SharePoint Server 2013 での Excel Services 用のデータ認証

 

適用先:SharePoint Server 2013

トピックの最終更新日:2016-12-16

概要  Excel Services が SQL Server Analysis Services (SSAS)、SQL Server データベース、および OLE DB/ODBC データ ソースとの接続をどのようにサポートしているかについて説明します。

データ ソースからデータを取得するには、ユーザーがデータ ソースに認証され、さらに、そのデータ ソース内のデータへのアクセスが許可される必要があります。ブックの場合、ブックの接続先データを更新するには、そのブックを表示するユーザーの代わりに Excel Services がデータ ソースに認証されます。

データを取得するときに Excel Services で使用できる認証方法は、以下の表に示す、基になるデータ ソースの種類によって異なります。データ ソースが複数の認証方法をサポートしている場合は、データ接続でどの認証方法を使用するかを指定する必要があります。

Excel Services のデータ ソースと認証方法

データ ソース 認証方法

Analysis Services

  • Windows 認証 (統合セキュリティ)

    • Kerberos の制約付き委任の使用

    • Secure Store の使用

    • 無人サービス アカウントの使用

  • EffectiveUserName 接続文字列プロパティの使用

SQL Server

次のいずれか:

  • Windows 認証 (統合セキュリティ)

    • Kerberos の制約付き委任の使用

    • Secure Store の使用

    • 無人サービス アカウントの使用

  • SQL Server 認証

カスタム データ プロバイダー

データ ソースごとに異なります。一般的には、接続文字列に格納されたユーザー名とパスワードのペアを使用します。

また、カスタム データ プロバイダーを使用することもできます。

以下のデータ ソースは、Excel でサポートされていますが、Excel Services ではサポートされていません。

  • Access データベース

  • Web コンテンツ

  • XML データ

  • Microsoft Azure Marketplace

  • テキスト ファイル

Excel Services は、SQL Server、Analysis Services、カスタム OLE DB/ODBC データ プロバイダーなど、各種外部データ ソースに接続できます。Excel Services はデータ ソースへの接続に、各データ ソースの特定のデータ プロバイダーを使用します。

セキュリティ上の理由により、Excel Services データ プロバイダーを使用する前に、そのデータ プロバイダーを明示的に信用する必要があります。信頼できるデータ プロバイダーは、SharePoint サーバーの全体管理 Web サイトで Excel Services サービス アプリケーション設定の一部として構成できます。

SQL Server データ ソースには、次のどちらかの方法で接続できます。

  • Windows 認証

  • SQL Server 認証

Analysis Services データ ソースには、Windows 認証を使用して接続できます。

その他のデータ ソースでは接続文字列を使用します。通常、接続文字列は、ユーザー名とパスワードで構成されます。

Excel Services ブックでは、次の 2 種類のどちらかの接続を使用します。

  • 埋め込み接続

  • リンク接続

埋め込み接続は Excel Services ブックの一部として格納されます。リンク接続は、ブックの一部としてではなく、Office データ接続 (ODC) ファイルに格納されます。ブックでリンク接続を使用するには、信頼できるデータ接続ライブラリで、ブックと同じファーム内に格納される .odc ファイルを参照する必要があります。各データ接続は、次の要素で構成されます。

  • 接続文字列

  • クエリ文字列

  • 認証方法

  • 外部データの取得に必要なメタデータ (オプション)

以下で説明するように、どちらの接続にも長所と短所があります。状況に応じて、最適な接続を選択してください。

Excel Services のデータ接続の比較

接続の種類 埋め込み接続 ODC ファイル

メリット

  • 接続情報はすべてブックに格納されます。

  • 埋め込み接続では、サポートの管理オーバーヘッドはほとんど発生しません。

  • 埋め込み接続は容易に作成できます。

  • リンク接続では、データ接続ライブラリを使用することで、格納、管理、監査、共有、およびアクセスを一元的に制御できます。

  • ブック作成者は、クエリや接続文字列を作成しなくても、既存の接続を使用できます。

  • データ ソースのデータ接続の詳細に変更が生じた場合、管理者はそれに応じて ODC ファイルを更新するだけで十分です。その ODC ファイルを参照するブックを更新すると、そのブックに新しい接続情報が反映されます (このシナリオの例として、データベース サーバーが移動された場合や、データベース名が変更された場合があります)。

欠点

  • データ ソースのデータ接続の詳細に変更が生じた場合、そのデータ ソースへの埋め込み接続を含むブックはすべて、新しい接続情報を反映して再発行する必要があります。

  • SharePoint 管理者が埋め込みデータ接続を監査するのは非常に困難です。

  • リンク接続を共有、管理、およびセキュリティ保護するには、SharePoint 管理者の介入が必要となる場合があります。

  • リンク接続はクリア テキストで保存されます。リンク接続にはデータベースのパスワードが含まれている場合があります。これらのファイルをセキュリティ保護するために、特別な注意が必要です。

SQL Server、Analysis Services などのエンタープライズ規模のデータ ソースに接続する必要があるシナリオでは、ODC ファイルを使用したリンク データ接続を選択してください。リンク データ接続が最も効果的なのは、リンク データ接続を多数のユーザー間で共有したり、接続を管理者が制御したりする必要がある場合です。

メモメモ:
ODC ファイルを Excel Services で使用できるようにするには、最初に Excel で作成してから、SharePoint Server にエクスポートする必要があります。

広く使用されないデータ接続が必要なシナリオでは、埋め込み接続を選択します。

ODC ファイルは、信頼できるデータ接続ライブラリに格納する必要があります。このようなドキュメント ライブラリでデータ接続を一元管理する方法には、いくつかの利点があります。

  • 管理者が、データ接続ライブラリへの書き込みアクセスを、信頼できるデータ接続作成者のみに制限できます。こうすることで、ブック作成者は、綿密なテストが実施済みで、かつセキュリティ保護されたデータ接続のみを使用できるようになります。

  • 管理者は、単一の場所から大規模なユーザー グループのデータ接続を管理できます。

  • 管理者が、ドキュメント ライブラリのバージョン管理およびワークフロー機能を使用して、データ接続ファイルを容易に承認、監査、復元、および管理できます。

  • データ接続ライブラリは、Visio、Visio Services、InfoPath 2013、InfoPath Forms Services、Word など、他の Office アプリケーション間で再利用できます。

  • ブック作成者は単一の場所でのみブック データ接続を検索します。したがって、混乱が少なく、ユーザー トレーニングを実施する手間を省くことができます。

データ接続ライブラリの作成方法については、「[方法] データ接続ライブラリを作成および使用する」(https://go.microsoft.com/fwlink/p/?LinkID=188117) を参照してください。ODC ファイルの作成方法については、「外部データへの接続を作成、編集、および管理する」(https://go.microsoft.com/fwlink/p/?LinkID=196894) を参照してください。

Windows 認証では、Excel Services はデータ ソースに Windows 資格情報を渡す必要があります。このような資格情報は Windows ネットワークで一般的なもので、Windows ドメインへのログオン時や、Exchange Server を実行するコンピューターへの接続時に使用する資格情報と同じです。Windows 資格情報は、SQL Server データベースへのアクセスを制御する方法として、最も安全で最も管理性の高い方法であると認識されています。ただし、Excel Services で Windows 認証を使用する場合は 1 つだけ障害があります。それは、Windows ダブル ホップ セキュリティ対策です。これが障害となり、ユーザーの資格情報を Windows ネットワーク内の複数のコンピューターに渡すことができません。そのため、Excel Services が多層システムの場合は、Excel Services がエンドユーザーに代わってデータを取得できるように特殊な認証方法が必要です。

サーバーに渡される資格情報の図

どの認証方法を選択するかは、以下の表で説明するさまざまな要因によって異なります。状況に応じて、最適な認証方法を選択してください。

認証方法の比較

認証方法

Kerberos 委任

Secure Store

無人サービス アカウント

有効なユーザー名

説明

Kerberos の制約付き委任を使用して、ブック表示者の Windows 資格情報がデータ ソースに直接送信されます。

Secure Store Service を使用して、表示者の Windows 資格情報が Secure Store のターゲット アプリケーションに指定された別の資格情報にマップされます。

Secure Store Service を使用して、表示者すべてが、Excel Services のグローバル設定に指定された特定の Secure Store のターゲット アプリケーションに格納される一意の資格情報 (無人サービス アカウントと呼ばれる) にマップされます。

EffectiveUserName グローバル設定を使用すると、ユーザーのドメイン ユーザー名が Analysis Services データ ソースに渡されます。

データ接続資格情報

ブック表示者の Windows 資格情報。

Secure Store のターゲット アプリケーションに指定された資格情報。

無人サービス アカウントの資格情報。

Excel Services プロセスの ID の資格情報。

メリット

  • Kerberos プロトコルは資格情報管理の業界標準です。

  • Kerberos は既存の Active Directory インフラストラクチャに結合されます。

  • Kerberos 委任により、データ ソースへの個々のアクセスの監査が許可されます。

  • ブック表示者の ID がわかっている場合、ブック作成者は、個人用のデータベース クエリを ブックに埋め込むことができます。

  • Secure Store Service は SharePoint Server の一部で、Kerberos よりも構成が容易です。

  • マッピングは柔軟に行うことができます。ユーザーを一対一または多対一のどちらでもマッピングできます。

  • Windows 以外の資格情報を使用して、Windows 資格情報を受け付けないデータ ソースに接続できます (無人サービス アカウントも構成する必要があります)。

  • Excel Services に対して作成されたマッピングは、Visio Services などの他のビジネス インテリジェンス アプリケーションで再利用できます。

  • 無人サービス アカウントは容易に展開および設定できます。

  • 無人サービス アカウントは管理オーバーヘッドをあまり必要としません。

  • Kerberos 委任を構成せずに、ユーザーごとのデータ セキュリティを実現できます。

  • 構成と管理オーバーヘッドを最小限に抑えられます。

欠点

  • SharePoint Server と Excel Services の構成に追加の管理作業が必要です。

  • マッピング テーブルを作成および管理するのに多少の管理オーバーヘッドが必要です。

  • Secure Store で許可される監査には制限があります。多対一のシナリオでは、各ユーザーはターゲット アプリケーションを介して同じ資格情報にマップされて、1 名のユーザーに効果的に組み合わされます。

  • すべてのユーザーが同じ資格情報にマップされると、管理者はデータ ソースにアクセスしたユーザーを識別できません。

  • Analysis Services データ ソースでしか動作しません。

認証操作を正常に行うには

  • SharePoint Server に Kerberos 委任を設定する必要があります。

  • Secure Store Service を準備して、ファームに構成する必要があります。また、Secure Store Service に、特定のユーザー用の適切なマッピング情報を含める必要もあります。さらに、マッピング情報を定期的に更新して、マップされたアカウントのパスワードの変更を反映する必要もあります。

  • Secure Store Service を準備して、ファームに構成する必要があります。また、Secure Store Service に、無人サービス アカウント用の資格情報を含める必要もあります。さらに、マッピング情報を定期的に更新して、マップされたアカウントのパスワードの変更を反映する必要もあります。

  • 無人サービス アカウントを使用するように Excel Services グローバル設定を構成する必要があります。

  • EffectiveUserName オプションを Excel Services グローバル設定で有効にする必要があります。

  • ユーザーは適切な Analysis Services ロールのメンバーである必要があります。

Windows 認証をサポートするエンタープライズ規模のリレーショナル データ ソースに対する迅速、かつセキュリティ保護された認証には、Kerberos 委任を選択してください。Kerberos 委任の構成については、次の資料を参照してください。

Windows 認証をサポートしない可能性があるエンタープライズ規模のリレーショナル データ ソースに対する認証には、Secure Store を選択してください。また、Secure Store は、ユーザー資格情報のマッピングを制御するシナリオでも役立ちます。

Excel Services での Secure Store の使用については、「SharePoint Server 2013 の Secure Store Service で Excel Services を使用する」を参照してください。

容易に構成できるように、Excel Services には特殊な構成が用意されています。この構成を使用すると、管理者は、すべてのユーザーを単一の資格情報にマップする一意のマッピングを作成できます。

このアカウントは無人サービス アカウントと呼ばれ、低い権限の Windows ドメイン アカウントである必要があります。Excel Services は、ブック表示者の代わりにデータ ソースに接続するときに、このアカウントを偽装します。

このアカウントにはネットワーク権限をできるだけ与えないことをお勧めします。一般的には、ネットワークへのログインのアクセスと、ユーザーの接続先データ ソースへのアクセス以外は与えません。最適なセキュリティを確保するには、無人サービス アカウントに SharePoint 構成およびコンテンツ データベースへのアクセスを与えないでください。

無人サービス アカウントは、次のシナリオで Excel Services によって使用されます。

  • ODC ファイルによって、無人サービスの使用が指定されている

  • 埋め込みデータ接続によって、無人サービス アカウントが指定されている

  • Secure Store ターゲット アプリケーションに格納された SQL 資格情報を使用している

メモメモ:
無人サービス アカウントは Windows タイプのローカル コンピューター アカウントとして使用できます。無人サービス アカウントをローカル コンピューター アカウントとして構成する場合は、Excel Services を実行するすべてのアプリケーション サーバーを同じ構成にします。管理上の理由により、ベスト プラクティスはドメイン アカウントを使用することです。

セキュリティの重要性が低い、または迅速な展開が求められる小規模なアドホック展開に接続するときは、無人サービス アカウントを選択してください。

Excel Services での無人サービス アカウントの使用については、「SharePoint Server 2013 で無人サービス アカウントを使用して Excel Services データ更新を構成する」を参照してください。

SQL Server 認証では、Excel Services は、認証対象となる SQL Server データ ソースに SQL Server ユーザー名とパスワードを提示する必要があります。Excel Services は接続文字列をデータ ソースに渡します。接続文字列には、ユーザー名とパスワードが含まれている必要があります。

ユーザー名とパスワードが Secure Store ターゲット アプリケーションに格納されている場合 (最適なセキュリティを確保するための推奨事項)、Excel Services は無人サービス アカウントを偽装し、接続の確立時に SQL 資格情報が接続のプロパティとして設定されます。

一般に、サードパーティのデータ ソースに対する認証では、Excel Services は、データ ソースにユーザー名とパスワードを提示する必要があります。

ユーザー名およびパスワードがブックまたは ODC ファイルに格納されている場合、Excel Services は、ブックまたは ODC ファイルのどちらかの [Excel Services の認証の設定] で選択されているオプションに応じて Windows ID を偽装します。

ユーザー名とパスワードが Secure Store ターゲット アプリケーションに格納されている場合 (最適なセキュリティを確保するための推奨事項)、Excel Services は無人サービス アカウントを偽装し、接続の確立時に SQL 資格情報が接続のプロパティとして設定されます。

Excel Services は、次のどちらか、またはいくつかのデータ ソースに接続されたブックの更新をサポートしています。

  • SQL Server

  • SQL Server Analysis Services (SSAS)

メモメモ:
上記の一覧に、接続先データ ソースが含まれていない場合は、カスタム データ プロバイダーを作成して、データ ソースのサポートを追加できます。これにより、Excel Services で使用できる 1 つのデータ ソースに既存のデータ ソースをまとめることができます。

Excel Services で次の手順を実行することにより、外部データが更新されます。

  1. ブックの作成:   ブック作成者が、SharePoint Server 2013にデータ接続されたブックをアップロードします。

  2. 更新の発生:   ブック表示者が、データ接続されたブックの更新を開始します。

  3. データ接続:   Excel Services が、ブック内の個々の外部データ ソースのデータ接続情報を取得します。

  4. 信頼できるデータ プロバイダー:   Excel Services が、データの取得に使用できる、信頼できるデータ プロバイダーの有無を確認します。

  5. 認証:   Excel Services が、データ ソースに認証され、要求されたデータをブック表示者の代わりに取得します。

  6. ブックの更新:   Excel Services が、データ ソースのデータに基づいてブックを更新し、そのブックを表示者に返します。

更新は、ブラウザー内から次のどちらかの場合に開始できます。

  • エンドユーザーがブックを開く (ブックが開いたときに更新されるように構成されている場合)。

  • 既に開いているブック内でエンドユーザーが更新ボタンをクリックする。

このブックがまだ一度もキャッシュされていない場合は、上記のどちらの操作が行われてもブックは更新されます。

表示: