Planejar a segurança dos Serviços do Excel
Atualizado em: 2009-02-26
Neste artigo:
Sobre a segurança dos Serviços do Excel
Planejar a autenticação do usuário
Planejar a comunicação entre servidores
Planejar a autenticação de dados externos
Planilhas
Sobre a segurança dos Serviços do Excel
Além dos requisitos de segurança para a implantação do Microsoft Office SharePoint Server 2007, você deve observar algumas considerações sobre segurança que incluem o Serviços do Excel no Microsoft Office SharePoint Server 2007. O Windows SharePoint Services 3.0 fornece a plataforma com base na qual o Office SharePoint Server 2007 foi criado.
A funcionalidade do Serviços do Excel no Microsoft Office SharePoint Server 2007, aliada ao Office SharePoint Server 2007, é o modo principal para controlar, proteger e gerenciar o acesso às pastas de trabalho do Excel na empresa. O Serviços do Excel é um servidor de aplicativos de classe empresarial projetado para obter desempenho, escalabilidade e segurança. Uma implantação do Serviços do Excel oferece processamento refinado — e interatividade — com pastas de trabalho e permite que você reutilize facilmente componentes de pastas de trabalho, como gráficos e relatórios de tabela dinâmica, que podem ser processados em painéis de inteligência comercial.
O Serviços do Excel permite que dinamizar cálculos de planilhas do Excel no servidor para aplicativos personalizados e ele oferece aos usuários a capacidade de bloquear pastas de trabalho e proteger dados particulares e propriedade intelectual. Isso garante que os dados em suas pastas de trabalho fiquem protegidos, embora os usuários que interagem com pastas de trabalho em um servidor possam beneficiar-se com a funcionalidade de atualização de dados e recálculo oferecida pelo Serviços do Excel.
A segurança é um componente importante para a ativação desses cenários de processamento dados. Você deve considerar vários fatores ao planejar um ambiente que ajude a garantir a segurança de pastas de trabalho processadas em um servidor. É necessário planejar o gerenciamento da segurança das pastas de trabalho e gerenciar a segurança do próprio servidor. O Serviços do Excel fornece um nível significativo de controle granular para o processamento e a exibição de pastas de trabalho do Excel. Você pode controlar o modo como as pastas de trabalho são abertas no servidor e os recursos específicos habilitados para cada uma delas.
Este artigo é uma visão geral das configurações de segurança do Serviços do Excel e componentes relacionados que você deve considerar ao planejar uma implantação. Além disso, este artigo fornece uma orientação prescritiva para o uso do Serviços do Excel para ajudá-lo a proteger e gerenciar o acesso às pastas de trabalho no servidor.
O modelo de segurança do Serviços do Excel baseia-se na concepção de que, para garantir a integridade e a qualidade dos dados, um administrador deve ser capaz de gerenciar de forma centralizada os recursos compartilhados e o acesso dos usuários a itens de propriedade intelectual corporativa contidos em pastas de trabalho. Para tal, o Serviços do Excel permite que você especifique:
Locais de arquivos confiáveis São bibliotecas de documentos do SharePoint, caminhos UNC ou sites HTTP que precisam ser explicitamente confiáveis para que o Serviços de Cálculo do Excel tenha permissão para acessá-los. O Serviços de Cálculo do Excel abre apenas pastas de trabalho armazenadas em locais de arquivos confiáveis.
Provedores de dados confiáveis São bancos de dados externos que o Serviços de Cálculo do Excel é explicitamente configurado para considerar confiáveis ao processar conexões de dados em pastas de trabalho. O Serviços de Cálculo do Excel tenta processar uma conexão de dados apenas se ela for feita com um provedor de dados confiáveis.
Bibliotecas de conexões de dados confiáveis São bibliotecas de documentos do SharePoint que contêm arquivos de conexão (.odc) de dados do Office. Os arquivos .odc são usados para gerenciar centralmente conexões com fontes de dados externas. Em vez de permitir conexões incorporadas com fontes de dados externas, o Serviços de Cálculo do Excel pode ser configurado para exigir o uso de arquivos .odc para todas as conexões de dados. Os arquivos .odc são armazenados em bibliotecas de conexão de dados e elas precisam ser explicitamente confiáveis para que o Serviços de Cálculo do Excel permita que as pastas de trabalho as acessem.
Por padrão, o acesso a planilhas e conexão de dados entre domínios não é permitido. Para permitir que pastas de trabalho em locais de arquivos confiáveis (e conexões de dados em bibliotecas de conexão de dados confiáveis) sejam acessadas nos domínios por web parts, páginas ou serviços da Web, execute o utilitário de linha de comando Stsadm.exe como mostra o exemplo a seguir, onde Nome do SSP é o nome do seu Provedor de Serviços Compartilhados dos Serviços do Excel:
stsadm.exe -o Set-EcsSecurity -Ssp <nome do SSP> -AllowCrossDomainAccess true|false
As páginas da Web solicitantes e as conexões de dados ou pastas de trabalho devem residir no mesmo farm.
Dica
Quando uma pasta de trabalho é aberta no Serviços de Cálculo do Excel, um arquivo temporário é armazenado na pasta %TEMP% do servidor de aplicativos que executa o Serviços de Cálculo do Excel.
Planejar a autenticação do usuário
As pastas de trabalho do Excel abertas pelo Serviços de Cálculo do Excel devem ser armazenadas no banco de dados de conteúdo do Office SharePoint Server 2007, pois o Windows SharePoint Services 3.0 mantém uma ACL (lista de controle de acesso) para esses arquivos. O Serviços de Cálculo do Excel pode também abrir pastas de trabalho em caminhos UNC e sites HTTP, mas recomendamos o uso do banco de dados de conteúdo do Office SharePoint Server 2007 para o armazenamento de pastas de trabalho.
A autenticação para acesso do usuário a um site de portal do SharePoint é efetuada pelo Windows SharePoint Services 3.0. Por padrão, o Windows SharePoint Services 3.0 usa autenticação integrada do Windows.
Além dos métodos de autenticação listados, o Serviços do Excel também oferece suporte à autenticação baseada em formulário genérico. No entanto, a configuração do Windows SharePoint Services 3.0 usar autenticação baseada em formulário genérico está fora do escopo deste artigo.
Planejar a comunicação entre servidores
Você pode determinar como servidores Web front-end se comunicam com servidores de aplicativos do Serviços de Cálculo do Excel e como servidores de aplicativos se comunicam com fontes de dados back-end, configurando o Serviços do Excel para usar o acesso a dados de subsistema confiável e a delegação. Subsistema confiável é a configuração padrão para um farm de servidores do Windows, porque ele não tem os requisitos adicionais de configuração do modelo de delegação. No modelo de subsistema confiável, os servidores Web front-end e os servidores de aplicativos do Serviços de Cálculo do Excel consideram confiáveis as contas dos aplicativos associados do Office SharePoint Server 2007 usando o SSP (Provedor de Serviços Compartilhados).
Em um ambiente de subsistema confiável, quando se abrem arquivos no Office SharePoint Server 2007, as verificações de permissão dos arquivos podem ser feitas com base em identidades de usuário final, mesmo que o recurso Kerberos não esteja configurado. Se os servidores de aplicativos do Serviços de Cálculo do Excel abrirem pastas de trabalho de compartilhamentos UNC ou sites HTTP, a conta do usuário não poderá ser representada e deverá ser usada a conta de processo.
Dica
Para representar a conta do usuário e implementar a autorização de pastas de trabalho, você deve configurar a delegação restrita Kerberos entre servidores de aplicativos do Serviços de Cálculo do Excel e recursos UNC ou HTTP.
A delegação restrita Kerberos é a configuração mais segura para a comunicação entre servidores Web front-end e servidores de aplicativos do Serviços de Cálculo do Excel. A delegação restrita Kerberos também é a configuração mais segura para o acesso a fontes de dados back-end de servidores de aplicativos. A delegação restrita Kerberos é a configuração preferencial para a implantação do Serviços do Excel. Para conexões de dados externos, a autenticação integrada do Windows funcionará apenas se o modelo de delegação for implementado.
Planejar a autenticação de dados externos
As pastas de trabalho podem conter conexões de dados de direcionamento incorporados e vínculos para arquivos de conexão de dados que são armazenados em bibliotecas de conexão de dados. Ao atualizar, dependendo da configuração do Serviços do Excel, a conexão de dados de direcionamento incorporados poderá ser usada para consultar a fonte de dados, ou o link da biblioteca de conexão de dados poderá ser usado para consultar o arquivo .odc. O arquivo .odc contém informações de conexão de dados e deverá ser armazenado em uma biblioteca de conexão de dados.
Para configurar o Serviços do Excel para processar conexões com fontes de dados externas, selecione uma configuração na seção Dados Externos da página Serviços do Excel: Adicionar Local de Arquivo Confiável do aplicativo Web da Administração Central do SharePoint.
Para fazer configurações administrativas para o Serviços do Excel, abra o aplicativo Web da Administração Central do SharePoint no Office SharePoint Server 2007 e execute o seguinte procedimento.
Configurações administrativas para os Serviços do Excel
Na página Administração Central, clique em Gerenciamento de Aplicativos.
Na página Gerenciamento de Aplicativos, na seção Serviços Compartilhados do Office SharePoint Server 2007, clique em Criar ou Configurar os Serviços Compartilhados deste Farm.
Na página Gerenciar os Serviços Compartilhados deste Farm, clique em SharedServices1 (Padrão). Esse é o SSP que você vai configurar.
Na home page Serviços Compartilhados, na seção Configurações dos Serviços do Excel, clique em Locais de arquivos confiáveis.
Na página Locais de Arquivos Confiáveis dos Serviços do Excel, clique em Adicionar Local de Arquivo Confiável.
Na seção Endereço, digite o nome e o local da biblioteca de documentos do SharePoint do que você deseja adicionar como local de arquivo confiável no Serviços do Excel. Se a biblioteca de documentos for armazenada no banco de dados de conteúdo do Windows SharePoint Services 3.0, verifique se Windows SharePoint Services 3.0 foi selecionado como o Tipo de Local.
A delegação é necessária para a maioria das implantações de farm que têm conexões integradas. Quando o Serviços de Cálculo do Excel recupera informações de conexão, as credenciais são designadas como Armazenadas (a serem recuperadas no banco de dados do SSO), Integradas ou Nenhuma. Para conexões de dados com credenciais integradas, a delegação é necessária para implantações redimensionadas para múltiplos servidores. Em uma implantação autônoma, a delegação não é necessária.
Imagine um conexão de dados em uma pasta de trabalho aberta em um servidor de aplicativos do Serviços de Cálculo do Excel que use o método de credenciais armazenadas. O Serviços de Cálculo do Excel deve recuperar credenciais válidas de um banco de dados de autenticação de logon único (SSO). Em seguida, ele usa as credenciais para fazer a autenticação com base em uma fonte de dados, antes que a conexão de dados seja estabelecida.
O Serviços do Excel oferece suporte a três métodos de autenticação de dados: autenticação integrada do Windows, autenticação SSO e Nenhuma.
Autenticação integrada do Windows
A autenticação integrada do Windows normalmente requer delegação restrita de Kerberos, que é o método de autenticação mais seguro. Recomendamos que você habilite a delegação restrita Kerberos para autenticação em servidores Web front-end para servidores de aplicativos que executam o Serviços de Cálculo do Excel, e no Serviços de Cálculo do Excel para fontes de dados externas. Para cenários do Serviços do Excel, recomendamos usar autenticação integrada do Windows.
Autenticação SSO
A autenticação SSO permite aos usuários acessar múltiplo recursos do sistema sem ter que fornecer credenciais de autenticação mais do que uma vez. O Office SharePoint Server 2007 implementa a autenticação SSO incluindo um serviço do Windows e um banco de dados de credenciais seguras. Usando a funcionalidade de SSO conectável que recebe suporte do Serviços do Excel, você pode implementar seu próprio provedor de SSO. O Office SharePoint Server 2007 inclui um provedor de SSO do Windows que funciona com o Serviços do Excel.
Qualquer provedor de SSO que você implemente com o Serviços do Excel deve manter um sinalizador para cada entrada de SSO que especifica se essa entrada está usando credenciais baseadas em Windows ou credenciais de outro ambiente. O provedor de SSO do Windows no Office SharePoint Server 2007 mantém um sinalizador com essa finalidade. O Serviços do Excel usa o banco de dados de SSO para recuperar credenciais para autenticação de conexão.
A autenticação de SSO no Office SharePoint Server 2007 oferece suporte a mapeamentos individuais e mapeamentos de grupo. O SSO mantém um conjunto de credenciais para identidades de aplicativos (App IDs) de recursos armazenados no banco de dados de SSO do Office SharePoint Server 2007. Para mapeamentos individuais, uma camada de segurança verifica as credenciais do usuário com base em várias listagens individuais de uma App ID armazenada no banco de dados de SSO. Mapeamentos individuais são úteis se você precisar registrar informações sobre acesso de usuários individuais aos recursos compartilhados.
Para mapeamentos de grupo, uma camada de segurança verifica credenciais de grupo para usuários de domínios múltiplos com base em único conjunto de credenciais para um recurso identificado por uma App ID armazenada no banco de dados de SSO. Os mapeamentos de grupo são de manutenção mais fácil e têm melhor desempenho do que os mapeamentos individuais.
Para habilitar a funcionalidade de SSO para o Office SharePoint Server 2007, inicie o serviço Logon Único da Microsoft e, em seguida, defina configurações de SSO no aplicativo Web da Administração Central do SharePoint. Use os seguintes procedimentos para configurar um banco de dados de SSO para autenticar conexões de dados.
Iniciar o serviço de Logon Único
Em Ferramentas Administrativas, clique em Serviços.
Clique duas vezes em Serviço Logon Único da Microsoft.
Na guia Fazer Logon da página Propriedades do Serviço Logon Único, clique em Esta conta e digite o domínio, o nome do usuário e a senha que você usou para instalar e gerenciar seu servidor.
Clique em Aplicar.
Na guia Geral da página Propriedades do Serviço Logon Único, altere o tipo de inicialização para Automática, clique em Iniciar e clique em OK.
Dica
Inicie o serviço de Logon Único em todos os servidores Web front-end e em todos os servidores de aplicativos no farm que executa o Serviços de Cálculo do Excel.
Gerenciar configurações de SSO
Em Ferramentas Administrativas, abra o aplicativo Web Administração Central do SharePoint.
Na Home Page da Administração Central, clique em Operações.
Na seção Configuração de Segurança, clique em Gerenciar definições de logon único.
Na página Gerenciar definições de logon único, clique em Gerenciar definições de servidor.
Na caixa Nome da Conta da conta Administrador de SSO, digite os mesmos nomes de domínio e de usuário usados para configurar o serviço Logon Único. Se o nome de usuário que você usou para configurar o serviço de Logon Único for membro de um grupo de segurança do Windows, você poderá digitar o nome do grupo de segurança do Windows em vez de um nome de usuário.
Na caixa Conta de Administrador para Definições de Aplicativo de Negócios, digite os mesmos nomes de domínio e de usuário usados na configuração do serviço Logon Único.
Nenhum
Quando você especifica Nenhum como método de autenticação da sua implantação do Serviços do Excel, o Serviços do Excel tenta usar as sequências de conexão de entrada para conectar-se ao banco de dados especificado na sequência. Dependendo do provedor banco de dados específico, o banco de dados talvez possa usar a sequência de conexão para autenticar o usuário.
O Serviços do Excel não analisa sequências conexão para determinar um método de autenticação. As sequências de conexão simplesmente são passadas ao provedor de banco de dados. As sequências de conexão podem especificar se a autenticação integrada do Windows é necessária. As sequências de conexão também podem conter um nome de usuário específico e uma senha. Em ambos os casos, quando você especifica Nenhum como método de autenticação, o Serviços do Excel exige a representação de uma conta de serviço autônoma.
Se o provedor de banco de dados determinar que a sequência de conexão especifica autenticação integrada do Windows e se o banco de dados autorizar o acesso, a conexão será estabelecida usando o contexto de segurança da conta autônoma. Se a sequência de conexão contiver um nome de usuário e uma senha e se o banco de dados autorizar o acesso, a conexão será estabelecida usando o contexto de segurança da conta de usuário autorizado.
Conta de serviço autônoma
A conta de serviço autônoma é uma conta com poucas permissões que o Serviços de Cálculo do Excel pode representar ao estabelecer uma conexão de dados que usa credenciais de SSO em um ambiente que não seja baseado no Windows, ou Nenhum como o método de autenticação. Se uma conta serviço autônoma não for configurada, as conexões de dados falharão se um SSO de um ambiente diferente do Windows, ou Nenhum, for usado como o método de autenticação.
A representação da conta autônoma protege os bancos de dados do Office SharePoint Server 2007 e quaisquer outras fontes de dados que o Serviços do Excel possa acessar diretamente, de conexões não autorizadas por computadores cliente que utilizam o Serviços de Cálculo do Excel para abrir conexões de dados externas. Quando uma conta de serviço autônoma é representada, as credenciais associadas a um encadeamento de aplicativo dos Serviços de Cálculo do Excel não podem ser utilizadas para acessar nenhum outro banco de dados. Além disso, quando uma conta de serviço autônoma é representada, as consultas de dados externas são executadas sob o contexto de segurança de uma conta com poucas permissões, em vez de executar sob o contexto de segurança de um thread de aplicativos do Serviços de Cálculo do Excel que tenha mais permissões.
Você pode configurar a conta de serviço autônoma como uma conta de domínio ou como conta do computador local. Se a conta de serviço autônoma for configurada como conta de computador local, certifique-se de que a configuração seja idêntica em todos os servidores de aplicativos que executam o Serviços de Cálculo do Excel. Restrinja as permissões da conta de serviço autônoma para permitir apenas o logon na rede. Verifique se a conta de serviço autônoma não tem acesso a nenhuma fonte de dados ou banco de dados do Office SharePoint Server 2007. Use o seguinte procedimento para habilitar a conta de serviço autônoma.
Ativar a conta de serviço autônoma
Nas caixas Nome e Senha da seçãoDados Externos da página Configurações dos Serviços do Excel, digite o nome e a senha que você deseja usar.
Clique em OK.
Configurações de segurança
Para definir configurações administrativas do Serviços do Excel, incluindo as configurações de segurança, abra o aplicativo Web da Administração Central do SharePoint em Ferramentas Administrativas no Microsoft Windows Server 2003 e execute o seguinte procedimento:
Definir configurações de segurança para Serviços do Excel
Na página Administração Central, clique em Gerenciamento de Aplicativos.
Na página Gerenciamento de Aplicativos, na seção Serviços Compartilhados do Office SharePoint Server 2007, clique em Criar ou Configurar os Serviços Compartilhados deste Farm.
Na página Gerenciar os Serviços Compartilhados deste Farm, clique em SharedServices1 (Padrão). Esse é o SSP que você vai configurar.
Na home page de Serviços Compartilhados, na seção Configurações dos Serviços do Excel, clique em Editar Configurações dos Serviços do Excel.
Você também pode usar a página Configurações dos Serviços do Excel para configurar as opções para método de acesso ao arquivo e criptografia de dados, que têm impacto direto na implantação segura.
Método de acesso a arquivos
Na página Configurações dos Serviços do Excel, na seção Segurança, em Método de Acesso a Arquivos, selecione Representação ou Conta de processo.
Representação Permite que um thread seja executado em um contexto de segurança diferente daquele do processo proprietário do thread. Selecione Representação para exigir que o Serviços de Cálculo do Excel autorize os usuários quando eles tentarem acessar pastas de trabalho armazenadas em locais UNC e HTTP. Essa opção não afeta pastas de trabalho armazenadas nos bancos de dados do Office SharePoint Server 2007. Na maioria das implantações de farm de servidores em que servidores Web front-end e servidores de aplicativos do Serviços de Cálculo do Excel são executados em computadores diferentes, a representação exigirá delegação restrita Kerberos.
Conta de processo Se os servidores de aplicativos do Serviços de Cálculo do Excel estiverem abrindo pastas de trabalho de compartilhamentos UNC ou sites HTTP, a conta de usuário não poderá ser representada e a conta de processo deverá ser usada.
Criptografia de dados
Você pode usar protocolo IPSec (IP Security) ou SSL (Secure Sockets Layer) para criptografar a transmissão de dados entre servidores de aplicativos do Serviços de Cálculo do Excel, fontes dados, computadores clientes e servidores Web front-end. Para solicitar a transmissão de dados criptografados entre computadores clientes e servidores Web front-end, altere a configuração Criptografia de Conexões de Nenhuma para Todas as Conexões. Nenhuma é a configuração padrão. Se você mudar a configuração de Criptografia de Conexões para Todas as Conexões, o servidor de aplicativos do Serviços de Cálculo do Excel só permitirá a transmissão entre computadores clientes e servidores Web front-end em conexões SSL.
Se você optar por exigir a transmissão de dados criptografada, deverá configurar manualmente o IPsec ou o SSL. Você pode exigir conexões criptografadas entre computadores clientes e servidores Web front-end permitindo conexões não criptografadas entre servidores Web front-end e servidores de aplicativos do Serviços de Cálculo do Excel.
Locais de arquivos confiáveis
Locais de arquivos confiáveis são sites do SharePoint, caminhos UNC ou sites HTTP nos quais um servidor que executa o Serviços de Cálculo do Excel tem permissão para acessar pastas de trabalho.
Na seção Local da página Serviços do Excel: Adicionar Local de Arquivo Confiável, você pode configurar o endereço, o tipo de local e se bibliotecas filhas de locais de arquivos confiáveis também são confiáveis. Selecionando Confiar em Filhos você pode melhorar flexibilidade de gerenciamento, mas também pode criar um problema potencial de segurança ao habilitar subsites e subdiretórios de locais confiáveis para serem automaticamente considerados confiáveis logo que são criados.
| Ação de planilha |
|---|
Use a Planilha de locais de arquivo confiáveis (em inglês) (https://go.microsoft.com/fwlink/?linkid=73327&clcid=0x416) (em inglês) para registrar os nomes de sites do SharePoint, caminhos UNC e sites HTTP confiáveis. |
Na seção Gerenciamento de Sessões, você pode definir configurações para ajudá-lo a preservar a disponibilidade de recursos e melhorar o desempenho e a segurança do Serviços de Cálculo do Excel. O desempenho pode sofrer quando um grande número de usuários tiver várias sessões do Serviços de Cálculo do Excel abertas simultaneamente. Você pode controlar o consumo de recursos e limitar a duração de sessões abertas do Serviços de Cálculo do Excel definindo duas configurações diferentes de tempo limite para as sessões abertas.
A configuração Tempo Limite de Sessão determina o tempo que uma sessão do Serviços de Cálculo do Excel pode permanecer aberta e inativa depois de cada interação usuário. A configuração Tempo Limite de Sessão Curto determina o tempo que uma sessão do Serviços de Cálculo do Excel pode permanecer aberta e inativa depois da solicitação inicial da sessão. Você pode também controlar o número de segundos permitidos para qualquer solicitação única de sessão configurando um valor de Duração Máxima da Solicitação. Limitando o tempo no qual as sessões permanecem abertas, você pode ajudar a reduzir o risco de ataques de negação de serviço.
Na seção de Propriedades da Pasta de Trabalho , você pode configurar um tamanho máximo de qualquer pasta de trabalho que tem permissão para ser aberta em uma sessão do Serviços de Cálculo do Excel. O desempenho e a disponibilidade de recursos podem ser comprometidos quando os usuários abrirem pastas de trabalho extremamente grandes. A menos que você controle o tamanho permitido de pastas de trabalho em execução em sessões abertas do Serviços de Cálculo do Excel, há o risco de os usuários excederem sua capacidade de recursos e provocarem a falha do servidor.
Dica
Se um servidor de aplicativos que executa o Serviços de Cálculo do Excel falhar ou for desligado, todas as sessões abertas no servidor serão perdidas. Em uma instalação autônoma, o Serviços do Excel não estará mais disponível. Isso significa que pastas de trabalho não podem ser carregadas, recalculadas, atualizadas ou recuperadas por Serviços de Cálculo do Excel. Na implantação do farm de servidor que inclui vários servidores aplicativo em execução no Serviços de Cálculo do Excel, desligar um servidor não afeta sessões abertas que estão em execução em outros servidores. Os usuários com sessões em execução em um servidor que está desligado são solicitados a reabrir suas pastas de trabalho. Quando usuários iniciam uma nova sessão, eles são automaticamente roteados para servidores de aplicativo ativos em execução no Serviços de Cálculo do Excel.
Na seção Dados Externos, você pode determinar se as pastas de trabalho armazenadas em locais de arquivos confiáveis e abertas em sessões do Serviços de Cálculo do Excel podem acessar uma fonte de dados externa. Você pode designar se a opção Permitir Dados Externos é definida como Nenhum, Bibliotecas de conexões de dados confiáveis somente ou Bibliotecas de conexões de dados confiáveis e incorporados. Se você selecionar Bibliotecas de conexões de dados confiáveis somente ou Bibliotecas de conexões de dados confiáveis e incorporados, as pastas de trabalho armazenadas nos locais de arquivos confiáveis terão permissão para acessar fontes de dados externas.
Conexões de dados externos podem ser acessadas somente quando forem incorporadas no ou vinculadas de um pasta de trabalho. O Serviços de Cálculo do Excel verifica a lista de locais de arquivos confiáveis antes de abrir um pasta de trabalho. Se você selecionar Nenhum, o Serviços de Cálculo do Excel bloqueará qualquer tentativa de acesso a uma fonte de dados externa. Se você gerenciar conexões dados para um grande número de autores de pastas de trabalho, considere a especificação Bibliotecas de conexões de dados confiáveis somente. Isso garante que todas as conexões de dados em todas as pastas de trabalho geradas por autores de pastas de trabalho autenticados têm que usar uma biblioteca de conexões de dados confiáveis para acessar qualquer fonte de dados externas.
Se você gerenciar conexões dados para um pequeno número de autores de pastas de trabalho, considere a especificação Bibliotecas de conexões de dados confiáveis e incorporados. Isso permite que autores de pastas de trabalho incorporem conexões diretas com fontes dados externas em suas pastas de trabalho, mas eles ainda têm acesso a bibliotecas de conexão de dados confiáveis se os links incorporados falharem.
Na área Aviso de Atualização da seção Dados Externos, você pode especificar se um aviso é exibido antes que uma pasta de trabalho seja atualizada com base em uma fonte de dados externa. Ao selecionar Aviso de atualização habilitado, você garante que dados externos não sejam automaticamente atualizados sem interação do usuário.
Na área Parar quando Atualizar ao Abrir Falhar, você pode especificar se o Serviços de Cálculo do Excel parar de abrir uma pasta de trabalho se essa pasta contiver uma conexão de dados Atualizar ao Abrir que apresente falha. Selecionando Parada ao abrir habilitada, você garante que os valores armazenados em cache não sejam exibidos se uma operação de atualização falhar quando a pasta de trabalho é aberta. Quando a tarefa Atualizar ao Abrir é bem-sucedida, os valores armazenados em cache são removidos. Desmarcando a caixa de seleção Parada ao abrir habilitada, há o risco a exibição de valores armazenados em cache se houver falha em Atualizar ao Abrir.
Na área Tempo de Vida do Cache de Dados Externos da seção Dados Externos, você pode especificar o tempo máximo que valores armazenados em cache podem ser usados antes que expirem.
Para garantir que somente os usuários confiáveis tenham acesso às pastas de trabalho armazenadas em locais confiáveis, é importante aplicar as ACLs em todos os locais de arquivos confiáveis.
Existem três cenários principais para implantação do Serviços do Excel Office SharePoint Server 2007: corporativo, pequeno departamento e personalizado.
Em uma implantação corporativa, considere as seguintes diretrizes:
Não configure suporte para funções definidas pelo usuário.
Não permita que as pastas de trabalho usem conexões de dados incorporadas para acessar diretamente fontes de dados externas.
Limite o uso de bibliotecas de conexão de dados para o acesso a fontes de dados externas de pastas de trabalho.
Restrinja o tamanho das pastas de trabalho que podem ser abertas no Serviços de Cálculo do Excel.
Considere confiáveis locais de arquivos específicos, seletivamente, e não habilite Confiar em Filhos para sites e diretórios confiáveis.
Em uma implantação de pequeno departamento, considere as seguintes diretrizes:
Habilite a confiança para todos os locais de arquivos usados por membros do departamento para armazenar pastas de trabalho.
Habilite Confiar em Filhos para todos os de sites e diretórios confiáveis.
Restrinja seletivamente o acesso a locais de arquivos específicos se houver problemas.
Em uma implantação personalizada, considere as seguintes diretrizes:
Habilite o Serviços de Cálculo do Excel para abrir grandes pastas de trabalho.
Defina configurações de tempo limite longo para as sessões.
Configure caches de dados grandes.
Crie um único local confiável para essa implantação.
Não habilite Confiar em Filhos para esse local confiável.
Provedores de dados confiáveis
É possível controlar o acesso a dados externos definindo explicitamente os provedores de dados confiáveis e gravando-os na lista de provedores de dados confiáveis. Essa lista designa provedores de dados externos específicos aos quais as pastas de trabalho abertas no Serviços de Cálculo do Excel podem se conectar.
Antes de instanciar um provedor de dados para habilitar uma pasta de trabalho a se conectar a uma fonte de dados externa, o Serviços de Cálculo do Excel verifica as informações de conexão para determinar se o provedor aparece na lista de provedores de dados confiáveis. Se o provedor estiver na lista, haverá uma tentativa de conexão; caso contrário, a solicitação de conexão será ignorada.
| Ação de planilha |
|---|
Use a Planilha de provedores de dados confiáveis (em inglês) (https://go.microsoft.com/fwlink/?linkid=73325&clcid=0x416) (em inglês) para registrar os nomes dos provedores de dados confiáveis. |
Bibliotecas de conexões de dados confiáveis
Uma biblioteca de conexões de dados confiáveis é uma biblioteca de documentos na qual você determinou que é seguro acessar arquivos .odc. As bibliotecas de conexões de dados são usadas para proteger e gerenciar conexões de dados para pastas de trabalho acessadas por um servidor que executa o Serviços de Cálculo do Excel. Uma lista de bibliotecas de conexões de dados confiáveis designa bibliotecas de conexões de dados específicas nas quais as pastas de trabalho abertas no Serviços de Cálculo do Excel têm permissão para acessar arquivos .odc.
Se a conexão de dados estiver vinculada de uma pasta de trabalho que é acessada por um servidor que executa o Serviços de Cálculo do Excel, o servidor verificará as informações da conexão e a lista de bibliotecas de conexão de dados confiável. Se a biblioteca de conexão de dados estiver na lista, será tentada uma conexão com o arquivo .odc dessa biblioteca; caso contrário, a solicitação de conexão será ignorada.
| Ação de planilha |
|---|
Use a Planilha de bibliotecas de conexão de dados confiáveis (em inglês) (https://go.microsoft.com/fwlink/?linkid=73324&clcid=0x416) (em inglês) para registrar os nomes das bibliotecas de dados de conexão confiáveis. |
Permissões Exibir Apenas
Você pode especificar os usuários que só têm permissão para exibir pastas de trabalho adicionando-as ao grupo de Visualizadores do Office SharePoint Server 2007 ou criando um novo grupo configurado com as permissões Exibir Apenas. O grupo Visualizadores é configurado com permissões Exibir Apenas por padrão. Os usuários adicionados a um grupo configurado com as permissões Exibir Apenas podem exibir, abrir, interagir, atualizar e recalcular pastas de trabalho, mas são impedidos de acessar a fonte do arquivo de maneira diferente do Serviços do Excel. Isso ajuda a proteger suas informações proprietárias. Os dados de origem nunca são exibidos para os usuários designados.
As pastas de trabalho e os objetos de dados de pastas de trabalho configurados com permissões Exibir Apenas não podem ser abertos no Office Excel 2007. Entretanto, um instantâneo da pasta de trabalho que exibe somente valores e formatação dos intervalos visíveis do servidor pode ser processado no Office Excel 2007.
Você pode definir configurações do site no Office SharePoint Server 2007 para controlar o acesso a dados da pasta de trabalho configurando permissões Exibir Apenas em pastas de trabalho gerenciadas centralmente, processadas em um navegador da Web. Você também pode definir configurações do site no Office SharePoint Server 2007 para habilitar as pastas de trabalho a atualizar dados externos no servidor e também proteger e gerenciar conexões de dados externos. Use o seguinte procedimento para salvar objetos de dados especificados como itens de Exibir Apenas.
Salvar objetos de dados especificados como itens de Exibir Apenas
Abra uma pasta de trabalho que contenha objetos de dados, como gráficos e tabelas, no Office Excel 2007.
Publique a pasta de trabalho em uma biblioteca de documentos do SharePoint listada como local confiável para o Serviços do Excel.
Na caixa Nome do Arquivo da caixa de diálogo Salvar como, digite a URL da biblioteca de documentos do SharePoint em que você deseja salvar o arquivo. Verifique se a caixa de seleção Abrir nos Serviços do Excel está marcada.
Clique em Opções de Serviços do Excel.
Na caixa de diálogo Opções de Serviços do Excel, selecione Itens na Pasta de Trabalho no menu suspenso.
Selecione os itens que deseja processar e clique em OK.
Na caixa de diálogo Salvar como, clique em Salvar.
Conexões de dados externos
O componente Serviços de Cálculo do Excel do Serviços do Excel é usado para conectar-se a fontes de dados externas. O Serviços de Cálculo do Excel processa informações sobre conexões de dados externos que contêm tudo de que o servidor precisa para conectar-se a uma fonte de dados, incluindo como autenticar-se, que sequência de conexão usar, que sequência de consulta usar e também onde e como coletar credenciais para a conexão. Essas conexões podem ser definidas em dois lugares: incorporadas em pastas de trabalho e em arquivos .odc. As informações de conexão são idênticas em nos dois lugares. Os arquivos .odc são pequenos arquivos que mantêm informações de conexão em texto sem formatação e em um formato reutilizável.
Você pode usar o cliente do Office Excel 2007 para criar e editar arquivos .odc e conexões incorporadas em pastas de trabalho. No cliente do Office Excel 2007, você pode executar o Assistente de Conexão de Dados ou definir as configurações na página de propriedades Conexões. Você também pode exportar um arquivo .odc com base nessas configurações. A página de propriedades Conexões mostra informações de conexão, incluindo propriedades de autenticação do Serviços do Excel.
| Ação de planilha |
|---|
Use a Planilha de conexões de dados externos (em inglês) (https://go.microsoft.com/fwlink/?linkid=73323&clcid=0x416) (em inglês) para registrar os nomes dos arquivos .odc e os locais das fontes de dados externas correspondentes. |
Arquivos .odc
As pastas de trabalho podem conter links para arquivos .odc e informações de conexão incorporadas. Isso permite que as pastas de trabalho recuperem o arquivo .odc, leiam o conteúdo e tentem conectar-se a uma fonte de dados externa se as informações de conexão incorporadas falharem. Os arquivos .odc devem ser gerenciados e receber manutenção para garantir que contenham informações precisas sobre conexões de dados.
Você também pode configurar o Serviços de Cálculo do Excel para usar informações de conexão do arquivo .odc exclusivamente, em vez de primeiramente tentar conectar-se usando as informações incorporadas. Essa estratégia permite que os administradores implantem um pequeno conjunto de arquivos .odc gerenciados que fornecem informações de conexão atualizadas para várias pastas de trabalho.
Os autores de pastas de trabalho podem especificar, por conexão individual, quais informações de conexão a pasta de trabalho pode usar. Para isso, abra o cliente do Office Excel 2007 e clique em Conexões da Pasta de Trabalho na guia Dados. Adicione uma conexão a uma pasta de trabalho, abra Conexões da Pasta de Trabalho e exiba as propriedades da conexão que você acabou de adicionar. Na guia Definição, selecione Sempre usar arquivo de conexão. Essa configuração permite que a pasta de trabalho recupere um arquivo de conexão de uma biblioteca de conexões de dados e use as informações de conexão do arquivo para conectar-se a uma fonte de dados externa. Você também pode definir essa configuração selecionando Sempre usar arquivo de conexão na página final do Assistente para Conexão de Dados.
Gerenciando arquivos .odc
As bibliotecas de conexão de dados oferecem um repositório para conjuntos de arquivos .odc. Os administradores podem gerenciar conexões de dados no servidor criando uma biblioteca de conexões de dados e arquivos .odc que requerem que as pastas de trabalho sempre usem um arquivo de conexão. As pastas de trabalho que consomem conexões diretamente de uma biblioteca conexões de dados obterão sempre informações de conexão atualizadas antes de se conectarem a uma fonte de dados.
Se as informações sobre fontes de dados mudarem (por exemplo, nome do servidor), você só precisará atualizar um arquivo .odc na biblioteca de conexões de dados e todas as pastas de trabalho que consumirem o arquivo .odc serão automaticamente atualizadas na próxima vez. Você também pode usar permissões Exibir Apenas para restringir o acesso a arquivos .odc.
Funções definidas pelo usuário
Se os seus cenários de implantação incluírem pastas de trabalho que contenham funções definidas pelo usuário para estender os recursos do Serviços de Cálculo do Excel, você deverá configurar o Serviços do Excel para que ofereça suporte a funções definidas pelo usuário.
Para configurar esse suporte, será necessário habilitar funções definidas pelo usuário em locais de arquivos confiáveis que contenham pastas de trabalho que precisam acessar as funções definidas pelo usuário. Além disso, você deve registrar assemblies de funções definidas pelo usuário na lista de assemblies de funções definidas pelo usuário no Serviços do Excel. Use os procedimentos a seguir para habilitar funções definidas pelo usuário.
Habilitar funções definidas pelo usuário
Na seção Serviços do Excel da home page dos Serviços Compartilhados, clique em Funções definidas pelo usuário.
Na página Funções Definidas pelo Usuário dos Serviços do Excel, clique em Adicionar Assembly de Função Definida pelo Usuário.
Na caixa Assembly, digite o nome forte do assembly ou o caminho do arquivo do assembly de função definida pelo usuário que você deseja registrar.
Em Local do Assembly, execute as seguintes ações:
Selecione o cache do assembly global (GAC) se estiver implantando um assembly de função definida pelo usuário no GAC em cada servidor de aplicativos Serviços de Cálculo do Excel do seu farm.
Selecione Local file se quiser salvar uma função definida pelo usuário em um diretório de um servidor de aplicativos Serviços de Cálculo do Excel (um caminho local) ou em um compartilhamento de rede (um caminho UNC).
Verifique se a caixa de seleção Habilitar Assembly está marcada e clique em OK.
Habilitar funções definidas pelo usuário para pastas de trabalho em um local de arquivo confiável
Na seção Serviços do Excel da home page dos Serviços Compartilhados, clique em Locais de arquivos confiáveis.
Na página Locais de Arquivos Confiáveis dos Serviços do Excel, clique na URL do local do arquivo confiável cujas propriedades você deseja editar.
Na seção Funções Definidas pelo Usuário da página Serviços do Excel: Editar Local de Arquivo Confiável, selecione Funções definidas pelo usuário permitidas e clique em OK.
Planilhas
Use as seguintes planilhas para planejar a segurança dos Serviços do Excel:
Planilha de conexões de dados externos (em inglês) (https://go.microsoft.com/fwlink/?linkid=73323\&clcid=0x416) (em inglês)
Planilha de bibliotecas de conexão de dados confiáveis (em inglês) (https://go.microsoft.com/fwlink/?linkid=73324\&clcid=0x416) (em inglês)
Planilha de provedores de dados confiáveis (em inglês) (https://go.microsoft.com/fwlink/?linkid=73325\&clcid=0x416) (em inglês)
Planilha de locais de arquivo confiáveis (em inglês) (https://go.microsoft.com/fwlink/?linkid=73327\&clcid=0x416) (em inglês)
Baixar este manual
Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:
Consulte a lista completa de manuais disponíveis na página de download de conteúdo do Office SharePoint Server 2007.