商业智能服务应用程序的安全存储

适用于： SharePoint Server 2010

上一次修改主题： 2016-11-30

本文介绍 Microsoft SharePoint Server 2010 商业智能功能如何使用 Secure Store Service 为 SharePoint Server 2010 用户提供对外部数据源（如 SQL Server）的访问权限。在本文中，SharePoint Server 2010商业智能服务应用程序 包括：

• Excel Services

• PerformancePoint Services

• Visio Services

SharePoint Server 2010 商业智能服务应用程序为用户提供两种数据访问方法：

• 使用受约束的 Kerberos 委派的集成 Windows 身份验证

• Secure Store Service

本文描述 Secure Store Service 及其与商业智能服务应用程序的关系。有关使用集成 Windows 身份验证（使用受约束的 Kerberos 委派）的详细信息，请参阅规划 Kerberos 身份验证 (SharePoint Server 2010)。

Secure Store Service

Secure Store 是 SharePoint Server 2010 中的一项功能，通过允许商业智能服务应用程序代表尝试访问数据的 SharePoint Server 2010 用户使用一组具有数据访问权限的凭据，可帮助提供对 SharePoint Server 2010 外部数据（例如 SQL Server 数据）的访问权限。商业智能服务应用程序代表用户使用凭据的这种方式称为模拟。

Secure Store 通过使用目标应用程序 在商业智能服务应用程序、用户和凭据之间提供这种映射。安全存储目标应用程序是一个元数据集合，这些元数据指定应允许哪些用户在访问外部数据时使用商业智能服务应用程序将用于模拟的一组特定凭据。此元数据与已加密凭据一起存储在安全存储数据库中。

安全存储目标应用程序在 SharePoint Server 2010 中可以通过很多方式使用，但是对于 SharePoint Server 2010 商业智能方案，目标应用程序包括以下可由 Farm Administrator 配置的设置：

• 管理员   目标应用程序管理员是具有给定安全存储目标应用程序管理权限的用户。根据您的需要，这些用户可以是 Farm Administrator 或特定的一个或多个用户。对于由 PerformancePoint Services创建的目标应用程序，管理员由 PerformancePoint Services自动配置，而配置无人参与服务帐户的用户将作为管理员添加。

• 成员   目标应用程序的成员是一些用户，商业智能服务应用程序在访问外部数据时将代表这些用户模拟目标应用程序凭据。这些成员可以是单个用户、多个用户或 Active Directory 组。成员也称为凭据所有者。对于由 PerformancePoint Services创建的目标应用程序，用于 PerformancePoint Services应用程序池的服务帐户作为成员使用。

• 凭据   目标应用程序凭据由具有数据源直接访问权限的 Active Directory 帐户组成。（您必须直接为此帐户授予所需的数据访问权限 — 对外部数据源的访问权限不是由 SharePoint Server 2010控制。这应是仅允许数据访问的低权限帐户。）商业智能服务应用程序正是模拟该帐户以向用户提供数据访问权限。

管理员、成员和凭据均可由 Farm Administrator 直接通过 Secure Store 为 Excel Services 和 Visio Services配置。对于 PerformancePoint Services，这些值直接通过“PerformancePoint Service 应用程序设置”进行配置，不可通过 Secure Store 进行修改。

Visio Services和 Excel Services 可以通过以下两种方法之一使用 Secure Store：

• 指定目标应用程序   特定目标应用程序由 Excel 工作表或 Visio Web 绘图指定。用户访问工作表或 Web 绘图时，Secure Store 使用与该目标应用程序关联的凭据进行数据访问。对于 Visio Services，此目标应用程序必须使用在 SharePoint Server 2010 上托管的 ODC 文件进行指定。

• 未指定目标应用程序（无人参与服务帐户）   Excel 工作表或 Visio Web 绘图未指定任何目标应用程序。用户访问连接到外部数据源的工作表或 Web 绘图时，用户使用在 Excel Services 或 Visio Services的“全局设置”中指定的目标应用程序。为商业智能服务应用程序全局指定目标应用程序时，目标应用程序凭据指的是无人参与服务帐户。

PerformancePoint Services无法指定特定安全存储目标应用程序 — 它仅能使用具有无人参与服务帐户的 Secure Store。

事件发生的基本顺序如下：

1. SharePoint Server 2010 用户访问连接数据的对象，如Excel Services 工作表、Visio Services Web 绘图或PerformancePoint Services仪表板。

2. 如果对象配置为使用 Secure Store 进行数据身份验证，商业智能服务应用程序会调用 Secure Store Service 访问该对象指定的目标应用程序。

3. 如果用户是该目标应用程序的成员，存储在目标应用程序中的凭据将返回，并且商业智能服务应用程序在访问数据时会模拟凭据。

4. 数据在工作表、Web 绘图或仪表板上下文中向用户显示。

数据连接文件

所有商业网智能服务应用程序都可以使用数据连接文件指定身份验证信息。 Excel Services 和 Visio Services 使用 Office 数据连接 (.ODC) 文件，而 PerformancePoint Services使用 PerformancePoint Services 数据连接 (.PPSDC) 文件。使用此类文件，多个 Excel Services 工作表、Visio Services Web 绘图或 PerformancePoint Services仪表板可以共享一组常用数据访问参数。

每个 SharePoint Server 2010 商业智能服务应用程序都以不同的方式使用数据连接文件。有关每个应用程序如何使用数据连接文件的说明，请参阅下面针对每个服务应用程序的小节。

无人参与服务帐户

无人参与服务帐户 指的是在商业智能服务应用程序的全局设置中指定的安全存储目标应用程序的凭据。此目标应用程序用于在未指定其他身份验证方法时为用户提供数据访问权限。对于 Visio Services，只要未使用集成 Windows 身份验证无人参与服务帐户就是必需的，即使连接文件中提供了其他连接信息（例如 SQL 身份验证字符串）也不例外。

客户端和服务器的数据访问

Microsoft Excel 2010 和 Microsoft Visio 2010 是可以从 SharePoint Server 2010 独立运行的客户端应用程序。虽然它们可以向 SharePoint Server 2010 发布文档，但是它们无法直接使用 Secure Store 进行数据源身份验证。创建或编辑连接数据的工作表或 Web 绘图时，必须使用集成 Windows 身份验证或其他适用的身份验证方法从 Excel 2010 或 Visio 2010 直接连接到数据源。（您可能使用的其他身份验证方法包括 SQL 身份验证或 OLEDB 连接字符串。）工作表或 Web 绘图发布到 SharePoint Server 2010 后，Excel Services 或 Visio Services 可以在向用户显示内容时，使用 Secure Store 连接到数据源。

PerformancePoint Services仪表板设计器与 SharePoint Server 2010 直接集成。仪表板设计器可以直接使用 Secure Store 并利用无人参与服务帐户进行身份验证。因此，只要无人参与服务帐户具有必需访问权限，仪表板设计器的用户即不需要通过集成 Windows 身份验证直接访问数据源。

Excel Services 和 Visio Services

Excel Services 和 Visio Services以类似方式使用 Secure Store：

• 两者均可存储在 ODC 文件中指定的安全存储目标应用程序。

• 两者均可使用无人参与服务帐户。

但是，Excel Services 和 Visio Services之间也存在一些差异，接下来几个小节将对这些主要差异进行介绍。

Excel Services

Excel Services 所用的数据连接必须在 Excel 2010 中配置，然后才能发布到 SharePoint Server 2010 网站。Excel 2010 工作表可以直接指定数据连接信息，或包括指向 ODC 文件（可在其中找到连接信息）的指针。

以下身份验证设置在连接数据的 Excel 2010 工作簿或 ODC 文件中提供：

• 集成 Windows 身份验证   指定使用 Kerberos 委派的集成 Windows 身份验证，以在通过 Excel Services 查看 Excel 2010 工作簿时对每个用户进行身份验证。

• SSS ID   指定要用于数据源访问的特定 Secure Store Service 目标应用程序。

• 无   使用连接字符串中指定的凭据（如果有）；否则，使用 Excel Services 全局设置中指定的 Secure Store 无人参与服务帐户。

这些设置仅能通过在 Excel 2010 中打开工作表或 ODC 文件进行编辑。

Visio Services

Visio Services支持适用于 Visio Web 绘图的两种数据连接方法：

• 内嵌连接信息

• 使用 ODC 文件的外部连接信息

创建 Visio 图表并将其直接连接到数据源时，Visio 2010 在您将 Web 绘图发布到 SharePoint Server 2010 时将数据源信息直接存储在文件中。用户查看 Web 绘图时，Visio Services使用在 Visio Services全局设置中指定的 Secure Store 无人参与服务帐户连接到数据源。

如果不是从 Visio 2010 直接连接到数据源，而是使用 SharePoint Server 2010 中存储的现有 ODC 文件连接到数据源，那么发布 Web 绘图时，Visio 2010 会维护指向该 ODC 文件的链接。Visio Services之后在连接到数据源时使用存储在 ODC 文件中的连接信息。这包括使用特定安全存储目标应用程序（如果在 ODC 文件中已指定）。

Visio 2010 无法编辑 ODC 文件。建议按照以下操作使用包含 Visio Web 绘图的 ODC 文件：在 Excel 2010 中创建 ODC 文件，将其发布到 SharePoint Server 2010，然后在创建新的连接数据的图表时作为来自 Visio 2010 的数据源与其进行连接。如果想要更改数据查询、身份验证信息，指定目标应用程序或修改其他设置，必须使用 Excel 2010 编辑 ODC 文件。

Visio Services无法分析复杂 SQL 查询。如果尝试使用包含复杂查询的 ODC 文件，Visio Services可能无法运行查询并检索数据。

PerformancePoint Service

PerformancePoint Services仅通过无人参与服务帐户使用 Secure Store。是选择集成 Windows 身份验证还是无人参与服务帐户在创建或编辑数据源时通过仪表板设计器设置。

适用于 PerformancePoint Services无人参与服务帐户的安全存储目标应用程序作为 PerformancePoint Services服务应用程序设置的一部分由管理员配置。此目标应用程序在“安全储存目标应用程序”列表中显示时，不应直接通过 Secure Store 修改。

差异摘要

如本文所述，每个商业智能服务应用程序都以不同方式使用 Secure Store。下表概述了每个商业智能服务应用程序的 Secure Store 功能和选项。

See Also

Concepts

配置 Secure Store Service (SharePoint Server 2010)
Excel Services 概述 (SharePoint Server 2010)
将 Excel Services 与安全存储一起使用 (SharePoint Server 2010)
PerformancePoint Services 概述 (SharePoint Server 2010)
规划 PerformancePoint Services 安全性 (SharePoint Server 2010)
规划 Visio Services (SharePoint Server 2010)