Secure Store Service für Business Intelligence-Dienstanwendungen
Gilt für: SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2016-11-30
In diesem Artikel wird beschrieben, wie Business Intelligence-Features von Microsoft SharePoint Server 2010 mithilfe von Secure Store Service den Zugriff auf externe Datenquellen (wie SQL Server) für SharePoint Server 2010-Benutzer bereitstellen. Dieser Artikel bezieht sich auf die folgenden Business Intelligence-Dienstanwendungen von SharePoint Server 2010:
Excel Services
PerformancePoint-Dienste
Visio Services
Die Business Intelligence-Dienstanwendungen von SharePoint Server 2010 bieten Benutzern zwei Methoden, um auf Daten zuzugreifen:
Integrierte Windows-Authentifizierung mit eingeschränkter Kerberos-Delegation
Secure Store Service
Dieser Artikel befasst sich mit Secure Store Service und seinem Verhältnis zu den Business Intelligence-Dienstanwendungen. Informationen zur Verwendung der integrierten Windows-Authentifizierung mit eingeschränkter Kerberos-Delegation finden Sie unter Planen der Kerberos-Authentifizierung (SharePoint Server 2010).
Secure Store Service
Secure Store Service ist ein Feature in SharePoint Server 2010, das für den vereinfachten Zugriff auf Daten außerhalb von SharePoint Server 2010 (z. B. SQL Server-Daten) sorgt, indem einer Business Intelligence-Dienstanwendung die Verwendung einer Reihe von Anmeldeinformationen für den Datenzugriff im Namen eines SharePoint Server 2010-Benutzers ermöglicht wird, der versucht, auf diese Daten zuzugreifen. Die Verwendung der Anmeldeinformationen durch Business Intelligence-Dienstanwendungen im Namen von Benutzern wird als Identitätswechsel bezeichnet.
Secure Store Service führt die Zuordnung von Business Intelligence-Dienstanwendungen, Benutzern und Anmeldeinformationen mithilfe einer Zielanwendungaus. Eine Secure Store Service-Zielanwendung bezeichnet eine Sammlung von Metadaten, die angibt, welchen Benutzern der Zugriff auf eine bestimmte Reihe von Anmeldeinformationen ermöglicht wird, die von einer Business Intelligence-Dienstanwendung beim Zugriff auf externe Daten für den Identitätswechsel verwendet werden. Diese Metadaten werden in der Secure Store Service-Datenbank zusammen mit den verschlüsselten Anmeldeinformationen gespeichert.
Secure Store Service-Zielanwendungen können auf unterschiedlichste Weise in SharePoint Server 2010 verwendet werden, doch im Rahmen von Business Intelligence-Szenarien für SharePoint Server 2010 setzen sich Zielanwendungen aus den folgenden Einstellungen zusammen, die vom Farmadministrator konfiguriert werden können:
Administratoren Administratoren von Zielanwendungen sind Benutzer, die über die Berechtigung verfügen, eine bestimmte Secure Store Service-Zielanwendung zu verwalten. Dabei kann es sich, abhängig von Ihren Anforderungen, um den Farmadministrator oder einen bestimmten Benutzer bzw. mehrere Benutzer handeln. Bei von PerformancePoint-Dienste erstellten Zielanwendungen wird der Administrator automatisch von PerformancePoint-Dienste konfiguriert und der Benutzer, der das unbeaufsichtigte Dienstkonto konfiguriert, wird als Administrator hinzugefügt.
Mitglieder Die Mitglieder einer Zielanwendung sind die Benutzer, in deren Namen die Business Intelligence-Dienstanwendung einen Identitätswechsel für die Anmeldeinformationen der Zielanwendung beim Zugreifen auf externe Daten vornimmt. Es kann sich um einen einzelnen Benutzer, mehrere Benutzer oder eine Active Directory-Gruppe handeln. Mitglieder werden auch als Besitzer der Anmeldeinformationen bezeichnet. Bei Zielanwendungen, die von PerformancePoint-Dienste erstellt wurden, wird das vom PerformancePoint-Dienste-Anwendungspool genutzte Dienstkonto als Mitglied verwendet.
Anmeldeinformationen Anmeldeinformationen von Zielanwendungen setzen sich aus einem Active Directory-Konto mit direktem Zugriff auf Datenquellen zusammen. (Sie müssen diesem Konto den erforderlichen Datenzugriff direkt erteilen; der Zugriff auf externe Datenquellen wird nicht von SharePoint Server 2010 gesteuert. Dies sollte ein Konto mit niedrigen Berechtigungen sein, das ausschließlich den Datenzugriff erlaubt.) Business Intelligence-Dienstanwendungen nehmen die Identität dieses Kontos an, um Benutzern Zugriff auf Daten zu verschaffen.
Administratoren, Mitglieder und Anmeldeinformationen können direkt vom Farmadministrator über Secure Store Service für Excel Services und Visio Services konfiguriert werden. In PerformancePoint-Dienste werden diese Werte über die Einstellungen der PerformancePoint-Dienstanwendungen konfiguriert und sollten nicht über Secure Store Service geändert werden.
Visio Services und Excel Services können Secure Store Service mithilfe einer von zwei Methoden verwenden:
Angegebene Zielanwendung Eine bestimmte Zielanwendung wird vom Excel-Arbeitsblatt oder von der Visio-Webzeichnung angegeben. Wenn ein Benutzer auf das Arbeitsblatt oder die Webzeichnung zugreift, verwendet Secure Store Service die dieser Zielanwendung zugeordneten Anmeldeinformationen für den Datenzugriff. In Visio Services muss diese Zielanwendung mithilfe einer ODC-Datei angegeben werden, die in SharePoint Server 2010 gehostet ist.
Keine angegebene Zielanwendung (Unbeaufsichtigtes Dienstkonto) Es wird keine Zielanwendung vom Excel-Arbeitsblatt oder von der Visio-Webzeichnung angegeben. Wenn ein Benutzer auf das Arbeitsblatt oder die Webzeichnung, verbunden mit einer externen Datenquelle, zugreift, verwendet Secure Store Service die in dieser Zielanwendung angegebenen globalen Einstellungen von Excel Services oder Visio Services. Wird eine Zielanwendung global für eine Business Intelligence-Dienstanwendung angegeben, werden die Anmeldeinformationen für die Zielanwendung als unbeaufsichtigtes Dienstkonto bezeichnet.
In PerformancePoint-Dienste kann keine bestimmte Secure Store Service-Zielanwendung angegeben werden; Secure Store Service kann nur mit dem unbeaufsichtigten Dienstkonto verwendet werden.
Der Ablauf der Ereignisse gestaltet sich im Wesentlichen wie folgt:
Ein Benutzer von SharePoint Server 2010 greift auf ein mit Daten verbundenes Objekt wie ein Excel Services-Arbeitsblatt, eine Visio Services-Webzeichnung oder ein PerformancePoint-Dienste-Dashboard zu.
Wenn das Objekt so konfiguriert wurde, dass Secure Store Service für die Datenauthentifizierung verwendet wird, wird Secure Store Service von der Business Intelligence-Dienstanwendung aufgerufen, um auf die vom Objekt angegebene Zielanwendung zuzugreifen.
Wenn es sich beim Benutzer um ein Mitglied dieser Zielanwendung handelt, werden die in der Zielanwendung gespeicherten Anmeldeinformationen zurückgegeben und die Business Intelligence-Dienstanwendung nimmt beim Zugriff auf die Daten die Identität der Anmeldeinformationen an.
Die Daten werden dem Benutzer im Kontext des Arbeitsblatts, der Webzeichnung oder des Dashboards angezeigt.
Datenverbindungsdateien
Alle Business Intelligence-Dienstanwendungen können Datenverbindungsdateien zur Angabe von Authentifizierungsinformationen verwenden. In Excel Services und Visio Services werden ODC-Dateien (Office Data Connection) verwendet, während in PerformancePoint-Dienste PPSDC-Dateien (PerformancePoint Services Data Connection) verwendet werden. Durch die Verwendung solcher Dateien ist es für mehrere Excel Services-Arbeitsblätter, Visio Services-Webzeichnungen oder PerformancePoint-Dienste-Dashboards möglich, eine Reihe von Datenzugriffsparametern gemeinsam zu nutzen.
Bei Business Intelligence-Dienstanwendungen in SharePoint Server 2010 werden Datenverbindungsdateien auf unterschiedliche Art verwendet. Eine Beschreibung der einzelnen Verwendungsweisen der Datenverbindungsdateien finden Sie im Abschnitt zur jeweiligen Dienstanwendung weiter unten.
Unbeaufsichtigtes Dienstkonto
Unbeaufsichtigtes Dienstkonto verweist auf die Anmeldeinformationen einer Secure Store Service-Zielanwendung, die in den globalen Einstellungen einer Business Intelligence-Dienstanwendung angegeben sind. Mithilfe dieser Zielanwendung wird Benutzern der Zugriff auf Daten ermöglicht, wenn keine andere Authentifizierungsmethode angegeben wurde. Für Visio Services wird das unbeaufsichtigte Dienstkonto immer dann benötigt, wenn die integrierte Windows-Authentifizierung nicht verwendet wird, selbst wenn zusätzliche Verbindungsdaten in der Verbindungsdatei (z. B. einer SQL-Authentifizierungszeichenfolge) bereitgestellt werden.
Datenzugriff von Client und Server
Microsoft Excel 2010 und Microsoft Visio 2010 sind Clientanwendungen, die unabhängig von SharePoint Server 2010 ausgeführt werden. Obwohl sie Dokumente für SharePoint Server 2010 veröffentlichen können, können Sie Secure Store Service nicht direkt für die Authentifizierung verwenden. Wenn Sie ein mit Daten verbundenes Arbeitsblatt oder eine Webzeichnung erstellen oder bearbeiten, müssen Sie mithilfe der integrierten Windows-Authentifizierung oder einer anderen anwendbaren Authentifizierungsmethode direkt eine Verbindung von Excel 2010 oder Visio 2010 mit der Datenquelle herstellen. (Andere Authentifizierungsmethoden setzen möglicherweise die SQL-Authentifizierung oder eine OLEDB-Verbindungszeichenfolge ein.) Nach dem Veröffentlichen des Arbeitsblatts oder der Webzeichnung in SharePoint Server 2010, Excel Services oder Visio Services können Sie mithilfe von Secure Store Service beim Anzeigen der Inhalte für einen Benutzer eine Verbindung zur Datenquelle herstellen.
Der Dashboard-Designer in PerformancePoint-Dienste ist direkt in SharePoint Server 2010 integriert. Mithilfe des Dashboard-Designers können Sie Secure Store Service für die direkte Authentifizierung über das unbeaufsichtigte Dienstkonto nutzen. Dadurch benötigen Benutzer des Dashboard-Designers keinen direkten Datenzugriff auf Datenquellen über die integrierte Windows-Authentifizierung, sofern das unbeaufsichtigte Dienstkonto über den erforderlichen Zugriff verfügt.
Excel Services und Visio Services
In Excel Services und Visio Services wird Secure Store Service auf ähnliche Weise eingesetzt:
Beide können eine Secure Store-Zielanwendung speichern, die in einer ODC-Datei angegeben wird.
In beiden kann das unbeaufsichtigte Dienstkonto verwendet werden.
Es existieren jedoch einige wesentliche Unterschiede zwischen Excel Services und Visio Services, die in den nachfolgenden Abschnitten erläutert werden.
Excel Services
Die von Excel Services verwendeten Datenverbindungen müssen vor der Veröffentlichung in einer SharePoint Server 2010-Website in Excel 2010 konfiguriert werden. In einem Excel 2010-Arbeitsblatt können Datenverbindungsdaten direkt angegeben oder ein Zeiger auf eine ODC-Datei mit den Verbindungsdaten eingefügt werden.
In einer mit Daten verbundenen Excel 2010-Arbeitsmappe oder einer ODC-Datei stehen die folgenden Authentifizierungseinstellungen zur Verfügung:
Integrierte Windows-Authentifizierung Gibt die integrierte Windows-Authentifizierung mit Kerberos-Delegierung an, um jeden einzelnen Benutzer beim Anzeigen einer Excel 2010-Arbeitsmappe über Excel Services zu authentifizieren.
SSS-ID Bezeichnet eine bestimmte Secure Store Service-Zielanwendung, die für den Zugriff auf Datenquellen verwendet werden soll.
Keine Verwendet, sofern vorhanden, die in der Verbindungszeichenfolge angegebenen Anmeldeinformationen; andernfalls wird das in den globalen Einstellungen von Excel Services angegebene unbeaufsichtigte Dienstkonto von Secure Store Service verwendet..
Diese Einstellungen können nur durch Öffnen des Arbeitsblatts oder der ODC-Datei in Excel 2010 bearbeitet werden.
Visio Services
In Visio Services werden zwei Methoden der Datenverbindung für Visio-Webzeichnungen unterstützt:
Eingebettete Verbindungsinformationen
Externe Verbindungsdaten unter Verwendung einer ODC-Datei
Wenn Sie ein Visio-Diagramm erstellen und direkt mit einer Datenquelle verbinden, werden die Datenquelleninformationen von Visio 2010 direkt in der Datei gespeichert, wenn Sie die Webzeichnung in SharePoint Server 2010 veröffentlichen. Zeigt ein Benutzer die Webzeichnung an, wird in Visio Services eine Verbindung mit der Datenquelle mithilfe des in den globalen Einstellungen von Visio Services angegebenen unbeaufsichtigten Dienstkontos von Secure Store Service hergestellt.
Wenn Sie anstelle einer direkten Verbindung mit der Datenquelle aus Visio 2010 die Verbindung mit der Datenquelle über eine vorhandene ODC-Datei in SharePoint Server 2010 herstellen, wird die Verknüpfung mit dieser ODC-Datei in Visio 2010 aufrecht erhalten, wenn Sie die Webzeichnung veröffentlichen. Die in der ODC-Datei gespeicherten Verbindungsdaten werden dann von Visio Services verwendet, um eine Verbindung mit der Datenquelle herzustellen. Dies schließt die Verwendung einer bestimmten Secure Store Service-Zielanwendung ein, sofern eine solche in der ODC-Datei angegeben ist.
In Visio 2010 können keine ODC-Dateien bearbeitet werden. Für die Verwendung einer ODC-Datei mit einer Visio-Webzeichnung wird Folgendes empfohlen: Erstellen Sie die ODC-Datei in Excel 2010, veröffentlichen Sie sie in SharePoint Server 2010, und stellen Sie dann eine Verbindung mit der Datei als Datenquelle aus Visio 2010 heraus her, wenn Sie ein neues mit Daten verbundenes Diagramm erstellen. Zur Bearbeitung von ODC-Dateien müssen Sie Excel 2010 verwenden, wenn Sie eine Datenabfrage oder Authentifizierungsinformationen ändern, eine Zielanwendung angeben oder sonstige Einstellungen bearbeiten möchten.
In Visio Services können komplexe SQL-Abfragen nicht analysiert werden. Wenn Sie versuchen, eine ODC-Datei mit einer komplexen Abfrage zu verwenden, ist Visio Services möglicherweise nicht in der Lage, die Abfrage auszuführen und die Daten abzurufen.
PerformancePoint Services
In PerformancePoint-Dienste wird Secure Store Service nur über das unbeaufsichtigte Dienstkonto genutzt. Die Wahl zwischen der integrierten Windows-Authentifizierung und dem unbeaufsichtigten Dienstkonto erfolgt über den Dashboard-Designer beim Erstellen oder Bearbeiten einer Datenquelle.
Die Secure Store Service-Zielanwendung für das unbeaufsichtigte Dienstkonto von PerformancePoint-Dienste wird als Teil der Einstellungen von PerformancePoint-Dienste-Dienstanwendungen von einem Administrator konfiguriert. Solange diese Zielanwendung auf der Liste der Secure Store Service-Zielanwendungen angezeigt wird, sollte sie nicht direkt über Secure Store Service geändert werden.
Zusammenfassung der Unterschiede
Wie in diesem Artikel beschrieben, nutzt jede der Business Intelligence-Dienstanwendungen Secure Store Service auf eine andere Weise. In der folgenden Tabelle werden die Funktionalität von Secure Store Service sowie Optionen für jede Business Intelligence-Dienstanwendung zusammengefasst.
Hinweis
Jede Business Intelligence-Dienstanwendung unterstützt die integrierte Windows-Authentifizierung. Wird die integrierte Windows-Authentifizierung angegeben, werden die Secure Store Service-Optionen nicht verwendet.
| Dienstanwendung | Secure Store Service | Datenverbindungen |
|---|---|---|
PerformancePoint-Dienste |
Nur unbeaufsichtigtes Dienstkonto |
Immer mithilfe einer PPSDC-Datei |
Excel Services |
Secure Store Service-Zielanwendung kann in einer ODC-Datei angegeben oder in eine XLSX-Datei eingebettet werden. Wird keine Zielanwendung eingebettet oder in einer ODC-Datei angegeben, wird das unbeaufsichtigte Dienstkonto verwendet. |
Eingebettet in Kalkulationstabelle oder angegeben in einer ODC-Datei. ODC-Dateien müssen in Excel 2010 bearbeitet werden. |
Visio Services |
Secure Store Service-Zielanwendung kann in ODC-Datei angegeben werden. Wird keine ODC-Datei verwendet oder keine Zielanwendung in der ODC-Datei angegeben, wird das unbeaufsichtigte Dienstkonto verwendet. Bei Verwendung von anderen Authentifizierungsmethoden als der integrierten Windows-Authentifizierung wird das unbeaufsichtigte Dienstkonto benötigt, außer eine andere Zielanwendung wird in der ODC-Datei angegeben. |
Eingebettet in Webzeichnung oder angegeben in einer ODC-Datei. Begrenzte Unterstützung komplexer Abfragen. ODC-Dateien müssen in Excel 2010 bearbeitet werden. (In Visio 2010 können ODC-Dateien nicht bearbeiten werden.) |
See Also
Concepts
Konfigurieren von Secure Store Service (SharePoint Server 2010)
Excel Services (Übersicht) (SharePoint Server 2010)
Verwenden von Excel Services mit Secure Store (SharePoint Server 2010)
Übersicht über PerformancePoint-Dienste (SharePoint Server 2010)
Planen der Sicherheit für die PerformancePoint-Dienste (SharePoint Server 2010)
Planen von Visio Services (SharePoint Server 2010)