Repositório Seguro para aplicativos de serviço de Business Intelligence
Aplica-se a: SharePoint Server 2010
Tópico modificado em: 2016-11-30
Este artigo descreve como os recursos de business intelligence do Microsoft SharePoint Server 2010 usam o Serviço de Repositório Seguro para conceder acesso a fontes de dados externas (como o SQL Server) para os usuários do SharePoint Server 2010. Para este artigo, os aplicativos de serviço de Business Intelligence do SharePoint Server 2010 são:
Serviços do Excel
Serviços do PerformancePoint
Serviços do Visio
Os aplicativos de serviço de Business Intelligence do SharePoint Server 2010 oferecem dois métodos de acesso a dados para os usuários:
Autenticação integrada do Windows usando a delegação Restrita de Kerberos
Serviço de Repositório Seguro
Este artigo abrange o Serviço de Repositório Seguro e seu relacionamento com os aplicativos de serviço de Business Intelligence. Para obter informações sobre como usar a Autenticação integrada do Windows com a delegação Restrita de Kerberos, consulte Planejar a autenticação Kerberos (SharePoint Server 2010).
Serviço de Repositório Seguro
Repositório Seguro é um recurso no SharePoint Server 2010 que ajuda a conceder acesso aos dados fora do SharePoint Server 2010 (por exemplo, os dados do SQL Server), permitindo que o aplicativo de serviço de Business Intelligence use um conjunto de credenciais com acesso a dados em nome de um usuário do SharePoint Server 2010 que esteja tentando acessar esses dados. O uso dessas credenciais pelos aplicativos de serviço de Business Intelligence em nome dos usuários é chamado de representação.
O Repositório Seguro realiza o mapeamento entre os aplicativos de serviço de Business Intelligence, os usuários e as credenciais por meio de um Aplicativo de Destino. O Aplicativo de Destino de Repositório Seguro é um conjunto de metadados que especifica quais usuários poderão acessar determinado conjunto de credenciais que um aplicativo de serviço de Business Intelligence usará para representação quando acessar dados externos. Esses metadados são armazenados no banco de dados de Repositório Seguro junto com as próprias credenciais, que estão criptografadas.
É possível usar os Aplicativos de Destino de Repositório Seguro de várias maneiras no SharePoint Server 2010, mas para os cenários de Business Intelligence do SharePoint Server 2010, os Aplicativos de Destino consistem nas configurações a seguir, definidas pelo Administrador de Farm:
Administradores Administradores de Aplicativo de Destino são usuários com privilégios para administrar determinado Aplicativo de Destino de Repositório Seguro. Ele pode ser o Administrador de Farm ou um usuário (ou usuários) específico, dependendo das suas necessidades. Para os Aplicativos de Destino criados pelos Serviços do PerformancePoint, o Administrador é configurado automaticamente pelos Serviços do PerformancePoint, e o usuário que está configurando a Conta de Serviço sem Supervisão é adicionado como o Administrador.
Membros Os Membros de um Aplicativo de Destino são os usuários em nome de quem o Aplicativo de Serviço de Business Intelligence fará a representação das Credenciais do Aplicativo de Destino quando acessar dados externos. Ele pode ser um único usuário, vários usuários ou um grupo do Active Directory. Os membros também são chamados de Proprietários das Credenciais. Para os Aplicativos de Destino criados pelos Serviços do PerformancePoint, a conta de serviço usada pelo pool de aplicativos dos Serviços do PerformancePoint será usada como Membro.
Credenciais As Credenciais do Aplicativo de Destino consistem em uma conta do Active Directory com acesso direto a fontes de dados. (Você deve conceder para essa conta o acesso necessário aos dados diretamente — o acesso a fontes de dados externas não é controlado pelo SharePoint Server 2010. Essa deve ser uma conta com poucos privilégios que permite apenas acesso a dados.) Ela é a conta que será representada pelos aplicativos de serviço de Business Intelligence para conceder aos usuários o acesso aos dados.
Os Administradores, os Membros e as Credenciais são configurados pelo Administrador de Farm diretamente do Repositório Seguro para os Serviços do Excel e os Serviços do Visio. Para os Serviços do PerformancePoint, esses valores são definidos por meio das Configurações de Aplicativo de Serviço do PerformancePoint e não devem ser modificados usando o Repositório Seguro.
Os Serviços do Visio e os Serviços do Excel podem usar o Repositório Seguro através de um destes dois métodos:
Aplicativo de Destino Especificado O Aplicativo de Destino específico é determinado pela planilha do Excel ou pelo desenho da Web do Visio. Quando o usuário acessa a planilha ou o desenho da Web, o Repositório Seguro usa as credenciais associadas a esse Aplicativo de Destino para acessar os dados. Para os Serviços do Visio, esse Aplicativo de Destino deve ser especificado usando um arquivo ODC hospedado no SharePoint Server 2010.
Nenhum Aplicativo de Destino especificado (Conta de Serviço sem Supervisão) Nenhum Aplicativo de Destino é especificado pela planilha do Excel ou pelo desenho da Web do Visio. Quando o usuário acessa a planilha ou o desenho da Web conectado a uma fonte de dados externa, o Repositório Seguro usa o Aplicativo de Destino especificado nas Configurações Globais dos Serviços do Excel ou dos Serviços do Visio. Quando um Aplicativo de Destino é especificado globalmente para um aplicativo de serviço de Business Intelligence, as Credenciais do Aplicativo de Destino são chamadas de Conta de Serviço sem Supervisão.
Os Serviços do PerformancePoint não podem determinar um Aplicativo de Destino de Repositório Seguro específico; só é possível usar o Repositório Seguro com a Conta de Serviço sem Supervisão.
Veja a seguir a sequência básica de eventos que acontece:
Um usuário do SharePoint Server 2010 acessa um objeto conectado por dados, como uma planilha dos Serviços do Excel, um desenho da Web dos Serviços do Visio ou um painel dos Serviços do PerformancePoint.
Se o objeto for configurado para usar o Repositório Seguro para autenticação de dados, o Aplicativo de Serviço de Business Intelligence chamará o serviço de Repositório Seguro para acessar o Aplicativo de Destino especificado pelo objeto.
Se o usuário for Membro desse Aplicativo de Destino, as credenciais armazenadas no Aplicativo de Destino serão retornadas e o Aplicativo de Serviço de Business Intelligence representará as credenciais durante o acesso aos dados.
Os dados aparecem ao usuário dentro do contexto da planilha, do desenho da Web ou do painel.
Arquivos de conexão de dados
Todos os aplicativos de serviço de Business Intelligence podem usar arquivos de conexão de dados para especificar informações de autenticação. Os Serviços do Excel e os Serviços do Visio usam os arquivos .ODC (Office Data Connection), e os Serviços do PerformancePoint usam os arquivos .PPSDC (PerformancePoint Services Data Connection). O uso desses arquivos permite que várias planilhas dos Serviços do Excel, desenhos da Web dos Serviços do Visio ou painéis dos Serviços do PerformancePoint compartilhem um conjunto comum de parâmetros de acesso a dados.
Cada aplicativo de serviço de Business Intelligence do SharePoint Server 2010 usa arquivos de conexão de dados de forma diferente. Para uma descrição de como cada um usa os arquivos de conexão de dados, consulte a seção relacionada a cada aplicativo de serviço a seguir.
Conta de serviço sem supervisão
Conta de Serviço sem Supervisão refere-se às credenciais de um Aplicativo de Destino de Repositório Seguro especificado nas configurações globais do aplicativo de serviço de Business Intelligence. Esse Aplicativo de Destino é usado para conceder aos usuários acesso aos dados quando outro método de autenticação não é especificado. Para os Serviços do Visio, a Conta de Serviço sem Supervisão é necessária sempre que não é utilizada a Autenticação integrada do Windows, mesmo que sejam fornecidas informações de conexão adicionais no arquivo de conexão (por exemplo, uma cadeia de caracteres de Autenticação SQL).
Acesso a dados de cliente e servidor
O Microsoft Excel 2010 e o Microsoft Visio 2010 são aplicativos clientes que funcionam de forma independente do SharePoint Server 2010. Embora eles possam publicar documentos no SharePoint Server 2010, não podem usar o Repositório Seguro diretamente para autenticação a fontes de dados. Quando você cria ou edita uma planilha ou desenho da Web conectado por dados, use a Autenticação integrada do Windows ou outro método de autenticação aplicável para conectar-se diretamente a uma fonte de dados do Excel 2010 ou do Visio 2010. (Outros métodos de autenticação que você venha a usar incluem a Autenticação SQL ou uma cadeia de conexão OLEDB.) Após a publicação da planilha ou do desenho da Web no SharePoint Server 2010, os Serviços do Excel ou os Serviços do Visio poderão usar o Repositório Seguro para conectar-se à fonte de dados ao exibir o conteúdo ao usuário.
O Dashboard Designer dos Serviços do PerformancePoint está diretamente integrado ao SharePoint Server 2010. O Dashboard Designer pode usar o Repositório Seguro diretamente para se autenticar por meio da Conta de Serviço sem Supervisão. Como resultado, os usuários do Dashboard Designer não precisam acessar as fontes de dados diretamente através da Autenticação integrada do Windows, desde que a Conta de Serviço sem Supervisão tenha o acesso necessário.
Serviços do Excel e Serviços do Visio
Os Serviços do Excel e os Serviços do Visio usam o Repositório Seguro de forma parecida:
Ambos podem armazenar um Aplicativo de Destino de Repositório Seguro, que é especificado em um arquivo ODC.
Ambos podem usar a Conta de Serviço sem Supervisão.
No entanto, há algumas diferenças importantes entre os Serviços do Excel e os Serviços do Visio, abordadas nas seções a seguir.
Serviços do Excel
As conexões de dados usadas pelos Serviços do Excel devem ser configuradas no Excel 2010 antes da publicação em um site do SharePoint Server 2010. Uma planilha do Excel 2010 pode especificar informações de conexão de dados diretamente ou incluir um ponteiro para um arquivo ODC no qual encontrar as informações de conexão.
As seguintes configurações de autenticação estão disponíveis em uma pasta de trabalho conectada por dados do Excel 2010 ou em um arquivo ODC:
Autenticação integrada do Windows Especifica a Autenticação integrada do Windows com a delegação de Kerberos para autenticar cada usuário individual durante a exibição de uma pasta de trabalho do Excel 2010 por meio dos Serviços do Excel.
Identificação do SSS Designa um Aplicativo de Destino de Serviço de Repositório Seguro específico a ser usado para acessar a fonte de dados.
Nenhuma Usa as credenciais especificadas na cadeia de conexão, se houver; caso contrário, usa a Conta de Serviço sem Supervisão de Repositório Seguro designada nas configurações globais dos Serviços do Excel.
Somente é possível editar essas configurações abrindo a planilha ou o arquivo ODC no Excel 2010.
Serviços do Visio
Os Serviços do Visio oferecem suporte a dois métodos de conexão de dados para desenhos da Web do Visio:
Informações de conexão inseridas
Informações de conexão externas que usam um arquivo ODC
Quando você cria um diagrama do Visio e o conecta diretamente a uma fonte de dados, o Visio 2010 armazena as informações da fonte de dados diretamente no arquivo quando você publica o desenho da Web no SharePoint Server 2010. Quando o usuário exibe o desenho da Web, os Serviços do Visio conectam-se à fonte de dados usando a Conta de Serviço sem Supervisão de Repositório Seguro especificada nas configurações globais dos Serviços do Visio.
Se, em vez de se conectar diretamente a uma fonte de dados a partir do Visio 2010, você se conectar a uma fonte de dados usando um arquivo ODC existente armazenado no SharePoint Server 2010, o Visio 2010 manterá o link com o arquivo ODC quando você publicar o desenho da Web. Os Serviços do Visio usarão as informações de conexão armazenadas no arquivo ODC quando se conectar à fonte de dados. Isso inclui o uso de um Aplicativo de Destino de Repositório Seguro específico, caso um seja indicado no arquivo ODC.
O Visio 2010 não edita arquivos ODC. É aconselhável seguir as indicações abaixo para usar um arquivo ODC com um desenho da Web do Visio: crie o arquivo ODC no Excel 2010, publique-o no SharePoint Server 2010 e, em seguida, conecte-se a ele como uma fonte de dados a partir do Visio 2010 quando você criar um novo diagrama conectado por dados. Use o Excel 2010 para editar arquivos ODC se quiser alterar a consulta de dados, as informações de autenticação, especificar um Aplicativo de Destino ou modificar outras configurações.
Os Serviços do Visio não analisam consultas SQL complexas. Se você tentar usar um arquivo ODC que tenha uma consulta complexa, os Serviços do Visio possivelmente não poderão executar a consulta e recuperar os dados.
Serviços PerformancePoint
Os Serviços do PerformancePoint apenas fazem uso do Repositório Seguro por meio da Conta de Serviço sem Supervisão. A escolha entre a Autenticação integrada do Windows e a Conta de Serviço sem Supervisão é feita pelo Dashboard Designer quando você cria ou edita uma fonte de dados.
O Aplicativo de Destino de Repositório Seguro para a Conta de Serviço sem Supervisão dos Serviços do PerformancePoint é definido como parte das configurações de aplicativo de serviço dos Serviços do PerformancePoint por um administrador. Durante a exibição desse Aplicativo de Destino na lista de Aplicativos de Destino de Repositório Seguro, ele não deve ser modificado diretamente pelo Repositório Seguro.
Resumo das diferenças
Conforme descrito neste artigo, cada um dos aplicativos de serviço de Business Intelligence faz uso do Repositório Seguro de forma diferente. A tabela a seguir resume os recursos do Repositório Seguro e as opções para cada aplicativo de serviço de Business Intelligence.
Observação
Cada aplicativo de serviço de Business Intelligence oferece suporte à Autenticação integrada do Windows. Se a Autenticação integrada do Windows for especificada, as opções de Repositório Seguro não serão usadas.
| Aplicativo de serviço | Repositório Seguro | Conexões de dados |
|---|---|---|
Serviços do PerformancePoint |
Somente Conta de Serviço sem Supervisão. |
Sempre através de um arquivo PPSDC. |
Serviços do Excel |
É possível especificar o Aplicativo de Destino de Repositório Seguro no arquivo ODC ou inserido no arquivo XLSX. Quando não há nenhum Aplicativo de Destino inserido ou especificado no arquivo ODC, a Conta de Serviço sem Supervisão é usada. |
Inserido na planilha ou especificado em um arquivo ODC. Os arquivos ODC devem ser editados no Excel 2010. |
Serviços do Visio |
É possível especificar o Aplicativo de Destino de Repositório Seguro no arquivo ODC. Quando nenhum arquivo ODC é usado ou quando o arquivo ODC não especifica nenhum Aplicativo de Destino, a Conta de Serviço sem Supervisão é usada. Sempre que for usada a Autenticação não integrada do Windows, a conta sem supervisão será obrigatória, exceto se o arquivo ODC especificar um aplicativo de destino diferente. |
Inserido no desenho da Web ou especificado no arquivo ODC. Suporte limitado a consultas complexas. Os arquivos ODC devem ser editados no Excel 2010. (O Visio 2010 não edita arquivos ODC.) |
See Also
Concepts
Configurar o Serviço de Repositório Seguro (SharePoint Server 2010)
Visão geral dos Serviços do Excel (SharePoint Server 2010)
Usar os Serviços do Excel com o Repositório Seguro (SharePoint Server 2010)
Visão geral dos Serviços PerformancePoint (SharePoint Server 2010)
Planejar a segurança dos Serviços PerformancePoint (SharePoint Server 2010)
Planejamento dos Serviços do Visio (SharePoint Server 2010)