Planejar fontes de de dados e conexões externas dos Serviços do Excel

  • Artigo

 

Aplica-se a: Excel Services (SharePoint 2010), SharePoint Server 2010

Tópico modificado em: 2011-10-18

Para configurar o Produtos do Microsoft SharePoint 2010 para permitir que as pastas de trabalho carregadas nos Aplicativo de Serviços do Excel atualizem adequadamente os dados externos, é preciso entender as relações e dependências entre o SharePoint Server 2010 e os Aplicativo de Serviços do Excel.

Este artigo contém diretrizes que podem ajudá-lo a configurar os seguintes componentes de servidor de aplicativos do SharePoint Server 2010:

  • Serviços do Excel

  • Serviço de Repositório Seguro

Neste artigo:

  • Conexões e pastas de trabalho do Excel

  • Provedores de dados

  • Autenticação em dados externos

  • Bibliotecas de conexões de dados e conexões gerenciadas

  • Segurança dos Serviços do Excel e dos dados externos

Conexões e pastas de trabalho do Excel

Cada pasta de trabalho do Excel que usa dados externos contém uma conexão com uma fonte de dados. Conexões consistem em tudo o que é necessário para estabelecer comunicações com uma fonte de dados externa e recuperar dados dessa fonte. Isso inclui:

  • Uma cadeia de conexão (cadeia de caracteres que especifica o servidor para conexão e como se conectar a ele).

  • Uma consulta (cadeia de caracteres que especifica quais dados recuperar).

  • Quaisquer outras especificações exigidas para obter os dados.

Conexões inseridas e vinculadas

As pastas de trabalho do Excel podem conter conexões inseridas e conexões vinculadas. As conexões inseridas são armazenadas internamente como parte da pasta de trabalho. As conexões vinculadas são armazenadas externamente como arquivos separados que podem ser referenciados por uma pasta de trabalho.

As conexões inseridas e vinculadas funcionam da mesma forma. Ambas especificarão corretamente todos os parâmetros exigidos para conectar dados com êxito. Os arquivos de conexão vinculada podem ser armazenados centralmente, protegidos, gerenciados e reutilizados. Eles são uma boa escolha no planejamento de uma abordagem global para fazer com que um grupo grande de usuários seja conectado aos dados externos. Para obter mais informações, consulte Bibliotecas de conexão de dados e conexões gerenciadas.

Em uma conexão única, uma pasta de trabalho pode ter uma cópia inserida das informações de conexão e um link para um arquivo de conexão externo. A conexão pode ser configurada para usar sempre um arquivo de conexão externo para atualizar dados de uma fonte de dados externa. Neste exemplo, se não for possível recuperar o arquivo de conexão externo ou se não for estabelecida uma conexão com a fonte de dados, a pasta de trabalho não poderá recuperar os dados. Se a conexão não for configurada para usar somente um arquivo de conexão externo, o Excel tentará usar a cópia inserida de uma conexão. Se isso falhar, o Excel tentará usar o arquivo de conexão para conectar a fonte de dados externa. A capacidade de especificar que somente arquivos de conexão sejam usados para estabelecer um link de comunicação com uma fonte de dados externa fornece suporte para os cenários de conexão gerenciada, descritos em Bibliotecas de conexão de dados e conexões gerenciadas.

O Serviços do Excel pode usar conexões originadas em um arquivo de conexão externo e conexões inseridas nas pastas de trabalho. Há algumas restrições para os arquivos de conexão externos. Para obter mais informações, consulte Segurança dos Serviços do Excel e dos dados externos. Se os dois tipos de conexão forem permitidos no servidor, o comportamento será o mesmo comportamento do Excel descrito anteriormente.

Por motivos de segurança, os Aplicativo de Serviços do Excel podem ser configurados para permitir somente conexões de arquivos de conexão. Nessa configuração, todas as conexões inseridas são ignoradas para pastas de trabalho carregadas no servidor. Além disso, só haverá tentativas de conexão quando houver um link para um arquivo de conexão válido e confiável ao administrador do servidor. Para obter mais informações, consulte Bibliotecas de conexões de dados confiáveis.

Observação

Há muitos tipos de arquivos de conexão, e os Aplicativo de Serviços do Excel trabalham apenas com arquivos de conexão de dados (.odc) do Office.

Provedores de dados

Provedores de dados são drivers que os aplicativos clientes (como o Excel e os Aplicativo de Serviços do Excel) usam para conectar fontes de dados específicas. Por exemplo, o provedor de dados MSOLAP é usado para conectar o Microsoft SQL Server 2008 Analysis Services. O provedor de dados é especificado como parte da conexão na cadeia de conexão. Não é necessário um conhecimento extenso sobre provedores de dados para a finalidade deste artigo, mas você precisa entender os seguintes conceitos:

  • Os provedores de dados geralmente são conjuntos de bibliotecas estáveis e bem testados que podem ser usados para conectar dados externos.

  • Qualquer provedor de dados usado pelo Serviços do Excel deve ter confiança explícita do administrador do servidor. Para obter informações sobre como adicionar um novo provedor de dados à lista de provedores confiáveis, consulte Manage Excel Services connections (SharePoint Server 2010).

    Observação

    Por padrão, os Aplicativo de Serviços do Excel confiam em muitos provedores de dados conhecidos e estáveis. Na maioria dos casos, não é necessário adicionar um novo provedor de dados. Provedores de dados são normalmente adicionados a soluções personalizadas.

  • Provedores de dados lidam com consultas, cadeias de conexão de análise e outras lógicas relacionadas à conexão. Esse recurso não faz parte dos Aplicativo de Serviços do Excel. Os Aplicativo de Serviços do Excel não podem controlar o comportamento dos provedores de dados.

Autenticação em dados externos

Os servidores de dados exigem que um usuário seja autenticado, isto é, que ele se identifique para o servidor. A próxima etapa é a autorização, que comunica ao servidor as ações permitidas associadas ao usuário. A autenticação é exigida para que o servidor de dados execute a autorização ou para impor restrições de segurança que impeçam a exposição de dados a outras pessoas que não sejam os usuários autenticados.

Os Aplicativo de Serviços do Excel precisam se comunicar com a fonte de dados da qual o usuário está solicitando os dados. Na maioria dos cenários, isso equivale ao usuário exibindo um relatório do Excel em um navegador. Esta seção explica a autenticação entre os Aplicativo de Serviços do Excel e uma fonte de dados externa. A autenticação nesse nível é mostrada no diagrama a seguir. A seta à direita mostra o vínculo de autenticação de um servidor de aplicativos executando os Serviços de Cálculo do Excel com uma fonte de dados externa.

Serviços do Excel - autenticação para dados externos

Observação

Os Aplicativo de Serviços do Excel acessam fontes de dados externas usando uma identidade delegada do Windows. Consequentemente, as fontes de dados externas devem residir no mesmo domínio que o farm do SharePoint Server 2010, ou os Aplicativo de Serviços do Excel precisam ser configurados para usar o Serviço de Repositório Seguro. Se o Serviço de Repositório Seguro não for usado, e as fontes de dados externas não residirem no mesmo domínio, a autenticação para essas fontes falhará. Para obter mais informações, consulte Considerações de planejamento para serviços que acessam fontes de dados externas em “Planejamento da Arquitetura de Serviços”.

Há muitas maneiras de implementar autenticação. Este artigo focaliza três métodos com suporte nos Aplicativo de Serviços do Excel:

  • Autenticação integrada do Windows

  • Serviço de Repositório Seguro

  • Nenhum

Os Aplicativo de Serviços do Excel determinam o tipo de autenticação com base em uma propriedade da conexão. Essa propriedade deve ser explicitamente definida e pode ser definida usando um cliente do Microsoft Excel 2010. Se o tipo de autenticação não for encontrado, a tentativa usará a autenticação padrão do Windows.

Autenticação integrada do Windows

O SharePoint Server 2010 usa declarações baseadas em autenticação. Portanto, os Aplicativo de Serviços do Excel também usam declarações baseadas em autenticação. A autenticação integrada do Windows agora é utilizada exclusivamente para definições de autenticação do IIS no SharePoint Server 2010. Observe também que, quando os Aplicativo de Serviços do Excel conectam uma fonte de dados hospedada em um servidor diferente do servidor que hospeda os Aplicativo de Serviços do Excel, a delegação restrita de Kerberos deve ser configurada. Ou seja, quando os Aplicativo de Serviços do Excel conectam uma fonte de dados externa, você deve configurar e implantar a delegação restrita do Kerberos.

Esse método usa a identidade de usuário do Windows para autenticação em uma fonte de dados. Para a finalidade deste artigo, não é importante conhecer o mecanismo específico que o sistema operacional utiliza para fazer isso (por exemplo, NTLM ou delegação restrita). A autenticação do Windows normalmente é o método padrão de acesso a dados externos quando você usa o cliente do Excel para se conectar a fontes de dados; por exemplo, SQL Server 2008 Analysis Services.

Na maioria dos ambientes corporativos, os Aplicativo de Serviços do Excel serão configurados como parte de um farm com o servidor Web front-end, o servidor de Aplicativo de Serviços do Excel back-end e a fonte de dados, todos em execução em diferentes computadores, conforme demonstrado no diagrama em Autenticação em dados externos. Isso significa que a delegação, ou o protocolo Kerberos (a delegação restrita é recomendável), será exigida para permitir que as conexões de dados usem a autenticação do Windows. Essa delegação é exigida para garantir que as identidades de usuários possam ser comunicadas de computador para computador de maneira confiável e segura. Em uma implantação de farm, esses tipos de conexões não funcionarão nos Aplicativo de Serviços do Excel a não ser que o protocolo Kerberos esteja configurado corretamente. Consulte a página do Centro de Download da Microsoft sobre como configurar a autenticação Kerberos para Produtos do Microsoft SharePoint 2010para obter mais informações sobre como configurar a delegação restrita de Kerberos nos Aplicativo de Serviços do Excel.

Serviço de Repositório Seguro

O SharePoint Server 2010 usa a autenticação Serviço de Repositório Seguro, incluindo um serviço Windows e um banco de dados de credenciais seguras. Os Aplicativo de Serviços do Excel oferecem suporte para o recurso conectável Serviço de Repositório Seguro, com o qual você pode implementar seu próprio provedor de Serviço de Repositório Seguro. O SharePoint Server 2010 fornece um provedor padrão de Serviço de Repositório Seguro com os Aplicativo de Serviços do Excel.

O Serviço de Repositório Seguro é um banco de dados centralizado que, frequentemente, é utilizado para armazenar credenciais (um emparelhamento de ID de usuário e senha associada) que podem ser usadas por aplicativos para autenticação em outros aplicativos. Nesse caso, os Aplicativo de Serviços do Excel dependem do Serviço de Repositório Seguro para armazenar e recuperar credenciais para uso em autenticação em fontes de dados externas.

Cada entrada de Serviço de Repositório Seguro contém uma ID de aplicativo que serve como uma pesquisa usada para recuperar o conjunto de credenciais apropriado. Cada ID de aplicativo pode ter permissões definidas para que apenas determinados usuários ou grupos possam acessar as credenciais armazenadas para essa ID de aplicativo.

Quando fornecido com uma ID de aplicativo, os Aplicativo de Serviços do Excel recuperam, no banco de dados de Repositório Seguro, as credenciais do usuário que está acessando a pasta de trabalho (por meio do navegador ou usando o Serviços Web do Excel). Os Aplicativo de Serviços do Excel utilizam então essas credenciais para autenticar a fonte de dados e recuperar os dados.

Observação

A ID de aplicativo deve ser especificada para a conexão. Para obter informações sobre como especificar uma ID de aplicativo, consulte Usar os Serviços do Excel com o Repositório Seguro (SharePoint Server 2010).

Nenhuma

Esse método de autenticação significa que não acontecerá nenhuma recuperação de credencial ou que nenhuma ação especial será executada para autenticação da conexão. Por exemplo, os Aplicativo de Serviços do Excel não tentarão delegar credenciais, nem tentarão recuperar credenciais armazenadas para o usuário no banco de dados de Repositório Seguro. Em vez disso, a seleção da opção de autenticação Nenhuma conectará o banco de dados de Repositório Seguro como a conta de processo e recuperará as credenciais a serem usadas. Nesse caso, os Aplicativo de Serviços do Excel transmitem a cadeia de conexão para o provedor de dados e permitem que ele lide com a autenticação.

Em termos mais práticos, isso significa que, em geral, uma cadeia de conexão especifica um nome de usuário e uma senha para conectar a fonte de dados. Entretanto, a cadeia de conexão, às vezes, especifica que a segurança integrada deve ser utilizada, ou seja, a identidade do Windows do usuário ou do computador que está emitindo a solicitação deve ser usada para conectar a fonte de dados. Nos dois casos, a conta autônoma é representada primeiro e então a conexão com a fonte de dados é estabelecida. A cadeia de conexão e o provedor determinam o método de autorização. Além disso, a autorização pode ser baseada nas credenciais encontradas na cadeia de conexão ou na identidade do Windows da conta autônoma representada. Para obter mais informações, consulte Conta autônoma.

Bibliotecas de conexões de dados e conexões gerenciadas

Uma biblioteca de conexões de dados é uma lista do SharePoint Server 2010 projetada para armazenar arquivos de conexão, os quais podem ser referenciados pelos aplicativos do Office 2010; por exemplo, os Aplicativo de Serviços do Excel.

As bibliotecas de conexões de dados capacitam os clientes a gerenciar, proteger, armazenar e reutilizar centralmente as conexões de dados.

Reutilizando conexões

A biblioteca de conexões de dados está em um local bem conhecido no SharePoint Server 2010 e exibe nomes corporativos e descrições amigáveis, por isso, os usuários podem reutilizar as conexões criadas por outros usuários e configurá-las para suas próprias finalidades. Um profissional de informações qualificado ou um especialista em dados pode criar as conexões e outros usuários podem reutilizá-las sem precisar entender os detalhes de provedores de dados, nomes de servidores ou autenticação. O local da biblioteca de conexões de dados também pode ser publicado nos clientes do Office, para que as conexões de dados sejam exibidas nos Aplicativo de Serviços do Excel ou em qualquer aplicativo cliente que use a biblioteca de conexões de dados. Para obter mais informações, consulte Manage Excel Services connections (SharePoint Server 2010).

Gerenciando conexões

Como as pastas de trabalho contêm um link para o arquivo de uma biblioteca de conexões de dados, se algo relacionado à conexão for alterado (por exemplo, um nome de servidor ou uma ID de aplicativo de Repositório Seguro), somente um arquivo de conexão precisará ser atualizado, em vez de possivelmente centenas de pastas de trabalho. As pastas de trabalho obterão automaticamente as alterações de conexão na próxima vez que usarem esse arquivo de conexão para atualização no Excel ou nos Aplicativo de Serviços do Excel.

Protegendo conexões

A biblioteca de conexões de dados é uma lista do SharePoint e oferece suporte para todas as permissões fornecidas pelo SharePoint Server 2010, incluindo permissões por pasta e por item. A vantagem no servidor é que uma biblioteca de conexões de dados pode se tornar um repositório altamente controlado de conexões de dados bloqueadas. Muitos usuários poderão ter acesso somente leitura, o que lhes permitirá usar as conexões de dados, porém, sem adicionar novas conexões. Ao usar as ACLs (listas de controle de acesso) com a biblioteca de conexões de dados e permitir que somente autores confiáveis carreguem conexões, a biblioteca de conexões de dados torna-se um repositório de conexões confiáveis. As conexões confiáveis são aquelas que não contêm consultas mal-intencionadas.

Os Aplicativo de Serviços do Excel podem ser configurados para carregar arquivos somente de bibliotecas de conexões de dados explicitamente confiáveis ao administrador do servidor e para bloquear o carregamento de qualquer conexão inserida. Nessa configuração, os Aplicativo de Serviços do Excel usam a biblioteca de conexões de dados para aplicar outra camada de segurança ao redor das conexões de dados.

Bibliotecas de conexões de dados também podem ser utilizadas junto com a nova função Visualizador do SharePoint Server 2010, que permite o uso dessas conexões para atualização de pastas de trabalho carregadas nos Aplicativo de Serviços do Excel. Se a função Visualizador for aplicada, os usuários não poderão acessar o conteúdo de arquivos de conexão em um aplicativo cliente, por exemplo, no Excel. Portanto, o conteúdo do arquivo de conexão fica protegido, mas ainda pode ser utilizado em pastas de trabalho atualizadas no servidor.

Segurança dos Serviços do Excel e dos dados externos

Os Aplicativo de Serviços do Excel têm muitas camadas de segurança. As subseções a seguir abordam somente os conceitos diretamente relevantes ao acesso de dados externos.

Locais de arquivos confiáveis

Os Aplicativo de Serviços do Excel carregam pastas de trabalho somente de locais de arquivos confiáveis. Esse tipo de local é basicamente um diretório (podendo incluir todos os subdiretórios), de onde o administrador permitiu explicitamente o carregamento de pastas de trabalho. Esses diretórios são adicionados à lista interna dos Aplicativo de Serviços do Excel, também conhecida como lista de locais de arquivos confiáveis.

Os locais confiáveis podem especificar um conjunto de restrições para as pastas de trabalho carregadas a partir deles. Todas as pastas de trabalho carregadas de um local confiável devem aderir às configurações desse local confiável. Veja aqui uma pequena lista das configurações de local confiável que afetam os dados externos:

  • Como os dados externos podem ser acessados. Algumas opções incluem:

    • O acesso aos dados não é permitido (padrão).

    • Permissão apenas para arquivos de conexão de uma biblioteca de conexões de dados do SharePoint Server 2010.

    • Além dos arquivos de conexão de uma biblioteca de conexões de dados, as conexões inseridas em pastas de trabalho são permitidas.

  • Opção para mostrar ou não os avisos de atualização de consulta.

  • A opção de negar ou não o carregamento da pasta de trabalho em caso de falha na atualização dos dados externos quando a pasta de trabalho for aberta. Esse recurso é usado em cenários nos quais a pasta de trabalho tenha armazenado em cache os resultados dos dados que serão alterados dependendo da identidade do usuário que estiver exibindo a pasta de trabalho. O objetivo é ocultar esses resultados armazenados em cache e garantir que qualquer usuário que exiba a pasta de trabalho possa ver somente os dados específicos a ele. Nesse caso, haverá uma tentativa de atualização da pasta de trabalho quando ela for aberta. Você pode definir a atualização na abertura para cada conexão. Se a atualização falhar, a pasta de trabalho não será exibida aos usuários que não puderem abri-la no cliente do Excel.

    Observação

    Esse recurso só funcionará se a pasta de trabalho for bloqueada pelas permissões da função Visualizador no SharePoint Server 2010, pois um usuário capaz de abrir a pasta de trabalho diretamente no Excel sempre pode ver os resultados de dados armazenados em cache.

  • Tempos de expiração do cache de dados externos. Os dados são compartilhados entre muitos usuários no servidor para aprimorar a escala e o desempenho, e esses tempos de vida do cache são ajustáveis. Isso acomoda cenários em que a execução de consulta deve ser mantida no mínimo possível, pois a consulta pode levar muito tempo para ser executada. Nesses cenários, é comum que os dados sejam alterados apenas diariamente, semanalmente ou mensalmente, e não por minuto ou por hora.

Bibliotecas de conexões de dados confiáveis

Como no caso dos arquivos de pastas de trabalho, os Aplicativo de Serviços do Excel carregam apenas arquivos de conexão de bibliotecas de conexões de dados confiáveis do SharePoint Server 2010. Uma biblioteca de conexões de dados confiáveis é uma biblioteca que o administrador do servidor adicionou explicitamente a uma lista confiável interna. Para obter informações sobre como as bibliotecas de conexões de dados permitem ao administrador proteger e gerenciar arquivos de conexão, consulte Bibliotecas de conexões de dados e conexões gerenciadas. Para obter informações sobre como confiar em uma biblioteca de conexões de dados para usá-la nos Aplicativo de Serviços do Excel, consulte Manage Excel Services connections (SharePoint Server 2010).

Provedores de dados confiáveis

Os Aplicativo de Serviços do Excel usam apenas provedores de dados externos que tenham sido adicionados a uma lista de provedores confiáveis. Esse é um mecanismo de segurança que impede o uso do servidor por provedores nos quais o administrador não confie. Para obter informações sobre como confiar em um provedor de dados, consulte Manage Excel Services connections (SharePoint Server 2010).

Conta autônoma

A conta autônoma é uma conta especial que os Aplicativo de Serviços do Excel representarão sempre que houver uma tentativa de conexão com método de autenticação Nenhuma, independentemente de a autenticação integrada do Windows estar em uso na fonte de dados. Como os Aplicativo de Serviços do Excel não têm nenhum controle sobre o provedor de dados e não analisam diretamente as cadeias de conexão específicas do provedor, é preciso amenizar as ameaças à segurança quando a identidade dos próprios Aplicativo de Serviços do Excel pode ser usada para conectar uma fonte de dados. A conta autônoma é utilizada para reduzir essas ameaças.

Os Aplicativo de Serviços do Excel geralmente são executados com uma conta altamente privilegiada. Esse nível de permissão é inadequado para usuários que visualizem apenas dados. Quando uma autenticação de dados externos é definida como Nenhuma ou como Serviço de Repositório Seguro, sendo que a ID do aplicativo Serviço de Repositório Seguro não armazena credenciais do Windows, a conta autônoma é representada antes da tentativa de conexão aos dados. Não se espera que a conta autônoma tenha permissões de acesso à fonte de dados externa e, dessa forma, isso impede conexões acidentais ou mal-intencionadas às fontes de dados no contexto de uma conta privilegiada.

Se a conta autônoma tiver acesso à fonte de dados (quando o tipo de autenticação estiver definido como Nenhuma), uma conexão será adequadamente estabelecida usando as credenciais da conta de serviço autônoma. Seja cuidadoso ao projetar soluções que usem intencionalmente essa conta para conectar dados. Essa é uma conta simples que pode ser usada por todas as pastas de trabalho no servidor. Qualquer usuário que carregar um pasta de trabalho nos Aplicativo de Serviços do Excel e definir o tipo de autenticação como Nenhuma poderá exibir dados usando o servidor. Em algumas situações, isso pode ser uma necessidade. No entanto, o Serviço de Repositório Seguro é uma solução melhor para o gerenciamento de senhas por usuário ou por grupo.