商務智慧服務應用程式的 Secure Store

適用版本： SharePoint Server 2010

上次修改主題的時間： 2016-11-30

本文說明 Microsoft SharePoint Server 2010 商務智慧功能如何使用 Secure Store Service 為 SharePoint Server 2010 使用者提供外部資料來源 (例如 SQL Server) 的存取。基於本文的目的，SharePoint Server 2010「商務智慧服務應用程式」是指：

• Excel Services

• PerformancePoint Services

• Visio Services

SharePoint Server 2010 商務智慧服務應用程式為使用者提供兩種存取資料方法：

• 使用 Kerberos 限制委派的整合式 Windows 驗證

• Secure Store Service

本文討論 Secure Store Service 及其與商務智慧服務應用程式之間的關係。如需整合式 Windows 驗證與 Kerberos 限制委派搭配使用的相關資訊，請參閱＜規劃 Kerberos 驗證 (SharePoint Server 2010)＞。

Secure Store Service

Secure Store 為 SharePoint Server 2010 的一項功能，可協助提供 SharePoint Server 2010 外部資料 (例如，SQL Server 資料) 的存取，其運作方式是允許商務智慧服務應用程式代表嘗試存取資料的 SharePoint Server 2010 使用者，使用一組含有資料存取權的認證。如此由商務智慧服務應用程式代表使用者使用認證的方式，就稱為「模擬」。

Secure Store 藉由使用「目標應用程式」，使商務智慧服務應用程式、使用者及認證之間相互對應。Secure Store 目標應用程式是一組中繼資料，用以指定應允許哪些使用者可存取商務智慧服務應用程式為存取外部資料而進行模擬所用的特定認證組。這些中繼資料與 (已加密) 認證本身一起儲存在 Secure Store 資料庫中。

Secure Store 目標應用程式在 SharePoint Server 2010 用於許多方面，但都是針對 SharePoint Server 2010 商務智慧案例的用途。目標應用程式包含下列設定，這些都可由伺服器陣列管理員設定：

• 管理員   目標應用程式管理員係為有權管理特定 Secure Store 目標管理程式的使用者。伺服器陣列管理員或特定一或多位使用者，都可以是目標應用程式管理員，視您的需求而定。若是 PerformancePoint Services 所建立的目標應用程式，則是由 PerformancePoint Services 自動設定管理員，而負責設定 [自動服務帳戶] 的使用者也會加入成管理員。

• 成員   目標應用程式的成員，係為商務智慧服務應用程式代表其存取外部資料而模擬目標應用程式認證的使用者。單一使用者、多位使用者或 Active Directory 群組，都可以是成員。此外，成員也稱為「認證擁有者」s。若是 PerformancePoint Services 所建立的目標應用程式，則 PerformancePoint Services 應用程式集區所用的服務帳戶即是成員。

• 認證   目標應用程式認證包括 Active Directory 帳戶及資料來源的直接存取權 (您必須將必要的資料存取權直接授與此帳戶 — 外部資料來源的存取權不是由 SharePoint Server 2010 控管。此帳戶應為只允許資料存取的低權限帳戶)。商務智慧服務應用程式就是模擬這個帳戶以對使用者提供資料存取權。

在 Excel Services 及 Visio Services，[管理員]、[成員]、[認證] 是由伺服器陣列管理員直接透過 Secure Store 設定。在 PerformancePoint Services，這些值是透過 [PerformancePoint Service 應用程式設定] 設定，且不得透過 Secure Store 修改。

Visio Services 及 Excel Services 可透過下列兩種方法之一來使用 Secure Store：

• 指定的目標應用程式  特定目標應用程式是由 Excel 工作表或 Visio Web 繪圖指定。當使用者存取該工作表或 Web 繪圖時，Secure Store 就會使用與該目標應用程式關聯的認證進行資料存取。在 Visio Services，此目標應用程式必須在 SharePoint Server 2010 所主控的 ODC 檔案中指定。

• 無指定的目標應用程式 (自動服務帳戶)   [無目標應用程式] 是由 Excel 工作表或 Visio Web 繪圖指定。當使用者存取連線至外部資料來源的工作表或 Web 繪圖時，Secure Store 就會使用 Excel Services 或 Visio Services [通用設定]. 中指定的目標應用程式。當目標應用程式設為通用於商務智慧服務應用程式時，此目標應用程式就稱為「自動服務帳戶」。

PerformancePoint Services 無法指定特定 Secure Store 目標應用程式，它能用的只有使用「自動服務帳戶」的 Secure Store。

事件基本發生順序如下：

1. SharePoint Server 2010 使用者存取與資料相連的物件，例如 Excel Services 工作表、Visio Services Web 繪圖或 PerformancePoint Services 儀表板。

2. 如果該物件設為使用 Secure Store 進行資料驗證，商務智慧服務應用程式就會呼叫 Secure Store Service 存取該物件指定的目標應用程式。

3. 如果使用者的身分為該目標應用程式的成員，就會傳回該目標應用程式所儲存的認證，商務智慧服務應用程式於是會在存取資料時模擬該認證。

4. 資料會顯示在工作表、Web 繪圖或儀表板的內容中，讓使用者看到。

資料連線檔案

所有商務智慧服務應用程式都可以使用資料連線檔案來指定驗證資訊。Excel Services 及 Visio Services 使用的是 Office 資料連線 (.ODC) 檔案，PerformancePoint Services 則使用 PerformancePoint Services 資料連線 (.PPSDC) 檔案。使用這些檔案可讓多份 Excel Services 工作表、Visio Services Web 繪圖或 PerformancePoint Services 儀表板共用一組通用的資料存取參數。

每種 SharePoint Server 2010 商務智慧服務應用程式使用資料連線檔案的方式都不同。如需每種服務應用程式使用資料連線檔案的說明，請參閱以下針對每種服務應用程式所說明的小節。

自動服務帳戶

「自動服務帳戶」係指商務智慧服務應用程式通用設定中所指定的 Secure Store 目標應用程式認證。若沒有指定另一個驗證方法時，即會使用此目標應用程式向使用者提供資料存取權。在 Visio Services，只要未使用整合式 Windows 驗證，即使連線檔案 (例如，SQL 驗證字串) 中提供了其他連線資訊，就必須使用「自動服務帳戶」。

從用戶端及伺服器進行資料存取

Microsoft Excel 2010 及 Microsoft Visio 2010 這兩個用戶端應用程式是獨立運作於 SharePoint Server 2010 之外。雖然這兩個應用程式可以發佈文件至 SharePoint Server 2010，但它們不能直接使用 Secure Store 對資料來源進行驗證。建立或編輯連至資料的工作表或 Web 繪圖時，您必須使用整合式 Windows 驗證或其他適用的驗證方法，以直接從 Excel 2010 或 Visio 2010 連線至資料來源 (其他您可以使用的驗證方法還包括 SQL 驗證或 OLEDB 連線字串)。等到工作表或 Web 繪圖發佈至 SharePoint Server 2010，要向使用者顯示內容時，Excel Services 或 Visio Services 可使用 Secure Store 連線至資料來源。

PerformancePoint Services 儀表板設計工具是直接與 SharePoint Server 2010 相整合。因此儀表板設計工具可直接使用 Secure Store 以「自動服務帳戶」進行驗證。所以，只要「自動服務戶」具有必要存取權，儀表板設計工具並不需要透過整合式 Windows 驗證就能直接存取資料來源。

Excel Services 及 Visio Services

Excel Services 及 Visio Services 使用 Secure Store 的方式很類似：

• 兩者都可以儲存 ODC 檔案中指定的 Secure Store 目標應用程式。

• 兩者都可使用「自動服務帳戶」。

不過，Excel Services 及 Visio Services 之間有一些重要差異，請見以下小節。

Excel Services

Excel Services 所用的資料連線必須在發佈至 SharePoint Server 2010 網站之前先於 Excel 2010 中設定。Excel 2010 工作表可直接指定資料連線資訊，或可包含一個指標指向連線資訊所在的 ODC 檔案。

下列驗證設定是在連至資料的 Excel 2010 工作表或 ODC 檔案中提供：

• 整合式 Windows 驗證   指定以 Kerberos 委派方式實作的整合式 Windows 驗證，可在使用者從 Excel Services 檢視 Excel 2010 工作表時，驗證每個使用者。

• SSS 識別碼   指定特定 Secure Store Service 目標應用程式以用於存取資料來源。

• 無   使用連線字串中指定的認證 (如果有的話)，否則使用 Excel Services 通用設定中指定的 Secure Store「自動服務帳戶」。

您必須在 Excel 2010 中開啟工作表或 ODC 檔案，才能編輯這些設定。

Visio Services

Visio Services 針對 Visio Web 繪圖支援兩種資料連線方法：

• 內嵌連線資訊

• 使用 ODC 檔案的外部連線資訊

在您建立 Visio 圖表並將它直接連至資料來源後，當準備將此 Web 繪圖發佈至 SharePoint Server 2010 時，Visio 2010 會將資料來源資訊直接儲存在檔案中。當使用者在 Web 繪圖時，Visio Services 會使用 Visio Services 通用設定中指定的 Secure Store「自動服務帳戶」，連線至資料來源。

如果不是直接從 Visio 2010 連線至資料來源，而是使用 SharePoint Server 2010 中儲存的現有 ODC 檔案連線至資料來源，則在您發佈該 Web 繪圖時，Visio 2010 仍會維持連至該 ODC 檔案的連線。於是，Visio Services 在連至資料來源時即會使用儲存於 ODC 檔案中的連線資訊。這包括使用特定 Secure Store 目標應用程式 (如果 ODC 檔案中有指定的話)。

Visio 2010 無法編輯 ODC 檔案。建議您按以下所述方式在 Visio Web 繪圖中使用 ODC 檔案：在 Excel 2010 中建立 ODC 檔案，將它發佈至 SharePoint Server 2010，然後當建立連至資料的新繪圖時，從 Visio 2010 連至該檔當成資料來源。如果要變更資料查詢、驗證資料、指定目標應用程式或修改其他設定，則必須使用 Excel 2010 來編輯 ODC 檔案。

Visio Services 無法剖析複雜的 SQL 查詢。如果嘗試使用具有複雜查詢的 ODC 檔案，Visio Services 可能無法執行該查詢，也無法擷取資料。

PerformancePoint Services

PerformancePoint Services 只會透過「自動服務帳戶」來使用 Secure Store。當您建立或編輯資料來源時，需透過儀表板設計工具來選擇使用整合式 Windows 驗證及「自動服務帳戶」。

PerformancePoint Services「自動服務帳戶」的 Secure Store 目標應用程式是設為 PerformancePoint Services 服務應用程式設定的一部分，這是由管理員負責設定。雖然此目標應用程式顯示在 Secure Store 目標應用程式清單中，但不得透過 Secure Store 修改。

差異摘要

如本文所述，每種商務智慧服務應用程式使用 Secure Store 的方式都不同。下表摘要說明 Secure Store 功能及每種商務智慧服務應用程式適用的選項。

See Also

Concepts

設定 Secure Store Service (SharePoint Server 2010)
Excel Services 概觀 (SharePoint Server 2010)
使用 Excel Services 搭配 Secure Store (SharePoint Server 2010)
PerformancePoint Services 概觀 (SharePoint Server 2010)
規劃 PerformancePoint Services 安全性 (SharePoint Server 2010)
規劃 Visio Services (SharePoint Server 2010)