Almacenamiento seguro para aplicaciones de servicio de inteligencia empresarial

Artículo
12/13/2016

Se aplica a: SharePoint Server 2010

Última modificación del tema: 2016-11-30

En este artículo se describe la forma en que las características de inteligencia empresarial de Microsoft SharePoint Server 2010 utilizan el Servicio de almacenamiento seguro para proporcionar acceso a orígenes de datos externos (por ejemplo, SQL Server) a los usuarios de SharePoint Server 2010. Para los propósitos de este artículo, las aplicaciones de servicio de inteligencia empresarial de SharePoint Server 2010 son:

Servicios de Excel
PerformancePoint Services
Servicios de Visio

Las aplicaciones de servicio de inteligencia empresarial de SharePoint Server 2010 ofrecen dos métodos de acceso a datos para los usuarios:

Autenticación de Windows mediante la delegación delimitada de Kerberos
Servicio de almacenamiento seguro

En este artículo se describe el Servicio de almacenamiento seguro y su relación con las aplicaciones de servicio de inteligencia empresarial. Para obtener información acerca de cómo utilizar la autenticación integrada de Windows con la delegación delimitada de Kerberos, vea Planeación de la autenticación Kerberos (SharePoint Server 2010).

Servicio de almacenamiento seguro

El almacenamiento seguro es una característica de SharePoint Server 2010 que ayuda a proporcionar acceso a datos externos a SharePoint Server 2010 (por ejemplo, datos de SQL Server) al permitir que una aplicación de servicio de inteligencia empresarial utilice un conjunto de credenciales con acceso a datos en nombre de un usuario de SharePoint Server 2010 quien intenta obtener acceso a esos datos. Dicho uso de las credenciales por parte de las aplicaciones de servicio de inteligencia empresarial en nombre de los usuarios se denomina suplantación.

El almacenamiento seguro proporciona esta asignación entre las aplicaciones de servicio de inteligencia empresarial, los usuarios y las credenciales mediante el uso de una aplicación de destino. Una aplicación de destino de almacenamiento seguro es una colección de metadatos que especifica qué usuarios pueden obtener acceso a un determinado conjunto de credenciales usado por una aplicación de servicio de inteligencia empresarial para realizar la suplantación al tener acceso a datos externos. Estos metadatos se almacenan en la base de datos de almacenamiento seguro junto con las credenciales, que se cifran.

Las aplicaciones de destino de almacenamiento seguro pueden utilizarse de muchas maneras en SharePoint Server 2010. Sin embargo, en lo que respecta a los escenarios de inteligencia empresarial de SharePoint Server 2010, las aplicaciones de destino constan de los siguientes valores, que el administrador de la granja de servidores puede configurar:

Administradores Los administradores de las aplicaciones de destino son los usuarios que tienen privilegios para administrar una determinada aplicación de destino de almacenamiento seguro. Puede ser el administrador de la granja o un usuario o usuarios específicos, según sus necesidades. En las aplicaciones de destino creadas por PerformancePoint Services, PerformancePoint Services configura al administrador automáticamente y asigna al usuario que configura la cuenta de servicio desatendida como administrador.
Miembros Los miembros de una aplicación de destino son los usuarios en nombre de los cuales la aplicación de servicio de inteligencia empresarial suplantará las credenciales de la aplicación de destino cuando obtenga acceso a datos externos. Podría tratarse de un único usuario, varios usuarios o un grupo de Active Directory. Los miembros también se conocen como Propietarios de credenciales. En las aplicaciones de destino creadas mediante PerformancePoint Services, la cuenta de servicio utilizada por el grupo de aplicaciones de PerformancePoint Services se asigna como miembro.
Credenciales Las credenciales de la aplicación de destino se componen de una cuenta de Active Directory con acceso directo a orígenes de datos. (Debe conceder el acceso a datos necesario a esta cuenta directamente. El acceso a orígenes de datos externos no se controla mediante SharePoint Server 2010. Debe ser una cuenta con pocos privilegios que sólo permita acceso a datos). Ésta es la cuenta que las aplicaciones de servicio de inteligencia empresarial suplantan para proporcionar a los usuarios acceso a datos.

El administrador de la granja puede configurar los valores correspondientes a los administradores, los miembros y las credenciales directamente a través del almacenamiento seguro en Servicios de Excel y Servicios de Visio. En PerformancePoint Services, estos valores se configuran mediante la Configuración de aplicación de Servicio PerformancePoint y no deben modificarse mediante el almacenamiento seguro.

Servicios de Visio y Servicios de Excel pueden usar el almacenamiento seguro mediante uno de estos métodos:

Aplicación de destino especificada La hoja de cálculo de Excel o el dibujo web de Visio determina una aplicación de destino específica. Cuando un usuario tiene acceso a la hoja de cálculo o al dibujo web, el almacenamiento seguro utiliza las credenciales asociadas a esa aplicación de destino para obtener acceso a los datos. En Servicios de Visio, la aplicación de destino debe especificarse mediante un archivo ODC hospedado en SharePoint Server 2010.
Sin aplicación de destino especificada (cuenta de servicio desatendida) No se especifica ninguna aplicación de destino mediante la hoja de cálculo de Excel o el dibujo web de Visio. Cuando un usuario tiene acceso a la hoja de cálculo o al dibujo web conectados a un origen de datos externos, el almacenamiento seguro utiliza la aplicación de destino especificada en la configuración global de Servicios de Excel o Servicios de Visio. Cuando una aplicación de destino se especifica globalmente para una aplicación de servicio de inteligencia empresarial, las credenciales de la aplicación de destino se denominan cuenta de servicio desatendida.

PerformancePoint Services no puede especificar una aplicación de destino de almacenamiento seguro, solo puede usar el almacenamiento seguro con la cuenta de servicio desatendida.

La secuencia básica de eventos es la siguiente:

Un usuario de SharePoint Server 2010 tiene acceso a un objeto conectado a datos, como una hoja de cálculo de Servicios de Excel, un dibujo web de Servicios de Visio o un panel de PerformancePoint Services.
Si el objeto está configurado para utilizar el almacenamiento seguro para la autenticación de datos, la aplicación de servicio de inteligencia empresarial llama al Servicio de almacenamiento seguro para tener acceso a la aplicación de destino especificada por el objeto.
Si el usuario es un miembro de esa aplicación de destino, se devuelven las credenciales almacenadas en la aplicación de destino y la aplicación de servicio de inteligencia empresarial suplanta las credenciales al obtener acceso a los datos.
Los datos se muestran al usuario en la hoja de cálculo, el dibujo web o el panel.

Archivos de conexión de datos

Todas las aplicaciones de servicio de inteligencia empresarial pueden utilizar los archivos de conexión de datos para especificar la autenticación de la información. Servicios de Excel y Servicios de Visio utilizan archivos de conexión de datos de Office (.odc) y PerformancePoint Services utiliza archivos de conexión de datos de Servicios de PerformancePoint (.PPSDC). El uso de estos archivos permite que varias de hojas de cálculo de Servicios de Excel, dibujos web de Servicios de Visio o paneles de PerformancePoint Services compartan un conjunto común de parámetros de acceso a datos.

Las aplicaciones de servicio de inteligencia empresarial de SharePoint Server 2010 usan los archivos de conexión de datos de forma diferente. Para obtener una descripción de la forma en que cada aplicación utiliza los archivos de conexión de datos, vea la sección para cada aplicación de servicio, a continuación.

Cuenta de servicio desatendida

La cuenta de servicio desatendida hace referencia a las credenciales de una aplicación de destino de almacenamiento seguro especificada en la configuración global de una aplicación de servicio de inteligencia empresarial. Esta aplicación de destino se utiliza para proporcionar acceso a datos a los usuarios cuando no se especifica otro método de autenticación. En Servicios de Visio, la cuenta de servicio desatendida es necesaria cuando no se utiliza la autenticación integrada de Windows, incluso si se proporciona información de conexión adicional en el archivo de conexión (por ejemplo, una cadena de autenticación de SQL).

Acceso a datos desde aplicaciones cliente y servidores

Microsoft Excel 2010 y Microsoft Visio 2010 son aplicaciones cliente que funcionan de forma independiente de SharePoint Server 2010. Aunque pueden publicar documentos en SharePoint Server 2010, no pueden utilizar el almacenamiento seguro directamente para la autenticación de orígenes de datos. Al crear o editar una hoja de cálculo o un dibujo web conectados a datos, debe utilizar la autenticación integrada de Windows o cualquier otro método de autenticación correspondiente para conectarse directamente a un origen de datos desde Excel 2010 o Visio 2010. (Entre los otros métodos de autenticación que puede usar, se incluye la autenticación de SQL o una cadena de conexión OLEDB). Una vez que la hoja de cálculo o el dibujo web están publicados en SharePoint Server 2010, Servicios de Excel o Servicios de Visio pueden usar el almacenamiento seguro para conectarse al origen de datos cuando muestran el contenido a un usuario.

El Diseñador de paneles de PerformancePoint Services está integrado directamente con SharePoint Server 2010. El Diseñador de paneles puede utilizar el almacenamiento seguro directamente para autenticar mediante la cuenta de servicio desatendida. Como resultado, los usuarios del Diseñador de paneles no necesitan acceso directo a orígenes de datos a través de la autenticación integrada de Windows, siempre que la cuenta de servicio desatendida tenga el acceso requerido.

Servicios de Excel y Servicios de Visio

Servicios de Excel y Servicios de Visio usan el almacenamiento seguro de forma similar:

Ambos pueden almacenar una aplicación de destino de almacenamiento seguro especificada en un archivo ODC.
Ambos pueden utilizar la cuenta de servicio desatendida.

Sin embargo, existen algunas diferencias clave entre Servicios de Excel y Servicios de Visio. Estas diferencias se tratan en las siguientes secciones.

Servicios de Excel

Las conexiones de datos que se utiliza Servicios de Excel se deben configurar en Excel 2010 antes de publicarlas en un sitio de SharePoint Server 2010. Una hoja de cálculo de Excel 2010 puede especificar la información de conexión de datos directamente o puede incluir un puntero a un archivo ODC donde se puede encontrar la información de conexión.

La siguiente configuración de autenticación está disponible en un libro de Excel 2010 conectado a datos o un archivo ODC:

Autenticación de Windows integrada Especifica la autenticación de Windows integrada con delegación de Kerberos para autenticar a cada usuario individual cuando ven un libro de Excel 2010 mediante Servicios de Excel.
Id. de SSS Designa una aplicación de destino de almacenamiento seguro específica que se utilizará para tener acceso al origen de datos.
Ninguno Utiliza las credenciales especificadas en la cadena de conexión, si existen. De lo contrario, utiliza la cuenta de servicio desatendida de almacenamiento seguro designada en la configuración global de Servicios de Excel.

Esta configuración solo se puede editar si se abre la hoja de cálculo o el archivo ODC en Excel 2010.

Servicios de Visio

Servicios de Visio admite dos métodos de conexión de datos para los dibujos web de Visio:

Información de conexión incrustada
Información de conexión externa que usa un archivo ODC

Al crear un diagrama de Visio y conectarlo directamente a un origen de datos, Visio 2010 almacena la información del origen de datos directamente en el archivo al publicar el dibujo web en SharePoint Server 2010. Cuando un usuario ve el dibujo web, Servicios de Visio se conecta al origen de datos utilizando la cuenta de servicio desatendida de almacenamiento seguro especificada en la configuración global de Servicios de Visio.

Si en vez de conectarse directamente a un origen de datos desde Visio 2010, se conecta a un origen de datos mediante un archivo ODC existente almacenado en SharePoint Server 2010, Visio 2010 mantiene el vínculo a ese archivo ODC al publicar el dibujo web. Luego, Servicios de Visio utiliza la información de conexión almacenada en el archivo ODC cuando se conecta al origen de datos. Esto incluye el uso de una determinada aplicación de destino de almacenamiento seguro si se especifica una en el archivo ODC.

Visio 2010 no puede editar los archivos ODC. Se recomienda que haga lo siguiente para utilizar un archivo ODC con un dibujo web de Visio: cree un archivo ODC en Excel 2010, publíquelo en SharePoint Server 2010 y, a continuación, conéctese a él como un origen de datos desde Visio 2010 cuando cree un nuevo diagrama conectado a datos. Debe utilizar Excel 2010 para editar los archivos ODC si desea cambiar la consulta de datos o la información de autenticación, especificar una aplicación de destino o modificar otros valores.

Servicios de Visio no puede analizar las consultas SQL complejas. Si intenta utilizar un archivo ODC que contiene una consulta compleja, es posible que Servicios de Visio no pueda ejecutar la consulta ni recuperar los datos.

PerformancePoint Services

PerformancePoint Services solo usa el almacenamiento seguro a través de la cuenta de servicio desatendida. La elección entre la autenticación integrada de Windows y la cuenta de servicio desatendida se realiza a través del Diseñador de paneles al crear o editar un origen de datos.

Un administrador configura la aplicación de destino de almacenamiento seguro para la cuenta de servicio desatendida de PerformancePoint Services como parte de la configuración de la aplicación de servicio de PerformancePoint Services. Aunque esta aplicación de destino aparece en la lista de aplicaciones de destino de almacenamiento seguro, no debe modificarse directamente mediante el almacenamiento seguro.

Resumen de las diferencias

Tal y como se describe en este artículo, cada una de las aplicaciones de servicio de inteligencia empresarial emplea el almacenamiento seguro de forma distinta. La siguiente tabla resume la funcionalidad de almacenamiento seguro y las opciones para cada aplicación de servicio de inteligencia empresarial.

Nota

Cada aplicación de servicio de inteligencia empresarial es compatible con la autenticación integrada de Windows. Si se especifica la autenticación integrada de Windows, no se utilizan las opciones de almacenamiento seguro.

Aplicación de servicio	Almacenamiento seguro	Conexiones de datos
PerformancePoint Services	Solamente la cuenta de servicio desatendida.	Siempre se realizan mediante el uso de un archivo PPSDC.
Servicios de Excel	La aplicación de destino de almacenamiento seguro puede especificarse en el archivo ODC o incrustarse en el archivo XLSX. Cuando no hay una aplicación de destino incrustada o especificada en un archivo ODC, se utiliza la cuenta de servicio desatendida.	Incrustadas en la hoja de cálculo o especificadas en un archivo ODC. Los archivos ODC se deben editar en Excel 2010.
Servicios de Visio	La aplicación de destino de almacenamiento seguro se puede especificar en el archivo ODC. Cuando no se usa ningún archivo ODC o cuando este archivo no especifica una aplicación de destino, se utiliza la cuenta de servicio desatendida. Cada vez que se utiliza autenticación no integrada de Windows, se requiere la cuenta desatendida, excepto si el archivo ODC especifica una aplicación de destino diferente.	Incrustadas en un dibujo web o especificadas en un archivo ODC. Compatibilidad limitada para las consultas complejas. Los archivos ODC se deben editar en Excel 2010. (Los archivos ODC no se pueden editar en Visio 2010).

PerformancePoint Services

Solamente la cuenta de servicio desatendida.

Siempre se realizan mediante el uso de un archivo PPSDC.

Servicios de Excel

La aplicación de destino de almacenamiento seguro puede especificarse en el archivo ODC o incrustarse en el archivo XLSX. Cuando no hay una aplicación de destino incrustada o especificada en un archivo ODC, se utiliza la cuenta de servicio desatendida.

Incrustadas en la hoja de cálculo o especificadas en un archivo ODC. Los archivos ODC se deben editar en Excel 2010.

Servicios de Visio

La aplicación de destino de almacenamiento seguro se puede especificar en el archivo ODC. Cuando no se usa ningún archivo ODC o cuando este archivo no especifica una aplicación de destino, se utiliza la cuenta de servicio desatendida.

Cada vez que se utiliza autenticación no integrada de Windows, se requiere la cuenta desatendida, excepto si el archivo ODC especifica una aplicación de destino diferente.

Incrustadas en un dibujo web o especificadas en un archivo ODC. Compatibilidad limitada para las consultas complejas. Los archivos ODC se deben editar en Excel 2010. (Los archivos ODC no se pueden editar en Visio 2010).