Pianificare origini dati e connessioni esterne di Excel Services

SharePoint 2010
 

Si applica a: Excel Services (SharePoint 2010), SharePoint Server 2010

Ultima modifica dell'argomento: 2011-10-18

Per configurare Prodotti Microsoft SharePoint 2013 in modo da consentire l'aggiornamento dei dati esterni nelle cartelle di lavoro caricate in applicazione Excel Services, è necessario comprendere le relazioni e le dipendenze esistenti tra SharePoint Server 2010 e applicazione Excel Services.

Questo articolo contiene informazioni sulla configurazione dei seguenti componenti server applicazioni di SharePoint Server 2010:

  • Excel Services

  • Servizio di archiviazione sicura

Contenuto dell'articolo:

Ogni cartella di lavoro di Excel che utilizza dati esterni contiene una connessione a un'origine dati. Le connessioni sono costituite da tutto ciò che è necessario per stabilire comunicazioni con un'origine dati esterna e recuperare dati da essa. Sono inclusi gli elementi seguenti:

  • Una stringa di connessione (stringa che specifica a quale server connettersi e come eseguire la connessione).

  • Una query (stringa che specifica i dati da recuperare).

  • Altri elementi specifici necessari per ottenere i dati.

Le cartelle di lavoro di Excel possono contenere connessioni incorporate e collegate. Le connessioni incorporate sono archiviate internamente come parte della cartella di lavoro. Le connessioni collegate sono archiviate esternamente come file separati a cui può fare riferimento una cartella di lavoro.

Le connessioni incorporate e quelle collegate funzionano nello stesso modo. Entrambe specificano tutti i parametri necessari per una corretta connessione ai dati. I file di connessione collegata possono essere archiviati, protetti, gestiti e riutilizzati centralmente. Rappresentano una valida scelta quando si pianifica un approccio globale per consentire a un vasto gruppo di utenti di connettersi a dati esterni. Per ulteriori informazioni, vedere Raccolte connessioni dati e connessioni gestite.

Per una singola connessione, una cartella di lavoro può includere sia una copia incorporata delle informazioni di connessione, sia un collegamento a un file di connessione esterno. La connessione può essere configurata per utilizzare sempre un file di connessione esterno per l'aggiornamento dei dati da un'origine dati esterna. In questo esempio, se non è possibile recuperare il file di connessione esterna o se non si riesce a stabilire una connessione con l'origine dati, la cartella di lavoro non può recuperare i dati. Se la connessione non è configurata per utilizzare solo un file di connessione esterno, Excel cerca di utilizzare la copia incorporata di una connessione. Se l'operazione non riesce, Excel tenta di utilizzare il file di connessione per connettersi all'origine dati esterna. La capacità di indicare che solo i file di connessione possono essere usati per stabilire un collegamento di comunicazione a un'origine dati esterna fornisce il supporto per gli scenari di connessioni gestite descritti in Raccolte connessioni dati e connessioni gestite.

Excel Services può utilizzare connessioni da un file di connessione esterna e connessioni incorporate nelle cartelle di lavoro. Esistono alcune restrizioni per i file di connessione esterna. Per ulteriori informazioni, vedere Sicurezza di Excel Services e dati esterni. Se entrambi i tipi di connessione sono consentiti sul server, il comportamento da adottare corrisponde a quello di Excel descritto in precedenza.

Per motivi di sicurezza, applicazione Excel Services può essere configurato per consentire solo connessioni da file di connessione. In questo caso, tutte le connessioni incorporate vengono ignorate per le cartelle di lavoro caricate sul server e le connessioni vengono tentate solo quando è disponibile un collegamento a un file di connessione valido che sia ritenuto attendibile dall'amministratore del server. Per ulteriori informazioni, vedere Raccolte connessioni dati attendibili.

NotaNote
Esistono molti tipi di file di connessione e applicazione Excel Services supporta solo i file di connessione dati di Office (con estensione odc).

I provider di dati sono driver utilizzati dalle applicazioni client, ad esempio Excel e applicazione Excel Services, per connettersi a origini dati specifiche. Ad esempio, un provider di dati MSOLAP speciale viene utilizzato per la connessione a Microsoft SQL Server 2008 Analysis Services. Il provider di dati verrà specificato al momento della connessione nella stringa di connessione. Non è necessario avere una conoscenza approfondita dei provider di dati per gli scopi di questo articolo, ma è necessario capire i concetti seguenti:

  • I provider di dati in genere sono gruppi di raccolte collaudati e stabili che possono essere utilizzati per la connessione ai dati esterni.

  • I provider di dati utilizzati da Excel Services devono essere considerati attendibili in modo esplicito dall'amministratore del server. Per informazioni sull'aggiunta di un nuovo provider di dati all'elenco dei provider attendibili, vedere Manage Excel Services connections (SharePoint Server 2010).

    NotaNote
    Per impostazione predefinita, molti provider di dati noti e consolidati sono considerati attendibili da applicazione Excel Services. Nella maggior parte dei casi non è necessario aggiungere un nuovo provider di dati. I provider di dati in genere vengono aggiunti per le soluzioni personalizzate.
  • I provider di dati gestiscono le query, l'analisi delle stringhe di connessione e altra logica specifica della connessione. Questa funzionalità non fa parte di applicazione Excel Services. applicazione Excel Services non è in grado di controllare il comportamento dei provider di dati.

I server dei dati richiedono l'autenticazione degli utenti, che equivale a identificarsi nel server. Il passaggio successivo è l'autorizzazione, ovvero la comunicazione al server delle operazioni consentite associate all'utente. L'autenticazione è necessaria per consentire al server dei dati di eseguire l'autorizzazione o per applicare restrizioni di protezione che impediscano l'esposizione dei dati a utenti non autorizzati.

applicazione Excel Services deve comunicare all'origine dati quale utente sta richiedendo i dati. Nella maggior parte degli scenari si tratta dell'utente che visualizza un rapporto di Excel in un browser. In questa sezione viene spiegato come avviene l'autenticazione tra applicazione Excel Services e l'origine dati esterna. L'autenticazione a questo livello è illustrata nel diagramma seguente. La freccia sul lato destro indica il collegamento di autenticazione da un server applicazioni che esegue Servizi di calcolo Excel a un'origine dati esterna.

Excel Services - autenticazione per dati esterni
NotaNote
applicazione Excel Services accede alle origini dati esterne utilizzando un'identità di Windows delegata. Le origini dati esterne devono pertanto risiedere nello stesso dominio della farm di SharePoint Server 2010 oppure applicazione Excel Services deve essere configurato per l'utilizzo del servizio di archiviazione sicura. Se tale servizio non viene utilizzato e le origini dati esterne non risiedono nello stesso dominio, l'autenticazione nelle origine dati esterne avrà esito negativo. Per ulteriori informazioni, vedere le Considerazioni per la pianificazione dei servizi che accedono a origini dati esterne in "Pianificazione dell'architettura dei servizi".

Esistono diversi modi per implementare l'autenticazione. In questo articolo vengono descritti tre metodi supportati da applicazione Excel Services:

  • Autenticazione integrata di Windows

  • Servizio di archiviazione sicura

  • Nessuna

applicazione Excel Services determina il tipo di autenticazione in base a una proprietà della connessione. Questa proprietà deve essere impostata esplicitamente e tale operazione può essere eseguita tramite il client di Microsoft Excel 2010. Se il tipo di autenticazione non è specificato, viene tentato l'utilizzo dell'autenticazione di Windows, che corrisponde all'impostazione predefinita.

SharePoint Server 2010 utilizza l'autenticazione basata su attestazioni, pertanto anche applicazione Excel Services utilizza questo tipo di autenticazione. L'autenticazione integrata di Windows viene ora utilizzata esclusivamente per le impostazioni di autenticazione di IIS in SharePoint Server 2010. Si noti inoltre che quando applicazione Excel Services si connette a un'origine dati ospitata in un server diverso dal server che ospita applicazione Excel Services, è necessario configurare la delega vincolata Kerberos. In altre parole, quando applicazione Excel Services si connette a un'origine dati esterna, è necessario configurare e distribuire la delega vincolata Kerberos.

Questo metodo utilizza l'identità utente di Windows per l'autenticazione rispetto a un'origine dati. Per gli scopi di questo articolo non è importante conoscere il meccanismo specifico utilizzato dal sistema operativo per eseguire questa operazione (ad esempio NTLM o delega vincolata). L'autenticazione di Windows è in genere il metodo predefinito per l'accesso a dati esterni quando si utilizza un client di Excel per connettersi alle origini dati, ad esempio SQL Server 2008 Analysis Services.

Nella maggior parte degli ambienti aziendali applicazione Excel Services viene impostato all'interno di una farm con il server Web front-end, il server applicazione Excel Services back-end e l'origine dati, tutti eseguiti su computer diversi, come illustrato nel diagramma presente in Autenticazione per dati esterni. Sarà pertanto necessario ricorrere alla delega, o protocollo Kerberos, (è consigliata la delega vincolata) per consentire le connessioni dati che utilizzano l'autenticazione di Windows, poiché la delega è necessaria per garantire che le identità utente possano essere comunicate da un computer all'altro in modo attendibile e sicuro. Nel caso della distribuzione in una farm, questi tipi di connessioni funzioneranno in applicazione Excel Services solo se il protocollo Kerberos è configurato correttamente. Per ulteriori informazioni su come configurare la delega vincolata Kerberos per applicazione Excel Services, nell'Area download Microsoft vedere la pagina Configurazione dell'autenticazione Kerberos per i prodotti Microsoft SharePoint 2010 (le informazioni potrebbero essere in lingua inglese).

SharePoint Server 2010 utilizza l'autenticazione del servizio di archiviazione sicura includendo un servizio Windows e un database di credenziali sicure. applicazione Excel Services supporta la funzionalità del servizio di archiviazione sicura con la quale è possibile implementare il proprio provider del servizio di archiviazione sicura. SharePoint Server 2010 mette a disposizione un provider predefinito del servizio di archiviazione sicura con applicazione Excel Services.

Il servizio di archiviazione sicura è un database centralizzato che viene spesso utilizzato per la memorizzazione delle credenziali (una coppia di ID utente e password) che possono essere utilizzate dalle applicazioni per autenticare altre applicazioni. In questo caso, applicazione Excel Services si basa sul servizio di archiviazione sicura per memorizzare e recuperare le credenziali da utilizzare per l'autenticazione nelle origini dati esterne.

Ogni voce del servizio di archiviazione sicura include un ID di applicazione che funge da valore di ricerca e che viene utilizzato per recuperare l'insieme appropriato di credenziali. Per ogni ID di applicazione possono essere impostate autorizzazioni affinché solo utenti o gruppi specifici possano accedere alle credenziali memorizzate per tale ID di applicazione.

Quando viene specificato un ID di applicazione, applicazione Excel Services recupera le credenziali dal database del servizio di archiviazione sicura per l'utente che accede alla cartella di lavoro, tramite il browser o Servizi Web Excel. Tali credenziali vengono quindi utilizzate da applicazione Excel Services per eseguire l'autenticazione nell'origine dati e recuperare i dati.

NotaNote
È necessario specificare l'ID di applicazione per la connessione. Per informazioni su questa operazione, vedere Utilizzare Excel Services con l'archivio sicuro (SharePoint Server 2010).

Con questo metodo di autenticazione non deve essere eseguito alcun recupero delle credenziali e non vengono intraprese azioni speciali per l'autenticazione della connessione. Ad esempio, applicazione Excel Services non tenta di delegare le credenziali né di recuperare credenziali archiviate per l'utente dal database di archiviazione sicura. Selezionando Nessuna come metodo di autenticazione è possibile connettersi al database di archiviazione sicura come account del processo e recuperare le credenziali da utilizzare. In tali casi applicazione Excel Services passa la stringa di connessione al provider di dati, a cui lascia gestire l'autenticazione.

In termini più pratici ciò significa che in genere una stringa di connessione specifica un nome utente e una password per connettersi a un'origine dati. A volte, tuttavia, la stringa di connessione specifica di utilizzare la sicurezza integrata. Ciò significa che viene utilizzata l'identità di Windows dell'utente o del computer che genera la richiesta per la connessione all'origine dati. In entrambi i casi viene innanzitutto rappresentato l'account automatico e quindi viene stabilita la connessione all'origine dati. La stringa di connessione e il provider determinano il metodo di autorizzazione. È inoltre possibile basare l'autorizzazione sulle credenziali trovate nella stringa di connessione o nell'identità di Windows dell'account automatico rappresentato. Per ulteriori informazioni, vedere Account automatico.

Una raccolta connessioni dati è un elenco di SharePoint Server 2010 deputato ad archiviare i file di connessione a cui possono fare riferimento le applicazioni Office 2010, ad esempio applicazione Excel Services.

Le raccolte connessioni dati consentono ai clienti di gestire centralmente, proteggere, memorizzare e riutilizzare le connessioni dati.

Poiché la raccolta connessioni dati si trova in una posizione nota in SharePoint Server 2010 e utilizza nomi descrittivi e descrizioni, gli utenti possono riutilizzare le connessioni create da altri utenti e configurarle per le proprie esigenze. Le connessioni possono essere create da un Information Worker competente o un esperto di dati, mentre gli altri utenti possono riutilizzarle senza dover conoscere i dettagli relativi ai provider di dati, ai nomi dei server o all'autenticazione. La posizione della raccolta connessioni dati può anche essere pubblicata nei client di Office, in modo che le connessioni dati vengano visualizzate in applicazione Excel Services o in qualunque altra applicazione client che utilizza la raccolta connessione dati. Per ulteriori informazioni, vedere Manage Excel Services connections (SharePoint Server 2010).

Poiché le cartelle di lavoro contengono un collegamento al file nella raccolta connessioni dati, se qualche aspetto relativo alla connessione viene modificato, ad esempio il nome del server o un ID di applicazione di archiviazione sicura, è necessario aggiornare solo un file di connessione anziché le potenzialmente innumerevoli cartelle di lavoro. Le cartelle di lavoro otterranno automaticamente le modifiche apportate alla connessione al successivo utilizzo di tale file di connessione per l'aggiornamento da Excel o in applicazione Excel Services.

La raccolta connessioni dati è un elenco di SharePoint che supporta tutte le autorizzazioni create da SharePoint Server 2010, incluse le autorizzazioni per cartella e per singolo elemento. Il vantaggio offerto da questa soluzione sul server è che una raccolta connessioni dati può diventare un archivio di connessioni dati bloccato, sottoposto a un controllo elevato. Molti utenti possono ottenere l'accesso in sola lettura a tale archivio: in tal modo potranno utilizzare le connessioni dati, ma non potranno aggiungere nuove connessioni. Utilizzando gli elenchi di controllo di accesso con la raccolta connessioni dati e consentendo solo agli autori attendibili di caricare le connessioni, la raccolta connessioni dati diventa un archivio di connessioni di tipo trusted. Le connessioni trusted sono connessioni che notoriamente non contengono query dannose.

applicazione Excel Services può essere configurato per caricare i file di connessione solo da raccolte connessioni dati che sono considerate esplicitamente attendibili dall'amministratore del server e per bloccare il caricamento di tutte le connessioni incorporate. In questa configurazione, applicazione Excel Services utilizza la raccolta connessioni dati per applicare un altro livello di sicurezza alle connessioni dati.

Le raccolte connessioni dati possono anche essere utilizzate con il nuovo ruolo Visualizzatore di SharePoint Server 2010, che consente di utilizzare tali connessioni per aggiornare le cartelle di lavoro caricate in applicazione Excel Services. Se viene applicato il ruolo Visualizzatore, gli utenti non possono accedere al contenuto del file di connessione da un'applicazione client, ad esempio Excel. Il contenuto del file di connessione è quindi protetto, ma può ancora essere utilizzato per le cartelle di lavoro aggiornate nel server.

applicazione Excel Services dispone di molti livelli di sicurezza. Nelle sottosezioni seguenti vengono esaminati solo i concetti direttamente pertinenti all'accesso ai dati esterni.

applicazione Excel Services carica le cartelle di lavoro solo da percorsi attendibili file, ovvero directory (che può includere tutte le sottodirectory) da cui l'amministratore ha esplicitamente consentito il caricamento delle cartelle di lavoro. Tali directory vengono aggiunte a un elenco interno di applicazione Excel Services, definito elenco di percorsi attendibili file.

È possibile che per le cartelle di lavoro caricate dai percorsi attendibili venga specificato un set di restrizioni. Tutte le cartelle di lavoro caricate da un percorso attendibile devono rispettare le impostazioni di tale percorso. Di seguito è riportato un breve elenco delle impostazioni dei percorsi attendibili che riguardano i dati esterni:

  • Modalità di accesso ai dati esterni. Le opzioni possibili includono:

    • Accesso ai dati non consentito (impostazione predefinita).

    • Consentiti solo file di connessione in una raccolta connessioni dati di SharePoint Server 2010.

    • Consentite le connessioni incorporate nelle cartelle di lavoro oltre ai file di connessione da una raccolta connessioni dati.

  • Visualizzazione o meno degli avvisi di aggiornamento delle query.

  • Blocco del caricamento della cartella di lavoro qualora i dati esterni non vengano aggiornati all'apertura della cartella di lavoro. Questa opzione viene utilizzata in scenari in cui la cartella di lavoro include risultati di dati memorizzati nella cache che cambiano a seconda dell'identità dell'utente che visualizza la cartella di lavoro. L'obiettivo è nascondere questi risultati memorizzati nella cache e assicurarsi che qualsiasi utente che visualizza la cartella di lavoro possa visualizzare solo i dati che lo riguardano. In questo caso, la cartella di lavoro tenterà di eseguire l'aggiornamento all'apertura. È possibile impostare l'aggiornamento all'apertura per ogni connessione. Se l'aggiornamento non riesce, la cartella di lavoro non viene visualizzata agli utenti che non possono aprirla nel client di Excel.

    NotaNote
    Questo meccanismo funziona solo se la cartella di lavoro è bloccata in base alle autorizzazioni del ruolo Visualizzatore in SharePoint Server 2010, perché un utente che può aprire la cartella di lavoro direttamente in Excel può sempre visualizzare i risultati dei dati memorizzati nella cache.
  • Tempi di scadenza della cache dei dati esterni. I dati vengono condivisi tra molti utenti sul server per migliorare la scalabilità e le prestazioni e la durata della cache può essere regolata. Questo aspetto è utile in scenari in cui l'esecuzione di query deve essere mantenuta al minimo perché potrebbe essere necessario molto tempo per eseguire la query. In questi scenari, i dati spesso vengono modificati solo su base giornaliera, settimanale o mensile anziché subire modifiche ogni minuto o ogni ora.

Analogamente ai file delle cartelle di lavoro, applicazione Excel Services carica solo i file di connessione da raccolte connessioni dati attendibili di SharePoint Server 2010. Una raccolta connessioni dati attendibile è una raccolta che l'amministratore del server ha aggiunto in modo esplicito a un elenco attendibile interno. Per informazioni sul modo in cui le raccolte connessioni dati consentono a un amministratore di proteggere e gestire i file di connessione, vedere Raccolte connessioni dati e connessioni gestite. Per informazioni sull'attendibilità di una raccolta connessioni dati da utilizzare con applicazione Excel Services, vedere Manage Excel Services connections (SharePoint Server 2010).

applicazione Excel Services utilizza solo i provider di dati esterni che vengono aggiunti a un elenco interno di provider attendibili. Questo è un meccanismo di sicurezza che impedisce al server di utilizzare provider che l'amministratore non considera attendibili. Per informazioni sull'attendibilità di un provider di dati, vedere Manage Excel Services connections (SharePoint Server 2010).

L'account automatico è un account speciale che applicazione Excel Services rappresenta ogni volta che tenta di eseguire una connessione per la quale è selezionato il metodo di autenticazione Nessuna, indipendentemente dal fatto che l'origine dati utilizzi l'autenticazione integrata di Windows. Poiché applicazione Excel Services non ha alcun controllo sui provider di dati e non analizza direttamente le stringhe di connessione specifiche dei provider, deve poter ridurre le minacce per la sicurezza nei casi in cui è possibile utilizzare l'identità di applicazione Excel Services per connettersi a un'origine dati. L'account automatico viene utilizzato per ridurre tali minacce.

applicazione Excel Services viene spesso eseguito con un account con privilegi elevati. Questo livello di autorizzazione non è appropriato per gli utenti che desiderano solo visualizzare i dati. Se l'autenticazione per i dati esterni è impostata su Nessuna o Servizio di archiviazione sicura, dove le credenziali di Windows non vengono memorizzate nell'ID di applicazione del servizio di archiviazione sicura, l'account automatico viene rappresentato prima di tentare la connessione ai dati. Poiché non è previsto che l'account automatico disponga di autorizzazioni per accedere all'origine dati, vengono impedite connessioni fortuite o pericolose alle origini dati nell'ambito di un account con privilegi.

Se l'account automatico può accedere all'origine dati (quando il tipo di autenticazione è impostato su Nessuna), viene stabilita una connessione utilizzando le credenziali dell'account di servizio automatico. Prestare attenzione quando si progettano soluzioni che utilizzano deliberatamente questo account per connettersi a dati. Si tratta di un account singolo che potenzialmente può essere utilizzato da qualsiasi cartella di lavoro sul server. Qualsiasi utente che carica una cartella di lavoro su applicazione Excel Services e imposta il tipo di autenticazione su Nessuna potrebbe essere in grado di visualizzare i dati utilizzando il server. In alcuni casi, ciò potrebbe essere necessario. Tuttavia, il servizio di archiviazione sicura rappresenta la soluzione preferenziale per la gestione delle password per singolo utente o gruppo.

Mostra: