります。

    • データ アクセスを許可しない (既定)

    • Office SharePoint Server 2007 のデータ接続ライブラリにある接続ファイルのみ使用可能

    • データ接続ライブラリからの接続ファイルに加えて、ブックに埋め込まれた接続を許可する

  • クエリ更新の警告を表示するかどうか。

  • ブックを開くときに外部データを最新の情報に更新できなかった場合に、ブックの読み込みを中止するかどうか。これは、キャッシュされたデータの結果をブックが保持しており、ブックを表示するユーザーの ID に応じてその内容が変化するという場合に使用されます。目標は、このようなキャッシュされた結果を隠し、ブックを表示するユーザーに固有のデータのみが表示されるようにすることです。この場合、ブックが開かれるときに最新情報への更新が試行されます。接続ごとに、開くときに最新の情報に更新するよう設定することができます。この更新に失敗した場合、そのブックを Excel クライアントで開くことができないユーザーには、ブックは表示されません。

    注意

    これは、Office SharePoint Server 2007 の校閲者ロールが持つアクセス許可によってブックがロックされている場合にのみ機能します。Excel で直接ブックを開くことのできるユーザーは、いつでもキャッシュされたデータの結果を参照できるからです。

  • 外部データ キャッシュの有効期限。スケールおよびパフォーマンスを向上させるために、サーバーの多くのユーザー間でデータが共有されます。また、キャッシュの有効期間は調整できます。クエリの実行に時間がかかることがあるためクエリの実行を最小限にとどめることが要求されるシナリオにも、これによって対応できます。このようなシナリオでは、データの変化する頻度が分単位または 1 時間単位ではなく、日単位、週単位、月単位ということもよくあります。

信頼できるデータ接続ライブラリ

ブック ファイルと同様、Excel Services は Office SharePoint Server 2007 の信頼できるデータ接続ライブラリの接続ファイルのみを読み込みます。信頼できるデータ接続ライブラリとは、サーバー管理者によって明示的に、内部的な信頼できるリストに追加されたライブラリです。データ接続ライブラリを利用して接続ファイルのセキュリティ保護と管理を行う方法については、「データ接続ライブラリとマネージ接続」を参照してください。Excel Services で使用するデータ接続ライブラリを信頼する方法の詳細については、「Excel Services で使用するデータ接続ライブラリを信頼する」を参照してください。

信頼できるデータ プロバイダ

Excel Services は、内部的な信頼できるプロバイダ リストに追加されている外部のデータ プロバイダのみを使用します。これは、管理者によって信頼されていないプロバイダをサーバーが使用することを防ぐためのセキュリティ機構です。データ プロバイダを信頼する方法の詳細については、「Excel Services 用の信頼できるデータ プロバイダを追加する」を参照してください。

無人アカウント

無人アカウントとは、統合 Windows 認証を使用しないデータ ソースに対する認証を Excel Services が試みるときに偽装する、特殊なアカウントです。Excel Services がデータ プロバイダを制御することはなく、プロバイダ固有の接続文字列を直接解析することもないので、Excel Services 自体の ID を使用してデータ ソースに接続することを可能にするセキュリティ脅威の緩和が必要になります。無人アカウントは、このような脅威を緩和するために使用されます。

Excel Services は、高い特権を持つアカウントで実行されることもよくありますが、このレベルの特権は、データを表示するだけのエンド ユーザーには適切ではありません。外部データ認証が [なし] に設定されているか、[SSO] に設定されていて SSO アプリケーション ID に Windows 資格情報が格納されていないときは、無人アカウントを偽装してからデータへの接続が試行されます。無人アカウントはデータ ソースに対する特権を持たないことになっているので、この方法を利用すれば、特権アカウントのコンテキストで誤って、あるいは悪意を持ってデータ ソースに接続されることを防止できます。

無人アカウントがデータ ソースにアクセスできる場合 (認証の種類が [なし] のとき) は、無人サービス アカウントの資格情報を使用して接続が正常に確立されます。意図的にこのアカウントを使用してデータに接続するソリューションを設計するときは、注意が必要です。この 1 つのアカウントが、サーバー上のすべてのブックで使用される可能性があるからです。Excel Services でブックを読み込むユーザーはだれでも、認証の種類を [なし] に設定すれば、サーバーを使用してデータを参照できる可能性があります。シナリオによっては、このことが必要ですが、ユーザー単位またはグループ単位ベースでパスワードを管理するには、SSO を使用することをお勧めします。

信頼されたサブシステムと委任

Excel Services が展開されるときに、異なるサーバー ファーム コンポーネント間での通信に使用する方法が指定されます。これは、信頼されたサブシステム モードまたは委任モードとして構成されます。このモードを変更するには、Stsadm.exe コマンドライン ツールを使用する必要があります。

信頼されたサブシステム モード (ファーム展開での既定値) では、フロントエンド サーバーとバックエンド サーバーのコンポーネントの間に双方向の信頼が存在します。これにより、Excel Services アカウントを使用して Office SharePoint Server 2007 からファイルを取得できます。ただし、ファイルが Excel Services によって取得されたとしても、ファイルを要求しているユーザーに適切なアクセス許可が付与されていることを確認するセキュリティ チェックが実行されます。このモードでは、バックエンドの Excel Calculation Services サーバーはユーザーの ID を認識していますが、完全なユーザー セキュリティ トークンを保持しているわけではないので、他のコンピュータに委任することはできません。

委任モード (単一コンピュータ展開または評価用展開での既定値) では、ファームのフロントエンド サーバーが常にユーザーの ID をバックエンド サーバーに委任します。この場合、ファイルの取得は Excel Services アカウントとしてではなく、ブックを要求するエンド ユーザーとして実行されます。バックエンドの Excel Calculation Services サーバーは、ユーザーの完全な ID (セキュリティ トークン) を保持しているので、他のサーバーへ委任できます。

注意

委任モードでは、バックエンドの Excel Calculation Services のサーバーから同じサーバー上のどのコンピュータにも委任できますが、別のサーバーに存在するコンピュータへの委任を行うには、Kerberos が構成されている必要があります。

Windows 認証を使用する接続が機能するのは、Excel Services が委任モードで展開されている場合のみです。サーバーが信頼されるサブシステム モードの場合は、アプリケーション サーバーのバックエンド計算コンポーネントはエンド ユーザー (ブックを表示する人) の完全なセキュリティ トークンを保持していないので、ID をデータ ソースへ委任できないからです。

外部データを利用するためのサーバー構成の手順

ここでは、外部データの接続を可能にするためのサーバー側の基本的な構成の手順を説明します。Excel Services が外部データを最新の情報に更新するのに必要なすべての Office Server コンポーネントの構成について説明するので、Excel Services の管理以外のことについても説明します。

ここでは、SharePoint サーバーの全体管理 Web サイトおよび共有サービス プロバイダ (SSP) 管理について述べます。また、これらのコンソールを起動する手順も説明します。ここで説明する手順を実行するには、サーバーの全体管理および SSP 管理に対するアクセス権が必要です。

サーバーの全体管理コンソールにアクセスする

  • タスク バーの [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft Office Server] をポイントし、[SharePoint 3.0 サーバーの全体管理] をクリックします。

SSP 管理コンソールにアクセスする

  1. サーバーの全体管理コンソールで、次のいずれかの手順を実行します。

  2. 左側のナビゲーション バーから、SSP の名前を選択します。たとえば、次の図では SharedServices1 になります。

    サイトの全体管理 - 共有サービス管理

  3. トップ ナビゲーション バーの [アプリケーション構成の管理] タブをクリックします。

    1. [アプリケーション構成の管理] ページで、[このファームの共有サービスの作成または構成] をクリックします。

    2. [このファームの共有サービスの作成または構成] ページで、SSP の名前を選択します。

Excel Services 用の信頼できるデータ プロバイダを追加する

Excel Services は、信頼できるデータ プロバイダを使用する接続のみを処理しようとします。よく使用されるデータ接続の種類 (ODBC、OLEDB、SQL Server、OLAP など) についてはプロバイダを追加する必要はありません。Excel Services は、標準的なプロバイダの多くを既定で信頼するからです。プロバイダを追加するのは一般に、非常に特別なソリューションの場合のみです。詳細については、「データ プロバイダ」を参照してください。

Excel Services で使用する新規プロバイダを追加する

  1. そのデータ プロバイダがファームのすべてのサーバーにインストールされていることを確認します。インストール手順は使用するデータ プロバイダに固有のものですが、ここでは説明しません。

  2. SSP 管理コンソールを起動します。詳細については、「外部データを利用するためのサーバー構成の手順」を参照してください。

  3. [Excel Services の設定] で、 以下の図に示すように [信頼できるデータ プロバイダ] をクリックします。

    SSP 管理コンソールの起動 - 信頼できるデータ プロバイダ

  4. [Excel Services 信頼できるデータ プロバイダ] ページで、[信頼できるデータ プロバイダの追加] をクリックします。

  5. 以下の図に示すように、[プロバイダ ID]、[プロバイダの種類]、および [説明] に値を入力します。

    Excel Services - 信頼できるデータ プロバイダ オプションの追加

  6. [OK] をクリックします。

    注意

    [プロバイダ ID] には、このプロバイダによって生成される接続文字列で使用されている ID を入力してください。

Excel Services に外部データの使用を許可する

外部データは、信頼できるファイル保存場所ごとに明示的に有効にする必要があります。

信頼できるファイル保存場所の外部データ アクセスを有効にする

  1. SSP 管理コンソールを起動します。詳細については、「外部データを利用するためのサーバー構成の手順」を参照してください。

  2. [Excel Services の設定] で、 以下の図に示すように [信頼できるファイル保存場所] をクリックします。

    Excel Services - 信頼できるファイル保存場所の設定

  3. [Excel Services: 信頼できるファイル保存場所] ページで、以下の図に示すように、ブックの読み込み元である信頼できるファイル保存場所の名前を選択するか、[信頼できるファイル保存場所の追加 ] をクリックして新しく作成します。

    Excel Services の信頼できるファイル保存場所 - 追加

  4. 信頼できるファイル保存場所の詳細ページで、以下の図に示すように [外部データ] セクションまで下にスクロールします。

    Excel Services の外部データ接続計画

  5. データ接続ライブラリ内の接続ファイルへのアクセスを許可するために、[信頼できるデータ接続ライブラリのみ] を選択します。または、[信頼できるデータ接続ライブラリと、埋め込まれている接続] を選択して、ブックに埋め込まれた接続とデータ接続ライブラリからの接続を使用できるようにします。ここでは、サーバーに影響するその他の外部データ設定、たとえば更新の警告や、データ キャッシュのタイムアウトを設定することもできます。

無人アカウントの設定

無人アカウントは、認証が [なし] に設定されている接続や、[SSO] に設定されていて SSO アプリケーション ID で Windows 資格情報が使用されない接続を使用可能にするために必要です。無人アカウントの詳細については、「無人アカウント」を参照してください。これらの種類の接続を使用しない場合は、無人アカウントを構成する必要はありません。

無人アカウントの設定を構成する

  1. SSP 管理コンソールを起動します。詳細については、「外部データを利用するためのサーバー構成の手順」を参照してください。

  2. 以下の図に示すように、共有サービスのホーム ページの [Excel Services の設定] セクションで、[Excel Services の設定の編集] をクリックします。

    Excel Services のデータ接続設定

  3. [Excel Services の設定の編集] ページで、[無人サービス アカウント] セクションまで下にスクロールします。以下の図に示すように、使用するアカウントのドメイン ユーザー名およびパスワードを入力します。

    無人サービス アカウント構成

  4. [OK] をクリックします。

Office Server シングル サインオンを構成する

SSO を利用すると、中間層アプリケーション サーバーでユーザーの資格情報を保存および取得することができます。資格情報の取得のキーはアプリケーション ID です。

アプリケーション ID を使用して、ユーザーを資格情報のセットにマップします。このマッピングは、グループおよび個人に対して設定できます。グループのマッピングでは、特定のドメイン グループのメンバであるすべてのユーザーが同じ資格情報のセットにマップされます。 グループのマッピングを行うと外部のデータ キャッシュを共有できるので、Excel Services でのスケールおよびパフォーマンスを高めるのに最適です。個人のマッピングでは、ユーザーはそのユーザー自身の資格情報のセットにマップされます。

Office SharePoint Server 2007 では、プラグ可能な Office SharePoint Server 2007 SSO インターフェイスを実装する SSO プロバイダはすべてサポートされます。Office Server には、独自のバージョンの SSO である Office SharePoint SSO が付属しています。ここでは、Office SharePoint SSO の構成のみについて説明し、サードパーティ製の SSO プロバイダの構成については詳しく説明しません。

Office SharePoint SSO で提供される機能以外の機能が必要な場合は、別の SSO プロバイダを使用してください。

注意

Microsoft からは、新しいバージョンのエンタープライズ シングル サインオン (EntSSO) も Microsoft Host Integration Server および Microsoft BizTalk Server と共に提供されています。EntSSO は、Excel Services ではサポートされません。EntSSO は、複数のグループのマッピング、アプリケーション ID 単位のアプリケーション ID 管理、SSO データベースに保存されるパスワードの設定および更新に役立つ機能など、多くの機能を備えています。

ここでは、SSO を使用して何が実現できるかをすべて詳しく説明することが目的ではありません。Excel Services でデータを最新の情報に更新するときに Office SharePoint SSO を使用できるようにサーバー上で正しく構成することを目的として、一般的な構成における基本の手順のみを示します。

サーバー上で Microsoft シングル サインオン サービスを開始する

Microsoft シングル サインオン サービスをファームの各サーバー上で開始する必要があります。

シングル サインオン サービスを開始する

  1. [管理ツール] の [サービス] をクリックします。

  2. 以下の図に示すように、[Microsoft Single Sign-On Service] をダブルクリックして [Single Sign-On Service Properties] ページを起動します。

    Excel Services - [サービス] ダイアログ ボックス

  3. [Single Sign-On Service Properties] ページの [全般] タブで、スタートアップの種類を [自動] に設定します。

    シングル サインオン サービス プロパティ設定

  4. 以下の図に示すように、[Single Sign-On Service Properties] ページの [ログオン] タブで、[アカウント] をクリックし、サービスを実行するドメイン アカウントを入力します。

    [Excel Services ログオン タブ] ダイアログ ボックス

    注意

    評価用またはデモンストレーション用の展開 (シングルクリック インストールなど) では、ほとんどの場合、Office Server のインストールに使用したアカウントと同じ資格情報を使用するのが最も簡単です。SSO をインストールするためのアカウント要件の詳細については、「Office Server SSO アカウントおよび特権の詳細」を参照してください。

  5. [適用] をクリックします。

  6. [Single Sign-On Service Properties] ページの [全般] タブで、[開始] をクリックしてサービスを開始し、[OK] をクリックします。

Office Server 上で SSO を構成する

アプリケーション ID およびパスワードを追加できるように SSO を構成する必要があります。アプリケーション ID の構成方法の詳細については、「SSO で新規アプリケーション ID を作成する」を参照してください。

Office Server 上で SSO を構成する

  1. サーバーの全体管理コンソールを起動します。詳細については、「外部データを利用するためのサーバー構成の手順」を参照してください。

  2. 以下の図に示すように、[サーバー構成の管理] タブの [セキュリティの構成] セクションで、[シングル サインオン設定の管理] を選択します。

    サーバーの全体管理での SSO の管理 - 操作

  3. [シングル サインオン設定の管理] ページで、以下の図に示すように [サーバー設定の管理] を選択します。

    サーバーの全体管理 - シングル サインオンの管理

  4. [シングル サインオンのサーバー設定の管理] ページで、SSO 管理者アカウントおよび企業アプリケーション定義の管理者アカウントの資格情報を入力します。

    注意

    企業アプリケーション定義の管理者アカウントは、SSO でのアプリケーション ID とパスワードの管理に使用されます。ほとんどの構成では、サーバーのインストールに使用したアカウントを SSO 管理者アカウントおよび企業アプリケーション定義の管理者アカウントの両方に使用することができます。SSO の設定に使用するアカウントの詳細については、「Office Server SSO アカウントおよび特権の詳細」を参照してください。

  5. データベースおよびタイムアウトの設定は既定の設定のままにします。[OK] をクリックし、ページを保存して閉じます。

Office Server SSO アカウントおよび特権の詳細

ここでは、Office Server SSO の構成に使用されるさまざまなアカウントの具体的なメンバシップ、権限、および特権について詳しく説明します。これは、サードパーティ製のプラグ可能な SSO プロバイダにも当てはまるとは限りません。

評価またはデモンストレーションを目的とする場合は、Office Server のインストールに使用したアカウントを SSO の構成に使用できます。これが最も簡単な構成です。ただし、実稼働展開や企業展開では、サーバーのインストールに使用したアカウントとは別に SSO 管理者およびサービス アカウントを用意した方が安全であると考えられます。

  • SSO サービス アカウント SSO サービスを実行するユーザーは、ローカル コンピュータの WSS_Admin_WPG グループのメンバであることと、ドメイン アカウントであることが必要です。

  • SSO 管理者アカウント 任意のドメイン グループまたはユーザー アカウントを使用できます。SSO 管理者アカウントを設定するユーザーは、SSO 管理者アカウントを設定するドメイン グループのメンバである必要があります。個人のアカウントを SSO 管理者アカウントとして使用する場合は、現在のユーザーのアカウントである必要があります。

    Excel Services が信頼できるサブシステム モードで構成されているときは、SSP アプリケーション プール アカウントは SSO 管理者グループのメンバである必要があります (詳細については、「信頼されたサブシステムと委任」を参照してください)。これは、このような構成で Excel Services が使用する SSO チケットを機能させるために必要です。SSP アプリケーション プール アカウントとは、IIS の共有サービス アプリケーション プールを実行するために使用されるセキュリティ アカウントです。

  • SSO アプリケーション マネージャ アカウント 任意のドメイン グループまたは個人ユーザー アカウントを使用できます。SSO アプリケーション マネージャとして追加されるアカウントには、少なくとも、サーバーの全体管理サイトに対する読み取りアクセス権が付与されている必要があります。このサイトで SSO アカウントの管理を行うからです。

  • SSO 構成アカウント ここでは、SSO を構成するために使用されるアカウントの要件について説明します。SSO の設定および構成に使用されるアカウントの要件は以下のとおりです。

    • パスワードの暗号化および解読に使用されるマスタ キーを保存するサーバーのローカル管理者であること。このサーバーは "シークレット サーバー" とも呼ばれます。

    • SSO パスワードを保存する SQL Server コンピュータ上で、SQL Server のセキュリティ管理者、サーバー管理者、およびデータベース作成者の各ロールのメンバであること。

    • Office Server ファーム管理者であること。この要件を満たすことで、SSO の構成を行うときに Office SharePoint Server 2007 の構成データベースへの書き込みができるようになります。

    • SSO 構成作業で設定される SSO 管理者グループのメンバであること。

    • SSO が構成されるサーバーのコンソールにログオンできること。

SSO アカウントおよび特権の例

ボブという名前の管理者が、ドメイン アカウント CORPDOMAIN\ServerAdmin を使用して Office SharePoint Server 2007 をインストールします。このアカウントは、ファームの各サーバーの管理者アカウントであり、Office Server ファーム管理者の権限も保持しています。ボブは、CORPDOMAIN\ServerAdmin アカウントを使用してコンピュータにログオンします。各コンピュータの WSS_Admin_WPG グループに、アカウント CORPDOMAIN\ServerService を追加します。各コンピュータ上で、シングル サインオン サービスを開始します。このサービスは、CORPDOMAIN\ServerService として実行します。

次に、SSO を構成するためにサーバーの全体管理コンソールを起動します。ドメイン グループ CORPDOMAIN\OfficeServerAdmins が SSO 管理者アカウントと SSO アプリケーション マネージャ アカウントの両方になるように設定します。この構成に使用している CORPDOMAIN\ServerAdmin アカウントは、ドメイン グループ CORPDOMAIN\OfficeServerAdmins のメンバです。ボブは、SSP 管理ページにアクセスして、SSP がどのアカウントで実行されているかを再確認します。SSP は CORPDOMAIN\SharedServiceAdmin として実行されています。ボブは、Excel Services を動作させるには CORPDOMAIN\SharedServiceAdmin に SSO 管理者としての権限が必要であることを認識しています。CORPDOMAIN\SharedServiceAdmin は、SSO 管理者として使用したグループである CORPDOMAIN\OfficeServerAdmins ドメイン グループのメンバです。残りのサーバーと Excel Services を構成した後で、ボブは、Excel Services の外部データ更新に SSO が使用できることを確認します。

SSO で新規アプリケーション ID を作成する

SSO で新規アプリケーション ID を作成する

  1. サーバーの全体管理コンソールを起動します。詳細については、「外部データを利用するためのサーバー構成の手順」を参照してください。

  2. [サーバー構成の管理] タブの [セキュリティの構成] セクションで、[シングル サインオン設定の管理] を選択します。

  3. [シングル サインオン設定の管理] ページで、以下の図に示すように [企業アプリケーション定義の設定の管理] を選択します。

    [シングル サインオン構成の管理] ウィンドウ

  4. [企業アプリケーション定義の管理] ページで、新しいアプリケーション ID を作成するためにツール バーの [新しいアイテム] をクリックします。

  5. 新しいアプリケーションの値を入力します。アプリケーション名は、サーバーで接続を機能させるためにユーザーが Excel クライアントで接続を構成するときに、SSO アプリケーション ID としてデータ接続に入力する必要があります。通常は、[表示名] と [アプリケーション名] を同一にする必要があります。

  6. このアプリケーション定義を管理するユーザーまたはグループの電子メール アドレスを入力します。

  7. [アカウント] の種類を選択します。

    1. 特定のグループのすべてのユーザーが単一の資格情報セットにマップされるようにする場合は、[グループ] を選択します。ドメイン グループをマップするための定義は、後で行うこともできます。

    2. 各ユーザーが固有の資格情報セットにマップされるようにする場合は、[個人] を選択します。

      注意

      [制限付きアカウントを使用するグループ] を選択しないでください。Excel Services ではサポートされません。

  8. このアプリケーション ID に対して保存する資格情報が Windows ドメインの資格情報となる場合は、[認証の種類] セクションの [Windows 認証] チェック ボックスをオンにします。

    注意

    Excel Services のシナリオでは、この SSO エントリによってユーザー名とパスワードが保存されるので、ページ下部の [ログオン アカウント情報] の下にある [フィールド] の値を変更する必要はありません。

  9. 必要に応じて、以下の図に示すように、グループ マッピングを使用し Windows 資格情報を保存するアプリケーションの設定を構成します。これは、SQL Server 2005 Analysis Services などの OLAP ソースから取得するときの共通の構成になります。

    [Excel Services グループ マッピング構成] ページ

  10. ページ下部の [OK] をクリックして、アプリケーションの定義を保存します。

  11. [シングル サインオン設定の管理] ページで、以下の図に示すように [Manage account information for enterprise applications] を選択します。

    エンタープライズのアカウント情報を管理する

  12. [Manage Account Information for Enterprise Applications] ページでは、アプリケーション ID に対して保存される資格情報へのアクセスを許可するアカウントの制御と、アプリケーション ID に対して保存される実際の資格情報の管理を行うことができます。

  13. [企業アプリケーション定義] ボックスの一覧から、以下の図に示すように、前の手順で入力したアプリケーション ID を選択します。

    [Excel Services アカウント情報] ウィンドウ

  14. [グループ アカウント名] ボックスに、このアプリケーション ID に対して保存される資格情報へのアクセスを許可するグループを入力します。これは、データ ソースにアクセスするために使用されるアカウントではなく、データ ソースに対する認証に実際に使用される資格情報にマップされるドメイン グループまたはユーザー アカウントです。

    注意

    ドメインのすべてのユーザーがこれらの資格情報にアクセスできるようにする場合は、このテキスト ボックスに「DOMAIN\domain users」と入力します。

  15. [アカウント情報の更新] が選択されていることを確認して、[設定] ボタンをクリックします。

  16. アカウント情報ページが起動します。以下の図に示すように、SSO に保存されるアカウントのユーザー名とパスワードを入力します。これは、Excel Services がデータ ソースにアクセスするときに使用されるアカウントです。資格情報を入力したら、[OK] をクリックします。

    [Excel Services ユーザー名] ダイアログ ボックス

    注意

    SSO 資格情報が Windows 資格情報であるときに、パスワードが空白に設定されている場合は、Excel Services はデータ ソースに接続するときにエンド ユーザーに代わってプロトコルの移行を試みます。プロトコルの移行については、ここでは説明しません。

  17. アカウント情報管理のページが再び表示されます。ブラウザを閉じるか、[完了] をクリックして SSO 管理のホーム ページに戻ります。

データ接続ライブラリを作成する

データ接続ライブラリは、Office SharePoint Server 2007 のリスト テンプレートです。Office SharePoint Server 2007 でリストを作成できる場所であれば、ほぼどこでも、データ接続ライブラリを作成することができます。

注意

レポート センター サイトには、既定でデータ接続ライブラリが作成され、このサイトのレポートで使用されるすべてのデータ接続を管理するのに利用されます。

既存の SharePoint サイトにデータ接続ライブラリを追加する

  1. SharePoint サイトで、以下の図に示すように左側のナビゲーション バーの [すべてのサイト コンテンツの表示] をクリックします。

    Excel Services - [すべてのサイト コンテンツの表示] メニュー

  2. 以下の図に示すように、ページ上部にある [作成] ボタンをクリックします。

    Excel Services - サイト コンテンツの [作成] ボタン

  3. 次のページの [ライブラリ] セクションで、以下の図に示すように [データ接続ライブラリ] を選択します。

    Excel Services の外部データ接続

  4. 次のページで、以下の図に示すように、データ接続ライブラリの名前と説明 (省略可能) を入力します。

    データ接続の管理 - 選択オプション

  5. [作成] をクリックします。

Excel Services で使用するデータ接続ライブラリを信頼する

接続ファイルを Excel Services で使用するには、信頼できるデータ接続ライブラリの内部的なリストにデータ接続ライブラリを明示的に追加する必要があります。

データ接続ライブラリを信頼済みリストに追加する

  1. SSP 管理コンソールを起動します。詳細については、「外部データを利用するためのサーバー構成の手順」を参照してください。

  2. [Excel Services の設定] セクションで [信頼できるデータ接続ライブラリ] を選択します。

  3. [Excel Services: 信頼できるデータ接続ライブラリ] ページで、以下の図に示すように、データ接続ライブラリの URL と説明 (省略可能) を入力します。

    Excel Services - DCL の URL

注意

前の図で示したように、URL はデータ接続ライブラリに直接接続するものであることが必要です。フォーム ディレクトリに接続する URL や既定の aspx ページへの URL は指定しないでください。データ接続ライブラリへのリンクをブラウザから直接コピーする場合は、URL から「*/forms*」や「*/default.aspx*」という文字列を削除してください。

  1. [OK] をクリックします。

データ接続ライブラリを Office クライアントに公開する

接続の検出と再利用を容易にするために、データ接続ライブラリが Office クライアントのデータ接続 UI に表示されるように設定することができます (現時点では Office Excel 2007 および Microsoft Office Visio 2007 に表示されます)。このように設定すると、ユーザーがドキュメントを作成するアプリケーションの中で、フレンドリ名および説明に基づいてデータ接続ライブラリから接続を選択できるようになります。

データ接続ライブラリがクライアント アプリケーションで直接表示されるようにするには、データ接続ライブラリをサーバーからクライアント コンピュータに公開する必要があります。クライアント コンピュータがそのサーバーに関連付けられているか、レジストリ キーが直接設定されている必要があります。

データ接続ライブラリを Office クライアントに公開する

データ接続ライブラリを Office クライアントに公開する

  1. SSP 管理コンソールを起動します。詳細については、「外部データを利用するためのサーバー構成の手順」を参照してください。

  2. [ユーザー プロファイルと個人用サイト] セクションで、以下の図に示すように [Office クライアント アプリケーションに発行されたリンク] をクリックします。

    Excel Services - Office クライアントへのリンクの発行

  3. [Office クライアント アプリケーションに発行されたリンク] ページで、[新規] をクリックします。

  4. データ接続ライブラリへの URL を入力します。

    注意

    図に示すように、フォーム ディレクトリや既定の aspx ページへの URL ではなくデータ接続ライブラリに直接接続する URL を指定する必要があります。データ接続ライブラリへのリンクをブラウザから直接コピーする場合は、URL から「/forms」や「/default.aspx」という文字列を削除してください。

  5. 以下の図に示すように、[種類] ボックスの一覧から [データ接続ライブラリ] を選択します。

    [Excel Services の DCL 設定] ダイアログ ボックス

  6. [OK] をクリックします。

    注意

    対象ユーザー設定が使用されている場合は、指定された SharePoint 対象ユーザーのメンバであるユーザーのみがデータ接続ライブラリへのリンクを受け取ります。既定では、対象ユーザー設定が使用されていなければ、データ接続ライブラリを表示する権限を持つすべてのユーザーがデータ接続ライブラリへのリンクを受け取ります。

クライアント コンピュータをサーバーに関連付ける

公開されたデータ接続ライブラリのリストをクライアント コンピュータが受信できるようにするには、まずコンピュータをポータル サーバーに関連付ける必要があります。このように設定するには、個人用サイトを有効にして、既定の個人用サイトを設定します。

注意

現実の展開のほとんどは既にこのように設定されており、何もする必要はありません。

個人用サイトを有効にする

  1. サーバーの全体管理コンソールを起動します。詳細については、「外部データを利用するためのサーバー構成の手順」を参照してください。

  2. トップ ナビゲーション バーの [アプリケーション構成の管理] タブをクリックします。

  3. [アプリケーション構成の管理] ページの [アプリケーション セキュリティ] セクションで、以下の図に示すように [Self-Service Site の管理] をクリックします。

    [Self-service Site の管理] ダイアログ ボックス

  4. [Self-Service Site の管理] ページで、以下の図に示すように、Web アプリケーションを選択し (ほとんどの展開では、既定値をそのまま使用します)、[オン] をクリックします。

    [Web アプリケーション] ラジオ ボタン - オン

  5. [OK] をクリックします。

個人用サイトを既定として設定する作業は、データ接続ライブラリからの接続を再利用するエンド ユーザーが実行する必要があります。

個人用サイトを既定として設定する

  1. ポータルへ移動し、以下の図に示すように、ツール バーの右上にある [個人用サイト] をクリックします。

    個人用サイトのメニュー オプション

  2. [個人用サイト] ページで、以下の図に示すように、ページ右上の [既定の個人用サイトとして設定] を選択します。

    既定として設定 - 個人用サイトの選択

  3. 起動されたダイアログ ボックスの [OK] をクリックします。

    注意

    既定の個人用サイトの設定は、Active Directory を介してそのユーザーの他のサーバーに伝達することができます。

データ接続ライブラリがクライアントに表示されるようにレジストリ キーを設定する

ここでは、データ接続ライブラリまたは他の HTTP あるいは UNC の場所を接続 UI に表示するためのレジストリ キーの作成方法を詳しく説明します。

データ接続ライブラリを表示するためのレジストリ キーを作成する

  1. タスク バーの [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。以下の図に示すように、「regedit」と入力して ENTER キーを押します。

    Excel Services - regedit 画面

  2. HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\Server Links\Published のフォルダに移動します。

  3. Published フォルダがない場合は、作成する必要があります。作成するには、以下の図に示すように、[Server Links] フォルダのアイコンを右クリックして、[新規]、[キー] の順に選択します。キーの名前は、「Published」と指定します。

    Excel Services の外部データ接続 - キーの設定

  4. 以下の図に示すように、Published フォルダの内側を右クリックして [新規] [文字列値] の順に選択し、新しい文字列値を作成します。

    Excel Services の文字列値を設定する

  5. 文字列の名前には、データ接続ライブラリのフレンドリ名を指定します。

  6. 以下の図に示すように、この文字列値を右クリックして [修正] を選択します。

    Excel Services - 外部データ接続の変更

  7. 以下の図に示すように、[文字列の編集] ダイアログ ボックスにデータ接続ライブラリへの HTTP パスを入力します。

    Excel Services - DCL 編集文字列へのパス

  8. [OK] をクリックします。

外部データを利用するためのブック構成の手順

ここでは、ブックが Excel Services で読み込まれたときに外部データを最新の情報に更新できるようにするために Excel クライアントから構成する必要のある、一般的なオプションについて説明します。また、データ接続ライブラリからの接続の再利用や、データ接続ライブラリへの接続のエクスポートについても説明します。

新しい接続を作成する

Excel ブック内に新しいデータ接続を作成するには、データ接続ウィザードを使用するのが最も簡単です。このウィザードでは、Excel Services の認証オプションの構成も行うことができます。データ接続ウィザードを実行すると、ブックからリンクされる .odc ファイルが作成されます。これについては、「埋め込み接続とリンク接続」で説明しています。

新しい接続を作成する

  1. Excel で、以下の図に示すように、[データ] タブの [外部データの取り込み] セクションにある [その他のデータソース] を選択し、ドロップダウン リストから [データ接続ウィザード] を選択します。

    Excel Services - 新しい接続の作成

  2. ウィザードの各画面で、データ ソースに適した選択を行います。ウィザードの最後の画面では、以下の図に示すように [認証の設定] をクリックします。

    Excel Services - [認証の設定] ボタン

  3. [認証] ダイアログ ボックスで、選択した認証方法に対応するオプション ボタンをクリックします。認証の種類については、「外部データに対する認証」で説明しています。これらは、次の図のように表示されます。

    [Excel Services の認証の設定] ダイアログ ボックス

  4. [OK] をクリックして [認証] ダイアログ ボックスを閉じ、[完了] をクリックしてウィザードを終了します。

    注意

    このウィザードを実行すると .odc ファイルが作成されます。このファイルは、データ接続ライブラリに直接保存することができます。データ接続ライブラリに保存するには、ウィザードの最後の画面で参照ボタンをクリックし、対応するファイル ダイアログでデータ接続ライブラリへの HTTP パスを入力します。ファイルがデータ接続ライブラリに保存されると、他のユーザーが再利用できるようになります。

データ接続ライブラリからの既存の接続を再利用する

データ接続ライブラリの中に接続ファイルが存在しており、Office クライアントに公開されていれば、データ接続ライブラリからの接続を Excel 内で直接再利用することができます。詳細については、「データ接続ライブラリを Office クライアントに公開する」を参照してください。

既存の接続を再利用する

  1. 以下の図に示すように、Excel の [データ] リボンから [既存の接続] を選択します。

    Excel Services の [既存の接続] ボタン

    以下の図に示すように、DCL フォルダは [既存の接続] ダイアログ ボックスの [ネットワーク上の接続ファイル] セクションに表示されます。

    Excel Services の既存の接続ファイル

  2. データ接続ライブラリごとに別のフォルダがあります。データ接続ライブラリのフォルダをダブルクリックすると、以下の図に示すように、そのライブラリに保存されている接続が表示されます。

    Excel Services の [接続の選択] ウィンドウ

  3. 使用する接続を選択して [開く] をクリックします。

  4. [データのインポート] ダイアログ ボックスで、以下の図に示すように、データを Excel で表示する方法を選択します。

    [データのインポートの構成] ウィンドウ

    注意

    [テーブル] オプションは Excel Services ではサポートされていません。このオプションを選択した場合は、ブックが Excel Services に読み込まれません。

既存の接続のサーバー認証を指定する

ここでは、Excel ブックで以前に作成された接続のサーバー認証を設定する方法について説明します。新しい接続の作成については、「新しい接続を作成する」を参照してください。

サーバー認証を指定する

  1. 次の図のように、Excel のリボンにある [データ] タブの [接続] で [接続] をクリックします。

    Excel Services - データ接続の選択

  2. 次の図のように、[ブックの接続] ダイアログ ボックスに、ブックで現在使用されているすべての外部接続が表示されたら、変更が必要な接続を選択し、[プロパティ] をクリックします。

    [Excel Services の接続プロパティ] ダイアログ ボックス

  3. 次の図のように、開くときの更新の設定など、接続のさまざまなプロパティを変更できる [接続のプロパティ] ダイアログ ボックスで、[定義] タブをクリックします。

    Excel Services の接続プロパティ設定

  4. [認証の設定] をクリックします。

  5. 次の図のように、[Excel Services の認証の設定] ダイアログ ボックスで、使用する認証の種類に対応するオプション ボタンをクリックします。認証の種類の詳細については、「外部データに対する認証」を参照してください。

    [Excel Services の認証の設定] ダイアログ ボックス

  6. [OK] をクリックして [Excel Services の認証の設定] ダイアログ ボックスを閉じ、[OK] をクリックしてブックの接続のダイアログ ボックスとプロパティのダイアログ ボックスも閉じます。

既存の接続をデータ接続ライブラリに保存する

既存の接続を保存する

  1. 次の図のように、[接続のプロパティ] ダイアログ ボックスで、[定義] タブの [接続ファイルのエクスポート] をクリックします。

    Excel Services の [接続ファイルのエクスポート] ダイアログ ボックス

  2. [ファイル] ダイアログ ボックスで、データ接続ライブラリへの HTTP パスを入力し、[保存] をクリックします。この方法で .odc ファイルをエクスポートすると、ブックの接続はその .odc ファイルにリンクされます。詳細については、「接続と Excel ブック」を参照してください。

[定義] タブのプロパティの詳細

[接続のプロパティ] ダイアログ ボックスの [定義] タブには、クライアント コンピュータとサーバーでの接続の使用方法や動作に影響を与える可能性があるプロパティが他にもあります。これらのプロパティはすべて、[接続ファイルのエクスポート] をクリックすることによって生成される .odc ファイルに永続的に保存され、後でその .odc ファイルを使用するすべてのブックに継承されます。

これらの設定は、Excel クライアントと Excel Services の両方に反映されます。ここでは、最も重要なプロパティのうちの 2 つが、クライアント コンピュータとサーバーとの接続に及ぼす影響について要点を示します。これらの設定の動作の詳細については、「接続と Excel ブック」を参照してください。

  • [接続ファイル] これは、このブックの接続がリンクされる接続ファイルへのパスです。別の接続ファイルに変更するには、[参照] をクリックし、新しい接続ファイルへのパスを入力します。

    注意

    [接続のプロパティ] ダイアログ ボックスの [定義] タブで設定を変更すると、ブック内の接続のコピーが接続ファイルの正確なレプリカではなくなってしまうため、接続ファイルへのリンクが解除されます。

  • [常に接続ファイルを使用する] 埋め込まれている接続のコピーを最初に使用するか、常にリンクされている接続ファイルの内容を使用してデータを最新の表示に更新するかを指定します。このチェック ボックスをオンにした場合、接続ファイルの接続が成功したかどうかに関係なく、埋め込まれた接続情報のコピーは常に無視されます。

よく寄せられる質問

Excel Services で Microsoft Access のデータをブックに取り込むにはどうすればよいですか?

ブックで Access データベースのデータを最新の表示に更新することは Excel Services の機能ではサポートされていません。これは、この種類のソリューションがエンタープライズ サーバー環境での拡張性や実行性に問題があるからです。適切なプロバイダを信頼できるプロバイダの一覧に追加し、必要なデータ ソース名 (DSN) ファイルをインストールすることによってこのような処理が可能な場合がありますが、サポートされていません。

Excel Services で他のブックをデータ ソースとして使用するにはどうすればよいですか?

これは、このバージョンの Excel Services ではサポートされていません。リンクされたブックはサポートされていない機能であり、サーバーでこのようなブックを読み込むことはできません。リンクされたブックのデータを単一のブックに移動することを検討してください。別の方法として、ユーザー定義関数 (UDF) を使用して別のブックからデータをフェッチすることもできます。

ファーム内で Kerberos を正しく構成しているにもかかわらず Windows 認証接続が機能しないのはなぜですか?

これは、ブックを表示しているユーザーがデータ ソースに対して適切なアクセス許可を持っていないか、またはサーバーのアクセス モデルが信頼されたサブシステムとして構成されていることが原因で発生します。信頼されたサブシステム モードでは、バックエンドの計算サーバーにはユーザーの完全な ID (セキュリティ トークン) がなく、データ ソースに委任できないので、Windows 認証スタイルの接続は自動的にエラーになります。

資格情報が委任されていない場合、Excel Services ではファイルに対するユーザーごとのアクセス許可をどのようにチェックできますか?

アクセス モデルが信頼されたサブシステムである場合でも、Excel Services では Office SharePoint Server 2007 に格納されているファイルに対するユーザーごとのアクセス許可のチェックを実行できます。Excel Services は Office SharePoint Server 2007 の一部なので、エンド ユーザーの ID を委任できない場合でも、ユーザーごとのアクセス許可のチェックを実行できるように信頼されています。ただし、これは、Excel Services による外部データへの接続方法には影響しません。

このようなトポロジでは、前の段落で示されているように、Windows 認証タイプの接続は、バックエンド アプリケーション サーバーがブックを表示しているユーザーの ID を委任できないので機能しません。

サーバー上でローカル キューブを使用する場合どのような指針がありますか?

SQL Server 2005 Analysis Services 用のローカル キューブは Excel Services ではサポートされていません。これらのローカル キューブは、多数のユーザーが同時にデータを最新の情報に更新するという需要を満たすように設計されていないので、エンタープライズ運用環境では適切に拡張できません。これらのローカル キューブを Excel Services で使用することはお勧めできません。

サーバーから外部データにアクセスする方法を細かく制御するにはどうすればよいですか?

信頼できるファイルの保存場所によって、外部データを最新の情報に更新する方法など、サーバー上でのブックの動作をきめ細かく制御できます。ユーザーが Excel Services でブックを読み込むときに、ブックの信頼できる保存場所は最も深いレベルまで解決されます。たとえば、ブックを https://server/site/doc%20lib/ から読み込むときに、https://server について信頼できるファイルの保存場所の規則が存在し、https://server/site/doc%20lib について別の規則が存在する場合は、後者の規則が適用されます。これによって、特定のセキュリティ制限のセットを非常に広いレベルまたは非常に細かいレベルで適用するシナリオを実現することができます。

たとえば、ポータル全体 (https://server または http://) を信頼できるファイルの保存場所として追加できます。

注意

すべてのサブディレクトリからブックを読み込むことを許可するには、[子の信頼] チェック ボックスをオンにする必要があります。信頼できるファイルの保存場所の設定をこのレベルに構成することによって、常にデータの警告を表示し、データ接続ライブラリを使用する場合にのみ最新の情報への更新を許可できます。より安全なドキュメント ライブラリに格納されているブックは、任意のデータ接続 (データ接続ライブラリまたは埋め込まれたデータ接続) を読み込むことができる場合があります。このドキュメント ライブラリ内のブックは、データを最新の情報に更新するのに時間がかかり、データが頻繁に更新されていないために、外部データのキャッシュのタイムアウト値が非常に高くなっている可能性があります。

管理者は信頼できるファイルの保存場所を追加し、特定のセキュリティの要件を満たすようにそれぞれに許可する内容を変更することをお勧めします。

パフォーマンスと外部データに関して考慮する必要がある要素は何ですか?

Excel Services から外部データへのアクセスを設計するときには、多くのことを考慮する必要があります。

  • Excel Services では中間層でデータ キャッシュを共有します。接続が同じであり、データ ソースへの接続に使用される資格情報が同じである場合に、キャッシュは共有されます。これによって、同じデータに対する権限がユーザーに与えられます。つまり、データに接続する複数のユーザーが同じ資格情報を使用する場合、Excel Services の拡張性が向上します。SSO グループ マッピング、ユーザー名とパスワードが接続文字列に保存される場合の [なし]、無人アカウントが使用される場合の [なし] は、すべてこのような状況に適した認証の種類です。ただし、セキュリティの観点からは、ここでは SSO が最適なオプションであることに注意する必要があります。

  • SQL Server 2005 Analysis Services 以降では、個々の SSO または Windows 資格情報が使用されている場合でもデータ キャッシュを共有できます。これは SQL Server 2005 Analysis Services 以降にのみ適用される最適化であり、ユーザーが Analysis Services と同じグループのメンバであり、個々のユーザーの ID に依存するキューブの計算またはセキュリティが存在しない場合にのみ適用されます。

  • 必要に応じて、外部データ キャッシュの有効期限を延長します。クエリのサイズによってブックのデータを最新の情報に更新するのにかかる時間が特に長い場合は、その信頼できる保存場所のデータ キャッシュのタイムアウト値を大きくすることを検討してください。

  • OLAP ピボットテーブル レポートのダッシュボードで対話操作を無効にします。ユーザーが OLAP ベースのピボットテーブル レポートを操作すると、そのユーザーのセッションでバックエンド データ ソースに対して新しいクエリが発行されます。この場合、そのユーザーによってデータ キャッシュの共有が停止されます。データのビューが多くのユーザーにとって適切になるようにブックを公開し、必要に応じて対話操作を無効にすることを検討してください。

Excel Services に公開されたブックからのみ表示できるようにデータをセキュリティ保護するにはどうすればよいですか?

Excel Services では、Office SharePoint Server 2007 で設定された表示のみのアクセス許可を利用します。Office SharePoint Server 2007 の校閲者グループに追加されたすべてのユーザーには、既定でこのレベルのアクセス許可が設定されます。これは、信頼できるファイルの保存場所の種類が [SharePoint] に設定されている場合に、Office SharePoint Server 2007 から読み込まれたファイルにのみ適用されます。

表示のみのアクセス許可を持つユーザーには、Excel Services でのブックの読み込み、表示、操作、最新の情報への更新、再計算、および読み込まれたブックのスナップショットの作成の権限があります。このユーザーはブックの実際のファイル ソース、つまり内容に直接アクセスすることはできません。これは、このユーザーがブックをダウンロードまたは保存したり、Excel で直接開いたり、 Excel Services 以外の方法でファイルのないようにアクセスしたりできないことを意味します。これは、"唯一の真実" であるブックをセキュリティ保護するために指定された方法です。

この場合、ユーザーが表示できるのは、ブックの作成者が Excel クライアントで Excel Services への発行機能を使用して "サーバー上で表示可能" としてマークしているブックの一部のみです。ブックの適切な部分を発行し、表示のみのアクセス許可でブックをセキュリティ保護することによって、ブックの作成者は、ブックのデータや独自の情報が意図に反して公開されないようにすることができます。

ブックのソースをダウンロードすることがユーザーに許可されており、そのユーザーがデータ ソースに直接アクセスできないときに、データ接続で SSO または無人アカウントを使用してサーバー上で最新の情報に更新している場合は、ユーザーは Excel クライアントからその接続を最新の情報に更新できません。これは、Excel クライアントがサーバーの無人アカウントや SSO を使用して直接接続を最新の情報に更新できないからです。ブック作成者は、これらの場合を考慮して、ブックからキャッシュされたデータをすべて削除するか、Excel クライアントでそのブックを開く可能性があるすべてのユーザーがブック内のキャッシュされたデータを表示できるようにしてください。

この記事の手順に従いましたが、サーバー上でブックを読み込むと、クエリ テーブルに関するサポートされていない機能のエラーが表示されます。修正するにはどのようにすればよいですか?

ブックを作成し、最初に外部データをブックに取り込むときに、次の図のように [データのインポート] ダイアログ ボックスにデータを表示する方法が示されます。

Excel Services - [データのインポート] ダイアログ ボックス

このダイアログ ボックスで [テーブル] をクリックすると、クエリ テーブルが作成されます。これらの構造は Excel Services ではサポートされていないため、ブックはサーバーに読み込まれません。これを修正するには、ブックからテーブルを削除します。データに再接続し、次回データをインポートするときに [ピボットテーブル レポート] をクリックします。

リボンの [ピボットテーブル ツール] の [デザイン] タブを使用して、ピボットテーブル レポートの外観をクエリ テーブルのように表示できます。小計、総計、およびドリル インジケータをオフにします。次に、レポートのレイアウトとして表形式を選択します。

ユーザー設定コードが必要になりますが、UDF を使用してデータを取得し、テーブルとしてブックに返す方法もあります。これは Excel Services 上で表示、読み込み、および最新の情報への更新ができます。この詳細については、この記事では説明しません。

ODBC 接続を使用しており, .odc ファイルがありません。Excel Services で動作するようにデータ接続ライブラリへの接続を使用するにはどうすればよいですか?

Excel Services では, .odc ファイルのみ使用できます。ブック内にデータ接続ライブラリに保存する接続があり、その接続を Excel Services で操作する場合は、接続を .odc ファイルとしてエクスポートする必要があります。「既存の接続のサーバー認証を指定する」で説明されている [接続のプロパティ] ダイアログ ボックスの [接続ファイルのエクスポート] では必ず .odc ファイルがエクスポートされるため、この機能を使用できます。

表示のみのアクセス許可と .odc ファイルはデータ接続ライブラリでどのように動作しますか?

表示のみのアクセス許可は、Excel Services 上で Excel ファイルを使用する権限をユーザーに付与しますが、Excel を含め、他のクライアント アプリケーションから使用する権限は付与しません。.odc ファイルも同様に動作します。ブックで .odc ファイルを使用してデータを最新の情報に更新している場合は、サーバーにあるブックのコピーは, .odc ファイルに対して表示のみのアクセス許可を持つユーザーに対して、正しく最新の情報に更新されます。ただし、ユーザーが Excel クライアントでブックを開くアクセス許可を持っている場合でも、この接続では .odc ファイルを使用して Excel クライアントから最新の情報に更新することはできません。ユーザーが .odc ファイルを使用できるのは, .odc ファイルを使用するサーバー上で実行されているブックを最新の情報に更新する場合だけです。

通常、ユーザーには、ブックと .odc ファイルに対して同じ表示のみのアクセス許可の制限が適用されます。ユーザーが Excel クライアントでブックを開こうとしたときに .odc ファイルがない場合、ブック内に埋め込まれた接続は .odc ファイルの内容を公開するべきではありません。この場合、埋め込まれた接続が .odc ファイルのコピーではないようにするべきです。ブック内のキャッシュされたデータが, .odc ファイルが示すデータ ソースのデータを公開していないことを確認してください。

このブックをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。

入手できるすべてのブックの一覧については、「Office SharePoint Server 2007 のダウンロード可能なブック」を参照してください。

関連項目

概念

Excel Services のセキュリティを計画する
SharePoint Server 2007
Excel Services をサポートするためのリソース要件を決定する

その他のリソース

Excel Services
Excel サービスのアーキテクチャ
シングル サインオンの概要
[ウォークスルー] プラグ可能な SSO プロバイダを実装する
Excel Services でカスタム ソリューションを作成する
Kerberos Authentication in Windows Server 2003 (英語)
Demo: Enable Excel Services and data connections for a SharePoint team site (英語)