Datenauthentifizierung für Excel Online in Office Online Server

  • Artikel

Zusammenfassung Erfahren Sie, wie Excel Online Verbindungen mit SQL Server Analysis Services (SSAS), SQL Server Datenbanken sowie OLE DB- und ODBC-Datenquellen unterstützt.

Damit ein Benutzer Daten aus einer Datenquelle abrufen kann, muss er bei der Datenquelle authentifiziert sein und berechtigt sein, auf die in der Datenquelle enthaltenen Daten zuzugreifen. Im Fall einer Arbeitsmappe authentifiziert sich Excel Online bei der Datenquelle im Namen des Benutzers, der sie anzeigt, um die Daten zu aktualisieren, mit denen die Arbeitsmappe verbunden ist.

Welche Authentifizierungsmethode Excel Online zum Abrufen von Daten verwenden kann, hängt vom Typ der zugrunde liegenden Datenquelle ab, wie in der folgenden Tabelle beschrieben. Bei Datenquellen, die mehrere Authentifizierungsmethoden unterstützen, müssen die Datenverbindungen angeben, welche verwendet werden soll.

Datenquellen und Authentifizierungsmethoden für Excel Online

Datenquelle Authentifizierungsmethode
Analysis Services
 Windows-Authentifizierung (integrierte Sicherheit)
unter Verwendung der eingeschränkten Kerberos-Stellvertretung
unter Verwendung von Secure Store
unter Verwendung der EffectiveUserName-Eigenschaft für die Verbindungszeichenfolge
SQL Server
 Eine der folgenden:
Windows-Authentifizierung (integrierte Sicherheit)
unter Verwendung der eingeschränkten Kerberos-Stellvertretung
unter Verwendung von Secure Store
SQL Server-Authentifizierung
Benutzerdefinierte Datenanbieter
 Ist von der Datenquelle abhängig, in der Regel ein in der Verbindungszeichenfolge gespeicherter Benutzername und ein zugehöriges Kennwort.

Die folgenden Datenquellen werden in Excel, aber nicht in Excel Online unterstützt:

  • Access-Datenbanken

  • Webinhalte

  • XML-Daten

  • Microsoft Azure Marketplace

  • Textdateien

Herstellen einer Verbindung mit externen Daten mit Excel Online

Excel Online kann eine Verbindung mit verschiedenen externen Datenquellen herstellen, einschließlich SQL Server, Analysis Services und benutzerdefinierten OLE DB-/ODBC-Datenanbietern. Excel Online verwendet für jede Datenquelle einen bestimmten Datenanbieter, um eine Verbindung mit der Datenquelle herzustellen.

Die Verbindung zu einer SQL Server-Datenquelle kann auf eine der folgenden Arten erfolgen:

  • Windows-Authentifizierung

  • SQL Server-Authentifizierung

Die Verbindung zu einer Analysis Services-Datenquelle wird mithilfe von Windows-Authentifizierung hergestellt.

Andere Datenquellen verwenden eine Verbindungszeichenfolge, die in der Regel aus einem Benutzernamen und einem Kennwort besteht.

Datenverbindungen für Excel Online-Arbeitsmappen

Excel Online-Arbeitsmappen verwenden eine von zwei Arten von Verbindungen:

  • Eingebettete Verbindungen

  • Verknüpfte Verbindungen

Eingebettete Verbindungen werden als Teil der Excel-Arbeitsmappe gespeichert. Verknüpfte Verbindungen werden außerhalb von Arbeitsmappen in ODC-Dateien (Office Data Connection) gespeichert. Um eine verknüpfte Verbindung zu verwenden, muss eine Arbeitsmappe auf eine ODC-Datei verweisen, die auch in derselben SharePoint Server-Farm wie die Arbeitsmappe gespeichert ist. Jede Datenverbindung besteht aus den folgenden Komponenten:

  • Einer Verbindungszeichenfolge

  • Abfragezeichenfolge

  • Authentifizierungsmethode

  • (Optional) Bestimmten Metadaten, die zum Abrufen externer Daten erforderlich sind

Jede Verbindungsart hat ihre Vor- und Nachteile, die im Folgenden beschrieben werden. Wählen Sie die Verbindungsart aus, die für Ihr Szenario am besten geeignet ist.

Vergleich von Datenverbindungen für Excel Online

Verbindungstyp Eingebettete Verbindungen ODC-Dateien
Vorteile
 Alle Verbindungsinformationen werden in der Arbeitsmappe gespeichert.
Die Unterstützung von eingebetteten Verbindungen erfordert nur wenig Verwaltungsaufwand.
Eingebettete Verbindungen sind leicht zu erstellen.
Verknüpfte Verbindungen können zentral gespeichert, verwaltet, überwacht, freigegeben und der Zugriff darauf mithilfe einer SharePoint-Dokumentbibliothek gesteuert werden.
Autoren von Arbeitsmappen können vorhandene Verbindungen verwenden, ohne Abfragen und Verbindungszeichenfolgen erstellen zu müssen.
Wenn sich die Datenverbindungsdetails für eine Datenquelle ändern, muss ein Administrator nur eine ODC-Datei aktualisieren. Bei dieser Änderung verwenden alle Arbeitsmappen, die auf die ODC-Datei verweisen, nach der nächsten Aktualisierung die aktualisierten Verbindungsinformationen. (Ein Beispiel für ein solches Szenario wäre das Verschieben des Datenbankservers oder die Änderung des Datenbanknamens.)
Nachteile
 Wenn sich die Datenverbindungsdetails für eine Datenquelle ändern, müssen alle Arbeitsmappen mit eingebetteten Verbindungen zu dieser Datenquelle mit aktualisierten Verbindungsinformationen neu veröffentlicht werden.
Eingebettete Datenverbindungen sind für SharePoint-Administratoren schwieriger zu überwachen.
Verknüpfte Verbindungen erfordern für die Freigabe, Verwaltung und Sicherung möglicherweise die Unterstützung eines SharePoint-Administrators.
Verknüpfte Verbindungen werden in Klartext gespeichert und können Datenbankkennwörter enthalten. Für die Sicherung dieser Dateien ist besondere Sorgfalt erforderlich.
Erfordert die Server-zu-Server-Authentifizierung zwischen Office Online Server und SharePoint Server. Dies erhöht den Konfigurations- und Verwaltungsaufwand.

Verwenden Sie für Szenarien, bei denen eine Datenverbindung zu einer unternehmensweiten Datenquelle wie etwa SQL Server oder Analysis Services hergestellt werden muss, eine verknüpfte Datenverbindung über eine ODC-Datei. Verknüpfte Datenverbindungen sind besonders zweckmäßig in Szenarien, in denen diese von zahlreichen Benutzern verwendet werden und in denen die Überwachung der Verbindung durch den Administrator wichtig ist.

Verwenden Sie eine eingebettete Datenverbindung für Szenarios, in denen Sie eine Datenverbindung benötigen, die nicht von der breiten Masse der Benutzer verwendet wird.

ODC-Dateien können in einer Datenverbindungsbibliothek zentralisiert werden. Dies hat mehrere Vorteile:

  • Administratoren können den Schreibzugriff auf eine Datenverbindungsbibliothek auf Autoren beschränken, die vertrauenswürdige Datenverbindungen nutzen, um sicherzustellen, dass Arbeitsmappenautoren nur gründlich getestete und sichere Datenverbindungen verwenden.

  • Administratoren benötigen nur einen einzigen Speicherort für die Verwaltung von Datenverbindungen für eine große Gruppe von Benutzern.

  • Administratoren können unter Verwendung der Dokumentbibliotheks-Versionsverwaltung und von Workflowfeatures auf einfache Weise Datenverbindungsdateien genehmigen, überwachen, zurücksetzen und verwalten.

  • Datenverbindungsbibliotheken können in anderen Office-Anwendungen wie Visio und Visio Services wiederverwendet werden.

  • Arbeitsmappenautoren benötigen nur einen einzigen Speicherort, an dem sie Datenverbindungen für Arbeitsmappen finden. Das schafft Klarheit und verringert den Schulungsaufwand.

Windows-Authentifizierung

Windows-Authentifizierung erfordert, dass Excel Online der Datenquelle einen Satz von Windows-Anmeldeinformationen vorgibt. Diese Art von Anmeldeinformationen sind üblich in Windows-Netzwerken, und sie sind identisch mit den Anmeldeinformationen, die für die Anmeldung bei Computern in einer Windows-Domäne verwendet werden. Windows-Anmeldeinformationen gelten als die sicherste und verwaltbarste Methode zum Steuern des Zugriffs auf SQL Server Datenbanken. Ein Hindernis bei der Verwendung von Windows-Authentifizierung mit Excel Online ist jedoch die Windows Double Hop-Sicherheitsmaßnahme, bei der die Anmeldeinformationen eines Benutzers nicht über mehrere Computer in einem Windows-Netzwerk übergeben werden können. Da es sich bei Excel Online, das mit SharePoint Server verwendet wird, um ein mehrstufiges System handelt, sind spezielle Authentifizierungsmethoden erforderlich, damit Excel Online Daten im Auftrag des Endbenutzers abrufen kann.

Die zu verwendende Authentifizierungsmethode ist von mehreren Faktoren abhängig, wie in der folgenden Tabelle erläutert. Wählen Sie diejenige aus, die am besten für Ihr Szenario geeignet ist.

Vergleich zwischen den Authentifzierungsmethoden

Authentifizierungsmethode Kerberos-Delegierung Secure Store Effektiver Benutzername
Beschreibung
Mithilfe der eingeschränkten Kerberos-Delegierung werden die Windows-Anmeldeinformationen des Arbeitsmappen-Viewers direkt an die Datenquelle gesendet.
Bei der Verwendung von Secure Store Service werden die Windows-Anmeldeinformationen der Zeichnungsanzeige einem anderen Satz von Benutzerinformationen zugeordnet, die in einer Secure Store-Zielanwendung festgelegt werden.
Mithilfe der EffectiveUserName-Einstellung Global werden der Domänen- und Benutzername des Benutzers an Analysis Services-Datenquellen übergeben.
Anmeldeinformationen für Datenverbindungen
Die Windows-Anmeldeinformationen des Arbeitsmappen-Viewers.
Die in der Secure Store-Zielanwendung festgelegten Anmeldeinformationen
Die Anmeldeinformationen der Office Online Server Prozessidentität.
Vorteile
Das Kerberos-Protokoll der Branchenstandard bei der Verwaltung von Anmeldeinformationen.
Kerberos wird in die bestehende Active Directory-Infrastruktur eingebunden.
Die Kerberos-Delegierung ermöglicht die Überwachung einzelner Zugriffe auf eine Datenquelle.
Wenn die Identität des Arbeitsmappen-Viewers bekannt ist, können Ersteller von Arbeitsmappen personalisierte Datenbankabfragen in Arbeitsmappen einbetten.
Secure Store Service ist Bestandteil von SharePoint Server und ist einfacher zu konfigurieren als Kerberos.
Zuordnungen sind flexibel: ein Benutzer kann entweder 1:1 oder n:1 zugeordnet werden.
Windows-fremde Anmeldeinformationen können zum Herstellen der Verbindung mit Datenquellen verwendet werden, die keine Windows-Anmeldeinformationen akzeptieren.
Für Excel Online erstellte Zuordnungen können von anderen Business Intelligence-Anwendungen wie Visio Services wiederverwendet werden.
Datensicherheit für jeden Benutzer einzeln, ohne dass Kerberos-Delegierung konfiguriert werden muss.
Minimaler Konfigurations- und Verwaltungsaufwand.
Nachteile
Zusätzlicher verwaltungstechnischer Aufwand zum Konfigurieren von SharePoint Server und Excel Online.
Für die Einrichtung und Verwaltung von Zuordnungstabellen ist einiger Verwaltungsaufwand erforderlich.
Secure Store ermöglicht die eingeschränkte Überwachung. In zahlreichen n:1-Szenarien werden eingehende einzelne Benutzer durch eine Zielanwendung den gleichen Anmeldeinformationen zugeordnet, sodass diese quasi zu einem Benutzer verschmolzen werden.
Funktioniert nur mit Analysis Services-Datenquellen.
Voraussetzungen für die erfolgreiche Authentifizierung
Die Kerberos-Delegierung muss auf dem Office Online Server eingerichtet werden.
Der Secure Store Service muss in der SharePoint Server-Farm bereitgestellt und konfiguriert werden. Es muss auch die entsprechenden Zuordnungsinformationen für einen bestimmten eingehenden Benutzer enthalten. Darüber hinaus müssen die Zuordnungsinformationen möglicherweise regelmäßig aktualisiert werden, um Kennwortänderungen beim zugeordneten Konto wiederzugeben.
Die Option EffectiveUserName muss in Office Online Server aktiviert sein.
Der Benutzer muss ein Mitglied der entsprechenden Analysis Services-Rolle sein.

Kerberos-Delegierung

Verwenden Sie die Kerberos-Delegierung für sichere und schnelle Authentifizierung bei relationalen Unternehmensdatenbanken, die die Windows-Authentifizierung unterstützen. Wenn Sie die eingeschränkte Kerberos-Delegierung konfigurieren möchten, gelten die folgenden Anforderungen speziell für die Verwendung der eingeschränkten Kerberos-Delegierung mit Excel Online in Office Online Server:

  • Der Tokendienst für Ansprüche an Windows muss auf jedem Server in der Office Online Server-Farm ausgeführt und als lokales System ausgeführt werden.

  • Jeder Server in der Office Online Server Farm muss berechtigt sein, an jede Back-End-Datenquelle zu delegieren, wie in der Active Directory Domain Services Delegierungsliste gezeigt.

  • Die c2wtshost.exe.config-Datei (befindet sich unter \Programme\Windows Identity Foundation\v3.5) muss aktualisiert werden, und die Kommentartags müssen aus der Liste NT AUTHORITY\Network Service allowedCallers entfernt werden:

    <allowedCallers>
   <clear/>
   <add value="NT AUTHORITY\\Network Service" />
   <!-- <add value="NT AUTHORITY\\Local Service" /> -->
   <!-- <add value="NT AUTHORITY\\System" /> -->
   <!-- <add value="NT AUTHORITY\\Authenticated Users" /> -->
 </allowedCallers>

Secure Store

Wählen Sie Secure Store für die Authentifizierung bei relationalen Datenquellen auf Unternehmensniveau aus, die die Windows-Authentifizierung unterstützen oder nicht. Secure Store ist auch zweckmäßig in Szenarien, in denen die Zuordnung der Anmeldeinformationen gesteuert werden soll.

Informationen zur Verwendung von Secure Store mit Excel Online finden Sie unter:

SQL Server-Authentifizierung

SQL Server-Authentifizierung erfordert, dass Excel Online einen SQL Server Benutzernamen und ein Kennwort für eine SQL Server Datenquelle zur Authentifizierung vorgibt. Excel Online übergibt die Verbindungszeichenfolge an die Datenquelle. Die Verbindungszeichenfolge muss den Benutzernamen und das Kennwort enthalten.

Wenn der Benutzername und das Kennwort in einer Secure Store-Zielanwendung gespeichert sind (empfohlen für optimale Sicherheit), nimmt Excel Online die Identität des Office Online Server Netzwerkdienstkontos an, und wenn die Verbindung hergestellt wird, werden die SQL-Anmeldeinformationen als Eigenschaften der Verbindung festgelegt.

Authentifizierung bei einer OLE DB/ODBC-Datenquelle

Die Authentifizierung bei Datenquellen von Drittanbietern erfordert in der Regel, dass Excel Online einen Benutzernamen und ein Kennwort für eine Datenquelle vorgibt.

Wenn der Benutzername und das Kennwort in der Arbeitsmappe oder in der ODC-Datei gespeichert sind, gibt Excel Online die Identität einer Windows-Identität an, je nachdem, welche Option für Excel Services Authentifizierungseinstellungen ausgewählt wurde, entweder in der Arbeitsmappe oder in der ODC-Datei.

Wenn der Benutzername und das Kennwort in einer Secure Store-Zielanwendung gespeichert sind (aus Gründen der besten Sicherheit empfohlen), nimmt Excel Online die Identität des Office Online Server Netzwerkdienstkontos an, und wenn die Verbindung hergestellt wird, werden die SQL-Anmeldeinformationen als Eigenschaften der Verbindung festgelegt.

Datenaktualisierung in Excel Online

Excel Online unterstützt das Aktualisieren von Arbeitsmappen, die mit einer oder mehreren der folgenden Datenquellen verbunden sind:

  • SQL Server

  • SQL Server Analysis Services (SSAS)

Hinweis

Wenn die Datenquelle, mit der Sie eine Verbindung herstellen möchten, nicht in der obigen Liste enthalten ist, können Sie Unterstützung für diese konfigurieren, indem Sie einen benutzerdefinierten Datenanbieter erstellen. Diese Technologie ermöglicht es Ihnen, Ihre vorhandenen Datenquellen in eine zu umschließen, die Excel Online nutzen kann.

Die Aktualisierung externer Daten ist das Ergebnis der folgenden Schritte über Excel Online.

  1. Erstellen einer Arbeitsmappe: Ein Arbeitsmappenautor lädt eine mit Daten verbundene Arbeitsmappe in SharePoint Server hoch.

  2. Auslösen der Aktualisierung: Der Arbeitsmappen-Viewer löst die Aktualisierung einer mit Daten verbundenen Arbeitsmappe aus.

  3. Daten Connections: Excel Online ruft Datenverbindungsinformationen für jede externe Datenquelle in der Arbeitsmappe ab.

  4. Vertrauenswürdige Datenanbieter: Excel Online überprüft, ob ein vertrauenswürdiger Datenanbieter vorhanden ist, der zum Abrufen von Daten verwendet werden kann.

  5. Authentifizierung: Excel Online authentifiziert sich bei der Datenquelle und ruft die angeforderten Daten im Namen des Arbeitsmappen-Viewers ab.

  6. Arbeitsmappenaktualisierung: Excel Online aktualisiert die Arbeitsmappe basierend auf den Datenquellendaten und gibt sie an den Viewer zurück.

Die Aktualisierung kann vom Browser aus auf eine der folgenden Arten ausgelöst werden:

  • Der Endbenutzer öffnet die Arbeitsmappe (sofern die Arbeitsmappe so konfiguriert ist, dass sie beim Öffnen aktualisiert wird).

  • Der Endbenutzer klickt in einer bereits geöffneten Arbeitsmappe auf Aktualisieren.

Wenn keine zuvor zwischengespeicherten Versionen der betreffenden Arbeitsmappe vorliegen, lösen alle diese Aktionen eine Aktualisierung der Arbeitsmappe aus.

Siehe auch

Konfigurieren von Analysis Services und eingeschränkter Kerberos-Delegierung (KCD)