Authentification et autorisation PowerPivot

 

S’applique à : SQL Server 2016

Un déploiement de Power Pivot pour SharePoint qui s’exécute dans une batterie de serveurs SharePoint 2010 utilise le sous-système d’authentification et le modèle d’autorisation fournis par les serveurs SharePoint. L’infrastructure de sécurité SharePoint s’étend au contenu et aux opérations Power Pivot, car l’ensemble du contenu relatif à Power Pivot est stocké dans des bases de données de contenu SharePoint, et l’ensemble des opérations relatives à Power Pivot est effectué par des services partagés Power Pivot dans la batterie de serveurs. Les utilisateurs qui demandent un classeur contenant des données Power Pivot sont authentifiés à l’aide d’une identité d’utilisateur SharePoint basée sur leur identité d’utilisateur Windows. Les autorisations d'affichage sur le classeur déterminent si la demande est accordée ou refusée.

Étant donné que l’intégration à Excel Services est nécessaire pour les analyses de données libre-service, pour sécuriser un serveur Power Pivot vous devez également bien comprendre le fonctionnement de la sécurité dans Excel Services. Quand un utilisateur interroge un tableau croisé dynamique comportant une connexion de données à des données Power Pivot , Excel Services transmet une demande de connexion de données à un serveur Power Pivot de la batterie pour charger les données. Du fait de cette interaction entre les serveurs, il est indispensable que vous compreniez comment configurer des paramètres de sécurité pour les deux serveurs.

Cliquez sur les liens suivants pour accéder à des sections spécifiques de cette rubrique :

Authentification Windows à l'aide de la spécification de connexion en mode classique

Opérations PowerPivot nécessitant une autorisation de l’utilisateur

Autorisations SharePoint pour l’accès aux données PowerPivot

Considérations relatives à la sécurité Excel Services pour les classeurs PowerPivot

Power Pivot pour SharePoint prend en charge un ensemble réduit d’options d’authentification disponibles dans SharePoint. Parmi les options d’authentification disponibles, seule l’authentification Windows est prise en charge pour un déploiement de Power Pivot pour SharePoint. En outre, l'application Web via laquelle la connexion se produit doit être configurée pour le mode classique.

L’authentification Windows est requise car le moteur de données Analysis Services dans un déploiement Power Pivot pour SharePoint prend uniquement en charge l’authentification Windows. Excel Services établit les connexions à Analysis Services via le fournisseur OLE DB MSOLAP à l'aide d'une identité d'utilisateur Windows qui a été authentifiée via NTLM ou du protocole Kerberos.

La deuxième spécification, l’authentification en mode classique sur l’application web, est nécessaire pour garantir l’opérabilité du service web Power Pivot . Le service web est un composant qui s’exécute sur un serveur web frontal et fournit la redirection HTTP vers un serveur Power Pivot pour SharePoint dans la batterie. Tandis que le service web prend en charge les revendications pour les communications entre services, il ne les prend pas en charge pour les demandes de connexion de données qu’il achemine vers un service partagé Power Pivot dans la batterie de serveurs. Les demandes de chargement de données Power Pivot sont prises en charge uniquement pour les connexions authentifiées émanant d’IIS à l’aide d’une identité Windows. La connexion en mode classique sur l’application web permet une connexion réussie du service web Power Pivot aux services partagés Power Pivot dans la batterie.

Bien que la connexion en mode classique ne soit pas obligatoire pour le scénario d’accès aux données le plus courant (où les données Power Pivot sont extraites du même classeur Excel qui les restitue), n’essayez pas d’utiliser Power Pivot pour SharePoint avec des applications web SharePoint configurées pour utiliser d’autres fournisseurs d’authentification. Cette action entraîne un échec de connexion chaque fois que les utilisateurs essaieront de se connecter aux classeurs Power Pivot en tant que source de données externe.

Sans connexion en mode classique, les types suivants de demandes traitées par le service web Power Pivot échouent :

  • Toute demande de données Power Pivot provenant de l’extérieur de la batterie (par exemple, quand vous créez un rapport dans le Concepteur de rapports ou le Générateur de rapports, où la source de données est une URL SharePoint d’un classeur Power Pivot).

  • Les demandes dans la batterie d’une application cliente ou d’un rapport qui utilise le classeur Power Pivot comme source de données externe (par exemple, quand vous créez un classeur dans l’application de bureau Excel, en utilisant comme source de données un deuxième classeur Excel publié contenant des données Power Pivot).

Comment vérifier le fournisseur d'authentification pour votre application

Lors de la création d'applications Web, veillez à sélectionner l'option Authentification en mode classique dans la page Créer une application Web.

Pour les applications Web existantes, utilisez les instructions suivantes pour vérifier si l'application Web est configurée pour utiliser l'authentification Windows.

  1. Dans Administration Centrale, sous Gestion des applications, cliquez sur Gérer les applications Web.

  2. Sélectionnez l'application Web.

  3. Cliquez sur Fournisseurs d'authentification.

  4. Vérifiez que vous avez un fournisseur pour chaque zone et que la zone par défaut a la valeur Windows.

L’autorisation SharePoint est utilisée exclusivement pour tous les niveaux d’accès au traitement de données et de requêtes Power Pivot .

Le modèle d'autorisation basé sur les rôles Analysis Services n'est pas pris en charge. Il n’y a aucune autorisation basée sur les rôles pour des données Power Pivot au niveau de la cellule, de la ligne ou de la table. Vous ne pouvez pas sécuriser des parties différentes du classeur pour accorder ou refuser à des utilisateurs spécifiques l'accès à des données sensibles qu'il contient. Les données Power Pivot incorporées sont entièrement disponibles pour les utilisateurs disposant d’autorisations d’affichage sur le classeur Excel dans une bibliothèque SharePoint.

Power Pivot pour SharePoint emprunte l’identité d’un utilisateur SharePoint dans les cas suivants :

  • Requêtes adressées à des tableaux croisés dynamiques ou graphiques croisés dynamiques qui ont des connexions de données à une base de données Power Pivot , où une application de service Power Pivot établit pour le compte d’un utilisateur des connexions à une instance spécifique du service partagé Power Pivot qui traite les données.

  • Chargement de données Power Pivot à partir du cache ou d’une bibliothèque si les données ne sont pas disponibles autrement. Si une demande de connexion de données concerne des données Power Pivot qui ne sont pas encore chargées dans le système, l’instance Service Analysis Services utilise l’identité de l’utilisateur SharePoint pour récupérer la source de données dans une bibliothèque de contenu et la charger en mémoire.

  • Opérations d'actualisation des données qui enregistrent une copie mise à jour de la source de données dans le classeur d'une bibliothèque de contenu. Dans ce cas, un journal réel de l'opération est créé avec le nom d'utilisateur et le mot de passe récupérés d'une application cible dans le service Banque d'informations sécurisé. Les informations d’identification peuvent correspondre au compte d’actualisation des données sans assistance Power Pivot , mais aussi aux informations d’identification stockées avec la planification de l’actualisation des données lors de sa création. Pour plus d’informations, consultez Configurer les informations d’identification stockées pour l’actualisation des données Power Pivot (Power Pivot pour SharePoint) et Configurer le compte d’actualisation des données PowerPivot sans assistance (PowerPivot pour SharePoint).

La publication, la gestion et la sécurisation d’un classeur Power Pivot sont prises en charge uniquement via l’intégration SharePoint. Les serveurs SharePoint fournissent des sous-systèmes d'authentification et d'autorisation qui garantissent un accès légitime aux données. Il n’existe pas de scénarios pris en charge pour le déploiement sûr d’un classeur Power Pivot en dehors d’une batterie de serveurs SharePoint.

L’accès utilisateur aux données Power Pivot est en lecture seule sur le serveur par le biais des autorisations d’affichage ou supérieures. Les autorisations de collaboration permettent d'ajouter et de modifier le fichier. Les modifications apportées aux données Power Pivot requièrent le téléchargement du classeur dans une application bureautique Excel pour laquelle Power Pivot pour Excel est installé. Les autorisations de collaboration sur le fichier déterminent si l'utilisateur peut télécharger le fichier localement, puis enregistrer les modifications dans SharePoint.

Ainsi, les niveaux d’autorisation Collaboration et Vue seule définissent le jeu d’autorisations réel pour l’accès utilisateur aux données Power Pivot . D'autres niveaux d'autorisation fonctionnent dans la mesure où ils présentent les mêmes autorisations que Collaboration et Vue seule (par exemple, puisque Lecture inclut les autorisations Vue seule, un utilisateur auquel ont été octroyées les autorisations Lecture a le même niveau d'accès qu'avec Vue seule).

Le tableau suivant résume les niveaux d’autorisation qui déterminent l’accès aux données Power Pivot et aux opérations de serveur :

Niveau d'autorisationAutorise les tâches suivantes
Administrateur de batteries de serveurs ou de servicesInstallation, activation et configuration de services et d'applications.

Utilisation du tableau de bord de gestion Power Pivot et affichage des rapports d’administration.
Contrôle totalActivation de l’intégration des fonctionnalités Power Pivot au niveau de la collection de sites.

Création d’une bibliothèque Power Pivot .

Création d'une bibliothèque de flux de données.
CollaborationAjout, modification, suppression et téléchargement de classeurs Power Pivot .

Configuration de l'actualisation des données.

Création de classeurs et rapports basés sur des classeurs Power Pivot sur un site SharePoint.

Création de documents de service de données dans une bibliothèque de flux de données
LectureAccès à des classeurs Power Pivot comme source de données externe, où l’URL du classeur est explicitement entrée dans une boîte de dialogue de connexion (par exemple, dans l’Assistant Connexion de données Excel).
Vue seuleAffichage de classeurs Power Pivot .

Affichage de l'historique d'actualisation des données.

Connexion d’un classeur local à un classeur Power Pivot sur un site SharePoint pour réutiliser ses données d’une autre façon.

Téléchargement d'un instantané du classeur. L'instantané est une copie statique des données, sans segments, filtres, formules ou connexions de données. Le contenu de l'instantané est similaire à la copie de valeurs de cellules de la fenêtre de navigateur.

Power Pivot Le traitement des requêtes côté serveur est étroitement lié à Excel Services. L’intégration de produit commence au niveau du document, du fait que les classeurs Power Pivot sont des fichiers de classeur Excel (.xlsx) qui contiennent ou font référence à des données Power Pivot. Il n’existe pas d’extension de fichier distincte pour un classeur Power Pivot .

Quand un classeur Power Pivot est ouvert sur un site SharePoint, Excel Services lit la chaîne de connexion des données Power Pivot intégrée et transmet la requête au fournisseur OLE DB Analysis Services SQL Server local. Le fournisseur transmet ensuite les informations de connexion à un serveur Power Pivot de la batterie. Pour que les requêtes transitent de façon transparente entre les deux serveurs, Excel Services doit être configuré de façon à utiliser les paramètres requis par Power Pivot pour SharePoint.

Dans Excel Services, les paramètres de configuration de sécurité sont spécifiés sur des emplacements, des fournisseurs de données approuvés et des bibliothèques de connexions de données approuvés. Le tableau suivant décrit les paramètres qui activent ou améliorent l’accès aux données Power Pivot . Si un paramètre n’apparaît pas ici, c’est qu’il n’a aucun effet sur les connexions de serveur Power Pivot . Pour obtenir des instructions sur la façon de spécifier ces paramètres étape par étape, consultez la section « Activer Excel Services » dans Configuration initiale (Power Pivot pour SharePoint).

System_CAPS_ICON_note.jpg Remarque


La plupart des paramètres relatifs à la sécurité s'appliquent à des emplacements approuvés. Si vous voulez conserver les valeurs par défaut ou utiliser des valeurs différentes pour des sites différents, vous pouvez créer un emplacement approuvé supplémentaire pour les sites qui contiennent les données Power Pivot , puis configurer les paramètres suivants uniquement pour ce site. Pour plus d’informations, voir Create a trusted location for Power Pivot sites in Central Administration.

DomaineParamètreDescription
application WebFournisseur d'authentification WindowsPower Pivot convertit un jeton de revendications qu’il obtient d’Excel Services en une identité d’utilisateur Windows. Toutes les applications Web qui utilisent Excel Services comme ressource doivent être configurées pour utiliser le fournisseur d'authentification Windows.
Emplacement approuvéType d'emplacementCette valeur doit être paramétrée sur Microsoft SharePoint Foundation. Power Pivot récupèrent une copie du fichier .xlsx et la chargent sur un serveur Analysis Services dans la batterie. Le serveur ne peut récupérer que des fichiers .xlsx d'une bibliothèque de contenu.
Autoriser les données externesCe paramètre doit avoir la valeur Bibliothèques de connexions de données approuvées et incorporées. Power Pivot sont incorporées au classeur. Si vous interdisez les connexions incorporées, les utilisateurs peuvent consulter le cache Power Pivot , mais ne sont pas en mesure d’interagir avec les données Power Pivot .
Avertir lors de l'actualisationCette valeur doit être désactivée si vous utilisez la Galerie Power Pivot pour stocker des classeurs et des rapports. Power Pivot inclut une fonctionnalité d’aperçu des documents qui fonctionne mieux si les paramètres Actualisation à l’ouverture et Avertir lors de l’actualisation sont désactivés.
Fournisseurs de données approuvésMSOLAP.4

MSOLAP.5
MSOLAP.4 est inclus par défaut, mais l’accès aux données Power Pivot requiert que le fournisseur MSOLAP.4 soit la version SQL Server 2008 R2.

MSOLAP.5 est installé avec la version SQL Server 2016 de Power Pivot pour SharePoint.

Ne supprimez pas ces fournisseurs de la liste des fournisseurs de données approuvés. Dans certains cas, vous devrez peut-être installer des copies supplémentaires de ce fournisseur sur d'autres serveurs SharePoint dans votre batterie de serveurs. Pour plus d’informations, voir Install the Analysis Services OLE DB Provider on SharePoint Servers(Installer le fournisseur OLE DB Analysis Services sur les serveurs SharePoint).
Bibliothèques de connexions de données approuvéesCe paramètre est facultatif.Vous pouvez utiliser des fichiers Office Data Connection (.odc) dans des classeurs Power Pivot. Si vous utilisez des fichiers .odc pour fournir les informations de connexion aux classeurs Power Pivot locaux, vous pouvez ajouter les mêmes fichiers .odc à cette bibliothèque.
Assembly de fonction défini par l'utilisateurNon applicable.Power Pivot pour SharePoint ignore les assemblys de fonction définis par l’utilisateur que vous générez pour Excel Services. Si vous comptez sur les assemblys définis par l’utilisateur pour un comportement spécifique, sachez que le traitement des requêtes Power Pivot n’utilise pas les fonctions définies par l’utilisateur que vous avez créées.

Configuration des comptes de service Power Pivot
Configurer le compte d’actualisation des données PowerPivot sans assistance (PowerPivot pour SharePoint)
Créer un emplacement approuvé pour les sites Power Pivot dans l’Administration centrale
Architecture de sécurité PowerPivot

Ajouts de la communauté

AJOUTER
Afficher: