Pianificare la protezione di Excel Services
Contenuto dell'articolo:
Informazioni sulla protezione di Excel Services
Pianificare l'autenticazione degli utenti
Pianificare la comunicazione tra server
Pianificare l'autenticazione dei dati esterni
Fogli di lavoro
Informazioni sulla protezione di Excel Services
Oltre ai requisiti di protezione per la distribuzione di Microsoft Office SharePoint Server 2007, è necessario considerare i requisiti di protezione per una distribuzione che include Excel Services in Microsoft Office SharePoint Server 2007. Microsoft Windows SharePoint Services 3.0 fornisce la piattaforma su cui si basa Microsoft Office SharePoint Server 2007.
Excel Services in Microsoft Office SharePoint Server 2007, abbinato a Microsoft Office SharePoint Server 2007, rappresenta la soluzione principale per il controllo, la protezione e la gestione dell'accesso alle cartelle di lavoro di Excel all'interno di un'organizzazione. Excel Services è un server applicazioni enterprise progettato per ottimizzare le prestazioni, la scalabilità e la protezione. Una distribuzione di Excel Services consente il thin rendering delle cartelle di lavoro, oltre all'interazione con esse, e facilita il riutilizzo dei componenti delle cartelle di lavoro, quali grafici e rapporti di tabella pivot, di cui può essere eseguito il rendering in dashboard di business intelligence.
Excel Services consente di utilizzare i calcoli dei fogli di calcolo di Excel sul lato server per le applicazioni personalizzate e offre agli utenti la possibilità di bloccare le cartelle di lavoro e di proteggere i dati privati e la proprietà intellettuale. Ciò garantisce la protezione dei dati delle cartelle di lavoro e consente agli utenti che interagiscono con le cartelle di lavoro su un server di usufruire di tutti i vantaggi offerti dalle funzionalità di ricalcolo e aggiornamento dei dati disponibili in Excel Services.
La protezione è un componente fondamentale per questi scenari di rendering dei dati. È necessario prendere in considerazione numerosi fattori quando si pianifica un ambiente che sia in grado di assicurare la protezione delle cartelle di lavoro di cui viene eseguito il rendering su un server. È necessario pianificare la gestione della protezione delle cartelle di lavoro e del server stesso. Excel Services offre un notevole livello di controllo dettagliato per l'elaborazione e la visualizzazione delle cartelle di lavoro di Excel. È possibile controllare l'apertura delle cartelle di lavoro sul server e le funzionalità specifiche attivate per ogni cartella di lavoro.
In questo articolo viene offerta una panoramica delle impostazioni di protezione di Excel Services e dei componenti correlati che è necessario prendere in considerazione durante la pianificazione di una distribuzione. Vengono inoltre fornite indicazioni sull'utilizzo di Excel Services per la protezione e la gestione dell'accesso alle cartelle di lavoro sul server.
Il modello di protezione di Excel Services è basato sul concetto che, per assicurare l'integrità e la qualità dei dati, un amministratore deve essere in grado di gestire a livello centrale le risorse condivise e l'accesso degli utenti ai dati di proprietà intellettuale dell'azienda contenuti nelle cartelle di lavoro. A tale scopo, Excel Services consente di specificare:
Posizioni attendibili file Si tratta di raccolte documenti di SharePoint, percorsi UNC o siti Web HTTP che devono essere esplicitamente considerati attendibili affinché Servizi di calcolo Excel possa accedervi. Servizi di calcolo Excel apre solo le cartelle di lavoro archiviate in posizioni attendibili di file.
Provider di dati attendibili Si tratta di database esterni per i quali Servizi di calcolo Excel viene esplicitamente configurato in modo da considerarli attendibili durante l'elaborazione delle connessioni dati nelle cartelle di lavoro. Servizi di calcolo Excel tenta di elaborare una connessione dati solo se tale connessione è indirizzata a un provider di dati attendibile.
Raccolte connessioni dati attendibili Si tratta di raccolte documenti di SharePoint contenenti file di connessione dati (ODC). Tali file vengono utilizzati per gestire a livello centrale le connessioni a origini dati esterne. Anziché consentire le connessioni incorporate alle origini dati esterne, Servizi di calcolo Excel può essere configurato in modo da richiedere l'utilizzo dei file ODC per tutte le connessioni dati. I file ODC sono archiviati in raccolte connessioni dati, le quali devono essere esplicitamente considerate attendibili affinché Servizi di calcolo Excel consenta alle cartelle di lavoro di accedervi.
Per impostazione predefinita, l'accesso a cartelle di lavoro e connessioni dati in domini diversi non è consentito. Per consentire a web part, pagine o servizi Web di accedere alle cartelle di lavoro archiviate in posizioni file attendibili e alle connessioni dati archiviate in raccolte di connessioni dati attendibili in domini diversi, eseguire l'utilità da riga di comando Stsadm.exe come illustrato nell'esempio seguente, dove nome provider di servizi condivisi è il nome del provider di servizi condivisi di Excel Services:
stsadm.exe -o Set-EcsSecurity -Ssp <nome provider di servizi condivisi> -AllowCrossDomainAccess true|false
Le pagine Web che richiedono l'accesso e le cartelle di lavoro o connessioni dati devono trovarsi nella stessa farm.
Nota
Quando si apre una cartella di lavoro in Servizi di calcolo Excel, un file temporaneo viene archiviato nella cartella %TEMP% del server applicazioni che esegue Servizi di calcolo Excel.
Pianificare l'autenticazione degli utenti
Le cartelle di lavoro di Excel aperte da Servizi di calcolo Excel devono essere archiviate nel database del contenuto di Microsoft Office SharePoint Server 2007, poiché Microsoft Windows SharePoint Services 3.0 gestisce un elenco di controllo di accesso (ACL) per tali file. Servizi di calcolo Excel è inoltre in grado di aprire cartelle di lavoro da percorsi UNC e siti Web HTTP, tuttavia è consigliabile utilizzare il database del contenuto di Microsoft Office SharePoint Server 2007 per l'archiviazione delle cartelle di lavoro.
L'autenticazione dell'accesso degli utenti a un sito portale di SharePoint viene eseguito da Microsoft Windows SharePoint Services 3.0. Per impostazione predefinita, Microsoft Windows SharePoint Services 3.0 utilizza l'autenticazione integrata di Windows.
Oltre ai metodi di autenticazione elencati, Excel Services supporta anche l'autenticazione generica basata su form. Tuttavia, la configurazione di Microsoft Windows SharePoint Services 3.0 per l'utilizzo di questo tipo di autenticazione non rientra nell'ambito di questo articolo.
Pianificare la comunicazione tra server
È possibile determinare le modalità di comunicazione dei server Web front-end con i server applicazioni di Servizi di calcolo Excel e dei server applicazioni con le origini dati back-end configurando Excel Services per l'utilizzo dell'accesso ai dati di un sottosistema attendibile o della delega. Il sottosistema attendibile rappresenta l'impostazione predefinita per una server farm di Windows, poiché non richiede le impostazioni di configurazione aggiuntive del modello di delega. Nel modello del sottosistema attendibile i server Web front-end e i server applicazioni di Servizi di calcolo Excel considerano attendibili gli account delle applicazioni di Microsoft Office SharePoint Server 2007 associate utilizzando il provider di servizi condivisi.
Quando si aprono file da Microsoft Office SharePoint Server 2007 in un ambiente di sottosistema attendibile, il controllo delle autorizzazioni sui file viene eseguito in base alle identità degli utenti finali anche se Kerberos non è configurato. Se i server applicazioni di Servizi di calcolo Excel aprono cartelle di lavoro da condivisioni UNC o siti Web HTTP, non sarà possibile rappresentare l'account utente e sarà necessario utilizzare l'account di processo.
Nota
Per rappresentare l'account utente e implementare l'autorizzazione per le cartelle di lavoro, è necessario configurare la delega Kerberos vincolata tra i server applicazioni di Servizi di calcolo Excel e le risorse UNC o HTTP.
La delega Kerberos vincolata è la configurazione che offre il maggior livello di protezione delle comunicazioni tra i server Web front-end e i server applicazioni di Servizi di calcolo Excel, oltre che dell'accesso alle origini dati back-end dai server applicazioni. Questo tipo di delega rappresenta la configurazione preferita per la distribuzione di Excel Services. Per le connessioni dati esterne, l'autenticazione integrata di Windows funziona solo se il modello di delega è implementato.
Pianificare l'autenticazione dei dati esterni
Le cartelle di lavoro possono contenere connessioni dati incorporate direttamente e collegamenti a file di connessioni dati archiviati in raccolte connessioni dati. A seconda della configurazione di Excel Services, è possibile utilizzare la connessione dati incorporata per eseguire query sull'origine dati oppure il collegamento alla raccolta connessioni dati per eseguire query sul file ODC. Il file ODC contiene le informazioni sulla connessione dati e deve essere archiviato in una raccolta connessioni dati.
Per configurare Excel Services per l'elaborazione delle connessioni alle origini dati esterne, selezionare un'impostazione nella sezione Dati esterni della pagina Excel Services: Aggiungi posizione attendibile nell'applicazione Web Amministrazione centrale SharePoint.
Per configurare le impostazioni amministrative di Excel Services, aprire l'applicazione Web Amministrazione centrale SharePoint da Microsoft Office SharePoint Server 2007 ed eseguire la procedura seguente.
Configurare le impostazioni amministrative di Excel Services
Nella home page Amministrazione centrale fare clic su Gestione applicazioni.
Nella sezione Servizi condivisi di Office SharePoint Server 2007 della pagina Gestione applicazioni fare clic su Crea o configura servizi condivisi della farm.
Nella pagina Gestisci servizi condivisi della farm fare clic su SharedServices1 (predefinito), che rappresenta il provider di servizi condivisi che verrà configurato.
Nella home page Servizi condivisi fare clic su Posizioni attendibili file nella sezione Impostazioni Excel Services.
Nella pagina Posizioni attendibili file di Excel Services scegliere Excel Services: Aggiungi posizione attendibile file.
Nella sezione Indirizzo immettere il percorso e il nome della raccolta documenti di SharePoint che si desidera aggiungere come posizione attendibile di file in Excel Services. Se la raccolta documenti è memorizzata nel database del contenuto di Microsoft Windows SharePoint Services 3.0, verificare che Microsoft Windows SharePoint Services 3.0 sia selezionato come Tipo posizione.
La delega è necessaria per la maggior parte delle distribuzioni di farm con connessioni integrate. Quando Servizi di calcolo Excel recupera le informazioni sulle connessioni, le credenziali vengono impostate come archiviate (da recuperare dal database SSO), integrate oppure non viene impostata nessuna credenziale. Per le connessioni dati con credenziali integrate, la delega è necessaria per le distribuzioni in cui è implementata la scalabilità orizzontale su più server. In una distribuzione autonoma la delega non è necessaria.
Si consideri una connessione dati in una cartella di lavoro aperta in un server applicazioni di Servizi di calcolo Excel che utilizza le credenziali archiviate. Servizi di calcolo Excel deve recuperare credenziali valide da un database di autenticazione SSO (Single Sign-On), quindi utilizzare le credenziali per eseguire l'autenticazione su un'origine dati, affinché sia possibile stabilire la connessione dati.
Excel Services supporta tre metodi di autenticazione dei dati: l'autenticazione integrata di Windows, l'autenticazione SSO e nessuna autenticazione.
Autenticazione integrata di Windows
L'autenticazione integrata di Windows richiede in genere la delega Kerberos vincolata, ovvero il metodo di autenticazione che offre il maggior livello di protezione. È consigliabile attivare questo tipo di delega per l'autenticazione dai server Web front-end ai server applicazioni che eseguono Servizi di calcolo Excel e da Servizi di calcolo Excel alle origini dati esterne. Per gli scenari relativi a Excel Services è consigliabile utilizzare l'autenticazione integrata di Windows.
Autenticazione SSO
L'autenticazione SSO consente agli utenti di accedere a più risorse del sistema senza dover immettere più volte le credenziali di autenticazione. Microsoft Office SharePoint Server 2007 implementa l'autenticazione SSO mediante l'inclusione di un servizio Windows e di un database di credenziali protette. Utilizzando la funzionalità SSO modulare supportata da Excel Services è possibile implementare un provider SSO personalizzato. In Microsoft Office SharePoint Server 2007 è incluso un provider SSO di Windows compatibile con Excel Services.
Qualsiasi provider SSO implementato con Excel Services deve associare un contrassegno a ogni voce SSO che specifica se tale voce utilizza le credenziali di Windows o quelle di un altro ambiente. Il provider SSO di Windows disponibile in Microsoft Office SharePoint Server 2007 dispone di un contrassegno per tale scopo. Excel Services utilizza il database SSO per recuperare le credenziali per l'autenticazione della connessione.
L'autenticazione SSO in Microsoft Office SharePoint Server 2007 supporta i mapping singoli e di gruppo. SSO gestisce un insieme di credenziali per gli ID applicazione delle risorse archiviate nel database SSO di Microsoft Office SharePoint Server 2007. Per i mapping singoli, un livello di protezione verifica le credenziali utente confrontandole con diverse singole voci relative a un ID applicazione archiviato nel database SSO. I mapping singoli sono utili se si desidera ottenere informazioni su un singolo accesso utente a risorse condivise.
Per i mapping di gruppo, un livello di protezione verifica le credenziali di gruppo per più utenti di dominio confrontandole con un unico insieme di credenziali relative a una risorsa identificata da un ID applicazione archiviato nel database SSO. I mapping di gruppo sono più semplici da gestire rispetto ai mapping singoli e offrono prestazioni migliori.
Per attivare la funzionalità SSO per Microsoft Office SharePoint Server 2007, è necessario avviare il servizio Microsoft Single Sign-on e quindi configurare le impostazioni SSO nell'applicazione Web Amministrazione centrale SharePoint. Eseguire le procedure seguenti per installare e configurare un database SSO per l'autenticazione delle connessioni dati.
Avviare il servizio Single Sign-on
Scegliere Servizi da Strumenti di amministrazione.
Fare doppio clic su Servizio Microsoft Single Sign-on.
Nella scheda Accedi della pagina Proprietà del servizio Single Sign-on fare clic su Account e digitare il dominio, il nome utente e la password utilizzati per installare e gestire il server.
Fare clic su Applica.
Nella scheda Generale della pagina Proprietà del servizio Single Sign-on modificare il tipo di avvio in Automatico, fare clic su Avvia e quindi su OK.
Nota
Avviare il servizio Single Sign-on in tutti i server Web front-end e in tutti i server applicazioni della farm che eseguono Servizi di calcolo Excel.
Gestire le impostazioni del servizio Single Sign-on
Da Strumenti di amministrazione aprire l'applicazione Web Amministrazione centrale SharePoint.
Nella home page Amministrazione centrale fare clic su Operazioni.
Nella sezione Configurazione protezione fare clic su Gestisci impostazioni servizio Single Sign-on.
Nella pagina Gestisci impostazioni servizio Single Sign-on fare clic su Gestisci impostazioni del server.
Nella casella Nome account relativa all'account dell'amministratore SSO digitare la stessa combinazione di dominio e nome utente utilizzata per configurare il servizio Single Sign-on. Se il nome utente utilizzato per configurare il servizio è membro di un gruppo di protezione di Windows, è possibile digitare il nome di tale gruppo anziché il nome utente.
Nella casella Account amministratore definizione applicazione enterprise digitare lo stesso dominio e lo stesso nome utente utilizzati per configurare il servizio Single Sign-on.
Nessuna autenticazione
Se si specifica Nessuno come metodo di autenticazione per la distribuzione di Excel Services, Excel Services tenterà di utilizzare stringhe di connessione in entrata per effettuare la connessione al database specificato nella stringa. A seconda del provider di database, il database potrebbe essere in grado di utilizzare la stringa di connessione per autenticare l'utente.
Excel Services non analizza le stringhe di connessione per determinare un metodo di autenticazione. Tali stringhe vengono semplicemente passate al provider di database. Le stringhe di connessione possono specificare che è necessaria l'autenticazione integrata di Windows. Possono inoltre contenere un nome utente e una password specifici. In entrambi i casi, quando si specifica Nessuno come metodo di autenticazione, Excel Services richiede la rappresentazione di un account di servizio automatico.
Se il provider di database determina che la stringa di connessione specifica l'autenticazione integrata di Windows e se il database autorizza l'accesso, la connessione viene stabilita utilizzando il contesto di protezione dell'account automatico. Se la stringa di connessione contiene un nome utente e una password e se il database autorizza l'accesso, la connessione viene stabilita utilizzando il contesto di protezione dell'account utente autorizzato.
Account di servizio automatico
L'account di servizio automatico è un account con autorizzazioni limitate che può essere rappresentato da Servizi di calcolo Excel per stabilire una connessione dati che utilizza le credenziali SSO di un ambiente non Windows oppure Nessuno come metodo di autenticazione. Se non è configurato un account di servizio automatico, le connessioni dati non potranno essere stabilite se come metodo di autenticazione viene utilizzato SSO di un ambiente non Windows o Nessuno.
Mediante l'utilizzo dell'account automatico i database di Microsoft Office SharePoint Server 2007 e tutte le altre origini dati a cui Excel Services può accedere direttamente risultano protetti dalle connessioni non autorizzate da parte di computer client che utilizzano Servizi di calcolo Excel per aprire connessioni dati esterne. Con la rappresentazione di un account di servizio automatico, le credenziali associate a un thread dell'applicazione Servizi di calcolo Excel non possono essere utilizzate per accedere ad altri database. In tal caso, inoltre, le query di dati esterne vengono eseguite nel contesto di protezione di un account con autorizzazioni limitate, invece che nel contesto di un thread dell'applicazione Servizi di calcolo Excel che dispone di autorizzazioni maggiori.
È possibile configurare l'account di servizio automatico come account di dominio o come account del computer locale. Se l'account di servizio automatico è configurato come account del computer locale, assicurarsi che la configurazione sia identica su tutti i server applicazioni che eseguono Servizi di calcolo Excel. Limitare le autorizzazioni dell'account di servizio automatico per consentire solo l'accesso alla rete. Verificare che l'account di servizio automatico non abbia accesso ad alcuna origine dati o ad alcun database di Microsoft Office SharePoint Server 2007. Per abilitare l'account di servizio automatico, eseguire la procedura seguente.
Abilitare l'account di servizio automatico
Nelle caselle Nome e Password della sezione Dati esterni nella pagina Impostazioni Excel Services digitare il nome e la password che si desidera utilizzare.
Fare clic su OK.
Impostazioni di protezione
Per configurare le impostazioni amministrative per Excel Services, incluse le impostazioni di protezione, aprire l'applicazione Web Amministrazione centrale SharePoint da Strumenti di amministrazione di Microsoft Windows Server 2003 ed eseguire la procedura seguente.
Configurare le impostazioni di protezione di Excel Services
Nella home page Amministrazione centrale fare clic su Gestione applicazioni.
Nella sezione Servizi condivisi di Office SharePoint Server 2007 della pagina Gestione applicazioni fare clic su Crea o configura servizi condivisi della farm.
Nella pagina Gestisci servizi condivisi della farm fare clic su SharedServices1 (predefinito), che rappresenta il provider di servizi condivisi che verrà configurato.
Nella sezione Impostazioni Excel Services della home page Servizi condivisi fare clic su Modifica impostazioni Excel Services.
È inoltre possibile utilizzare la pagina Impostazioni Excel Services per configurare le opzioni per il metodo di accesso ai file e per la crittografia dei dati, che influiscono direttamente sulla protezione della distribuzione.
Metodo di accesso ai file
Nella sezione Protezione della pagina Impostazioni Excel Services, in Metodo di accesso ai file, selezionare Rappresentazione o Account processo.
Rappresentazione La rappresentazione consente l'esecuzione di un thread in un contesto di protezione diverso da quello del processo proprietario del thread. Selezionare Rappresentazione per configurare Servizi di calcolo Excel in modo che autorizzi gli utenti che tentano di accedere a cartelle di lavoro archiviate in percorsi UNC e HTTP. Questa impostazione non si applica alle cartelle di lavoro archiviate in database di Microsoft Office SharePoint Server 2007. Nella maggior parte delle distribuzioni di server farm in cui i server Web front-end e i server applicazioni di Servizi di calcolo Excel vengono eseguiti su computer diversi, la rappresentazione richiede la delega Kerberos vincolata.
Account processo Se i server applicazioni di Servizi di calcolo Excel aprono cartelle di lavoro da condivisioni UNC o siti Web HTTP, non è possibile rappresentare l'account utente ed è necessario utilizzare l'account di processo.
Crittografia dei dati
È possibile utilizzare Internet Protocol Security (IPsec) o Secure Sockets Layer (SSL) per crittografare la trasmissione dei dati tra server applicazioni di Servizi di calcolo Excel, origini dati, computer client e server Web front-end. Per richiedere la trasmissione crittografata dei dati tra i computer client e i server Web front-end, modificare l'impostazione di Crittografia connessione da Nessuna a Tutte le connessioni. Nessuna è l'impostazione predefinita. Se si imposta Crittografia connessione su Tutte le connessioni, il server applicazioni di Servizi di calcolo Excel consentirà la trasmissione dei dati esclusivamente tra i computer client e i server Web front-end su connessioni SSL.
Se si decide di impostare la trasmissione crittografata dei dati, sarà necessario configurare manualmente IPsec o SSL. È possibile richiedere connessioni crittografate tra i computer client e i server Web front-end e, allo stesso tempo, consentire connessioni non crittografate tra i server Web front-end e i server applicazioni di Servizi di calcolo Excel.
Posizioni attendibili file
Le posizioni attendibili file sono siti di SharePoint, percorsi UNC o siti Web HTTP dai quali un server che esegue Servizi di calcolo Excel può accedere a cartelle di lavoro.
Nella sezione Posizione della pagina Excel Services: Aggiungi posizione attendibile file è possibile configurare l'indirizzo, il tipo di posizione e l'attendibilità o meno delle raccolte figlio delle posizioni attendibili file. Selezionando Attendibilità elementi figlio è possibile semplificare la gestione, ma anche introdurre un potenziale problema di protezione impostando automaticamente come attendibili i siti secondari e le sottodirectory delle posizioni attendibili appena vengono creati.
| Azione nel foglio di lavoro |
|---|
Utilizzare il foglio di lavoro Trusted File Locations Worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73327&clcid=0x410) (informazioni in lingua inglese) per registrare i nomi di siti di SharePoint, percorsi UNC e siti Web HTTP attendibili. |
Nella sezione Gestione sessioni è possibile configurare opzioni che consentono di conservare la disponibilità delle risorse e migliorare il livello di prestazioni e protezione di Servizi di calcolo Excel. Quando un numero elevato di utenti apre contemporaneamente più sessioni di Servizi di calcolo Excel, le prestazioni potrebbero risentirne. È possibile controllare il consumo delle risorse e limitare la durata delle sessioni di Servizi di calcolo Excel aperte configurando due diverse impostazioni di timeout per le sessioni aperte.
L'impostazione Timeout sessione indica per quanto tempo una sessione di Servizi di calcolo Excel può rimanere aperta e inattiva dopo ogni interazione utente. L'impostazione Timeout sessione breve indica per quanto tempo una sessione di Servizi di calcolo Excel può rimanere aperta e inattiva dopo la richiesta di sessione iniziale. È inoltre possibile controllare il numero di secondi consentiti per ogni richiesta di sessione configurando il valore di Durata massima richiesta. Limitando la durata delle sessioni è possibile ridurre il rischio di attacchi Denial of Service.
Nella sezione Proprietà cartella di lavoro è possibile configurare la dimensione massima delle cartelle di lavoro che è possibile aprire in una sessione di Servizi di calcolo Excel. L'apertura di cartelle di lavoro di dimensioni eccessive può infatti compromettere le prestazioni e la disponibilità delle risorse. Se non si controllano le dimensioni consentite per le cartelle di lavoro eseguite in sessioni di Servizi di calcolo Excel aperte, si rischia che gli utenti superino la capacità delle risorse causando un arresto anomalo del server.
Nota
In caso di errore o arresto di un server applicazioni che esegue Servizi di calcolo Excel, tutte le sessioni aperte sul server andranno perdute. In un'installazione autonoma, Excel Services non sarà più disponibile. Ciò significa che le cartelle di lavoro non potranno essere caricate, ricalcolate, aggiornate o recuperate da Servizi di calcolo Excel. In una distribuzione di server farm che include più server applicazioni che eseguono Servizi di calcolo Excel, l'arresto di un server non ha alcun effetto sulle sessioni aperte su altri server. Agli utenti con sessioni aperte su un server che viene arrestato viene chiesto di riaprire le proprie cartelle di lavoro. Quando gli utenti avviano una nuova sessione, vengono automaticamente indirizzati sui server applicazioni attivi che eseguono Servizi di calcolo Excel.
Nella sezione Dati esterni è possibile determinare se le cartelle di lavoro archiviate in posizioni attendibili di file e aperte in sessioni di Servizi di calcolo Excel possono accedere a un'origine dati esterna. È possibile stabilire se impostare l'opzione Impostazione dati esterni consentiti su Nessuna, Solo raccolte di connessioni dati attendibili o Raccolte di connessioni dati attendibili e connessioni incorporate. Se si seleziona Solo raccolte di connessioni dati attendibili o Raccolte di connessioni dati attendibili e connessioni incorporate, le cartelle di lavoro archiviate nelle posizioni attendibili di file potranno accedere a origini dati esterne.
È possibile accedere a connessioni dati esterne solo se tali connessioni sono incorporate o collegate da una cartella di lavoro. Servizi di calcolo Excel controlla l'elenco di posizioni attendibili di file prima di aprire una cartella di lavoro. Se è stata selezionata l'opzione Nessuna, Servizi di calcolo Excel bloccherà qualsiasi tentativo di accedere a un'origine dati esterna. Se si gestiscono connessioni dati per un numero elevato di autori di cartelle di lavoro, è consigliabile selezionare Solo raccolte di connessioni dati attendibili. Ciò assicura che tutte le connessioni dati in tutte le cartelle di lavoro generate da autori di cartelle di lavoro autenticati utilizzino una raccolta connessioni dati attendibile per accedere alle origini dati esterne.
Se si gestiscono connessioni dati per un numero elevato di autori di cartelle di lavoro, è consigliabile selezionare Raccolte di connessioni dati attendibili e connessioni incorporate. In questo modo gli autori delle cartelle di lavoro possono incorporare le connessioni dirette alle origini dati esterne nelle cartelle di lavoro, ma hanno ancora accesso alle raccolte di connessioni dati attendibili se le connessioni incorporate non vengono stabilite.
Nell'area Avviso in caso di aggiornamento della sezione Dati esterni è possibile specificare se deve essere visualizzato un avviso prima che una cartella di lavoro venga aggiornata da un'origine dati esterna. La selezione di Attiva avviso di aggiornamento assicura che i dati esterni non vengano aggiornati automaticamente senza alcuna interazione da parte dell'utente.
Nell'area Interruzione in caso di errore durante l'aggiornamento all'apertura è possibile specificare se Servizi di calcolo Excel deve interrompere l'apertura di una cartella di lavoro se questa contiene una connessione dati da aggiornare all'apertura non riuscita. La selezione di Attiva interruzione apertura assicura che i valori memorizzati nella cache non vengano visualizzati se un'operazione di aggiornamento ha esito negativo durante l'apertura della cartella di lavoro. In caso di esito positivo dell'operazione di aggiornamento all'apertura, i valori memorizzati nella cache vengono eliminati. Se si deseleziona la casella di controllo Attiva interruzione apertura, è possibile che i valori memorizzati nella cache vengano visualizzati in caso di esito negativo dell'operazione di aggiornamento all'apertura.
Nell'area Durata cache dati esterni della sezione Dati esterni è possibile specificare la durata massima di utilizzo dei valori memorizzati nella cache prima della scadenza.
Per avere la certezza che solo gli utenti attendibili abbiano accesso alle cartelle di lavoro archiviate in posizioni attendibili, è importante applicare gli elenchi ACL su tutte le posizioni attendibili di file.
La distribuzione di Excel Services con Microsoft Office SharePoint Server 2007 presenta tre principali scenari: a livello di azienda, a livello di piccolo reparto e personalizzato.
In una distribuzione aziendale, considerare le linee guida seguenti:
Non configurare il supporto per le funzioni definite dall'utente.
Non consentire alle cartelle di lavoro di utilizzare connessioni dati incorporate per accedere direttamente alle origini dati esterne.
Limitare l'utilizzo delle raccolte connessioni dati per l'accesso alle origini dati esterne da cartelle di lavoro.
Limitare le dimensioni delle cartelle di lavoro che possono essere aperte in Servizi di calcolo Excel.
Scegliere in modo selettivo le posizioni di file da considerare attendibili e non selezionare Attendibilità elementi figlio per i siti e le directory attendibili.
In una distribuzione a livello di piccolo reparto, considerare le linee guida seguenti:
Impostare come attendibili tutte le posizioni di file utilizzate dai membri del reparto per archiviare le cartelle di lavoro.
Selezionare Attendibilità elementi figlio per tutti i siti e le directory attendibili.
Limitare l'accesso a posizioni di file specifiche in caso di problemi.
In una distribuzione personalizzata, considerare le linee guida seguenti:
Impostare Servizi di calcolo Excel per l'apertura di cartelle di lavoro di grandi dimensioni.
Configurare le impostazioni di timeout delle sessioni lunghe.
Configurare cache di dati di grandi dimensioni.
Creare una posizione attendibile per la distribuzione.
Non selezionare Attendibilità elementi figlio per questa posizione attendibile.
Provider di dati attendibili
È possibile controllare l'accesso ai dati esterni definendo in modo esplicito i provider di dati attendibili e registrandoli nell'elenco dei provider di dati attendibili. L'elenco dei provider di dati attendibili consente di definire provider di dati esterni specifici a cui sono autorizzate a connettersi le cartelle di lavoro aperte in Servizi di calcolo Excel.
Prima di creare un'istanza di un provider di dati per consentire la connessione da una cartella di lavoro a un'origine dati esterna, Servizi di calcolo Excel controlla le informazioni di connessione per stabilire se il provider è incluso nell'elenco dei provider di dati attendibili. Se il provider compare nell'elenco viene eseguito un tentativo di connessione. In caso contrario la richiesta di connessione viene ignorata.
| Azione nel foglio di lavoro |
|---|
Utilizzare il foglio di lavoro Trusted Data Providers Worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73325&clcid=0x410) (informazioni in lingua inglese) per registrare i nomi dei provider di dati attendibili. |
Raccolte di connessioni dati attendibili
Una raccolta connessioni dati attendibile è una raccolta documenti da cui è possibile accedere ai file ODC in modo sicuro. Le raccolte connessioni dati vengono utilizzate per proteggere e gestire le connessioni dati per le cartelle di lavoro a cui si accede tramite un server che esegue Servizi di calcolo Excel. Un elenco delle raccolte connessioni dati consente di definire le raccolte connessioni dati specifiche da cui le cartelle di lavoro aperte in Servizi di calcolo Excel sono autorizzate ad accedere ai file ODC.
Se la connessione dati è collegata da una cartella di lavoro a cui accede un server che esegue Servizi di calcolo Excel, il server controlla le informazioni di connessione e l'elenco di raccolte connessioni dati attendibili. Se la raccolta connessioni dati è inclusa nell'elenco, viene eseguito un tentativo di connessione tramite il file ODC dalla raccolta connessioni dati. In caso contrario, la richiesta di connessione viene ignorata.
| Azione nel foglio di lavoro |
|---|
Utilizzare il foglio di lavoro Trusted Data Connection Libraries Worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73324&clcid=0x410) (informazioni in lingua inglese) per registrare i nomi delle raccolte connessioni dati attendibili. |
Autorizzazioni di sola visualizzazione
È possibile specificare gli utenti autorizzati esclusivamente alla visualizzazione delle cartelle di lavoro aggiungendoli al gruppo Visualizzatori di Microsoft Office SharePoint Server 2007 oppure creando un nuovo gruppo configurato con le autorizzazioni di sola visualizzazione. Il gruppo Visualizzatori è configurato con le autorizzazioni di sola visualizzazione per impostazione predefinita. Gli utenti aggiunti a un gruppo configurato con tali autorizzazioni possono visualizzare, aprire, interagire con, aggiornare e ricalcolare le cartelle di lavoro, ma non possono accedere all'origine file in alcun modo, se non utilizzando Excel Services. Ciò assicura la protezione delle informazioni proprietarie. I dati di origine non vengono mai visualizzati agli utenti designati.
Non è possibile aprire in Microsoft Office Excel 2007 le cartelle di lavoro e gli oggetti dati di cartelle di lavoro configurati con le autorizzazioni di sola visualizzazione. È tuttavia consentito il rendering in Microsoft Office Excel 2007 di uno snapshot della cartella di lavoro, in cui sono visualizzati solo i valori e la formattazione degli intervalli visualizzabili nel server.
È possibile configurare le impostazioni del sito in Microsoft Office SharePoint Server 2007 per controllare l'accesso ai dati delle cartelle di lavoro impostando le autorizzazioni di sola visualizzazione su cartelle di lavoro gestite a livello centrale di cui viene eseguito il rendering in un Web browser. È inoltre possibile configurare le impostazioni del sito in Microsoft Office SharePoint Server 2007 per consentire alle cartelle di lavoro di aggiornare i dati esterni sul server e per proteggere e gestire le connessioni dati esterne. Per salvare oggetti dati specifici come elementi di sola visualizzazione, eseguire la procedura seguente.
Salvare oggetti dati specifici come elementi di sola visualizzazione
Aprire una cartella di lavoro che contiene oggetti dati, quali grafici e tabelle, in Microsoft Office Excel 2007.
Pubblicare la cartella di lavoro in una raccolta documenti di SharePoint che sia elencata come posizione attendibile per Excel Services.
Nella casella Nome file della finestra di dialogo Salva con nome digitare l'URL della raccolta documenti di SharePoint in cui si desidera salvare il file. Assicurarsi che la casella di controllo Open this workbook in my browser after I save sia selezionata.
Fare clic su Opzioni Excel Services.
Nella finestra di dialogo Opzioni Excel Services selezionare Elementi nella cartella di lavoro dal menu a discesa.
Selezionare gli elementi di cui si desidera eseguire il rendering e quindi fare clic su OK.
Nella finestra di dialogo Salva con nome fare clic su Salva.
Connessioni dati esterne
Il componente Servizi di calcolo Excel di Excel Services viene utilizzato per eseguire la connessione a origini dati esterne. Servizi di calcolo Excel elabora le informazioni relative alle connessioni a origini dati esterne, ovvero tutte le informazioni necessarie al server per effettuare il collegamento a un'origine dati, incluse la modalità di autenticazione, la stringa di connessione e la stringa di query da utilizzare e la posizione e la modalità di raccolta delle credenziali da utilizzare per la connessione. Tali connessioni possono essere incorporate in cartelle di lavoro o in file ODC. Le informazioni sulle connessioni sono identiche in entrambe le posizioni. Il file ODC sono file di piccole dimensioni in cui le informazioni sulle connessioni sono salvate in modo permanente come testo normale e in un formato riutilizzabile.
È possibile utilizzare il client di Microsoft Office Excel 2007 per creare e modificare i file ODC e le connessioni incorporate in cartelle di lavoro. Nel client di Microsoft Office Excel 2007 è possibile eseguire la Connessione guidata dati o configurare le impostazioni nella pagina delle proprietà Connessioni. È inoltre possibile esportare un file ODC in base a tali impostazioni. Nella pagina delle proprietà Connessioni sono visualizzate le informazioni sulle connessioni, incluse le proprietà di autenticazione di Excel Services.
| Azione nel foglio di lavoro |
|---|
Utilizzare il foglio di lavoro External Data Connections Worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73323&clcid=0x410) (informazioni in lingua inglese) per registrare i nomi dei file ODC e i percorsi delle origini dati esterne corrispondenti. |
File ODC
Le cartelle di lavoro possono contenere collegamenti a file ODC e informazioni sulle connessioni incorporate. Ciò consente alle cartelle di lavoro di recuperare il file ODC, leggerne il contenuto e tentare di eseguire la connessione e un'origine dati in caso la connessione basata sulle informazioni incorporate abbia esito negativo. È necessario gestire i file ODC in modo da assicurare la correttezza delle informazioni sulle connessioni dati che contengono.
È inoltre possibile configurare Servizi di calcolo Excel in modo che utilizzi le informazioni sulle connessioni contenute nel file ODC anziché tentare prima di stabilire la connessione utilizzando le informazioni incorporate. Questo approccio consente agli amministratori di distribuire un numero ridotto di file ODC gestiti che forniscono informazioni sulle connessioni aggiornate a numerose cartelle di lavoro.
Gli autori di cartelle di lavoro possono specificare, per ogni singola connessione, le informazioni che possono essere utilizzate dalla cartella di lavoro. A tale scopo, aprire il client di Microsoft Office Excel 2007 e fare clic su Connessioni cartella di lavoro nella scheda Dati. Aggiungere una connessione a una cartella di lavoro, aprire Connessioni cartella di lavoro e quindi visualizzare le proprietà della connessione appena aggiunta. Nella scheda Definizione selezionare Usa sempre file di connessione. Questa impostazione consente alla cartella di lavoro di recuperare un file di connessione da una raccolta connessioni dati e di utilizzare le informazioni sulla connessione contenute nel file per effettuare la connessione a un'origine dati esterna. È possibile configurare questa impostazione anche selezionando Connessioni cartella di lavoro nella pagina finale della Connessione guidata dati.
Gestione dei file ODC
Le raccolte connessioni dati offrono un archivio per i file ODC. Gli amministratori possono gestire le connessioni dati sul server creando una raccolta connessioni dati e file ODC che richiedano alle cartelle di lavoro di utilizzare sempre un file di connessione. Le cartelle di lavoro che utilizzano le connessioni direttamente da una raccolta connessioni dati otterranno sempre informazioni sulle connessioni aggiornate prima di eseguire la connessione a un'origine dati.
Se le informazioni relative a un'origine dati vengono modificate (ad esempio il nome del server), sarà sufficiente aggiornare un file ODC nella raccolta connessioni dati affinché tutte le cartelle di lavoro che utilizzano tale file vengano aggiornate automaticamente all'aggiornamento successivo. È inoltre possibile utilizzare le autorizzazioni di sola visualizzazione per limitare l'accesso ai file ODC.
Funzioni definite dall'utente
Se gli scenari di distribuzione previsti includono cartelle di lavoro che contengono funzioni definite dall'utente per estendere le funzionalità di Servizi di calcolo Excel, è necessario configurare Excel Services per il supporto delle funzioni definite dall'utente.
Per configurare tale supporto, è necessario attivare le funzioni definite dall'utente per le posizioni attendibili di file contenenti cartelle di lavoro che richiedono l'accesso a tali funzioni. È inoltre necessario registrare gli assembly delle funzioni definite dall'utente nel corrispondente elenco di Excel Services. Per attivare le funzioni definite dall'utente, eseguire le procedure seguenti.
Attivare le funzioni definite dall'utente
Nella sezione Excel Services della home page Servizi condivisi fare clic su Funzioni definite dall'utente.
Nella pagina Funzioni definite dall'utente di Excel Services fare clic su Excel Services: Aggiungi assembly di funzioni definite dall'utente.
Nella casella Assembly digitare il nome sicuro dell'assembly oppure il percorso di file dell'assembly delle funzioni definite dall'utente che si desidera registrare.
In Percorso assembly eseguire le operazioni seguenti:
In caso di distribuzione di un assembly delle funzioni definite dall'utente nella cache di assembly globale (GAC) di ogni server applicazioni Servizi di calcolo Excel della farm, selezionare la cache di assembly globale.
Se si desidera salvare una funzione definita dall'utente in una directory di un server applicazioni Servizi di calcolo Excel (percorso locale) o in una condivisione di rete (percorso UNC), selezionare File locale.
Assicurarsi che la casella di controllo Attivazione assembly sia selezionata e quindi fare clic su OK.
Attivare le funzioni definite dall'utente per le cartelle di lavoro in una posizione attendibile di file
Nella sezione Excel Services della home page Servizi condivisi fare clic su Posizioni attendibili file.
Nella pagina Posizioni attendibili file di Excel Services fare clic sull'URL della posizione attendibile di file di cui si desidera modificare le proprietà.
Nella sezione Funzioni definite dall'utente della pagina Excel Services Modifica posizione attendibile file selezionare Consenti funzioni definite dall'utente e quindi fare clic su OK.
Fogli di lavoro
Utilizzare i fogli di lavoro seguenti per pianificare la protezione di Excel Services:
External Data Connections Worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73323&clcid=0x410) (informazioni in lingua inglese)
Trusted Data Connection Libraries Worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73324&clcid=0x410) (informazioni in lingua inglese)
Trusted Data Providers Worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73325&clcid=0x410) (informazioni in lingua inglese)
Trusted File Locations Worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73327&clcid=0x410) (informazioni in lingua inglese)
Scaricare il manuale
Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:
Per un elenco completo dei manuali disponibili che è possibile scaricare per Office SharePoint Server 2007, vedere Downloadable content for Office SharePoint Server 2007 (informazioni in lingua inglese).