Служба безопасного хранения для приложений-служб бизнес-аналитики

Статья
03/05/2017

Применимо к: SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

В этой статье описывается использование службы Secure Store компонентами бизнес-аналитики Microsoft SharePoint Server 2010 для обеспечения доступа к внешним источникам данных (например, SQL Server) для пользователей SharePoint Server 2010. В этой статье в SharePoint Server 2010 используются следующие приложения-службы бизнес-аналитики:

Службы Excel
PerformancePoint Services
Службы Visio

Приложения-службы бизнес-аналитики SharePoint Server 2010 поддерживают два метода доступа пользователей к данным:

Встроенная проверка подлинности Windows с ограниченным делегированием Kerberos
Служба Secure Store

В этой статье описывается служба Secure Store и ее взаимоотношения с приложениями-службами бизнес-аналитики. Дополнительные сведения об использовании встроенной проверки подлинности Windows с ограниченным делегированием Kerberos см. в статье Планирование реализации проверки подлинности Kerberos (SharePoint Server 2010).

Служба Secure Store

Служба безопасного хранения — это компонент SharePoint Server 2010, обеспечивающий доступ к внешним по отношению к SharePoint Server 2010 данным (например, данным SQL Server). Доступ осуществляется посредством использования приложениями-службами бизнес-аналитики набора учетных данных с правами на доступ к данным от лица пользователя SharePoint Server 2010, который предпринимает попытку доступа к данным. Такое использование учетных данных приложениями-службами бизнес-аналитики от лица пользователей называется олицетворением.

Служба безопасного хранения обеспечивает сопоставление между приложениями-службами бизнес-аналитики, пользователями и учетными данными с помощью конечного приложения. Конечное приложение безопасного хранения представляет собой коллекцию метаданных, определяющих пользователей, которым будет разрешен доступ к конкретному набору учетных данных, которые будут использоваться приложениями-службами бизнес-аналитики для олицетворения при доступе к внешним данным. Эти метаданные хранятся в базе данных безопасного хранения вместе с учетными данными в зашифрованном виде.

В SharePoint Server 2010 конечные приложения безопасного хранения могут использоваться множеством способов. Тем не менее в сценариях бизнес-аналитики SharePoint Server 2010 конечные приложения содержат следующие параметры, настраиваемые администратором фермы:

Администраторы Администраторы конечного приложения — это пользователи с правами на администрирование заданного конечного приложения безопасного хранения. В зависимости от существующей среды это может быть администратор фермы или отдельный пользователь. Для конечных приложений, создаваемых с помощью PerformancePoint Services, администратор настраивается автоматически с помощью PerformancePoint Services. В качестве администратора добавляется пользователь, настроивший автоматическую учетную запись службы.
Участники Участники конечного приложения — это пользователи, от лица которых приложение-служба бизнес-аналитики будет олицетворять учетные данные конечного приложения при доступе к внешним данным. Это может быть один пользователь, несколько пользователей или группа Active Directory. Участники также называются как Владельцы учетных данных. Для конечных приложений, созданных с помощью PerformancePoint Services, в качестве участника используется учетная запись службы, которая используется пулом приложений PerformancePoint Services.
Учетные данные Учетные данные конечного приложения включают в себя учетную запись Active Directory с прямым доступом к источникам данных. (Необходимо предоставить доступ к нужным данным для этой учетной записи напрямую, поскольку внешние источники данных не контролируются SharePoint Server 2010. Следует использовать учетную запись с низкими привилегиями, разрешающими только доступ к данным.) Эта учетная запись олицетворяется приложениями-службами бизнес-аналитики и обеспечивает доступ пользователей к данным.

Администраторы, участники и учетные данные настраиваются администратором фермы непосредственно с помощью службы безопасного хранения для Службы Excel и Службы Visio. Для PerformancePoint Services эти значения настраиваются в разделе Параметры приложения-службы PerformancePoint и не должны изменяться с помощью службы безопасного хранения.

В Службы Visio и Службы Excel поддерживается два способа использования службы безопасного хранения:

Заданное конечное приложение Конечное приложение задается электронной таблицей Excel или веб-документом Visio. При обращении пользователя к электронной таблице или веб-документу служба безопасного хранения использует учетные данные, связанные с этим конечным приложением, для доступа к данным. Для Службы Visio это конечное приложение задается в ODC-файле, который размещается в SharePoint Server 2010.
Без заданного конечного приложения (автоматическая учетная запись службы) Конечное приложение не задается электронной таблицей Excel или веб-документом Visio. При обращении пользователя к электронной таблице или веб-документу, связанным с внешним источником данных, служба безопасного хранения использует конечное приложение, заданное в глобальных параметрах Службы Excel или Службы Visio. Если конечное приложение для приложения-службы бизнес-аналитики задано глобально, учетные данные конечного приложения называются автоматической учетной записью службы.

В PerformancePoint Services не поддерживается определение конкретного конечного приложения безопасного хранения — допускается только использование автоматической учетной записи службы.

Ниже приведена основная последовательность происходящих событий:

Пользователь SharePoint Server 2010 обращается к связанному с данными объекту, например к электронной таблице Службы Excel, веб-документу Службы Visio или панели мониторинга PerformancePoint Services.
Если для объекта настроена проверка подлинности данных с использованием службы Secure Store, приложение-служба бизнес-аналитики вызывает эту службу для доступа к конечному приложению, определенному этим объектом.
Если пользователь является участником этого конечного приложения, возвращаются хранящиеся в нем учетные данные, и приложение-служба бизнес-аналитики олицетворяет эти учетные данные при доступе к данным.
Данные отображаются пользователю в контексте электронной таблицы, веб-документа или панели мониторинга.

Файлы подключений к данным

Для определения сведений о проверке подлинности во всех приложениях-службах бизнес-аналитики могут использоваться файлы подключений к данным. В Службы Excel и Службы Visio используются файлы подключений к данным Office (ODC), а в PerformancePoint Services — файлы подключений к данным служб PerformancePoint (PPSDC). Применение таких файлов позволяет использовать общий набор параметров доступа к данным для нескольких электронных таблиц Службы Excel, веб-документов Службы Visio или панелей мониторинга PerformancePoint Services.

В каждом приложении-службе бизнес-аналитики SharePoint Server 2010 файлы подключений к данным используются по разному. Описание соответствующих способов использования см. в разделах, посвященных приложениям-службам, ниже.

Автоматическая учетная запись службы

Термин автоматическая учетная запись службы определяет учетные данные конечного приложения безопасного хранения, заданные в глобальных параметрах приложения-службы бизнес-аналитики. Это конечное приложение используется для предоставления доступа пользователям в тех случаях, когда не указан какой-либо иной метод проверки подлинности. В Службы Visio автоматическая учетная запись службы используется всегда, когда не используется встроенная проверка подлинности Windows, даже если предоставлены дополнительные сведения в файле подключения (например, строка проверки подлинности SQL).

Доступ к данным с клиента и сервера

Microsoft Excel 2010 и Microsoft Visio 2010 — это клиентские приложения, работающие независимо от SharePoint Server 2010. Несмотря на то, что эти приложения поддерживают публикацию документов в SharePoint Server 2010, они не могут использовать службу безопасного хранения напрямую для проверки подлинности в источниках данных. При создании или изменении связанных с данными электронных таблиц или веб-документов необходимо использовать встроенную проверку подлинности Windows или другой подходящий метод проверки подлинности для подключения непосредственно к источнику данных из Excel 2010 или Visio 2010. (Поддерживается использование таких методов, как проверка подлинности SQL или строка подключения OLEDB.) После публикации электронной таблицы или веб-документа в SharePoint Server 2010 приложения Службы Excel или Службы Visio могут использовать службу безопасного хранения для подключения к источнику данных при отображении контента пользователю.

Конструктор панелей мониторинга PerformancePoint Services напрямую интегрирован в SharePoint Server 2010 и может использовать службу безопасного хранения для непосредственной проверки подлинности с помощью автоматической учетной записи службы. В результате, пользователям конструктора панелей мониторинга не требуется прямой доступ к источникам данных с использованием встроенной проверки подлинности, если необходимые права доступа есть у автоматической учетной записи службы.

Службы Excel и Visio

Службы Excel и Службы Visio используют службу безопасного хранения схожими способами:

Они поддерживают сохранение конечного приложения безопасного хранения, определенного в ODC-файле.
Они поддерживают использование автоматической учетной записи службы.

Тем не менее существует ряд важных различий между Службы Excel и Службы Visio, которые обсуждаются в следующих разделах.

Службы Excel

Подключения к данным, используемые в Службы Excel, должны быть настроены в Excel 2010 до публикации на сайте SharePoint Server 2010. Электронная таблица Excel 2010 может содержать непосредственно сведения о подключении к данным или указатель на ODC-файл, в котором хранятся эти сведения.

В связанной с данными рабочей книге Excel 2010 или ODC-файле доступны следующие параметры проверки подлинности:

Встроенная проверка подлинности Windows Задает использование встроенной проверки подлинности Windows с делегированием Kerberos для проверки подлинности каждого пользователя, просматривающего рабочую книгу Excel 2010 с помощью Службы Excel.
Код SSS Задает конкретное конечное приложение службы Secure Store, которое будет использоваться для доступа к источнику данных.
Нет Используются учетные данные, указанные в строке подключения (если есть). В противном случае используется автоматическая учетная запись службы Secure Store, указанная в глобальных параметрах Службы Excel.

Для изменения этих параметров необходимо открыть рабочую книгу или ODC-файл в Excel 2010.

Службы Visio

Службы Visio поддерживают два способа подключения к данным для веб-документов Visio:

Сведения о встроенном подключении
Сведения о внешнем подключении, использующем ODC-файл

При создании диаграммы Visio и ее подключении непосредственно к источнику данных в Visio 2010 сведения об источнике данных сохраняются непосредственно в файле при публикации веб-документа в SharePoint Server 2010. При просмотре веб-документа пользователем Службы Visio подключается к источнику данных с помощью автоматической учетной записи службы безопасного хранения, указанной в глобальных параметрах Службы Visio.

Если вместо подключения непосредственно к источнику данных из Visio 2010 выполняется подключение к источнику данных с использованием существующего ODC-файла, хранящегося в SharePoint Server 2010, Visio 2010 сохраняет ссылку на этот ODC-файл при публикации веб-документа. После этого Службы Visio используют сведения о подключении из ODC-файла для подключения к источнику данных. При этом также может использоваться конечное приложение безопасного хранения, если оно определено в ODC-файле.

Visio 2010 не поддерживает редактирование ODC-файлов. При использовании ODC-файла с веб-документом Visio рекомендуется действовать следующим образом. Создайте ODC-файл в Excel 2010, опубликуйте его в SharePoint Server 2010 и затем подключите в качестве источника данных из Visio 2010 при создании новой связанной с данными диаграммы. Excel 2010 необходимо использовать для редактирования ODC-файлов в тех случаях, когда требуется изменить запрос данных, сведения о проверке подлинности, задать конечное приложение или изменить другие параметры.

Службы Visio не поддерживает синтаксический разбор сложных запросов SQL. При попытке использовать ODC-файл, содержащий сложный запрос, возможны ошибки Службы Visio при попытке выполнения запроса или возврата данных.

Службы PerformancePoint

PerformancePoint Services поддерживает использование безопасного хранения только посредством автоматической учетной записи службы. Выбор между встроенной проверкой подлинности Windows и автоматической учетной записью службы осуществляется с помощью конструктора панелей мониторинга при создании или редактировании источника данных.

Конечное приложение безопасного хранения для автоматической учетной записи службы PerformancePoint Services настраивается администратором в параметрах приложения-службы PerformancePoint Services. Пока это конечное приложение отображается в списке конечных приложений безопасного хранения, его не следует изменять непосредственно с помощью службы безопасного хранения.

Сводка различий

Как описано в этой статье, каждое приложение-служба бизнес-аналитики использует службу безопасного хранения по-своему. В следующей таблице представлена сводка функций и параметров службы безопасного хранения для каждого приложения-службы бизнес-аналитики.

Примечание

Все приложения-службы бизнес-аналитики поддерживают встроенную проверку подлинности Windows. Если задано использование встроенной проверки подлинности Windows, параметры безопасного хранения не применяются.

Приложение-служба	Служба безопасного хранения	Подключения к данным
PerformancePoint Services	Только автоматическая учетная запись службы.	Всегда с использованием PPSDC-файла.
Службы Excel	Конечное приложение безопасного хранения может быть указано в ODC-файле или встроенном XLSX-файле. Если в ODC-файле не встроено и не указано конечное приложение, используется автоматическая учетная запись службы.	Встраивается в электронную таблицу или задается в ODC-файле. ODC-файле редактируются в Excel 2010.
Службы Visio	Конечное приложение безопасного хранения может быть указано в ODC-файле. Если ODC-файл не используется или в нем не указано конечное приложение, используется автоматическая учетная запись службы. Во всех случаях, когда не используется встроенная проверка подлинности Windows, требуется учетная запись автоматической службы (за исключением случаев, когда в ODC-файле указано другое конечное приложение).	Встраивается в веб-документ или указывается в ODC-файле. Ограниченная поддержка сложных запросов. ODC-файлы редактируются в Excel 2010. (Visio 2010 не поддерживает редактирование ODC-файлов.)

PerformancePoint Services

Только автоматическая учетная запись службы.

Всегда с использованием PPSDC-файла.

Службы Excel

Конечное приложение безопасного хранения может быть указано в ODC-файле или встроенном XLSX-файле. Если в ODC-файле не встроено и не указано конечное приложение, используется автоматическая учетная запись службы.

Встраивается в электронную таблицу или задается в ODC-файле. ODC-файле редактируются в Excel 2010.

Службы Visio

Конечное приложение безопасного хранения может быть указано в ODC-файле. Если ODC-файл не используется или в нем не указано конечное приложение, используется автоматическая учетная запись службы.

Во всех случаях, когда не используется встроенная проверка подлинности Windows, требуется учетная запись автоматической службы (за исключением случаев, когда в ODC-файле указано другое конечное приложение).

Встраивается в веб-документ или указывается в ODC-файле. Ограниченная поддержка сложных запросов. ODC-файлы редактируются в Excel 2010. (Visio 2010 не поддерживает редактирование ODC-файлов.)