PowerPivot の認証および承認の計画
SharePoint 2010 ファーム内で実行される PowerPivot for SharePoint の配置では、SharePoint サーバーによって提供される認証サブシステムと承認モデルを使用します。PowerPivot 関連のすべてのコンテンツは SharePoint コンテンツ データベースに格納され、PowerPivot 関連のすべての処理はファーム内の PowerPivot 共有サービスで実行されるので、SharePoint のセキュリティ インフラストラクチャは PowerPivot のコンテンツや操作にまで及ぶことになります。PowerPivot データが含まれているブックを要求するユーザーは、Windows ユーザー ID に基づく SharePoint ユーザー ID を使用して認証されます。この要求が許可されるか拒否されるかは、ブックに対する表示権限によって決まります。
SharePoint の承認は、PowerPivot データ処理および PowerPivot サービスに対するすべてのレベルのアクセスに排他的に使用されます。Excel ブック内で視覚化される PowerPivot データの場合、行レベルまたはテーブル レベルでセキュリティを詳細に設定できるようにする、ブックでの行レベルの承認はありません。ブックのさまざまな部分をセキュリティで保護することによって、ブック内にある機密データへのアクセスを特定のユーザーについて許可したり、拒否したりすることはできません。Analysis Services のロールベースのセキュリティを適用して、Excel ブック内の PowerPivot データをセキュリティで保護することもできません。SharePoint ライブラリの Excel ブックに対する表示権限を持つユーザーは、埋め込まれた PowerPivot データをすべて使用できます。
セルフサービス型のデータ分析には Excel Services との統合が必要となるため、PowerPivot サーバーをセキュリティで保護する場合、Excel Services のセキュリティについても理解している必要があります。PowerPivot データへのデータ接続があるピボットテーブルに対してユーザーがクエリを実行すると、データ接続要求が Excel Services からファームの PowerPivot サーバーに転送され、データが読み込まれます。サーバー間のこの連携では、両方に互換性のあるセキュリティ設定を構成する方法を理解している必要があります。
このトピックの特定のセクションを参照するには、次のリンクをクリックしてください。
PowerPivot for SharePoint によってサポートされている認証プロバイダー
ユーザー承認
SharePoint 権限
PowerPivot ブックで Excel Services のセキュリティを使用する
PowerPivot for SharePoint によってサポートされている認証プロバイダー
PowerPivot for SharePoint は、Windows 認証を使用するように構成された SharePoint Web アプリケーションでサポートされます。Windows 認証は、ファームの外部で実行されるアプリケーションからの要求など、PowerPivot Web サービスによって処理されるデータ接続に必要です。この要件を満たすことにより、ユーザーの Windows セキュリティ トークンが、PowerPivot Web サービスで後で使用できるように、クライアント アプリケーションから Web アプリケーションに正しく転送されます。
.gif "注意") 注 |
|---|
Web サービスによって処理される接続の種類の詳細については、「PowerPivot Web サービス (PowerPivot for SharePoint)」を参照してください。 |
より一般的なデータ アクセスのシナリオ (PowerPivot データを、そのデータを表示する Excel ブックから抽出する場合) には Windows 認証は必要ありませんが、他の認証プロバイダーを使用するように構成された SharePoint Web アプリケーションでは、PowerPivot for SharePoint を使用しないでください。使用した場合、外部データ ソースとして PowerPivot ブックにユーザーが接続しようとすると、必ず接続エラーになります。
アプリケーションの認証プロバイダーを確認する方法
既存の Web アプリケーションの場合は、次の手順に従って、Windows 認証を使用するようにアプリケーションが構成されていることを確認します。新しい Web アプリケーションを作成する場合は、[新しい Web アプリケーションの作成] ページで [クラシック モード認証] オプションを選択する必要があります。
サーバーの全体管理で、[アプリケーション構成の管理] の [Web アプリケーションの管理] をクリックします。
Web アプリケーションを選択します。
[認証プロバイダー] をクリックします。
各ゾーンに 1 つのプロバイダーがあり、既定のゾーンが Windows に設定されていることを確認します。
ドメイン アカウント要件について
実稼働環境では、Windows のドメイン ユーザー アカウントまたはグループ アカウントを使用する必要があります。アカウントはドメイン アカウントである必要があります。ローカルの Windows ユーザー アカウントまたはグループ アカウントを実稼働サーバーで使用することはできません。
ドメイン アカウントの要件により、SharePoint サーバーはドメイン コントローラーにネットワーク経由で常に接続している必要があります。Windows トークン サービスに対するクレームでは Windows ドメイン ユーザーの ID を使用して各要求を認証するため (ローカル アカウントは認証しません)、この要件が必要になります。認証は、接続ごとに行われます。Windows サービスに対するクレームでは、キャッシュされた資格情報は使用されません。
クライアント アプリケーションからサーバーへの要求は、同じドメイン内で行うか、双方向の信頼関係を持つドメイン間で行う必要があります。一方向の信頼では、サーバー上のデータは更新できません。
| 注 |
|---|
SharePoint 2010 の機能や動作を企業ネットワークに接続していない分離環境でテストする場合は、SharePoint 2010、Excel Services、および PowerPivot for SharePoint を Hyper-V 仮想マシンに配置できます。詳細については、TechNet Web サイトの「分離された Hyper-V 環境に単一サーバーを展開する」を参照してください。 |
ユーザー承認
特定の種類の要求では、権限の確認、正確なログ情報の生成、および使用状況履歴の確立のために、ブックを要求しているユーザーの SharePoint ユーザー ID が PowerPivot サービス インスタンスによって検証されます。PowerPivot サーバー コンポーネントは、次の場合に SharePoint ユーザー ID を使用します。
PowerPivot データ ソースへのデータ接続があるピボットテーブルまたはピボットグラフへのクエリ。PowerPivot サービス アプリケーションは、データを処理する PowerPivot サービス インスタンスに対して、ユーザーに代わって接続を確立します。
キャッシュまたはライブラリからの PowerPivot データの読み込み (それ以外の方法ではデータを利用できない場合)。システムにまだ読み込まれていない PowerPivot データに対してデータ接続要求が行われた場合、Analysis Services サービス インスタンスでは、SharePoint ユーザーの Windows ユーザー ID を使用して、データ ソースをコンテンツ ライブラリから取得し、メモリに読み込みます。
データ ソースの更新されたコピーをコンテンツ ライブラリのブックに保存するデータ更新操作。この場合、実際のログオン操作は、Secure Store Service の対象アプリケーションから取得したユーザー名とパスワードを使用して実行されます。資格情報には、PowerPivot 自動データ更新アカウント、またはデータ更新スケジュールの作成時に一緒に保存された資格情報を使用できます。詳細については、「PowerPivot データ更新用の保存された資格情報の構成と使用」を参照してください。
SharePoint 権限
PowerPivot ブックの共有機能とコラボレーション機能を最大限に活用するには、ブックを SharePoint ライブラリにパブリッシュする必要があります。ブックを SharePoint サーバーにパブリッシュして初めて、サーバー ファームの PowerPivot サービス インスタンス、調整済みのスケーラブルな接続、ドキュメント管理機能、および特定のブックの使用状況に対する管理機能によって、サーバー側での高速処理を利用することができます。
PowerPivot ブックのパブリッシュ、管理、およびセキュリティでの保護は、SharePoint 統合を通じてのみサポートされます。SharePoint サーバーは、データへの正当なアクセスを確保する認証モデルと承認モデルを提供します。SharePoint ファーム外に PowerPivot ブックを安全に配置するシナリオはサポートされていません。
サーバー上のデータ ソースへのユーザー アクセスは読み取り専用ですが、ファイルを Excel デスクトップ アプリケーションにダウンロードすることはできます。ローカルでユーザーがファイルを変更できるかどうかは、ファイルに対する投稿権限によって決まります。つまり、投稿および表示のみのレベルの権限によって、PowerPivot データへのユーザー アクセスに対する有効な権限セットが定義されます。その他の権限レベルは、その権限レベルに投稿および表示のみと同じ権限がある場合にその範囲内で機能します (たとえば、読み取り権限には表示のみ権限が含まれるので、読み取りに割り当てられているユーザーは表示のみと同じアクセス レベルを持ちます)。
次の表に、PowerPivot データやサーバー操作へのアクセスを決定する権限レベルを要約します。
権限レベル |
許可されるタスク |
|---|---|
ファームまたはサービス管理者 |
サービスおよびアプリケーションをインストール、有効化、および構成します。 PowerPivot 管理ダッシュボードを使用し、管理レポートを表示します。 |
フル コントロール |
サイト コレクション レベルで PowerPivot 機能統合をアクティブ化します。 オンライン ヘルプをアクティブ化します。 PowerPivot ギャラリー ライブラリを作成します。 データ フィード ライブラリを作成します。 |
投稿 |
PowerPivot ブックを追加、編集、削除、およびダウンロードします。 データ更新を構成します。 SharePoint サイトで PowerPivot ブックに基づいて新しいブックやレポートを作成します。 データ フィード ライブラリにデータ サービス ドキュメントを作成します。 |
表示のみ |
PowerPivot ブックを表示します。 データ更新履歴を表示します。 ローカル ブックを SharePoint サイト上の PowerPivot ブックに接続し、そのデータの用途を変更します。 ブックのスナップショットをダウンロードします。スナップショットは、スライサー、フィルター、式、またはデータ接続を含まない、データの静的なコピーです。スナップショットの内容は、ブラウザー ウィンドウからのセル値のコピーに似ています。 |
PowerPivot ブックで Excel Services のセキュリティを使用する
PowerPivot のサーバー側処理は、Excel サービスと密接に結び付いています。深いレベルの統合は、ドキュメント レベルから始まります。PowerPivot ブックは、PowerPivot データを含んでいるか、参照している Excel ブック (.xlsx) ファイルです。PowerPivot データ用の個別のファイル拡張子はありません。データはブック内に格納されるか、別のブックから参照されます。PowerPivot ブックを SharePoint サイトで開くと、Excel Services は PowerPivot の埋め込みデータ接続文字列を読み取り、要求をローカルの SQL Server 2008 R2 Analysis Services OLE DB プロバイダーに転送します。プロバイダーは、この接続情報をファーム内の PowerPivot サーバーに渡します。要求が 2 つのサーバー間でシームレスに流れるには、PowerPivot for SharePoint により要求される設定を使用するように Excel Services を構成する必要があります。
Excel Services では、セキュリティ関連の構成設定は信頼できる場所、信頼できるデータ プロバイダー、および信頼できるデータ接続ライブラリで指定します。次の表に、PowerPivot データ アクセスを有効化または拡張する設定の説明を示します。ここに記載されていない設定は、PowerPivot サーバー接続には影響しません。これらの設定を指定する方法については、「既存の SharePoint サーバーに PowerPivot for SharePoint をインストールする方法」の「Excel Services の有効化」を参照してください。
| 注 |
|---|
ほとんどのセキュリティ関連の設定は、信頼できる場所に適用されます。既定値を保持するか、サイトごとに異なる値を使用する場合は、PowerPivot データを含むサイト用に信頼できる場所を追加作成し、そのサイトにのみ以下の設定を構成できます。詳細については、「PowerPivot サイト用の信頼できる場所を作成する方法」を参照してください。 |
領域 |
設定 |
説明 |
|---|---|---|
[Web アプリケーション] |
Windows 認証プロバイダー |
PowerPivot は、Excel Services から取得した要求トークンを Windows ユーザー ID に変換します。Excel Services をリソースとして使用する Web アプリケーションは、Windows 認証プロバイダーを使用するように構成されている必要があります。 |
信頼できる場所 |
場所の種類 |
この値は、[Microsoft SharePoint Foundation] に設定されている必要があります。PowerPivot サーバーは、.xlsx ファイルのコピーを取得して、それをファーム内の Analysis Services サーバーに読み込みます。このサーバーはコンテンツ ライブラリから .xlsx ファイルのみを取得できます。 |
外部データの許可 |
この値は、[信頼できるデータ接続ライブラリと、埋め込まれている接続] に設定されている必要があります。PowerPivot データ接続は、ブックに埋め込まれています。埋め込み接続を禁止した場合、ユーザーは、ピボットテーブル キャッシュは表示できますが、PowerPivot データを操作することはできなくなります。 |
|
更新時の警告 |
PowerPivot ギャラリーを使用してブックやレポートを格納している場合は、この値を無効にする必要があります。PowerPivot ギャラリーには、[開くときに更新する] と [更新時の警告] の両方がオフになっているときに最適に動作するドキュメント プレビュー機能が含まれています。 |
|
信頼できるデータ プロバイダー |
MSOLAP.4 |
MSOLAP.4 は既定により含まれます。この設定は、信頼できるデータ プロバイダー一覧から削除しないでください。このバージョンの OLE DB プロバイダーは、SharePoint ファームの PowerPivot データに対する要求を処理します。 |
信頼できるデータ接続ライブラリ |
省略可能です。 |
PowerPivot ブックでは、Office データ接続 (.odc) ファイルを使用できます。.odc ファイルを使用してローカル PowerPivot ブックに接続情報を提供する場合、同じ .odc ファイルをこのライブラリに追加できます。 |
ユーザー定義関数アセンブリ |
該当しません。 |
PowerPivot サーバーは、Excel Services 用にビルドおよび配置するユーザー定義関数アセンブリの影響を受けません。 |