Autenticación de datos para Excel Online en Office Online Server

  • Artículo

Resumen Obtenga información sobre cómo Excel Online admite conexiones con SQL Server Analysis Services (SSAS), bases de datos SQL Server y orígenes de datos OLE DB y ODBC.

La recuperación de datos desde un origen de datos requiere que el usuario se autentique mediante el origen de datos y que esté autorizado para tener acceso a los datos incluidos en él. En el caso de un libro, Excel Online se autentica en el origen de datos en nombre del usuario que lo está viendo para actualizar los datos a los que está conectado el libro.

El método de autenticación que Excel Online puede usar para recuperar datos depende del tipo del origen de datos subyacente, como se describe en la tabla siguiente. En el caso de los orígenes de datos que admiten más de un método de autenticación, las conexiones de datos deben especificar cuál se debe usar.

Orígenes de datos y métodos de autenticación para Excel Online

Origen de datos Método de autenticación
Analysis Services
 Autenticación de Windows (seguridad integrada)
con delegación limitada de kerberos
con almacenamiento seguro
con la propiedad de cadena de conexión EffectiveUserName
SQL Server
 Uno de:
Autenticación de Windows (seguridad integrada)
con delegación limitada de kerberos
con almacenamiento seguro
Autenticación de SQL Server
Proveedores de datos personalizados
 Varía según el origen de datos, normalmente un par de nombre de usuario y contraseña que se almacena en la cadena de conexión.

Los siguientes orígenes de datos se admiten en Excel, pero no en Excel Online:

  • Bases de datos de Access

  • Contenido web

  • Datos XML

  • Catálogo de soluciones de Microsoft Azure

  • Archivos de texto

Conexión a datos externos con Excel Online

Excel Online puede conectarse a varios orígenes de datos externos, incluidos SQL Server, Analysis Services y proveedores de datos OLE DB/ODBC personalizados. Para conectarse al origen de datos, Excel Online usa un proveedor de datos específico para cada origen de datos.

La conexión con un origen de datos de SQL Server se puede realizar mediante:

  • Autenticación de Windows

  • Autenticación de SQL Server

La conexión a un origen de datos de Analysis Services se realiza mediante la autenticación de Windows.

Otros orígenes de datos usan una cadena de conexión que se compone normalmente de un nombre de usuario y una contraseña.

Conexiones de datos para libros de Excel Online

Los libros de Excel Online usan uno de los dos tipos de conexiones:

  • Conexiones incrustadas

  • Conexiones vinculadas

Las conexiones incrustadas se almacenan como parte del libro de Excel. Las conexiones vinculadas se almacenan externamente a un libro en archivos de conexión de datos de Office (ODC). Para usar una conexión vinculada, un libro debe hacer referencia a un archivo .odc que también esté almacenado en la misma granja de servidores de SharePoint Server que el libro. Cada conexión de datos está compuesta por:

  • Una cadena de conexión

  • Una cadena de consulta

  • Un método de autenticación

  • Opcionalmente, algunos metadatos necesarios para recuperar datos externos

Cada tipo de conexión tiene sus ventajas y desventajas que aquí se describen aquí. Elija la que mejor se adapte a su situación.

Comparación de conexiones de datos para Excel Online

Tipo de conexión Conexiones incrustadas Archivos ODC
Ventajas
 Toda la información de conexión se almacena en el libro.
Las conexiones incrustadas requieren poca sobrecarga administrativa compatible.
Las conexiones incrustadas son fáciles de crear.
Las conexiones vinculadas se pueden almacenar, administrar, auditar, compartir de forma centralizada y el acceso a ellas se puede controlar mediante una biblioteca de documentos de SharePoint.
Los autores de los libros pueden usar conexiones existentes sin tener que crear cadenas de conexión y consulta.
Si se modifican los detalles de la conexión de datos de un origen de datos, un administrador solo necesita actualizar un archivo ODC. Con ese cambio, todos los libros que hacen referencia al archivo ODC usarán la información de conexión actualizada cuando se produzca la siguiente actualización. (Un ejemplo de este escenario es cuando el servidor de bases de datos se mueve o el nombre de la base de datos cambia).
Desventajas
 Si se modifican los detalles de la conexión de datos de un origen de datos, todos los libros con conexiones incrustadas a ese origen de datos tendrán que volver a publicarse con información actualizada de la conexión.
Las conexiones de datos incrustados son más difíciles de auditar para los administradores de SharePoint.
Las conexiones vinculadas pueden necesitar la ayuda de un administrador de SharePoint para compartir, administrar y proteger.
Las conexiones vinculadas se guardan como texto no cifrado y pueden contener contraseñas de base de datos. Para ayudar a proteger estos archivos, se debe tener especial cuidado.
Requiere la autenticación de servidor a servidor entre Office Online Server y SharePoint Server. Esto agrega sobrecarga de configuración y administración.

Elija una conexión de datos vinculada, mediante un archivo ODC, para escenarios en los que se debe tener una conexión de datos con un origen de datos de nivel de empresa como SQL Server o Analysis Services. Las conexiones de datos vinculadas son muy útiles en situaciones en las se van a compartir entre varios usuarios y en las que es importante el control del administrador sobre la conexión.

Elija una conexión incrustada para escenarios en los que necesite una conexión de datos que no se utilizará mucho.

Los archivos ODC se pueden centralizar en una biblioteca de conexiones de datos. Esto tiene varias ventajas:

  • Los administradores pueden restringir el acceso de escritura a una biblioteca de conexiones de datos a los autores de la conexión de datos de confianza para asegurarse de que los autores de libros solo usan conexiones de datos seguras y probadas.

  • Los administradores tienen una sola ubicación para administrar las conexiones de datos para un grupo grande de usuarios.

  • Los administradores pueden aprobar, auditar, revertir y administrar fácilmente los archivos de conexión de datos mediante el uso de características de flujo de trabajo y el control de versiones de la biblioteca de documentos.

  • Las bibliotecas de conexiones de datos se pueden reutilizar en otras aplicaciones de Office, como Visio y Servicios de Visio.

  • Los autores de libros solo tienen una ubicación para buscar conexiones de datos de libros, lo que reduce los equívocos y el aprendizaje del usuario.

Autenticación de Windows

autenticación de Windows requiere que Excel Online presente al origen de datos un conjunto de credenciales de Windows. Este tipo de credencial es habitual en redes de Windows y es la misma credencial que se usa para iniciar sesión en los equipos de un dominio de Windows. Las credenciales de Windows se consideran los medios más seguros y manejables para controlar el acceso a las bases de datos de SQL Server. Sin embargo, un obstáculo para usar autenticación de Windows con Excel Online es la medida de seguridad de salto doble de Windows, en la que las credenciales de un usuario no se pueden pasar a través de más de un equipo en una red de Windows. Dado que Excel Online usado con SharePoint Server es un sistema de varios niveles, se requieren métodos de autenticación especiales para que Excel Online recupere datos en nombre del usuario final.

El método de autenticación que elija depende de varios factores, tal como se indica en la tabla siguiente. Elija la que mejor se adapte a su situación.

Comparación de métodos de autenticación

Método de autenticación Delegación Kerberos Almacén seguro Nombre de usuario efectivo
Descripción
Con la delegación restringida de Kerberos, las credenciales de Windows del visor del libro se envían directamente al origen de datos.
Mediante el Servicio de almacenamiento seguro, las credenciales de Windows del visor se asignan a otro conjunto de credenciales especificado en una aplicación de destino de almacenamiento seguro.
Con la configuración global EffectiveUserName, el nombre de usuario del dominio de usuario se pasa a los orígenes de datos de Analysis Services.
Credenciales de conexión de datos
Las credenciales de Windows del visor del libro.
Las credenciales especificadas en la aplicación de destino de almacenamiento seguro.
Las credenciales de la identidad de proceso de Office Online Server.
Ventajas
El protocolo Kerberos es un estándar de la industria en administración de credenciales.
Kerberos se adapta a la infraestructura existente de Active Directory.
La delegación Kerberos permite la auditoría de acceso individual a un origen de datos.
Dado que se conoce la identidad del visor del libro, los creadores de libros pueden incrustar consultas de base de datos personalizadas en los libros.
El Servicio de almacenamiento seguro forma parte de SharePoint Server y es más fácil de configurar que Kerberos.
Las asignaciones son flexibles: se puede asignar un usuario ya sea uno a uno o varios a uno.
Las credenciales que no son de Windows se pueden usar para conectarse con orígenes de datos que no aceptan credenciales de Windows.
Otras aplicaciones de inteligencia empresarial, como Servicios de Visio, pueden volver a usar las asignaciones creadas para Excel Online.
Seguridad de datos por usuario sin necesidad de configurar la delegación Kerberos.
Configuración mínima y sobrecarga administrativa.
Desventajas
Esfuerzo administrativo adicional necesario para configurar SharePoint Server y Excel Online.
El establecimiento y la administración de tablas de asignación requieren cierta sobrecarga administrativa.
El almacenamiento seguro permite una auditoría limitada. En el escenario de varios a uno, los usuarios entrantes individuales se asignan a las mismas credenciales mediante una aplicación de destino, que los combina de forma eficaz en un usuario.
Solo funciona con orígenes de datos de Analysis Services.
Para que la operación de autenticación se realice correctamente...
La delegación de Kerberos debe configurarse en el Office Online Server.
El servicio almacenamiento seguro debe aprovisionarse y configurarse en la granja de servidores de SharePoint Server. También debe contener información de asignación adecuada para un usuario entrante específico. Además, la información de asignación debe actualizarse periódicamente para reflejar los cambios de contraseña en la cuenta asignada.
La opción EffectiveUserName debe estar habilitada en Office Online Server.
El usuario debe ser miembro del rol correspondiente de Analysis Services.

Delegación Kerberos

Elija la delegación Kerberos para una autenticación segura y rápida en los orígenes de datos relacionales de nivel de empresa compatibles con la autenticación de Windows. Si tiene previsto configurar la delegación restringida de Kerberos, los siguientes requisitos son específicos del uso de la delegación restringida de Kerberos con Excel Online en Office Online Server:

  • Las notificaciones al servicio de token de Windows deben ejecutarse en cada servidor de la granja de Office Online Server y establecerse para ejecutarse como sistema local.

  • Cada servidor de la granja de Office Online Server debe tener permiso para delegar en cada origen de datos back-end, como se muestra en la lista de delegación de Servicios de dominio de Active Directory.

  • El archivo c2wtshost.exe.config (ubicado en \Archivos de programa\Windows Identity Foundation\v3.5) debe actualizarse y las etiquetas de comentario se quitan de la lista NT AUTHORITY\Network Service allowedCallers:

    <allowedCallers>
   <clear/>
   <add value="NT AUTHORITY\\Network Service" />
   <!-- <add value="NT AUTHORITY\\Local Service" /> -->
   <!-- <add value="NT AUTHORITY\\System" /> -->
   <!-- <add value="NT AUTHORITY\\Authenticated Users" /> -->
 </allowedCallers>

Almacén seguro

Elija Almacenamiento seguro para la autenticación en orígenes de datos relacionales de escala empresarial que pueden o no admitir la autenticación de Windows. El almacenamiento seguro también resulta útil en situaciones en las que se van a controlar las asignaciones de credenciales de usuario.

Para obtener información sobre el uso de la Tienda segura con Excel Online, vea:

Autenticación de SQL Server

SQL Server Autenticación requiere que Excel Online presente un nombre de usuario y una contraseña de SQL Server a un origen de datos SQL Server para autenticarse. Excel Online pasa el cadena de conexión al origen de datos. La cadena de conexión debe contener el nombre de usuario y la contraseña.

Si el nombre de usuario y la contraseña se almacenan en una aplicación de destino de almacenamiento seguro (se recomienda para la mejor seguridad), Excel Online suplantará la cuenta de servicio de red Office Online Server y, cuando se realice la conexión, las credenciales de SQL se establecerán como propiedades de la conexión.

Autenticación con orígenes de datos OLEDB/ODBC

La autenticación en orígenes de datos de terceros normalmente requiere que Excel Online presente un nombre de usuario y una contraseña a un origen de datos.

Si el nombre de usuario y la contraseña se almacenan en el libro o en el archivo ODC, Excel Online suplanta una identidad de Windows que depende de la opción seleccionada para Excel Services configuración de autenticación, ya sea en el libro o en el archivo ODC.

Si el nombre de usuario y la contraseña se almacenan en una aplicación de destino de almacenamiento seguro (se recomienda para la mejor seguridad), Excel Online suplanta la cuenta de servicio de red Office Online Server y, cuando se realiza la conexión, las credenciales de SQL se establecen como propiedades de la conexión.

Actualización de datos en Excel Online

Excel Online admite la actualización de libros conectados a uno o varios de los siguientes orígenes de datos:

  • SQL Server

  • SQL Server Analysis Services (SSAS)

Nota:

Si el origen de datos con el que se va a conectar no está en la lista anterior, puede agregar compatibilidad para él mediante la creación de un proveedor de datos personalizado. Esta tecnología le permite encapsular los orígenes de datos existentes en uno que Excel Online puede consumir.

La actualización de datos externos es el resultado del siguiente conjunto de pasos a través de Excel Online.

  1. Creación de un libro: Un autor del libro carga un libro conectado a datos en SharePoint Server.

  2. Desencadenamiento de la actualización: el visor del libro desencadena la actualización en un libro con conexión de datos.

  3. Connections de datos: Excel Online recupera información de conexión de datos para cada origen de datos externo del libro.

  4. Proveedores de datos de confianza: Excel Online comprueba si hay un proveedor de datos de confianza que puede usar para recuperar datos.

  5. Autenticación: Excel Online se autentica en el origen de datos y recupera los datos solicitados en nombre del visor del libro.

  6. Actualización del libro: Excel Online actualiza el libro en función de los datos del origen de datos y lo devuelve al visor.

Se puede desencadenar la actualización en una de las siguientes formas desde el explorador:

  • El usuario final abre el libro (si el libro está configurado para actualizarse con la apertura).

  • El usuario final hace clic en el botón de actualización en un libro que ya está abierto.

Si no existen versiones de este libro previamente almacenadas en caché, cualquiera de estas acciones desencadenará una actualización y actualizará el libro.

Vea también

Configuración de Analysis Services y delegación restringida de Kerberos (KCD)