规划 Excel Services 安全性

  • 项目

本文内容:

  • 关于 Excel Services 安全性

  • 规划用户身份验证

  • 规划服务器之间的通信

  • 规划外部数据身份验证

  • 工作表

关于 Excel Services 安全性

除了部署 Microsoft Office SharePoint Server 2007 时的安全要求外,您还需要查看执行包括 Microsoft Office SharePoint Server 2007 中的 Excel Services 的部署时的安全注意事项。Windows SharePoint Services 3.0 提供构建 Office SharePoint Server 2007 时所基于的平台。

Microsoft Office SharePoint Server 2007 中的 Excel Services 功能与 Office SharePoint Server 2007 相结合,是企业用于控制、保护和管理对 Excel 工作簿的访问的主要方法。Excel Services 是企业级应用程序服务器,旨在提高性能、可伸缩性和安全性。通过部署 Excel Services,可以用简洁方式显示工作簿以及与之进行交互。利用该部署,可以轻松地重用可在商务智能仪表板中呈现的工作簿组件,如图表和数据透视表。

通过 Excel Services,您可以将服务器端 Excel 电子表格计算功能充分应用到自定义应用程序中,并且用户可以利用它来锁定工作簿、保护隐私数据和知识产权。这可确保工作簿中的数据的安全,同时与服务器上的工作簿进行交互的用户可以充分利用 Excel Services 提供的数据刷新和重新计算功能。

在启用这些数据呈现方案时需要考虑安全这一重要因素。在规划一种环境以帮助确保服务器上呈现的工作簿的安全时,需要考虑的因素很多。您需要规划如何管理工作簿的安全以及如何管理服务器自身的安全。利用 Excel Services,可对 Excel 工作簿的处理和显示进行非常细致的控制。您可以控制在服务器上打开工作簿的方式以及为每个工作簿启用的特定功能。

本文概述了 Excel Services 的安全设置以及规划部署时必须考虑的相关因素。此外,本文提供了有关如何使用 Excel Services 的说明性指导,以帮助保护和管理对服务器上的工作簿的访问。

Excel Services 的安全模型基于这样一种概念:若要确保数据完整性和数据质量,管理员必须要能够集中管理共享资源及用户对工作簿中包含的企业知识产权的访问。为此,Excel Services 允许您指定:

  • 受信任文件位置 这些位置为 SharePoint 文档库、UNC 路径或 HTTP 网站,必须先明确信任这些位置,然后才能允许 Excel Calculation Services 对它们进行访问。Excel Calculation Services 只打开存储在受信任文件位置的工作簿。

  • 受信任数据提供程序 这些提供程序为一些外部数据库,Excel Calculation Services 被明确配置为在处理工作簿中的数据连接时信任这些外部数据库。仅当数据连接指向受信任数据提供程序时,Excel Calculation Services 才会尝试处理该连接。

  • 受信任数据连接库 这些库为包含 Office 数据连接 (.odc) 文件的 SharePoint 文档库。.odc 文件用于集中管理与外部数据源的连接。不必单独允许与外部数据源的嵌入式连接,而是可以将 Excel Calculation Services 配置为要求对所有数据连接都使用 .odc 文件。.odc 文件存储在数据连接库中,在 Excel Calculation Services 允许工作簿访问数据连接库之前,必须先明确信任这些连接库。

    默认情况下,不允许访问跨域工作簿和数据连接。若要允许 Web 部件、网页或 Web 服务跨域访问受信任文件位置处的工作簿(和受信任数据连接库中的数据连接),请运行 Stsadm.exe 命令行实用程序,如下面的实例所示,其中 SSP name 为 Excel Services 共享服务提供程序的名称:

    stsadm.exe -o Set-EcsSecurity -Ssp <SSP name> -AllowCrossDomainAccess true|false

    发出请求的网页以及工作簿或数据连接必须位于同一个服务器场中。

    备注

    在 Excel Calculation Services 中打开工作簿时,会有一个临时文件存储在运行 Excel Calculation Services 的应用程序服务器上的 %TEMP% 文件夹中。

规划用户身份验证

使用 Excel Calculation Services 打开的 Excel 工作簿应存储在 Office SharePoint Server 2007 内容数据库中,原因是:Windows SharePoint Services 3.0 会维护这些文件的访问控制列表 (ACL)。Excel Calculation Services 也可以打开 UNC 路径和 HTTP 网站中的工作簿,但我们建议您使用 Office SharePoint Server 2007 内容数据库存储工作簿。

Windows SharePoint Services 3.0 对访问 SharePoint 门户网站的用户执行身份验证。默认情况下,Windows SharePoint Services 3.0 使用集成 Windows 身份验证。

除了已列出的身份验证方法之外,Excel Services 还支持通用的基于表单的身份验证。但是,本文并不讨论将 Windows SharePoint Services 3.0 配置为使用通用的表单身份验证这一内容。

规划服务器之间的通信

通过将 Excel Services 配置为使用受信任的子系统数据访问或委派,可以确定前端 Web 服务器如何与 Excel Calculation Services 应用程序服务器通信以及应用程序服务器如何与后端数据源通信。由于受信任子系统不需要像委派模型那样进行额外的配置,因此是 Windows 服务器场的默认设置。在受信任子系统模型中,前端 Web 服务器和 Excel Calculation Services 应用程序服务器通过使用共享服务提供程序 (SSP) 来信任关联的 Office SharePoint Server 2007 应用程序的帐户。

在受信任子系统环境中,从 Office SharePoint Server 2007 打开文件时,即使未配置 Kerberos,也可以对最终用户标识执行文件权限检查。如果 Excel Calculation Services 应用程序服务器打开 UNC 共享或 HTTP 网站中的工作簿,则无法模拟该用户帐户,必须使用进程帐户。

备注

若要模拟该用户帐户并执行工作簿授权,必须在 Excel Calculation Services 应用程序服务器和 UNC 或 HTTP 资源之间设置受约束的 Kerberos 委派。

对于前端 Web 服务器和 Excel Calculation Services 应用程序服务器之间的通信,受约束的 Kerberos 委派是最安全的配置。对于从应用程序服务器访问后端数据源,受约束的 Kerberos 委派也是最安全的配置。受约束的 Kerberos 委派是用于部署 Excel Services 的首选配置。对于外部数据连接,只有实现委派模型,集成 Windows 身份验证才能发挥作用。

规划外部数据身份验证

工作簿可以包含嵌入式直接数据连接和指向存储在数据连接库中的数据连接文件的链接。刷新时,可以使用嵌入式直接数据连接查询数据源,或者使用数据连接库链接查询 .odc 文件,具体取决于 Excel Services 的配置。.odc 文件包含数据连接信息,必须将其存储在数据连接库中。

若要将 Excel Services 配置为处理与外部数据源的连接,请在 SharePoint 管理中心 Web 应用程序的“Excel Services 添加受信任文件位置”页的“外部数据”部分中选择设置。

若要配置 Excel Services 的管理设置,请从 Office SharePoint Server 2007 打开 SharePoint 管理中心 Web 应用程序,并执行下列步骤。

配置 Excel Services 的管理设置

  1. 在管理中心主页上,单击“应用程序管理”。

  2. 在“应用程序管理”页的“Office SharePoint Server 2007 共享服务”部分,单击“创建或配置此服务器场的共享服务”。

  3. 在“管理此服务器场的共享服务”页上,单击“SharedServices1 (默认)”。这是您将配置的 SSP。

  4. 在共享服务主页的“Excel Services 设置”部分,单击“受信任文件位置”。

  5. 在“Excel Services 受信任文件位置”页上,单击“添加受信任文件位置”。

  6. 在“地址”部分,键入要在 Excel Services 中作为受信任文件位置添加的 SharePoint 文档库的位置和名称。如果文档库存储在 Windows SharePoint Services 3.0 内容数据库中,请确保所选择的“位置类型”为 Windows SharePoint Services 3.0。

对于大多数具有集成连接的服务器场部署,都需要进行委派。当 Excel Calculation Services 检索连接信息时,会指定以下凭据:“存储”(要从 SSO 数据库中检索)、“集成”或“无”。对于包含集成凭据的数据连接,如果部署扩展到多台服务器,则需要进行委派。在独立部署中,不需要进行委派。

假设工作簿中的数据连接由使用“存储”凭据方法的 Excel Calculation Services 应用程序服务器打开。Excel Calculation Services 必须从单一登录 (SSO) 身份验证数据库中检索有效的凭据。然后,它使用该凭据对数据源进行身份验证,以便之后可以建立数据连接。

Excel Services 支持三种数据身份验证方法:“集成 Windows 身份验证”、“SSO 身份验证”和“无”。

集成 Windows 身份验证

集成 Windows 身份验证通常需要受约束的 Kerberos 委派,这是最安全的身份验证方法。对于身份验证,我们建议您启用受约束的 Kerberos 委派(从前端 Web 服务器到运行 Excel Calculation Services 的应用程序服务器以及从 Excel Calculation Services 到外部数据源)。对于 Excel Services 方案,我们建议您使用集成 Windows 身份验证。

SSO 身份验证

通过 SSO 身份验证,用户可以访问多个系统资源,且无需多次提供身份验证凭据。Office SharePoint Server 2007 通过将 Windows 服务和安全凭据数据库包括在内来执行 SSO 身份验证。通过使用 Excel Services 支持的可插入 SSO 功能,可以实现自己的 SSO 提供程序。Office SharePoint Server 2007 包含使用 Excel Services 的 Windows SSO 提供程序。

任何使用 Excel Services 实现的 SSO 提供程序都应为每个 SSO 项保留一个标记,该标记指定该 SSO 项是使用基于 Windows 的凭据还是使用另一个环境中的凭据。Office SharePoint Server 2007 中的 Windows SSO 提供程序即为此目的保留了标记。Excel Services 使用 SSO 数据库检索用于连接身份验证的凭据。

Office SharePoint Server 2007 中的 SSO 身份验证支持单用户映射和组映射。SSO 为存储在 Office SharePoint Server 2007 SSO 数据库中的资源的应用程序标识 (App ID) 保留了一组凭据。对于单用户映射,安全层会根据存储在 SSO 数据库中的 App ID 的多个单用户列表检查用户凭据。如果需要记录有关个人用户对共享资源的访问的信息,则单用户映射非常有用。

对于组映射,安全层会根据一组凭据(即,由存储在 SSO 数据库中的 App ID 标识的资源的一组凭据)检查多个域用户的组凭据。组映射比单用户映射更容易维护,性能也更高。

若要为 Office SharePoint Server 2007 启用 SSO 功能,请启动 Microsoft Single Sign-On Service,然后配置 SharePoint 管理中心 Web 应用程序中的 SSO 设置。按照以下步骤设置和配置 SSO 数据库,以对数据连接进行身份验证。

启动单一登录服务

  1. 从“管理工具”中单击“服务”。

  2. 双击“Microsoft Single Sign-On Service”。

  3. 在“Microsoft Single Sign-On Service 的属性”页的“登录”选项卡上,单击“此帐户”,然后键入安装和管理服务器所使用的域、用户名和密码。

  4. 单击“应用”。

  5. 在“Microsoft Single Sign-On Service 的属性”页的“常规”选项卡上,将启动类型更改为“自动”,然后依次单击“启动”和“确定”。

    备注

    在服务器场中运行 Excel Calculation Services 的所有前端 Web 服务器和应用程序服务器上启动单一登录服务。

管理 SSO 设置

  1. 从“管理工具”中,打开 SharePoint 管理中心 Web 应用程序。

  2. 在管理中心主页上,单击“操作”。

  3. 在“安全性配置”部分,单击“管理单一登录的设置”。

  4. 在“管理单一登录的设置”页上,单击“管理服务器设置”。

  5. 在 SSO 管理员帐户的“帐户名”框中,键入配置单一登录服务所使用的域和用户名。如果用来配置单一登录服务的用户名是 Windows 安全组的成员,则可以键入 Windows 安全组的名称(而不是用户名)。

  6. 在“企业应用程序定义管理员帐户”框中,键入用来配置单一登录服务的域和用户名。

如果指定“无”作为 Excel Services 部署的身份验证方法,Excel Services 将尝试使用入站连接字符串连接到在字符串中指定的数据库。数据库可能可以使用连接字符串来对用户进行身份验证,具体取决于特定的数据库提供程序。

Excel Services 不通过解析连接字符串来确定身份验证方法。连接字符串将只被传递给数据库提供程序。连接字符串可以指定是否需要使用集成 Windows 身份验证。连接字符串也可以包含特定的用户名和密码。在任意一种情况下,如果指定“无”作为身份验证方法,则 Excel Services 需要模拟无人参与服务帐户。

如果数据库提供程序确定连接字符串指定集成 Windows 身份验证,且数据库授权用户进行访问,则使用无人参与帐户的安全性上下文建立连接。如果连接字符串包含用户名和密码,且数据库授权用户进行访问,则使用授权用户帐户的安全性上下文建立连接。

无人参与服务帐户

无人参与服务帐户是低权限帐户,当 Excel Calculation Services 建立的数据连接所使用的身份验证方法为来自并非基于 Windows 的环境的 SSO 凭据或者为“无”时,可以模拟该帐户。如果未配置无人参与服务帐户,当使用的身份验证方法为来自非 Windows 环境的 SSO 或者为“无”时,数据连接将失败。

通过模拟无人参与帐户,可以防止使用 Excel Calculation Services 来打开外部数据连接的客户端计算机在未经授权的情况下连接 Office SharePoint Server 2007 数据库以及 Excel Services 可以直接访问的任何其他数据源。当模拟无人参与服务帐户时,不能使用与 Excel Calculation Services 应用程序线程关联的凭据访问任何其他数据库。另外,当模拟无人参与服务帐户时,将在低权限帐户的安全性上下文中运行外部数据查询,而不是在具有更高权限的 Excel Calculation Services 应用程序线程的安全性上下文中运行。

您可以将无人参与服务帐户配置为域帐户或本地计算机帐户。如果将无人参与服务帐户配置为本地计算机帐户,请确保该配置在每台运行 Excel Calculation Services 的应用程序服务器上都是相同的。请将无人参与服务帐户的权限限制为仅可登录到网络。确保无人参与服务帐户不具有访问任何数据源或 Office SharePoint Server 2007 数据库的权限。按照以下步骤启用无人参与服务帐户。

启用无人参与服务帐户

  1. 在“Excel Services 设置”页的“外部数据”部分中的“名称”和“密码”框中,键入要使用的名称和密码。

  2. 单击“确定”。

安全设置

若要配置 Excel Services 的管理设置(包括安全设置),请从 Microsoft Windows Server 2003 的“管理工具”中打开“SharePoint 管理中心 Web 应用程序”,并执行下列步骤。

配置 Excel Services 的安全设置

  1. 在管理中心主页上,单击“应用程序管理”。

  2. 在“应用程序管理”页的“Office SharePoint Server 2007 共享服务”部分,单击“创建或配置此服务器场的共享服务”。

  3. 在“管理此服务器场的共享服务”页上,单击“SharedServices1 (默认)”。这是您将配置的 SSP。

  4. 在共享服务主页的“Excel Services 设置”部分,单击“编辑 Excel Services 设置”。

也可以使用“Excel Services 设置”页来配置文件访问方式和数据加密的选项,这些选项会直接影响安全部署。

文件访问方式

在“Excel Services 设置”页上的“安全”部分中的“文件访问方式”下,选择“模拟”或“进程帐户”。

  • 模拟 使用此选项,线程可以在除拥有该线程的进程上下文以外的安全性上下文中运行。如果选择“模拟”,则要求 Excel Calculation Services 在用户尝试访问存储在 UNC 和 HTTP 位置的工作簿时向这些用户授权。选择此选项对存储在 Office SharePoint Server 2007 数据库中的工作簿没有任何影响。在大多数服务器场部署中,前端 Web 服务器和 Excel Calculation Services 应用程序服务器在不同的计算机上运行,若要进行模拟,需要受约束的 Kerberos 委派。

  • 进程帐户 如果 Excel Calculation Services 应用程序服务器要打开 UNC 共享或 HTTP 网站中的工作簿,则无法模拟该用户帐户,必须使用进程帐户。

数据加密

可以使用 Internet 协议安全性 (IPsec) 或安全套接字层 (SSL) 在 Excel Calculation Services 应用程序服务器、数据源、客户端计算机和前端 Web 服务器之间进行加密数据传输。若需要在客户端计算机和前端 Web 服务器之间进行加密数据传输,请将“连接加密”设置从“无”更改为“所有连接”。“无”是默认设置。如果将“连接加密”设置更改为“所有连接”,Excel Calculation Services 应用程序服务器将只允许在客户端计算机和前端 Web 服务器之间通过 SSL 连接传输数据。

如果您确定需要进行加密数据传输,必须手动配置 IPsec 或 SSL。您可以要求在客户端计算机和前端 Web 服务器之间使用加密连接,同时允许在前端 Web 服务器和 Excel Calculation Services 应用程序服务器之间使用非加密的连接。

受信任文件位置

受信任文件位置是指运行 Excel Calculation Services 的服务器可以访问其中的工作簿的 SharePoint 网站、UNC 路径或 HTTP 网站。

在“Excel Services 添加受信任文件位置”页的“位置”部分,可以配置受信任文件位置的地址、位置类型以及其子库是否也受信任。如果选择“信任子级”,可以提高可管理性;但是,如果使受信任位置的子网站或子目录一经创建即自动成为可信任位置,可能会导致潜在的安全问题。

工作表操作

使用受信任文件位置工作表(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=73327&clcid=0x804)(该链接可能指向英文页面)记录受信任 SharePoint 网站、UNC 路径和 HTTP 网站的名称。

在“会话管理”部分,可以配置设置来帮助保持资源可用性以及提高 Excel Calculation Services 的性能和安全性。如果大量用户同时打开多个 Excel Calculation Services 会话,则性能可能会降低。您可以控制资源消耗,并通过为打开的会话配置两种不同的超时设置来限制打开的 Excel Calculation Services 会话的持续时间。

“会话超时”设置确定 Excel Calculation Services 会话在每次用户交互后保持打开和非活动状态的时间。“短会话超时”设置确定 Excel Calculation Services 会话在初始会话请求后保持打开和非活动状态的时间。通过配置“请求的最长持续时间”值,还可以控制允许任何单个会话请求持续的时间(秒)。通过限制会话保持打开状态的时间长度,有助于降低发生拒绝服务攻击的风险。

在“工作簿属性”部分,可以配置可在 Excel Calculation Services 会话中打开的任何工作簿的最大大小。如果用户打开极其大的工作簿,可能会影响性能和资源可用性。除非您控制允许在打开的 Excel Calculation Services 会话中运行的工作簿的大小,否则,用户可能会超过您的资源容量,从而导致服务器出现故障。

备注

如果运行 Excel Calculation Services 的应用程序服务器出现故障或关闭,则该服务器上所有打开的会话都将丢失。在独立安装中,Excel Services 将不再可用。这意味着不能使用 Excel Calculation Services 加载、重新计算、刷新或检索工作簿。在包含多台运行 Excel Calculation Services 的应用程序服务器的服务器场部署中,关闭一台服务器不会影响在其他服务器上运行的打开的会话。如果运行会话的服务器关闭,则会提示用户重新打开工作簿。如果用户启动新会话,则会自动将其转向运行 Excel Calculation Services 的活动应用程序服务器。

在“外部数据”部分,可以决定存储在受信任文件位置且在 Excel Calculation Services 会话中打开的工作簿是否能访问外部数据源。您可以指定是将“允许外部数据”设置为“无”、“只使用受信任的数据连接库”还是“受信任的数据连接库和嵌入连接”。如果您选择“只使用受信任的数据连接库”或“受信任的数据连接库和嵌入连接”,将允许存储在受信任文件位置的工作簿访问外部数据源。

仅当外部数据连接嵌入在工作簿中或是从工作簿链接时,才能对其进行访问。Excel Calculation Services 在打开工作簿之前会先检查受信任文件位置的列表。如果选择“无”,Excel Calculation Services 将阻止对外部数据源的任何访问尝试。如果您为大量的工作簿作者管理数据连接,请考虑指定“只使用受信任的数据连接库”。这样可确保由经过身份验证的工作簿作者生成的所有工作簿中的所有数据连接都必须使用受信任数据连接库才能访问外部数据源。

如果您为少量的工作簿作者管理数据连接,请考虑指定“受信任的数据连接库和嵌入连接”。这样,工作簿作者便可以在其工作簿中嵌入指向外部数据源的直接连接,但是,即使嵌入式链接失败,他们也仍然可以访问受信任数据连接库。

在“外部数据”部分中的“刷新时警告”区域中,可以指定从外部数据源刷新工作簿之前是否显示警告。如果选择“启用刷新警告”,可以确保外部数据仅在有用户交互的情况下才会自动刷新。

在“‘打开时刷新’失败时停止打开”区域中,可以指定如果工作簿包含失败的“打开时刷新”数据连接,Excel Calculation Services 是否停止打开该工作簿。如果选择“启用停止打开”,可确保在工作簿处于打开状态而刷新操作失败的情况下不显示缓存值。如果“打开时刷新”成功,将清除缓存值。如果清除“启用停止打开”复选框,则存在当“打开时刷新”失败时会显示缓存值的风险。

在“外部数据”部分的“外部数据缓存生存期”区域中,可以指定在缓存值过期前可以使用它们的最长时间。

为了确保只有受信任用户才能访问存储在受信任位置的工作簿,应针对所有受信任文件位置强制使用 ACL,这一点很重要。

用于部署 Excel Services 与 Office SharePoint Server 2007 的核心方案有三个:企业、小部门和自定义。

在企业部署中,请考虑以下原则:

  • 不要配置对用户定义函数的支持。

  • 不要允许工作簿使用嵌入式数据连接来直接访问外部数据源。

  • 禁止在从工作簿访问外部数据源时使用数据连接库。

  • 限制可在 Excel Calculation Services 中打开的工作簿的大小。

  • 有选择地信任特定的文件位置,不要为受信任网站和目录启用“信任子级”。

在小部门部署中,请考虑以下原则:

  • 为部门成员用来存储工作簿的所有文件位置启用信任。

  • 为所有受信任网站和目录启用“信任子级”。

  • 如果出现问题,请有选择地限制对特定文件位置的访问。

在自定义部署中,请考虑使用以下原则:

  • 使 Excel Calculation Services 可以打开较大的工作簿。

  • 配置长会话超时设置。

  • 配置大型数据缓存。

  • 为此项部署创建一个受信任位置。

  • 不要为此受信任位置启用“信任子级”。

受信任数据提供程序

通过明确定义受信任的数据提供程序并将其记录在受信任数据提供程序列表中,可以控制对外部数据的访问。受信任数据提供程序的列表指定了特定的外部数据提供程序,在 Excel Calculation Services 中打开的工作簿可以连接到这些提供程序。

在实例化某数据提供程序以使工作簿能够连接到外部数据源之前,Excel Calculation Services 会检查连接信息,以确定是否在受信任数据提供程序列表中显示该提供程序。如果该提供程序显示在列表中,则会尝试进行连接;否则,会忽略连接请求。

工作表操作

使用受信任数据提供程序工作表(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=73325&clcid=0x804)(该链接可能指向英文页面)记录受信任数据提供程序的名称。

受信任数据连接库

受信任数据连接库是您确定可从中安全访问 .odc 文件的文档库。数据连接库用于保护和管理由运行 Excel Calculation Services 的服务器访问的工作簿的数据连接。受信任数据连接库的列表指定了特定的数据连接库,通过这些连接库,在 Excel Calculation Services 中打开的工作簿可以访问 .odc 文件。

如果从运行 Excel Calculation Services 的服务器所访问的工作簿链接至某数据连接,则服务器会检查连接信息和受信任数据连接库的列表。如果数据连接库位于列表中,可以尝试从数据连接库使用 .odc 文件进行连接;否则,会忽略连接请求。

工作表操作

使用受信任数据连接库工作表(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=73324&clcid=0x804)(该链接可能指向英文页面)记录受信任数据连接库的名称。

仅查看权限

可以指定对工作簿只有查看权限的用户,方法是将其添加到 Office SharePoint Server 2007 的“查看者”组或创建具有“仅查看”权限的新组。默认情况下,会为“查看者”组配置“仅查看”权限。添加到具有“仅查看”权限的组的用户可以查看、打开、刷新和重新计算工作簿并与之交互,但是,除了使用 Excel Services 之外,他们不能以任何其他方式访问文件源。这有助于您保护私有信息。指定的用户永远看不到源数据。

在 Office Excel 2007 中无法打开配置了“仅查看”权限的工作簿和工作簿数据对象;但是,Office Excel 2007 中可呈现工作簿的快照,其中只显示可在服务器上查看的值和格式设置。

您可以在 Office SharePoint Server 2007 中配置网站设置,以控制对工作簿数据的访问,方法是针对呈现在 Web 浏览器中的集中管理的工作簿设置“仅查看”权限。也可以在 Office SharePoint Server 2007 上配置网站设置,以使工作簿能够刷新服务器上的外部数据,以及保护和管理外部数据连接。可按照以下步骤将指定的数据对象保存为“仅查看”项目。

将指定的数据对象保存为“仅查看”项目

  1. 在 Office Excel 2007 中打开包含数据对象(如图表和表)的工作簿。

  2. 将工作簿发布到列为 Excel Services 受信任位置的 SharePoint 文档库。

  3. 在“另存为”对话框的“文件名”框中,键入要将文件保存到的 SharePoint 文档库的 URL。请确保选中“在 Excel Services 中打开”复选框。

  4. 单击“Excel Services 选项”。

  5. 在“Excel Services 选项”对话框中,从下拉菜单中选择“工作簿中的项目”。

  6. 选择要呈现的项目,然后单击“确定”。

  7. 在“另存为”对话框中,单击“保存”。

外部数据连接

Excel Services 的 Excel Calculation Services 组件用于连接到外部数据源。Excel Calculation Services 会处理包含服务器连接到数据源所需的全部信息的外部数据连接信息,包括如何进行身份验证、使用哪个连接字符串、使用哪个查询字符串、在何处及如何收集用于连接的凭据。可在两个位置定义这些连接:工作簿(在该处定义嵌入式连接)和 .odc 文件。这两个位置的连接信息都是相同的。.odc 文件是以纯文本和可重复使用的格式保留连接信息的小文件。

可以使用 Office Excel 2007 客户端创作和编辑 .odc 文件以及嵌入在工作簿中的连接。在 Office Excel 2007 客户端中,可以运行“数据连接向导”或在“连接”属性页中配置设置。您还可以根据这些设置导出 .odc 文件。“连接”属性页显示了连接信息,包括 Excel Services 身份验证属性。

工作表操作

使用外部数据连接工作表(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=73323&clcid=0x804)(该链接可能指向英文页面)记录 .odc 文件的名称和相应的外部数据源的位置。

.odc 文件

工作簿可以包含指向 .odc 文件和嵌入式连接信息的链接。这样,当嵌入式连接信息失败时,工作簿可以检索 .odc 文件、读取内容并尝试连接到外部数据源。必须管理和维护 .odc 文件,以确保它们包含准确的数据连接信息。

您也可以将 Excel Calculation Services 配置为以独占方式使用 .odc 文件中的连接信息,而不是首先尝试使用嵌入式信息进行连接。通过此方法,管理员可以将其中一些提供已更新连接信息的托管 .odc 文件部署到许多工作簿中。

工作簿作者可以指定每次进行连接时工作簿可以使用的连接信息。为此,请打开 Office Excel 2007 客户端,并单击“数据”选项卡上的“工作簿连接”。向工作簿添加连接,打开“工作簿连接”,然后查看刚刚添加的连接的属性。在“定义”选项卡上,选择“始终使用连接文件”。利用此设置,工作簿可以从数据连接库中检索连接文件,并使用该文件中的连接信息来连接到外部数据源。也可以通过选择数据连接向导最后一页上的“始终使用连接文件”来配置此设置。

管理 .odc 文件

数据连接库提供了一个库来存储 .odc 文件集。管理员可以通过创建数据连接库和要求工作簿始终使用连接文件的 .odc 文件,来管理服务器上的数据连接。直接使用数据连接库中的连接的工作簿始终会在连接到数据源之前获得更新后的连接信息。

如果数据源信息(例如,服务器名称)发生变化,只需更新数据连接库中的一个 .odc 文件,使用该 .odc 文件的所有工作簿均将在下一次刷新时自动更新。也可以使用“仅查看”权限来限制对 .odc 文件的访问。

用户定义函数

如果您的部署方案中包括的工作簿含有用于扩展 Excel Calculation Services 的功能的用户定义函数,则您需要将 Excel Services 配置为支持用户定义函数。

若要配置此支持,对于包含的工作簿要求访问用户定义函数的受信任文件位置,必须为其启用用户定义函数。此外,您必须在 Excel Services 用户定义函数程序集列表中注册用户定义函数程序集。可按照以下步骤启用用户定义函数。

启用用户定义的函数

  1. 在共享服务主页的“Excel Services”部分,单击“用户定义函数”。

  2. 在“Excel Services 用户定义函数”页上,单击“添加用户定义函数程序集”。

  3. 在“程序集”框中,键入要注册的用户定义函数程序集的强名称或文件路径。

  4. 在“程序集位置”中,执行下列操作:

    1. 如果要将用户定义函数程序集部署到服务器场中每台 Excel Calculation Services 应用程序服务器上的全局程序集缓存 (GAC) 中,请选择 GAC。

    2. 如果需要将用户定义函数保存到 Excel Calculation Services 应用程序服务器上的目录(本地路径)中或保存到网络共享(UNC 路径)中,请选择“本地文件”。

    3. 确保选中了“启用程序集”复选框,然后单击“确定”。

为受信任文件位置的工作簿启用用户定义函数

  1. 在共享服务主页的“Excel Services”部分,单击“受信任文件位置”。

  2. 在“Excel Services 受信任文件位置”页上,单击要编辑其属性的受信任文件位置的 URL。

  3. 在“Excel Services 编辑受信任文件位置”页的“用户定义函数”部分,选择“允许的用户定义函数”,然后单击“确定”。

工作表

使用下面的工作表规划 Excel Services 安全性:

下载此书籍

本主题包含在以下可下载书籍内,以方便您阅读和打印:

有关可下载书籍的完整列表,请参阅 Office SharePoint Server 2007 的可下载书籍

另请参见

其他资源

演示:为 SharePoint 工作组网站启用 Excel Services 和数据连接(该链接可能指向英文页面)