Planeación de conexiones externas y de orígenes de datos para Servicios de Excel
Se aplica a: Excel Services (SharePoint 2010), SharePoint Server 2010
Última modificación del tema: 2011-10-18
Para configurar Productos de Microsoft SharePoint 2010 de modo que los libros cargados en la Aplicación de Servicios de Excel actualicen los datos externos correctamente, es necesario comprender las relaciones y dependencias que existen entre SharePoint Server 2010 y la Aplicación de Servicios de Excel.
Este artículo contiene instrucciones para ayudarle a configurar los siguientes componentes del servidor de aplicaciones de SharePoint Server 2010:
Servicios de Excel
Servicio de almacenamiento seguro
En este artículo:
Conexiones y libros de Excel
Proveedores de datos
Autenticación con datos externos
Bibliotecas de conexiones de datos y conexiones administradas
Seguridad de Servicios de Excel y datos externos
Conexiones y libros de Excel
Todos los libros de Excel que usan datos externos contienen conexiones a orígenes de datos. Las conexiones se componen de todos los elementos que son necesarios para establecer comunicaciones con un origen de datos externo y recuperar datos de él. Esto incluye lo siguiente:
Una cadena de conexión (cadena que especifica a qué servidor se conecta y cómo se conecta al mismo).
Una consulta (cadena que especifica qué datos se van a recuperar).
Otros elementos específicos necesarios para obtener los datos.
Conexiones incrustadas y vinculadas
Los libros de Excel pueden contener conexiones incrustadas y conexiones vinculadas. Las primeras se almacenan internamente como parte del libro. Las segundas se almacenan de forma externa como archivos independientes a los que el libro hace referencia.
Las conexiones incrustadas y las conexiones vinculadas funcionan de la misma manera. Ambas especificarán correctamente todos los parámetros necesarios para que la conexión con los datos se establezca de forma satisfactoria. Los archivos de conexión vinculada se pueden almacenar, proteger, administrar y reutilizar de forma centralizada y suelen ser una buena opción cuando se planea un enfoque general para conseguir que un grupo grande de usuarios se conecte a datos externos. Para obtener más información, vea Bibliotecas de conexiones de datos y conexiones administradas.
Para una sola conexión, un libro puede tener una copia incrustada de la información de conexión y un vínculo a un archivo de conexión externo. La conexión se puede configurar de modo que use siempre un archivo de conexión externo para actualizar los datos de un origen de datos externo. En este ejemplo, si no se puede recuperar el archivo de conexión externo o si no se puede establecer una conexión con el origen de datos, el libro no puede recuperar los datos. Si la conexión no está configurada para usar solamente un archivo de conexión externo, Excel intenta usar la copia incrustada de la conexión. Si no lo consigue, Excel intenta usar el archivo de conexión para conectarse al origen de datos externo. La opción para especificar que solamente se usen archivos de conexión para establecer un vínculo de comunicaciones con un origen de datos externo proporciona compatibilidad con los escenarios de conexiones administradas que se describen en Bibliotecas de conexiones de datos y conexiones administradas.
Servicios de Excel puede usar conexiones procedentes de un archivo de conexión externo y conexiones incrustadas en los libros. Hay algunas restricciones para los archivos de conexión externos. Para obtener más información, vea Seguridad de Servicios de Excel y datos externos. Si se permiten ambos tipos de conexiones en el servidor, el comportamiento coincide con el comportamiento de Excel descrito anteriormente.
Por razones de seguridad, la Aplicación de Servicios de Excel se puede configurar para que permita que las conexiones se realicen únicamente desde archivos de conexión. Con esta configuración, se omiten todas las conexiones incrustadas para los libros cargados en el servidor y solo se intenta establecer la conexión cuando hay un vínculo a un archivo de conexión válido que sea de confianza para el administrador del servidor. Para obtener más información, vea Bibliotecas de conexiones de datos de confianza.
Nota
Existen muchos tipos de archivos de conexión y la Aplicación de Servicios de Excel solamente funciona con archivos de conexión de datos (.odc) de Office.
Proveedores de datos
Los proveedores de datos son controladores que las aplicaciones cliente (como Excel y la Aplicación de Servicios de Excel) usan para conectarse a orígenes de datos específicos. Por ejemplo, se usa un proveedor de datos MSOLAP especial para establecer la conexión con Microsoft SQL Server 2008 Analysis Services. El proveedor de datos se especificará como parte de la conexión en la cadena de conexión. No es necesario tener amplios conocimientos acerca de los proveedores de datos para los fines de este artículo. Sin embargo, sí es necesario comprender los siguientes conceptos:
Normalmente, los proveedores de datos son conjuntos de bibliotecas completamente probados y estables que se pueden usar para la conexión a datos externos.
El administrador del servidor debe confiar explícitamente en los proveedores de datos usados por Servicios de Excel. Para obtener información acerca de cómo agregar un nuevo proveedor de datos a la lista de proveedores de confianza, vea Administración de conexiones de Servicios de Excel.
Nota
De forma predeterminada, la Aplicación de Servicios de Excel confía en muchos proveedores de datos estables y conocidos. En la mayoría de los casos, no es necesario agregar proveedores de datos, ya que suelen agregarse para soluciones personalizadas.
Los proveedores de datos controlan las consultas, el análisis de las cadenas de conexión y otra lógica específica de la conexión. Esta funcionalidad no forma parte de la Aplicación de Servicios de Excel. La Aplicación de Servicios de Excel no puede controlar el comportamiento de los proveedores de datos.
Autenticación con datos externos
Los servidores de datos requieren que el usuario se autentique (es decir, que se identifique en el servidor). El siguiente paso es la autorización, que consisten en comunicar al servidor las acciones que el usuario puede realizar. La autenticación es necesaria para que el servidor de datos pueda llevar a cabo la autorización o para aplicar restricciones de seguridad que impiden que los datos se expongan a usuarios no autorizados.
La Aplicación de Servicios de Excel debe comunicarle al origen de datos qué usuario está solicitando los datos. En la mayoría de los escenarios, se trata de un usuario que ve un informe de Excel en un explorador. En esta sección se explica la autenticación entre la Aplicación de Servicios de Excel y un origen de datos externo. En el diagrama siguiente se muestra la autenticación en este nivel. La flecha del lado derecho muestra el vínculo de autenticación desde un servidor de aplicaciones que ejecuta Excel Calculation Services hasta un origen de datos externo.
.jpg "Servicios de Excel: autenticación en datos externos")
Nota
Aplicación de Servicios de Excel tiene acceso a orígenes de datos externos mediante una identidad delegada de Windows. Por lo tanto, los orígenes de datos externos deben residir en el mismo dominio que el conjunto o granja de servidores de SharePoint Server 2010, o bien la Aplicación de Servicios de Excel debe configurarse para usar el Servicio de almacenamiento seguro. Si no se usa el Servicio de almacenamiento seguro y los orígenes de datos externos no residen en el mismo dominio, se producirá un error en la autenticación en los orígenes de datos externos. Para obtener más información, vea Planeación de consideraciones para servicios que tienen acceso a orígenes de datos externos en el tema Planeación de una arquitectura de servicios.
Hay muchas formas de implementar la autenticación. Este artículo se centra en tres métodos compatibles con la Aplicación de Servicios de Excel:
Autenticación integrada de Windows
Servicio de almacenamiento seguro
Ninguno
La Aplicación de Servicios de Excel determina el tipo de autenticación a partir de una propiedad de la conexión que debe estar establecida explícitamente y que se puede establecer mediante el cliente de Microsoft Excel 2010. Si no se encuentra el tipo de autenticación, se intenta usar la autenticación predeterminada de Windows.
Autenticación integrada de Windows
SharePoint Server 2010 usa la autenticación basada en notificaciones. Por lo tanto, la Aplicación de Servicios de Excel también usa este tipo de autenticación. La autenticación integrada de Windows ahora se usa exclusivamente para la configuración de autenticación IIS en SharePoint Server 2010. Además, tenga en cuenta que cuando la Aplicación de Servicios de Excel se conecta a un origen de datos que está hospedado en un servidor distinto del servidor que hospeda la Aplicación de Servicios de Excel, debe configurarse la delegación limitada de Kerberos. En otras palabras, cuando la Aplicación de Servicios de Excel se conecta a un origen de datos externo, se debe configurar e implementar la delegación limitada de kerberos.
Este método usa la identidad de usuario de Windows para autenticarse en un origen de datos. En este artículo, no es importante conocer el mecanismo específico que el sistema operativo usa para hacer esto (por ejemplo, NTLM o delegación limitada). Normalmente, la autenticación de Windows es el método predeterminado para el acceso a datos externos si se usa un cliente de Excel para establecer la conexión con los orígenes de datos, como SQL Server 2008 Analysis Services.
En la mayoría de los entornos empresariales, la Aplicación de Servicios de Excel se configurará como parte de una granja de servidores donde el servidor front-end web, el servidor back-end de la Aplicación de Servicios de Excel y un origen de datos se ejecutarán en equipos diferentes, como se ilustra en el diagrama incluido en Autenticación con datos externos. Esto significa que se requerirá la delegación o el protocolo Kerberos (se recomienda la delegación restringida) para habilitar las conexiones de datos que usan la autenticación de Windows. Esto se debe a que la delegación es necesaria para garantizar que las identidades de usuario puedan comunicarse de un equipo a otro de forma confiable y segura. En una implementación de granja de servidores, estos tipos de conexiones no funcionarán en la Aplicación de Servicios de Excel, a menos que se configure correctamente el protocolo Kerberos. Vea la página del Centro de descarga de Microsoft sobre cómo configurar la autenticación Kerberos para productos de Microsoft SharePoint 2010 para obtener más información acerca de cómo configurar la delegación limitada de kerberos para la Aplicación de Servicios de Excel.
Servicio de almacenamiento seguro
SharePoint Server 2010 usa la autenticación del Servicio de almacenamiento seguro mediante la inclusión de un servicio de Windows y una base de datos de credenciales seguras. La Aplicación de Servicios de Excel admite la funcionalidad acoplable del Servicio de almacenamiento seguro, con la que se puede implementar un proveedor propio de este servicio. SharePoint Server 2010 proporciona un proveedor de Servicio de almacenamiento seguro predeterminado con la Aplicación de Servicios de Excel.
El Servicio de almacenamiento seguro es una base de datos centralizada que se usa normalmente para almacenar las credenciales (par de identificación de usuario y contraseña asociada) que las aplicaciones usarán para autenticarse en otras aplicaciones. En este caso, la Aplicación de Servicios de Excel usa el Servicio de almacenamiento seguro para almacenar y recuperar las credenciales que usará para autenticarse en orígenes de datos externos.
Cada entrada del Servicio de almacenamiento seguro contiene un identificador de aplicación usado como elemento de búsqueda para recuperar el conjunto de credenciales correspondiente. Cada identificador de aplicación puede tener permisos establecidos de manera que solamente determinados usuarios o grupos puedan tener acceso a las credenciales almacenadas para ese identificador de aplicación.
Una vez proporcionado el identificador de aplicación, la Aplicación de Servicios de Excel recupera de la base de datos de almacenamiento seguro las credenciales del usuario que tiene acceso al libro (ya sea mediante el explorador o mediante Servicios web de Excel). A continuación, la Aplicación de Servicios de Excel usará esas credenciales para autenticarse en el origen de datos y recuperar los datos.
Nota
Se debe especificar el identificador de aplicación para la conexión. Para obtener más información acerca de cómo especificar un identificador de aplicación, vea Uso de Servicios de Excel con almacenamiento seguro (SharePoint Server 2010).
Ninguno
Este método de autenticación significa que no deben recuperarse credenciales o que no debe realizarse ninguna acción especial para la autenticación de la conexión. Por ejemplo, la Aplicación de Servicios de Excel no intenta delegar credenciales ni recuperar las credenciales almacenadas para el usuario de la base de datos de almacenamiento seguro. Si no se selecciona ningún método de autenticación, se establece la conexión con la base de datos de almacenamiento seguro como la cuenta de proceso y se recuperan las credenciales que se deben usar. En estos casos, la Aplicación de Servicios de Excel pasa la cadena de conexión al proveedor de datos y permite que este se ocupe de la autenticación.
En términos más prácticos, esto significa que normalmente una cadena de conexión especificará un nombre de usuario y una contraseña para conectarse al origen de datos. Sin embargo, en ocasiones, la cadena de conexión especifica que se debe usar la seguridad integrada. Es decir, que para que se establezca la conexión con el origen de datos, se debe usar la identidad de Windows que pertenece al usuario o al equipo que emite la solicitud. En ambos casos, primero se suplanta la cuenta desatendida y, a continuación, se realiza la conexión de origen de datos. La cadena de conexión y el proveedor determinan el método de autorización. Asimismo, la autorización se puede basar en las credenciales de la cadena de conexión o en la identidad de Windows de la cuenta desatendida que se suplantó. Para obtener más información, vea Cuenta desatendida.
Bibliotecas de conexiones de datos y conexiones administradas
Una biblioteca de conexiones de datos es una lista de SharePoint Server 2010 diseñada para almacenar archivos de conexión a los que después hacen referencia las aplicaciones de Office 2010, como la Aplicación de Servicios de Excel.
Las bibliotecas de conexión de datos ofrecen a los clientes la posibilidad de administrar, proteger, almacenar y reutilizar las conexiones de datos de forma centralizada.
Reutilización de conexiones
Puesto que la biblioteca de conexiones de datos se encuentra en una ubicación conocida de SharePoint Server 2010 y muestra descripciones y nombres descriptivos de la empresa, los usuarios pueden reutilizar las conexiones que otros usuarios hayan creado o configurado para fines propios. Un trabajador de la información con conocimientos avanzados o un experto en datos pueden crear conexiones que otros usuarios podrán reutilizar sin tener que conocer los detalles de los proveedores de datos, los nombres de servidores o la autenticación. La ubicación de la biblioteca de conexiones de datos incluso se puede publicar en los clientes de Office para que las conexiones de datos se muestren directamente en la Aplicación de Servicios de Excel o en cualquier otra aplicación cliente que use la biblioteca de conexiones de datos. Para obtener más información, vea Administración de conexiones de Servicios de Excel.
Administración de conexiones
Dado que los libros contienen un vínculo a un archivo de una biblioteca de conexiones de datos, si se produce un cambio relacionado con la conexión (como el nombre de un servidor o el identificador de una aplicación de almacenamiento seguro), únicamente deberá actualizarse un solo archivo de conexión en lugar de cientos de libros posibles. Los libros adoptarán los cambios de la conexión de forma automática la próxima vez que usen ese archivo de conexión para actualizar desde Excel o en la Aplicación de Servicios de Excel.
Protección de las conexiones
La biblioteca de conexiones de datos es una lista de SharePoint que admite todos los permisos admitidos por SharePoint Server 2010, incluidos los permisos por carpeta y por elemento. La ventaja que esto ofrece en el servidor es que una biblioteca de conexiones de datos se puede convertir en un almacén de conexiones de datos bloqueado y sometido a un control estricto. Muchos usuarios podrían tener acceso de solo lectura para poder usar las conexiones de datos, pero no se les permitiría agregar conexiones nuevas. Al usar listas de control de acceso (ACL) con la biblioteca de conexiones de datos y al permitir solo a los autores de confianza cargar conexiones, la biblioteca de conexiones de datos pasa a ser un almacén de conexiones de confianza. Las conexiones de confianza son conexiones para las que existe una absoluta certeza de que no contienen consultas malintencionadas.
La Aplicación de Servicios de Excel se puede configurar para cargar archivos de conexión solo de bibliotecas de conexiones de datos en las que confíe explícitamente el administrador del servidor y para bloquear la carga de conexiones incrustadas. Con esta configuración, la Aplicación de Servicios de Excel usa la biblioteca de conexiones de datos para aplicar una capa de seguridad adicional a las conexiones de datos.
Las bibliotecas de conexiones de datos se pueden usar incluso con el nuevo rol de lector de SharePoint Server 2010, que permite usar estas conexiones para actualizar los libros cargados en la Aplicación de Servicios de Excel. Si se aplica el rol de lector, los usuarios no pueden tener acceso al contenido del archivo de conexión desde una aplicación cliente, como Excel. Por lo tanto, el contenido del archivo de conexión está protegido, aunque se puede seguir usando para los libros actualizados en el servidor.
Seguridad de Servicios de Excel y datos externos
Aplicación de Servicios de Excel tiene muchas capas de seguridad. En las subsecciones siguientes se analizan únicamente los conceptos relevantes para el acceso a datos externos.
Ubicaciones de archivos de confianza
La Aplicación de Servicios de Excel únicamente carga libros desde ubicaciones de archivos de confianza, que básicamente son directorios (que pueden incluir subdirectorios) desde los que el administrador permite explícitamente cargar libros. Estos directorios se agregan a una lista interna de la Aplicación de Servicios de Excel, llamada lista de ubicaciones de archivos de confianza.
Las ubicaciones de confianza pueden especificar un conjunto de restricciones para los libros que se cargan desde ellas. Todos los libros que se carguen desde una ubicación de confianza adoptarán la configuración de esa ubicación. A continuación, se ofrece una breve lista de las opciones de configuración de las ubicaciones de confianza que afectan a los datos externos:
Cómo se puede tener acceso a los datos externos. Las opciones son las siguientes:
No se permite el acceso a los datos (opción predeterminada).
Solo se permiten archivos de conexión en una biblioteca de conexiones de datos de SharePoint Server 2010.
Se permiten las conexiones incrustadas en los libros, además de los archivos de conexión de una biblioteca de conexiones de datos.
Si se van a mostrar o no las advertencias de actualización de consultas.
Si se debe interrumpir la carga del libro en caso de que los datos externos no se actualicen al abrir el libro. Esta opción se usa cuando el libro tiene resultados de datos almacenados en la memoria caché que cambian en función de la identidad del usuario que lo abre. El objetivo es ocultar los resultados almacenados en la memoria caché y garantizar que cualquier usuario que abra el libro vea solamente los datos que le corresponden. En este caso, el libro intentará actualizarse al abrirse. La opción Actualizar al abrir se puede establecer para cada conexión. Si la actualización no se realiza correctamente, el libro no se mostrará a los usuarios que no lo puedan abrir en el cliente de Excel.
Nota
Esto solo funciona si el libro está bloqueado por los permisos del rol de lector en SharePoint Server 2010, ya que un usuario que puede abrir el libro directamente en Excel siempre puede ver los resultados de datos almacenados en la memoria caché.
Período de caducidad de la memoria caché de datos externos. Los datos del servidor se comparten entre muchos usuarios para mejorar la escala y el rendimiento, y los períodos de duración de la memoria caché se pueden ajustar. De esta forma, se admiten escenarios en los que es necesario limitar la ejecución de consultas porque una consulta puede tardar mucho tiempo en ejecutarse. En estos escenarios, los datos suelen cambiar solo de forma diaria, semanal o mensual en lugar de cada minuto o cada hora.
Bibliotecas de conexiones de datos de confianza
Al igual que con los archivos de libros, la Aplicación de Servicios de Excel solo carga archivos de conexión desde bibliotecas de conexiones de datos de confianza de SharePoint Server 2010. Una biblioteca de conexiones de datos de confianza es una biblioteca que el administrador del servidor agregó explícitamente a una lista de confianza interna. Para obtener información acerca de cómo las bibliotecas de conexiones de datos permiten que un administrador asegure y administre archivos de conexión, vea Bibliotecas de conexiones de datos y conexiones administradas. Para obtener información acerca de cómo confiar en una biblioteca de conexiones de datos para usarla con la Aplicación de Servicios de Excel, vea Administración de conexiones de Servicios de Excel.
Proveedores de datos de confianza
La Aplicación de Servicios de Excel solamente usará proveedores de datos externos que se agreguen a una lista interna de proveedores de confianza. Se trata de un mecanismo de seguridad que impide que el servidor use proveedores en los que el administrador no confía. Para obtener información acerca de cómo confiar en un proveedor de datos, vea Administración de conexiones de Servicios de Excel.
Cuenta desatendida
La cuenta desatendida es una cuenta especial que la Aplicación de Servicios de Excel suplanta cada vez que intenta establecer una conexión y no se ha seleccionado ningún método de autenticación independientemente de si el origen de datos usa la autenticación integrada de Windows. Dado que la Aplicación de Servicios de Excel no tiene control sobre el proveedor de datos y no analiza directamente las cadenas de conexión específicas del proveedor, debe reducir las amenazas de seguridad si se puede usar la identidad de la Aplicación de Servicios de Excel para establecer la conexión con un origen de datos. Para atenuar esas amenazas, se usa la cuenta desatendida.
La Aplicación de Servicios de Excel se suele ejecutar con una cuenta con muchos privilegios. Este nivel de permiso no es correcto para los usuarios que solo ven datos. Al establecer la autenticación de datos externos, ya sea en Ninguno o en Servicio de almacenamiento seguro, si el identificador de la aplicación del Servicio de almacenamiento seguro no almacena credenciales de Windows, la suplantación de la cuenta desatendida tiene lugar antes de que la cuenta intente conectarse a los datos. Dado que normalmente la cuenta desatendida no tiene permisos de acceso al origen de datos, esto impide que se establezcan conexiones accidentales o malintencionadas con los orígenes de datos en el contexto de una cuenta con privilegios.
Si la cuenta desatendida tiene acceso al origen de datos (si el tipo de autenticación se establece en Ninguno), la conexión se establecerá correctamente con las credenciales de la cuenta de servicio desatendida. Tome precauciones cuando diseñe soluciones que usen deliberadamente esta cuenta para conectarse a los datos. Se trata de una sola cuenta que es accesible para cualquier libro del servidor. Un usuario que cargue un libro en la Aplicación de Servicios de Excel y que establezca el tipo de autenticación en Ninguno podría ver los datos desde el servidor. En algunos escenarios, esto puede ser necesario; sin embargo, el Servicio de almacenamiento seguro es la solución recomendada para administrar contraseñas por usuario o por grupo.