Planifier des sources de données Excel Services et des connexions externes
S’applique à : Excel Services (SharePoint 2010), SharePoint Server 2010
Dernière rubrique modifiée : 2011-10-18
Pour configurer les Produits Microsoft SharePoint 2010 afin de permettre aux classeurs chargés sur l’application Excel Services d’actualiser des données externes, vous devez comprendre les relations et dépendances existantes entre SharePoint Server 2010 et l’application Excel Services.
Les indications de cet article vous aident à configurer les composants du serveur d’applications SharePoint Server 2010 suivants :
Excel Services
Service Banque d’informations sécurisé
Dans cet article :
Connexions et classeurs Excel
Fournisseurs de données
Authentification aux données externes
Bibliothèques de connexions de données et connexions gérées
Sécurité d’Excel Services et données externes
Connexions et classeurs Excel
Chaque classeur Excel qui utilise des données externes contient une connexion à une source de données. Les connexions comprennent tous les éléments nécessaires à l’établissement des communications avec une source de données externe et à la récupération des données à partir de celle-ci. Cette configuration implique les éléments suivants :
Une chaîne de connexion (chaîne qui spécifie le serveur auquel se connecter et comment s’y connecter).
Une requête (chaîne qui spécifie les données à récupérer).
Tout autre détail nécessaire pour obtenir les données.
Connexions incorporées et liées
Les classeurs Excel peuvent contenir des connexions incorporées et des connexions liées. Les connexions incorporées sont stockées en interne en tant que partie intégrante du classeur. Les connexions liées sont stockées en externe en tant que fichiers distincts qui peuvent être référencés par un classeur.
Les connexions incorporées et les connexions liées fonctionnent de la même façon. Ces deux types de connexion spécifient les paramètres requis pour se connecter aux données. Les fichiers de connexion liée peuvent être stockés, sécurisés, gérés et réutilisés dans un emplacement centralisé. Cette solution est souvent recommandée lors de la planification d’une approche globale pour obtenir un grand groupe d’utilisateurs connectés aux données externes. Pour plus d’informations, voir Bibliothèques de connexions de données et connexions gérées.
Pour une seule connexion, un classeur peut comporter une copie incorporée des informations de connexion et un lien vers le fichier de connexion externe. La connexion peut être configurée pour utiliser systématiquement un fichier de connexion externe pour actualiser les données à partir d’une source de données externe. Dans cet exemple, si le fichier de connexion externe ne peut pas être récupéré ou s’il n’établit pas de connexion avec la source de données, le classeur ne peut pas récupérer les données. Si la connexion n’est pas configurée pour utiliser uniquement un fichier de connexion externe, Excel tente d’utiliser la copie incorporée d’une connexion. En cas d’échec, Excel tente d’utiliser le fichier de connexion pour se connecter à la source de données externe. La possibilité de spécifier que seuls les fichiers de connexion peuvent être utilisés pour établir un lien de communication avec une source de données externe permet la prise en charge des scénarios de connexions gérées décrits dans Bibliothèques de connexions de données et connexions gérées.
Excel Services peut utiliser des connexions issues d’un fichier de connexion externe et des connexions incorporées dans les classeurs. Il existe certaines restrictions pour les fichiers de connexion externe. Pour plus d’informations, voir Sécurité d’Excel Services et données externes. Si les deux types de connexions sont autorisés sur le serveur, le comportement est identique au comportement d’Excel décrit plus haut.
Pour des raisons de sécurité, l’application Excel Services peut être configurée pour activer uniquement les connexions à partir de fichiers de connexion. Dans cette configuration, toutes les connexions incorporées sont ignorées pour les classeurs chargés sur le serveur, et les tentatives de connexions s’effectuent uniquement lorsqu’il existe un lien vers un fichier de connexion valide qui est approuvé par l’administrateur du serveur. Pour plus d’informations, voir Bibliothèques de connexions de données approuvées.
Notes
Il existe de nombreux types de fichiers de connexion, et l’application Excel Services n’est compatible qu’avec les fichiers de connexion de données Office (.odc).
Fournisseurs de données
Les fournisseurs de données sont des pilotes que les applications clientes (telles qu’Excel et l’application Excel Services) utilisent pour se connecter à des sources de données spécifiques. Par exemple, un fournisseur de données MSOLAP spécial est utilisé pour se connecter à Microsoft SQL Server 2008. Le fournisseur de données est spécifié en tant que partie intégrante de la connexion dans la chaîne de connexion. Il n’est pas nécessaires d’avoir des connaissances étendues sur les fournisseurs de données dans le cadre de cet article, mais vous devez comprendre les concepts suivants :
Les fournisseurs de données sont, en règle générale, des ensembles stables et bien testés de bibliothèques qui peuvent être utilisés pour se connecter à des données externes.
Tout fournisseur de données utilisé par Excel Services doit être explicitement approuvé par l’administrateur du serveur. Pour obtenir des informations sur l’ajout d’un fournisseur de données à la liste de fournisseurs approuvés, voir Gérer les connexions Excel Services.
Notes
Par défaut, l’application Excel Services fait confiance à plusieurs fournisseurs de données stables et connus. Dans la plupart des cas, vous n’avez pas besoin d’ajouter un fournisseur de données. Les fournisseurs de données sont généralement ajoutés pour des solutions personnalisées.
Les fournisseurs de données gèrent les requêtes, l’analyse des chaînes de connexion et toute autre logique spécifique à la connexion. Cette fonctionnalité ne fait pas partie d’application Excel Services. application Excel Services ne contrôle pas le comportement des fournisseurs de données.
Authentification aux données externes
Les serveurs de données nécessitent l’authentification d’un utilisateur, autrement dit son identification auprès du serveur. L’étape suivante est l’autorisation, qui consiste à communiquer au serveur les actions autorisées associées à l’utilisateur. Elle est nécessaire pour que le serveur de données effectue l’autorisation ou applique les restrictions relatives à la sécurité qui empêchent l’exposition des données à tout utilisateur qui n’est pas autorisé.
L’application Excel Services doit indiquer à la source de données l’utilisateur qui demande les données. Dans la plupart des scénarios, il s’agit de l’utilisateur qui consulte un rapport Excel dans un navigateur. Cette section explique l’authentification entre l’application Excel Services et une source de données externe. L’authentification à ce niveau est illustrée dans le diagramme suivant. La flèche à droite indique le lien d’authentification d’un serveur d’applications qui exécute les Services de calcul Excel vers une source de données externe.
.jpg "Excel Services : authentification des données externes")
Notes
application Excel Services accède aux sources de données externes en utilisant une identité Windows déléguée. Par conséquent, les sources de données externes doivent résider dans le même domaine que la batterie de serveurs SharePoint Server 2010 ou l’application Excel Services doit être configurée de manière à utiliser le service Banque d’informations sécurisé. Si le service Banque d’informations sécurisé n’est pas utilisé et que les sources de données externes ne résident pas dans le même domaine, l’authentification auprès de ces sources de données est vouée à l’échec. Pour plus d’informations, voir Considérations relatives à la planification des services qui accèdent à des sources de données externes dans « Planification de l’architecture des services ».
Il existe de nombreuses façons d’implémenter l’authentification. Cet article se concentre sur trois méthodes prises en charge par l’application Excel Services :
Authentification Windows intégrée
Service Banque d’informations sécurisé
Aucune
L’application Excel Services détermine le type d’authentification en fonction d’une propriété de la connexion. Cette propriété doit être explicitement définie, et pour ce faire vous pouvez utiliser le client Microsoft Excel 2010. Si le type d’authentification est manquant, l’authentification Windows par défaut est tentée.
Authentification Windows intégrée
SharePoint Server 2010 utilise l’authentification par revendications. Par conséquent, l’application Excel Services utilise également l’authentification par revendications. L’authentification Windows intégrée est maintenant utilisée exclusivement pour les paramètres d’authentification IIS dans SharePoint Server 2010. Notez également que lorsque l’application Excel Services se connecte à une source de données hébergée sur un serveur autre que celui qui héberge l’application Excel Services, la délégation Kerberos contrainte doit être configurée. En d’autres termes, lorsque l’application Excel Services se connecte à une source de données externe, vous devez configurer et déployer la délégation Kerberos contrainte.
Cette méthode utilise votre identité d’utilisateur Windows pour vous authentifier par rapport à une source de données. Dans le cadre de cet article, il n’est pas important de connaître le mécanisme spécifique utilisé par le système d’exploitation pour effectuer cette opération (tel que la délégation NTLM ou avec des contraintes). L’authentification Windows est généralement la méthode d’accès aux données externes par défaut lorsque vous utilisez un client Excel pour vous connecter à des sources de données, tel que SQL Server 2008 Analysis Services.
Dans la plupart des environnements d’entreprise, l’application Excel Services est configurée en tant que partie intégrante d’une batterie avec le serveur Web frontal, le serveur d’application Excel Services principal et la source de données, exécutés sur différents ordinateurs, tel qu’illustré dans le diagramme dans Authentification aux données externes. Cela signifie que la délégation, ou protocole Kerberos, (délégation avec contraintes recommandée) est nécessaire pour activer les connexions de données qui utilisent l’authentification Windows. Cela est dû au fait que la délégation est nécessaire pour s’assurer que les identités des utilisateurs peuvent être communiquées d’un ordinateur à un autre de façon sure et approuvée. Dans un déploiement de batterie, ces types de connexions ne fonctionnent pas sur l’application Excel Services, sauf si le protocole Kerberos est correctement configuré. Pour plus d’informations sur la façon de configurer la délégation contrainte Kerberos pour l’application Excel Services, voir la page du Centre de téléchargement Microsoft, Configuration de l’authentification Kerberos pour les produits Microsoft SharePoint 2010 (éventuellement en anglais).
Service Banque d’informations sécurisé
SharePoint Server 2010 utilise l’authentification du service Banque d’informations sécurisé en incluant un service Windows et une base de données d’informations d’identification sécurisée. L’application Excel Services prend en charge la fonctionnalité enfichable du service Banque d’informations sécurisé qui vous permet de mettre en œuvre votre propre fournisseur de service Banque d’informations sécurisé. SharePoint Server 2010 propose un fournisseur de service Banque d’informations sécurisé par défaut avec l’application Excel Services.
Le service Banque d’informations sécurisé est une base de données centralisée fréquemment utilisée pour stocker les informations d’identification (paire ID utilisateur et mot de passe) pouvant être utilisées par les applications pour s’authentifier auprès d’autres applications. Dans ce cas, l’application Excel Services s’appuie sur le service Banque d’informations sécurisé pour stocker et récupérer les informations d’identification à utiliser lors de l’authentification auprès des sources de données externes.
Chaque entrée du service Banque d’informations sécurisé contient un ID d’application qui fait office de recherche utilisée pour récupérer le jeu approprié d’informations d’identification. Des autorisations peuvent être définies pour chaque ID d’application de façon à ce que seuls des utilisateurs ou groupes spécifiques puissent accéder aux informations d’identification stockées pour un ID d’application.
Lorsqu’elle est détient un ID d’application, l’application Excel Services récupère les informations d’identification de la base de données Banque d’informations sécurisée pour l’utilisateur qui accède au classeur (via le navigateur ou Excel Web Services). L’application Excel Services utilise ensuite ces informations d’identification pour s’authentifier auprès de la source de données et récupérer des données.
Notes
L’ID d’application doit être spécifié pour la connexion. Pour plus d’informations sur la spécification d’un ID d’application, voir Utiliser Excel Services avec la Banque d’informations sécurisée (SharePoint Server 2010).
Aucune
Cette méthode d’authentification signifie qu’aucune récupération d’informations d’identification n’a lieu ou qu’aucune mesure spéciale n’est prise pour la connexion. Par exemple, l’application Excel Services n’essaie pas de déléguer les informations d’identification, ni de récupérer les informations d’identification stockées pour l’utilisateur de la base de données Banque d’informations sécurisée. En effet, le fait de sélectionner Aucune en guise de méthode d’authentification entraîne la connexion à la base de données Banque d’informations sécurisée sous le compte de processus et la récupération des informations d’identification à utiliser. Dans ces cas, l’application Excel Services transmet la chaîne de connexion au fournisseur de données et lui confie la gestion de l’authentification.
En pratique, cela signifie qu’en règle générale une chaîne de connexion spécifie un nom d’utilisateur et un mot de passe pour la connexion à la source de données. Cependant, parfois, la chaîne de connexion indique que la sécurité intégrée doit être utilisée. C’est-à-dire, l’identité Windows de l’utilisateur ou de l’ordinateur qui émet la demande doit être utilisée pour la connexion à la source de données. Dans les deux cas, le compte autonome fait l’objet d’un emprunt d’identité, puis la connexion à la source de données est réalisée. La chaîne de connexion et le fournisseur déterminent la méthode d’autorisation. En outre, l’autorisation peut être basée sur les informations d’identification se trouvant dans la chaîne de connexion ou sur l’identité Windows du compte autonome dont l’identité est empruntée. Pour plus d’informations, voir Compte autonome.
Bibliothèques de connexions de données et connexions gérées
Une bibliothèque de connexions de données est une liste SharePoint Server 2010 conçue pour stocker des fichiers de connexion, qui peuvent ensuite être référencés par des applications Office 2010, telles que l’application Excel Services.
Les bibliothèques de connexions de données permettent aux clients de gérer, sécuriser, stocker et réutiliser des connexions de données de manière centralisée.
Réutilisation des connexions
Étant donné que la bibliothèque de connexions de données est un emplacement bien connu dans SharePoint Server 2010 et affiche des noms d’entreprise conviviaux et des descriptions, les utilisateurs peuvent réutiliser des connexions créées par d’autres utilisateurs et les configurer en fonction de leurs propres besoins. Un utilisateur professionnel reconnu ou un expert en données peut créer des connexions et d’autres utilisateurs peuvent les réutiliser sans avoir à comprendre les détails concernant les fournisseurs de données, les noms des serveurs ou l’authentification. L’emplacement de la bibliothèque de connexions de données peut même être publié sur des clients Office afin que les connexions de données s’affichent dans l’application Excel Services ou toute autre application cliente qui utilise la bibliothèque de connexions de données. Pour plus d’informations, voir Gérer les connexions Excel Services.
Gestion des connexions
Étant donné que les classeurs contiennent un lien vers le fichier d’une bibliothèque de connexions de données, si une modification est apportée à la connexion (telle que le nom d’un serveur ou un ID d’application Banque d’informations sécurisée), un seul fichier de connexion doit être mis à jour et non pas éventuellement des centaines de classeurs. Les classeurs obtiendront automatiquement les modifications la prochaine fois qu’ils utiliseront ce fichier de connexion pour l’actualisation dans Excel ou sur l’application Excel Services.
Sécurisation des connexions
La bibliothèque de connexions de données est une liste SharePoint et prend en charge les mêmes autorisations que SharePoint Server 2010, notamment les autorisations par dossier et par élément. Ainsi, une bibliothèque de connexions de données peut, sur le serveur, devenir un magasin de connexions de données verrouillé hautement contrôlé. Plusieurs utilisateurs peuvent disposer d’un accès en lecture seule à ce dernier. Cela leur permet d’utiliser les connexions de données, mais ils peuvent être empêchés d’ajouter de nouvelles connexions. En utilisant des listes de contrôle d’accès (ACL) avec la bibliothèque de connexions de données, et en autorisant uniquement les auteurs approuvés à charger les connexions, la bibliothèque de connexions de données devient un magasin de connexions approuvées. Les connexions approuvées sont des connexions qui ne contiennent pas de requêtes malveillantes.
L’application Excel Services peut être configurée pour charger des fichiers de connexion uniquement à partir des bibliothèques de connexions de données qui sont explicitement approuvées par l’administrateur de serveur, et pour bloquer le chargement des connexions incorporées. Dans cette configuration, l’application Excel Services utilise la bibliothèque de connexions de données pour appliquer une autre couche de sécurité autour des connexions de données.
Les bibliothèques de connexions de données peuvent même être utilisées avec le nouveau rôle Visualiseur dans SharePoint Server 2010 qui permet l’utilisation de ces connexions pour actualiser les classeurs chargés sur l’application Excel Services. Si ce rôle est appliqué, les utilisateurs n’ont pas accès au contenu du fichier de connexion à partir d’une application cliente, telle qu’Excel. C’est pourquoi le contenu du fichier de connexion est protégé, mais peut être utilisé pour les classeurs actualisés sur le serveur.
Sécurité d’Excel Services et données externes
application Excel Services comporte plusieurs couches de sécurité. Les sous-sections suivantes couvrent les concepts qui concernent directement l’accès aux données externes.
Emplacements de fichiers approuvés
L’application Excel Services charge uniquement des classeurs à partir d’emplacements de fichiers approuvés. Un emplacement de fichiers approuvé est essentiellement un répertoire (qui peut contenir tous les sous-répertoires) à partir duquel l’administrateur a explicitement autorisé le chargement de classeurs. Ces répertoires sont ajoutés à une liste interne de l’application Excel Services. Cette liste est appelée liste d’emplacements de fichiers approuvés.
Les emplacements approuvés peuvent spécifier un jeu de restrictions pour les classeurs chargés à partir de ceux-ci. Tous les classeurs chargés à partir d’un emplacement approuvé respectent les paramètres de ce dernier. Voici une courte liste des paramètres d’emplacement de fichiers approuvés qui affectent les données externes :
Méthode d’accès aux données externes. Les options possibles sont les suivantes :
Aucun accès aux données n’est autorisé (par défaut).
Seuls les fichiers de connexion d’une bibliothèque de connexions de données SharePoint Server 2010 peuvent être utilisés.
Les connexions incorporées dans des classeurs sont autorisées en plus des fichiers de connexion d’une bibliothèque de connexions de données.
Afficher ou non les avertissements relatifs à l’actualisation des requêtes.
Faire échouer ou non le chargement du classeur si les données externes ne sont pas actualisées à l’ouverture du classeur. Ce comportement est utilisé dans des scénarios où le classeur a mis en cache des résultats de données qui sont modifiés selon l’identité de l’utilisateur qui consulte le classeur. L’objectif est de masquer ces résultats mis en cache et de s’assurer que les utilisateurs qui consultent le classeur n’ont accès qu’aux données qui les concernent. Dans ce cas, une tentative d’actualisation du classeur a lieu à l’ouverture. Vous pouvez configurer l’actualisation à l’ouverture pour chaque connexion. Si l’actualisation échoue, le classeur n’est pas affiché pour les utilisateurs qui ne peuvent pas l’ouvrir dans un client Excel.
Notes
Cela fonctionne uniquement si le classeur est verrouillé par les autorisations du rôle Visualiseur dans SharePoint Server 2010, car un utilisateur qui peut ouvrir le classeur directement dans Excel peut systématiquement consulter les résultats de données mis en cache.
Délais d’expiration du cache de données externes. Les données sont partagées entre plusieurs utilisateurs sur le serveur afin d’améliorer la montée en charge et les performances, et ces durées de vie du cache sont modifiables. Cela convient aux scénarios dans lesquels l’exécution de requêtes doit être minimale, car la requête peut prendre du temps pour s’exécuter. Dans ces scénarios, les données sont souvent modifiées sur une base quotidienne, hebdomadaire ou mensuelle et non pas toutes les minutes ou heures.
Bibliothèques de connexions de données approuvées
Tout comme avec les fichiers de classeur, l’application Excel Services charge uniquement les fichiers de connexion des bibliothèques de connexions de données approuvées SharePoint Server 2010. Une bibliothèque de connexions de données approuvée est une bibliothèque ajoutée explicitement par l’administrateur de serveur à une liste approuvée interne. Pour plus d’informations sur la façon dont les bibliothèques de connexions de données permettent à un administrateur de sécuriser et gérer les fichiers de connexion, voir Bibliothèques de connexions de données et connexions gérées. Pour plus d’informations sur l’approbation d’une bibliothèque de connexions de données pour l’utiliser avec l’application Excel Services, voir Gérer les connexions Excel Services.
Fournisseurs de données approuvés
L’application Excel Services utilise uniquement des fournisseurs de données externes qui sont ajoutés à une liste de fournisseurs approuvés interne. Il s’agit d’un mécanisme de sécurité qui empêche le serveur d’utiliser des fournisseurs auxquels l’administrateur ne fait pas confiance. Pour plus d’informations sur l’approbation d’un fournisseur de données, voir Gérer les connexions Excel Services.
Compte autonome
Le compte autonome est un compte spécial dont l’application Excel Services emprunte l’identité chaque fois qu’elle essaie d’établir une connexion dans laquelle l’authentification Aucune est sélectionnée, que l’authentification Windows intégrée soit utilisée ou non par la source de données. Étant donné que l’application Excel Services n’a aucun contrôle sur le fournisseur de données et n’analyse pas directement les chaînes de connexion spécifiques au fournisseur, elle doit réduire les menaces relatives à la sécurité lorsque l’identité de l’application Excel Services elle-même peut être utilisée pour se connecter à une source de données. Le compte autonome est utilisé pour réduire ces menaces.
L’application Excel Services est souvent exécutée avec un compte doté de privilèges élevés. Ce niveau d’autorisation est incorrect pour les utilisateurs qui affichent uniquement des données. Lorsque le type d’authentification des données externes est défini sur Aucune ou service Banque d’informations sécurisé, où l’ID d’application de service Banque d’informations sécurisé ne stocke pas les informations d’identification Windows, l’identité du compte autonome est empruntée avant que celui-ci n’essaie de se connecter aux données. Étant donné que le compte autonome n’est pas supposé disposer d’autorisations pour accéder à la source de données, cela empêche les connexions accidentelles ou malveillantes aux sources de données dans le contexte d’un compte doté de privilèges.
Si le compte autonome a accès à la source de données (lorsque le type d’authentification est défini sur Aucune), une connexion est établie à l’aide des informations d’identification du compte de service autonome. Soyez prudent lorsque vous concevez des solutions qui utilisent intentionnellement ce compte pour se connecter aux données. Il s’agit d’un compte unique qui peut être utilisé par chaque classeur sur le serveur. Il est possible pour tout utilisateur qui charge un classeur sur l’application Excel Services et qui définit le type d’authentification sur Aucune de consulter ces données à l’aide du serveur. Dans certains scénarios, cela peut être nécessaire. Toutefois, le service Banque d’informations sécurisé est la solution par défaut pour gérer les mots de passe par utilisateur ou par groupe.