Autenticazione dei dati per Excel Online in Office Online Server
Riepilogo Informazioni su come Excel Online supporta le connessioni con SQL Server Analysis Services (SSAS), database SQL Server e origini dati OLE DB e ODBC.
Per recuperare dati da un'origine dati è necessario che l'utente venga autenticato dall'origine dati e quindi autorizzato ad accedere ai dati presenti all'interno dell'origine dati stessa. Nel caso di una cartella di lavoro, Excel Online esegue l'autenticazione all'origine dati per conto dell'utente che la visualizza per aggiornare i dati a cui è connessa la cartella di lavoro.
Il metodo di autenticazione che Excel Online può usare per recuperare i dati dipende dal tipo di origine dati sottostante, come illustrato nella tabella seguente. Per le origini dati che supportano più metodi di autenticazione, le connessioni dati devono specificare quale metodo utilizzare.
Origini dati e metodi di autenticazione per Excel Online
| Origine dati | Metodo di autenticazione |
|---|---|
| Analysis Services |
Autenticazione di Windows (sicurezza integrata) mediante delega vincolata Kerberos con archiviazione sicura con la proprietà delle stringhe di connessione EffectiveUserName |
| SQL Server |
A scelta tra: Autenticazione di Windows (sicurezza integrata) mediante delega vincolata Kerberos con archiviazione sicura Autenticazione di SQL Server |
| Provider di dati personalizzati |
Varia in base all'origine dati, in genere una coppia di nome utente e password archiviata nella stringa di connessione. |
Le origini dati seguenti sono supportate in Excel, ma non in Excel Online:
Database di Access
Contenuto Web
Dati XML
Microsoft Azure Marketplace
File di testo
Connessione a dati esterni con Excel Online
Excel Online può connettersi a varie origini dati esterne, tra cui SQL Server, Analysis Services e provider di dati OLE DB/ODBC personalizzati. Per connettersi all'origine dati, Excel Online usa un provider di dati specifico per ogni origine dati.
La connessione a un'origine dati di SQL Server può essere stabilita utilizzando le soluzioni seguenti:
Autenticazione di Windows
Autenticazione di SQL Server
La connessione a un'origine dati Analysis Services viene effettuata tramite l'autenticazione di Windows.
Per altre origini dati viene utilizzata una stringa di connessione solitamente composta da un nome utente e una password.
Connessioni dati per le cartelle di lavoro di Excel Online
Le cartelle di lavoro di Excel Online usano uno dei due tipi di connessioni seguenti:
Connessioni incorporate
Connessioni collegate
Le connessioni incorporate vengono archiviate come parte della cartella di lavoro di Excel. Le connessioni collegate vengono archiviate esternamente in una cartella di lavoro in file ODC (Office Data Connection). Per usare una connessione collegata, una cartella di lavoro deve fare riferimento a un file con estensione odc archiviato anche nella stessa farm di SharePoint Server della cartella di lavoro. Ogni connessione dati è costituita da:
Una stringa di connessione
Una stringa di query
Un metodo di autenticazione
Facoltativamente, alcuni metadati necessari per recuperare dati esterni
Ogni tipo di connessione presenta vantaggi e svantaggi che verranno illustrati di seguito. Pertanto è necessario scegliere il tipo che si adatta meglio allo scenario specifico.
Confronto delle connessioni dati per Excel Online
| Tipo di connessione | Connessioni incorporate | File ODC |
|---|---|---|
| Vantaggi |
Tutte le informazioni di connessione vengono archiviate nella cartella di lavoro. Le connessioni incorporate comportano uno scarso sovraccarico amministrativo. Le connessioni incorporate sono facili da creare. |
Le connessioni collegate possono essere archiviate, gestite, controllate e condivise centralmente e l'accesso a tali connessioni può essere controllato mediante una raccolta documenti di SharePoint. Gli autori di cartelle di lavoro possono utilizzare le connessioni esistenti senza dover creare query e stringhe di connessione. Se cambiano i dettagli della connessione dati per un'origine dati, un amministratore dovrà aggiornare solo un file ODC. Dopo tale modifica, tutte le cartelle di lavoro che fanno riferimento al file ODC utilizzeranno le informazioni di connessione aggiornate dopo il successivo aggiornamento. Questo scenario si presenta ad esempio quando il server di database viene spostato o il nome del database viene modificato. |
| Svantaggi |
Se cambiano i dettagli della connessione dati per un'origine dati, tutte le cartelle di lavoro con connessioni incorporate a tale origine dati dovranno essere ripubblicate con le informazioni di connessione aggiornate. Le connessioni dati incorporate sono più difficili da controllare da parte degli amministratori di SharePoint. |
Per condividere, gestire e proteggere le connessioni collegate potrebbe essere necessaria l'assistenza di un amministratore di SharePoint. Le connessioni collegate vengono salvate in testo non crittografato e possono contenere password di database. È necessario prestare la massima attenzione per garantire la sicurezza di questi file. Richiede l'autenticazione da server a server tra Office Online Server e SharePoint Server. Ciò fa in modo che le attività di configurazione e amministrazione siano ridotte al minimo. |
Scegliere una connessione dati collegata, utilizzando un file ODC, per gli scenari in cui è necessario disporre di una connessione dati a un'origine dati di livello aziendale, ad esempio SQL Server o Analysis Services. Le connessioni dati collegate sono particolarmente utili in scenari in cui vengono condivise da più utenti e in cui il controllo della connessione da parte dell'amministratore è importante.
Scegliere una connessione incorporata per gli scenari in cui è necessaria una connessione dati per cui non è previsto un utilizzo diffuso.
I file ODC possono essere centralizzati in una raccolta connessioni dati. In questo modo si ottengono numerosi vantaggi:
Gli amministratori possono limitare l'accesso in lettura a una raccolta connessioni dati solo agli autori delle connessioni dati attendibili per garantire che le connessioni dati verificate e sicure vengano utilizzate dagli autori di cartelle di lavoro.
Gli amministratori possono gestire in un'unica posizione le connessioni dati per un gruppo di utenti numeroso.
Gli amministratori possono facilmente approvare, controllare, ripristinare e gestire i file delle connessioni dati utilizzando le caratteristiche di controllo delle versioni e del flusso di lavoro della raccolta documenti.
Le librerie di connessione dati possono essere riutilizzate in altre applicazioni di Office, ad esempio Visio e Visio Services.
Gli autori di cartelle di lavoro hanno a disposizione una sola posizione dove cercare le connessioni dati delle cartelle di lavoro, evitando così di generare confusione e limitando l'esigenza di formazione.
Autenticazione di Windows
autenticazione di Windows richiede che Excel Online presenti all'origine dati un set di credenziali di Windows. Le credenziali di questo tipo sono comuni nelle reti Windows e sono le stesse che vengono utilizzate per accedere ai computer in un dominio Windows. Le credenziali di Windows sono considerate la soluzione più sicura e gestibile per controllare l'accesso ai database SQL Server. Tuttavia, un ostacolo all'uso di autenticazione di Windows con Excel Online è la misura di sicurezza del doppio hop di Windows, in cui le credenziali di un utente non possono essere passate tra più di un computer in una rete Windows. Dato che Excel Online usato con SharePoint Server è un sistema a più livelli, sono necessari metodi di autenticazione speciali affinché Excel Online recuperi i dati per conto dell'utente finale.
La scelta del metodo di autenticazione dipende da vari fattori, come illustrato nella tabella seguente. Scegliere il metodo più appropriato allo scenario specifico.
Confronto dei metodi di autenticazione
| Metodo di autenticazione | Delegazione Kerberos | archiviazione sicura | Nome utente valido |
|---|---|---|---|
| Descrizione |
Usando la delega vincolata Kerberos, le credenziali di Windows del visualizzatore di cartelle di lavoro vengono inviate direttamente all'origine dati. |
Se si utilizza il servizio di archiviazione sicura, le credenziali di Windows del visualizzatore vengono mappate a un altro set di credenziali specificato nell'applicazione di destinazione di archiviazione sicura. |
Usando l'impostazione globale EffectiveUserName, il nome utente di dominio dell'utente viene passato alle origini dati di Analysis Services. |
| Credenziali delle connessioni dati |
Le credenziali di Windows del visualizzatore della cartella di lavoro. |
Le credenziali specificate nell'applicazione di destinazione di archiviazione sicura. |
Credenziali dell'identità del processo Office Online Server. |
| Vantaggi |
Il protocollo Kerberos è uno standard del settore nella gestione delle credenziali. Kerberos si integra nell'infrastruttura di Active Directory esistente. La delega Kerberos consente il controllo dei singoli accessi a un'origine dati. Considerato che l'identità del visualizzatore della cartella di lavoro è nota, i creatori di cartelle di lavoro possono incorporare query del database personalizzate nelle cartelle di lavoro. |
Il servizio di archiviazione sicura fa parte di SharePoint Server ed è più facile da configurare rispetto a Kerberos. I mapping sono flessibili: un utente può essere mappato 1 a 1 o molti a 1. Possono essere utilizzate credenziali non di Windows per la connessione a origini dati che non accettano le credenziali di Windows. I mapping creati per Excel Online possono essere riutilizzati da altre applicazioni di business intelligence, ad esempio Visio Services. |
Sicurezza dei dati per utente senza alcuna necessità di configurare la delega Kerberos. Attività di configurazione e amministrazione ridotte al minimo. |
| Svantaggi |
Ulteriore sforzo amministrativo necessario per configurare SharePoint Server ed Excel Online. |
Per definire e gestire le tabelle di mapping è previsto un sovraccarico amministrativo. L'archiviazione sicura consente un controllo limitato. In molti scenari molti a 1, i singoli utenti che desiderano accedere vengono mappati alle stesse credenziali tramite un'applicazione di destinazione e fusi in un unico utente. |
Funziona solo con le origini dati di Analysis Services. |
| Condizioni per garantire il funzionamento dell'operazione di autenticazione |
La delega Kerberos deve essere configurata nel Office Online Server. |
Il servizio di archiviazione sicura deve essere sottoposto a provisioning e configurato nella farm di SharePoint Server. Il servizio deve inoltre contenere le informazioni di mapping appropriate per uno specifico utente in entrata. Può essere inoltre necessario aggiornare periodicamente le informazioni di mapping per riflettere le modifiche delle password agli account mappati. |
L'opzione EffectiveUserName deve essere abilitata in Office Online Server. L'utente deve essere un membro del ruolo analysis services appropriato. |
Delega Kerberos
Scegliere la delega Kerberos per un'autenticazione rapida e sicura in origini dati relazionali di livello aziendale che supportano l'autenticazione di Windows. Se si prevede di configurare la delega vincolata Kerberos, i requisiti seguenti sono specifici dell'uso della delega vincolata Kerberos con Excel Online in Office Online Server:
Le attestazioni al servizio token Windows devono essere in esecuzione in ogni server della farm Office Online Server e devono essere impostate per l'esecuzione come sistema locale.
Ogni server nella farm Office Online Server deve essere autorizzato a delegare a ogni origine dati back-end, come illustrato nell'elenco di delega Active Directory Domain Services.
Il file c2wtshost.exe.config (disponibile in \Program Files\Windows Identity Foundation\v3.5) deve essere aggiornato e i tag di commento devono essere rimossi dall'elenco allowedCallers di NT AUTHORITY\Network Service:
<allowedCallers> <clear/> <add value="NT AUTHORITY\\Network Service" /> <!-- <add value="NT AUTHORITY\\Local Service" /> --> <!-- <add value="NT AUTHORITY\\System" /> --> <!-- <add value="NT AUTHORITY\\Authenticated Users" /> --> </allowedCallers>
archiviazione sicura
Scegliere l'archiviazione sicura per l'autenticazione in origini dati relazionali a livello aziendale che possono o meno supportare l'autenticazione di Windows. L'archiviazione sicura è utile anche in scenari in cui si desidera controllare i mapping delle credenziali degli utenti.
Per informazioni sull'uso di Archiviazione sicura con Excel Online, vedere:
Autenticazione di SQL Server
SQL Server l'autenticazione richiede che Excel Online presenti un nome utente e una password SQL Server a un'origine dati SQL Server per l'autenticazione. Excel Online passa il stringa di connessione all'origine dati. Il stringa di connessione deve contenere il nome utente e la password.
Se il nome utente e la password vengono archiviati in un'applicazione di destinazione dell'archiviazione sicura (scelta consigliata per la massima sicurezza), Excel Online rappresenta l'account del servizio di rete Office Online Server e, quando viene stabilita la connessione, le credenziali SQL vengono impostate come proprietà della connessione.
Autenticazione con origini dati OLEDB/ODBC
L'autenticazione a origini dati di terze parti richiede in genere che Excel Online presenti un nome utente e una password a un'origine dati.
Se il nome utente e la password vengono archiviati nella cartella di lavoro o nel file ODC, Excel Online rappresenta un'identità di Windows in base a quale opzione è stata selezionata per Excel Services impostazioni di autenticazione, nella cartella di lavoro o nel file ODC.
Se il nome utente e la password vengono archiviati in un'applicazione di destinazione dell'archiviazione sicura (scelta consigliata per la massima sicurezza), Excel Online rappresenta l'account del servizio di rete Office Online Server e, quando viene stabilita la connessione, le credenziali SQL vengono impostate come proprietà della connessione.
Aggiornamento dati in Excel Online
Excel Online supporta l'aggiornamento di cartelle di lavoro connesse a una o più delle origini dati seguenti:
SQL Server
SQL Server Analysis Services (SSAS)
Nota
Se l'origine dati che si intende connettere non è presente nell'elenco precedente, è possibile aggiungere il supporto specifico creando un provider di dati personalizzato. Questa tecnologia consente di eseguire il wrapping delle origini dati esistenti in un'origine dati utilizzabile da Excel Online.
L'aggiornamento dei dati esterni è il risultato del set di passaggi seguente tramite Excel Online.
Creazione di una cartella di lavoro: Un autore di cartelle di lavoro carica una cartella di lavoro connessa ai dati in SharePoint Server.
Attivazione dell'aggiornamento: il visualizzatore della cartella di lavoro attiva l'aggiornamento in una cartella di lavoro connessa a dati.
Connections dati: Excel Online recupera le informazioni di connessione dati per ogni origine dati esterna nella cartella di lavoro.
Provider di dati attendibili: Excel Online verifica se è presente un provider di dati attendibile che può usare per recuperare i dati.
Autenticazione: Excel Online esegue l'autenticazione nell'origine dati e recupera i dati richiesti per conto del visualizzatore della cartella di lavoro.
Aggiornamento cartella di lavoro: Excel Online aggiorna la cartella di lavoro in base ai dati dell'origine dati e la restituisce al visualizzatore.
L'aggiornamento può essere attivato in uno dei modi seguenti all'interno del browser:
L'utente finale apre la cartella di lavoro, se quest'ultima è configurata per l'aggiornamento all'apertura.
L'utente finale fa clic sul pulsante di aggiornamento in una cartella di lavoro già aperta.
Se non sono disponibili versioni precedentemente memorizzate nella cache di questa cartella di lavoro, tutte queste azioni attivano un aggiornamento della cartella di lavoro.
Vedere anche
Configurare Analysis Services e la delega vincolata Kerberos (KCD)