Office Online Server中 Excel Online 的数据身份验证
总结了解 Excel Online 如何支持与 SQL Server Analysis Services (SSAS) 、SQL Server 数据库以及 OLE DB 和 ODBC 数据源的连接。
从数据源中检索数据要求数据源对用户进行身份验证并授予用户对其中包含的数据的访问权。 对于工作簿,Excel Online 将代表正在查看数据源的用户向数据源进行身份验证,以便刷新工作簿所连接到的数据。
Excel Online 可用于检索数据的身份验证方法取决于基础数据源的类型,如下表所述。 对于支持多种身份验证方法的数据源,数据连接必须指定要使用哪一种身份验证方法。
Excel Online 的数据源和身份验证方法
| 数据源 | 身份验证方法 |
|---|---|
| Analysis Services |
Windows 身份验证(集成安全性) 使用受约束的 Kerberos 委派 使用安全存储 使用 EffectiveUserName 连接字符串属性 |
| SQL Server |
下列方法之一: Windows 身份验证(集成安全性) 使用受约束的 Kerberos 委派 使用安全存储 SQL Server 身份验证 |
| 自定义数据提供程序 |
随数据源(通常是连接字符串中存储的用户名和密码对)的不同而异。 |
Excel 中支持以下数据源,但在 Excel Online 中不受支持:
Access 数据库
Web 内容
XML 数据
Microsoft Azure 市场
文本文件
使用 Excel Online 连接到外部数据
Excel Online 可以连接到各种外部数据源,包括SQL Server、Analysis Services 和自定义 OLE DB/ODBC 数据提供程序。 若要连接到数据源,Excel Online 为每个数据源使用特定的数据提供程序。
可使用以下任一身份验证连接到 SQL Server 数据源:
Windows 身份验证
SQL Server 身份验证
使用 Windows 身份验证可连接到 Analysis Services 数据源。
其他数据源将使用一个连接字符串,该字符串通常由用户名和密码构成。
Excel Online 工作簿的数据连接
Excel Online 工作簿使用以下两种类型的连接之一:
嵌入的连接
链接的连接
嵌入连接存储为 Excel 工作簿的一部分。 链接的连接将外部存储到 Office 数据连接 (ODC) 文件中的 工作簿。 若要使用链接连接,工作簿必须引用与工作簿存储在同一 SharePoint Server 场中的 .odc 文件。 每个数据连接均包含:
一个连接字符串
一个查询字符串
一种身份验证方法
(可选)检索外部数据所需的某些元数据
每种连接都具有自己优点和缺点(此处进行了讨论)。 请选择最适合您方案的连接。
Excel Online 的数据连接比较
| 连接类型 | 嵌入的连接 | ODC 文件 |
|---|---|---|
| 优点 |
所有连接信息都存储在工作簿中。 只需少量管理开销即可支持嵌入的连接。 可轻松创建嵌入的连接。 |
链接连接可以集中存储、管理、审核、共享,并且可以使用 SharePoint 文档库控制对链接连接的访问权限。 工作簿作者可使用现有连接,而无需创建查询和连接字符串。 如果数据源的数据连接详细信息发生更改,则管理员只需更新一个 ODC 文件。 进行该更改后,引用 ODC 文件的所有工作簿将在下次刷新时使用更新的连接信息。 (此方案的一个示例是移动数据库服务器或更改数据库名称时。) |
| 缺点 |
如果数据源的数据连接详细信息发生更改,则必须将具有该数据源的嵌入连接的所有工作簿连同更新的连接信息一起重新发布。 SharePoint 管理员更加难以审计嵌入的数据连接。 |
可能需要获得 SharePoint 管理员的帮助,才能共享、管理和保护链接的连接。 链接的连接将以明文形式保存,并可能包含数据库密码。 必须额外谨慎以帮助保护这些文件。 需要 Office Online Server 和 SharePoint Server 之间的服务器到服务器身份验证。 这会增加配置和管理开销。 |
对于您必须具有至企业规模数据源(如 SQL Server 或 Analysis Services)的数据连接的方案,将通过使用 ODC 文件选择链接的数据连接。 链接的数据连接在方案中最有用:对于将跨多个用户共享连接并且管理员对连接的控制很重要的方案,链接的数据连接最有用。
在需要将不会广泛使用的数据连接的情况下,可选择一个嵌入式连接。
ODC 文件可以集中在数据连接库中。 这样做有几个优点:
管理员可仅授予受信任的数据连接作者对数据连接库的写访问权,以确保工作簿作者仅使用经测试的安全数据连接。
管理员可在单个位置管理一大组用户的数据连接。
管理员可使用文档库版本控制和工作流功能轻松审批、审计、还原和管理数据连接文件。
数据连接库可以跨其他 Office 应用程序(如 Visio 和 Visio 服务)重复使用。
工作簿作者只在一个位置查找工作簿数据连接,从而减少了混淆情况和用户培训。
Windows 身份验证
Windows 身份验证要求 Excel Online 向数据源提供一组 Windows 凭据。 此类凭据是 Windows 网络上的一个公用凭据,并且是用于登录到 Windows 域上的计算机的同一凭据。 Windows 凭据将视为用于控制对 SQL Server 数据库的访问权的最安全且可管理的方法。 但是,将 Windows 身份验证 与 Excel Online 配合使用的一个障碍是 Windows 双跃点安全措施,其中用户凭据不能在 Windows 网络中通过多台计算机传递。 鉴于与 SharePoint Server 一起使用的 Excel Online 是一个多层系统,Excel Online 需要特殊的身份验证方法才能代表最终用户检索数据。
应根据各种因素来选择身份验证方法(下表概述了这些因素)。 请选择最适合您方案的身份验证方法。
身份验证方法的比较
| 身份验证方法 | Kerberos 委派 | Secure Store | 有效用户名 |
|---|---|---|---|
| 说明 |
使用 Kerberos 约束委派,工作簿查看器的 Windows 凭据将直接发送到数据源。 |
通过使用 Secure Store Service,将查看器的 Windows 凭据映射到安全存储目标应用程序中指定的另一组凭据。 |
通过使用 EffectiveUserName 全局设置,可将用户的域用户名传递给 Analysis Services 数据源。 |
| 数据连接凭据 |
工作簿查看器的 Windows 凭据。 |
安全存储目标应用程序中指定的凭据。 |
Office Online Server进程标识的凭据。 |
| 优点 |
Kerberos 协议是针对凭据管理的行业标准。 Kerberos 与现有 Active Directory 基础结构紧密结合。 Kerberos 委派允许审计对数据源的单个访问。 在工作簿查看器标识已知的情况下,工作簿创建者可将个性化数据库查询嵌入工作簿中。 |
Secure Store Service 是 SharePoint Server 的一部分,并且比 Kerberos 更易于配置。 映射灵活:可按一对一或多对一的方式映射用户。 非 Windows 凭据可用于连接到不接受 Windows 凭据的数据源。 为 Excel Online 创建的映射可由其他商业智能应用程序(例如 Visio Services)重用。 |
每用户数据安全性(无需配置 Kerberos 委派)。 最低配置和管理开销。 |
| 缺点 |
配置 SharePoint Server 和 Excel Online 所需的其他管理工作。 |
创建和管理映射表会产生一些管理开销。 安全存储允许有限审计。 在多对一方案中,通过目标应用程序将各个传入用户映射到同一凭据,这实际上是将他们融合为一个用户。 |
仅适用于 Analysis Services 数据源。 |
| 若要成功执行身份验证操作… |
必须在Office Online Server上设置 Kerberos 委派。 |
必须在 SharePoint Server 场上预配和配置安全存储服务。 它还必须包含特定传入用户的相应映射信息。 此外,可能需要定期更新映射信息以反映映射帐户的密码更改。 |
必须在 Office Online Server 中启用 EffectiveUserName 选项。 用户必须是相应的 Analysis Services 角色的成员。 |
Kerberos 委派
选择 Kerberos 委派以便对支持 Windows 身份验证的企业规模的关系数据源进行安全而快速的身份验证。 如果计划配置 Kerberos 约束委派,以下要求特定于在 Office Online Server 中将 Kerberos 约束委派与 Excel Online 配合使用:
声明到 Windows 令牌服务必须在Office Online Server场中的每个服务器上运行,并设置为作为本地系统运行。
必须允许Office Online Server场中的每个服务器委托给每个后端数据源,如Active Directory 域服务委派列表中所示。
必须更新位于 \Program Files\Windows Identity Foundation\v3.5) 的 c2wtshost.exe.config 文件 (,并从 NT AUTHORITY\Network Service allowedCallers 列表中删除注释标记:
<allowedCallers> <clear/> <add value="NT AUTHORITY\\Network Service" /> <!-- <add value="NT AUTHORITY\\Local Service" /> --> <!-- <add value="NT AUTHORITY\\System" /> --> <!-- <add value="NT AUTHORITY\\Authenticated Users" /> --> </allowedCallers>
Secure Store
选择 “安全存储” ,对可能支持或不支持 Windows 身份验证的企业级关系数据源进行身份验证。 对于要控制用户凭据映射的方案,安全存储也很有用。
有关将 Secure Store 与 Excel Online 配合使用的信息,请参阅:
SQL Server 身份验证
SQL Server身份验证要求 Excel Online 向SQL Server数据源提供SQL Server用户名和密码进行身份验证。 Excel Online 将连接字符串传递给数据源。 连接字符串必须包含用户名和密码。
如果用户名和密码存储在安全存储目标应用程序中 (建议的最佳安全) ,则 Excel Online 将模拟Office Online Server网络服务帐户,当建立连接时,SQL 凭据将设置为连接的属性。
针对 OLEDB/ODBC 数据源的身份验证
对第三方数据源进行身份验证通常需要 Excel Online 向数据源提供用户名和密码。
如果用户名和密码存储在工作簿或 ODC 文件中,则 Excel Online 将模拟 Windows 标识,具体取决于在工作簿或 ODC 文件中为Excel Services身份验证设置选择了哪个选项。
如果用户名和密码存储在安全存储目标应用程序中, (建议最佳安全) ,则 Excel Online 将模拟Office Online Server网络服务帐户,当建立连接时,SQL 凭据将设置为连接的属性。
Excel Online 中的数据刷新
Excel Online 支持刷新连接到以下一个或多个数据源的工作簿:
SQL Server
SQL Server Analysis Services (SSAS)
注意
如果以上列表中未显示您打算连接到的数据源,则可通过创建自定义数据提供程序为其添加支持。 利用此技术,可将现有数据源包装成 Excel Online 可以使用的数据源。
外部数据刷新是通过 Excel Online 执行以下一组步骤的结果。
创建工作簿: 工作簿作者将数据连接的工作簿上传到 SharePoint Server。
触发刷新: 工作簿查看器会触发数据连接的工作簿上的刷新。
数据Connections:Excel Online 检索工作簿中每个外部数据源的数据连接信息。
受信任的数据提供程序: Excel Online 检查是否存在可用于检索数据的受信任数据提供程序。
认证: Excel Online 在数据源中进行身份验证,并代表工作簿查看器检索请求的数据。
工作簿刷新: Excel Online 基于数据源数据更新工作簿,并将其返回给查看者。
可通过下列方式之一在浏览器中触发刷新:
最终用户打开工作簿(如果将工作簿配置为在打开时刷新)。
最终用户在已打开的工作簿上单击“刷新”按钮。
如果不存在此工作簿的早期缓存版本,则这些操作中的任一操作都将触发刷新并会更新工作簿。