Authentification des données pour Excel Online dans Office Online Server

  • Article

Résumé Découvrez comment Excel Online prend en charge les connexions avec SQL Server Analysis Services (SSAS), les bases de données SQL Server et les sources de données OLE DB et ODBC.

Pour extraire des données d’une source de données, un utilisateur doit être authentifié par la source de données, puis autorisé à accéder aux données qu’elle contient. Dans le cas d’un classeur, Excel Online s’authentifie auprès de la source de données pour le compte de l’utilisateur qui l’affiche afin d’actualiser les données auxquelles le classeur est connecté.

La méthode d’authentification qu’Excel Online peut utiliser pour récupérer des données dépend du type de la source de données sous-jacente, comme indiqué dans le tableau suivant. Les connexions de données doivent indiquer la méthode d’authentification à utiliser lorsque les sources de données en prennent plusieurs en charge.

Sources de données et méthodes d’authentification pour Excel Online

Source de données Méthode d'authentification
Analysis Services
 Authentification Windows (sécurité intégrée)
à l'aide de la délégation Kerberos contrainte
à l’aide de la Banque d’informations sécurisée
à l’aide de la chaîne de propriété de connexion EffectiveUserName
SQL Server
 Au choix :
Authentification Windows (sécurité intégrée)
à l'aide de la délégation Kerberos contrainte
à l’aide de la Banque d’informations sécurisée
Authentication SQL Server
Fournisseurs de données personnalisés
 Varie selon la source de données, en général une paire formée par le nom d’utilisateur et le mot de passe, stockée dans la chaîne de connexion.

Les sources de données suivantes sont prises en charge dans Excel, mais pas dans Excel Online :

  • Bases de données Access

  • Contenu web

  • Données XML

  • Microsoft Azure Marketplace

  • Fichiers texte

Connexion à des données externes avec Excel Online

Excel Online peut se connecter à diverses sources de données externes, notamment SQL Server, Analysis Services et des fournisseurs de données OLE DB/ODBC personnalisés. Pour se connecter à la source de données, Excel Online utilise un fournisseur de données spécifique pour chaque source de données.

La connexion à une source de données SQL Server peut être effectuée en utilisant au choix :

  • Authentification Windows

  • Authentication SQL Server

La connexion à une source de données Analysis Services s'effectue par le biais d'une authentification Windows.

D'autres sources de données utilisent une chaîne de connexion habituellement formée d'un nom d'utilisateur et d'un mot de passe.

Connexions de données pour les classeurs Excel Online

Les classeurs Excel Online utilisent l’un des deux types de connexions :

  • Connexions incorporées

  • Connexions liées

Les connexions incorporées sont stockées dans le classeur Excel. Les connexions liées sont stockées en dehors d’un classeur dans des fichiers Office Data Connection (ODC). Pour utiliser une connexion liée, un classeur doit référencer un fichier .odc qui est également stocké dans la même batterie de serveurs SharePoint Server que le classeur. Chaque connexion de données est composée des éléments suivants :

  • une chaîne de connexion ;

  • une chaîne de requête ;

  • une méthode d’authentification ;

  • éventuellement, des métadonnées nécessaires pour extraire des données externes.

Chaque type de connexion présente ses avantages et ses inconvénients, traités ici. Choisissez celui qui s’adapte le mieux à votre scénario.

Comparaison des connexions de données pour Excel Online

Type de connexion Connexions incorporées Fichiers ODC
Avantages
 Toutes les informations de connexion sont stockées dans le classeur.
Les connexions incorporées nécessitent peu de tâches d’administration.
Les connexions incorporées sont faciles à créer.
Les connexions liées peuvent être stockées de manière centralisée, gérées, auditées et partagées, et leur accès peut être contrôlé à l’aide d’une bibliothèque de documents SharePoint.
Les auteurs de classeurs peuvent utiliser des connexions existantes sans devoir créer de requêtes ni de chaînes de connexion.
Si les détails de connexion de données d’une source de données changent, un administrateur n’a besoin de mettre à jour qu’un seul fichier ODC. Avec cette modification, tous les classeurs qui font référence au fichier ODC utilisent les informations de connexion mises à jour lors de la prochaine actualisation. (Un exemple de ce scénario est lorsque le serveur de base de données est déplacé ou que le nom de la base de données est modifié.)
Inconvénients
 Si les détails de la connexion de données d’une source de données changent, tous les classeurs avec des connexions intégrées à cette source de données doivent être republiés avec les informations de connexion mises à jour.
Les connexions de données imbriquées sont plus difficiles à auditer par les administrateurs SharePoint.
Les connexions liées peuvent exiger l’aide d’un administrateur SharePoint pour le partage, la gestion et la sécurité.
Les connexions liées sont sauvegardées en texte clair et peuvent contenir des mots de passe de base de données. Une attention particulière doit être apportée à la sécurisation de ces fichiers.
Nécessite une authentification de serveur à serveur entre Office Online Server et SharePoint Server. Cela ajoute une surcharge de configuration et d’administration.

Choisissez une connexion de données liée, en utilisant un fichier ODC, pour les scénarios dans lesquels vous devez disposer d'une connexion de données à une source de données relationnelles à l'échelle de l'entreprise, telle que SQL Server ou Analysis Services. Les connexions de données liées sont très utiles dans les cas où elles doivent être partagées entre plusieurs utilisateurs et où contrôle de l'administrateur sur la connexion est important.

Choisissez une connexion incorporée pour les scénarios où vous avez besoin d’une connexion de données qui ne sera pas largement utilisée.

Les fichiers ODC peuvent être centralisés dans une bibliothèque de connexions de données. Cela présente plusieurs avantages :

  • les administrateurs peuvent limiter l’accès en écriture à une bibliothèque de connexion de données à des auteurs de connexion de données approuvés pour garantir que seules des connexions de données dûment testés et sécurisées sont utilisées par les auteurs de classeurs ;

  • les administrateurs gèrent les connexions de données d’un groupe important d’utilisateurs à partir d’un seul emplacement ;

  • Les administrateurs peuvent facilement approuver, contrôler (audit), rétablir et gérer des fichiers de connexion de données en utilisant les fonctions de contrôle de version et de flux de travail de la bibliothèque de documents.

  • Les bibliothèques de connexions de données peuvent être réutilisées dans d’autres applications Office telles que Visio et Visio Services.

  • les auteurs de classeurs cherchent les connexions de données de classeur dans un seul emplacement, ce qui limite la confusion et la formation des utilisateurs.

Authentification Windows

Authentification Windows nécessite qu’Excel Online présente à la source de données un ensemble d’informations d’identification Windows. Ces informations d'identification sont courantes sur les réseaux Windows et sont les mêmes que celles utilisées pour se connecter sur les ordinateurs d'un domaine Windows. Les informations d'identification Windows sont considérées comme le moyen le plus sûr et le plus facile à gérer de contrôler l'accès aux bases de données SQL Server. Toutefois, l’un des obstacles à l’utilisation de Authentification Windows avec Excel Online est la mesure de sécurité à double tronçon Windows, dans laquelle les informations d’identification d’un utilisateur ne peuvent pas être transmises sur plusieurs ordinateurs d’un réseau Windows. Étant donné qu’Excel Online utilisé avec SharePoint Server est un système à plusieurs niveaux, des méthodes d’authentification spéciales sont nécessaires pour qu’Excel Online récupère les données pour le compte de l’utilisateur final.

Le choix de la méthode d’authentification dépend de divers facteurs comme indiqué dans le tableau suivant. Choisissez celle qui est la mieux adaptée à votre scénario.

Comparaison des méthodes d'authentification

Méthode d'authentification Délégation Kerberos Banque d'informations sécurisée Nom d’utilisateur effectif
Description
À l’aide de la délégation Kerberos contrainte, les informations d’identification Windows de la visionneuse de classeur sont envoyées directement à la source de données.
À l’aide du service Banque d’informations sécurisé, les informations d’identification Windows de l’afficheur sont mappées à un autre jeu d’informations d’identification indiqué dans une application cible de banque d’informations sécurisée.
À l'aide du paramètre global EffectiveUserName, le nom d'utilisateur de domaine est transmis aux sources de données Analysis Services.
Informations d'identification de connexion de données
Informations d’identification Windows de l’afficheur de classeurs.
Informations d’identification indiquées dans l’application cible de la banque d’informations sécurisée.
Informations d’identification de l’identité du processus Office Online Server.
Avantages
Le protocole Kerberos est un standard de l’industrie dans la gestion des informations d’identification.
Kerberos est étroitement lié à l’infrastructure Active Directory existante.
La délégation Kerberos permet l’audit des accès individuels à une source de données.
À condition que l’identité de l’afficheur de classeurs soit connue, les créateurs de classeurs peuvent incorporer des requêtes de base de données personnalisées dans des classeurs.
Le service Banque d’informations sécurisé fait partie de SharePoint Server et est plus simple à configurer que Kerberos.
Les mappages sont souples : un utilisateur peut être mappé dans une relation un-à-un ou plusieurs-à-un.
Les informations d’identification qui n’appartiennent pas à Windows peuvent être utilisées pour se connecter aux sources de données qui n’acceptent pas les informations d’identification Windows.
Les mappages créés pour Excel Online peuvent être réutilisés par d’autres applications décisionnelles telles que Visio Services.
Sécurité des données par utilisateur sans avoir besoin de configurer la délégation Kerberos.
Configuration et tâches administratives minimales.
Inconvénients
Effort administratif supplémentaire requis pour configurer SharePoint Server et Excel Online.
Établir et gérer des tables de mappage impose des tâches d’administration.
La Banque d’informations sécurisée permet un audit limité. Dans le scénario plusieurs-à-un, des utilisateurs entrants individuels sont mappés aux mêmes informations d’identification via une application cible, ce qui les transforme en un seul utilisateur.
Fonctionne uniquement avec des sources de données Analysis Services.
Pour que l'opération d'authentification aboutisse…
La délégation Kerberos doit être configurée sur le Office Online Server.
Le service Banque d’informations sécurisé doit être provisionné et configuré sur la batterie de serveurs SharePoint Server. Elle doit également contenir les informations de mappage appropriées pour un utilisateur entrant donné. En outre, les informations de mappage peuvent avoir besoin d’être mises à jour régulièrement pour refléter les changements de mot de passe sur le compte mappé.
L’option EffectiveUserName doit être activée dans Office Online Server.
L'utilisateur doit être membre du rôle Analysis Services approprié.

Délégation Kerberos

Choisissez la délégation Kerberos pour une authentification sécurisée et rapide aux sources de données relationnelles à l’échelle de l’entreprise qui prend en charge l’authentification Windows. Si vous envisagez de configurer la délégation Kerberos contrainte, les exigences suivantes sont spécifiques à l’utilisation de la délégation Kerberos contrainte avec Excel Online dans Office Online Server :

  • Le service d’émission de jetons Claims to Windows doit être exécuté sur chaque serveur de la batterie de Office Online Server et défini pour s’exécuter en tant que système local.

  • Chaque serveur de la batterie de Office Online Server doit être autorisé à déléguer à chaque source de données principale, comme indiqué dans la liste des délégations services de domaine Active Directory.

  • Le fichier c2wtshost.exe.config (situé dans \Program Files\Windows Identity Foundation\v3.5) doit être mis à jour et les balises de commentaire supprimées de la liste NT AUTHORITY\Network Service allowedCallers :

    <allowedCallers>
   <clear/>
   <add value="NT AUTHORITY\\Network Service" />
   <!-- <add value="NT AUTHORITY\\Local Service" /> -->
   <!-- <add value="NT AUTHORITY\\System" /> -->
   <!-- <add value="NT AUTHORITY\\Authenticated Users" /> -->
 </allowedCallers>

Banque d’informations sécurisée

Choisissez Banque d’informations sécurisée pour l’authentification auprès de sources de données relationnelles à l’échelle de l’entreprise qui peuvent ou non prendre en charge l’authentification Windows. La Banque d’informations sécurisée est également utile dans les cas où vous souhaitez contrôler les mappages des informations d’identification de l’utilisateur.

Pour plus d’informations sur l’utilisation du Magasin sécurisé avec Excel Online, consultez :

Authentification SQL Server

SQL Server l’authentification nécessite qu’Excel Online présente un nom d’utilisateur et un mot de passe SQL Server à une source de données SQL Server pour s’authentifier. Excel Online transmet le chaîne de connexion à la source de données. Cette chaîne de connexion doit contenir le nom d’utilisateur et le mot de passe.

Si le nom d’utilisateur et le mot de passe sont stockés dans une application cible banque d’informations sécurisée (recommandé pour une sécurité optimale), Excel Online emprunte l’identité du compte de service réseau Office Online Server et lorsque la connexion est établie, les informations d’identification SQL sont définies comme propriétés de la connexion.

Authentification dans des sources de données OLEDB/ODBC

L’authentification auprès de sources de données tierces nécessite généralement qu’Excel Online présente un nom d’utilisateur et un mot de passe à une source de données.

Si le nom d’utilisateur et le mot de passe sont stockés dans le classeur ou dans le fichier ODC, Excel Online emprunte l’identité Windows en fonction de l’option sélectionnée pour Excel Services paramètres d’authentification, dans le classeur ou dans le fichier ODC.

Si le nom d’utilisateur et le mot de passe sont stockés dans une application cible banque d’informations sécurisée (recommandé pour une sécurité optimale), Excel Online emprunte l’identité du compte de service réseau Office Online Server et lorsque la connexion est établie, les informations d’identification SQL sont définies en tant que propriétés de la connexion.

Actualisation des données dans Excel Online

Excel Online prend en charge l’actualisation des classeurs connectés à une ou plusieurs des sources de données suivantes :

  • SQL Server

  • SQL Server Analysis Services (SSAS)

Remarque

Si la source de données à laquelle vous envisagez de vous connecter ne figure pas dans la liste ci-dessus, vous pouvez ajouter sa prise en charge en créant un fournisseur de données personnalisées. Cette technologie vous permet d’encapsuler vos sources de données existantes dans une source qu’Excel Online peut utiliser.

L’actualisation des données externes est le résultat de l’ensemble d’étapes suivant dans Excel Online.

  1. Création d’un classeur : Un auteur de classeur charge un classeur connecté aux données sur SharePoint Server.

  2. Déclenchement d'une actualisation : l'afficheur de classeurs déclenche l'actualisation sur un classeur connecté aux données.

  3. Connections de données : Excel Online récupère les informations de connexion de données pour chaque source de données externe dans le classeur.

  4. Fournisseurs de données approuvés : Excel Online vérifie s’il existe un fournisseur de données approuvé qu’il peut utiliser pour récupérer des données.

  5. Authentification: Excel Online s’authentifie dans la source de données et récupère les données demandées pour le compte de la visionneuse de classeur.

  6. Actualisation du classeur : Excel Online met à jour le classeur en fonction des données de la source de données et le renvoie à la visionneuse.

L’actualisation peut être déclenchée de l’une des manières suivantes à partir du navigateur :

  • L’utilisateur final ouvre le classeur (si le classeur est configuré afin de s’actualiser à l’ouverture).

  • L’utilisateur final clique sur le bouton d’actualisation dans un classeur déjà ouvert.

En l’absence de versions précédemment mises en cache de ce classeur, n’importe laquelle de ces actions déclenche une actualisation et met à jour le classeur.

Voir aussi

Configurer Analysis Services et la délégation Kerberos contrainte (KCD)