Office Online Server 中的 Excel Online 資料驗證
總結瞭解 Excel Online 如何支援與 SQL Server Analysis Services (SSAS) 、SQL Server 資料庫以及 OLE DB 和 ODBC 數據源的連線。
從資料來源擷取資料需要使用者經過資料來源的驗證,然後授權該使用者存取包含在其中的資料。 如果是活頁簿,Excel Online 會代表檢視該活頁簿的使用者向數據源進行驗證,以重新整理活頁簿所連接的數據。
Excel Online 可用來擷取數據的驗證方法取決於基礎數據源的類型,如下表所述。 如需支援多個驗證方法的資料來源,資料連線必須指定要使用哪一種。
Excel Online 的數據源和驗證方法
| 資料來源 | 驗證方法 |
|---|---|
| Analysis Services |
Windows 驗證 (整合安全性) 使用 Kerberos 限制委派 使用 Secure Store 使用 EffectiveUserName 連線字串屬性 |
| SQL Server |
其中一個: Windows 驗證 (整合安全性) 使用 Kerberos 限制委派 使用 Secure Store SQL Server 驗證 |
| 自訂資料提供者 |
每個資料來源會不同,一般而言,使用者名稱與密碼組會儲存在連線字串中。 |
Excel 支援下列數據源,但在 Excel Online 中則不支援:
Access 資料庫
網頁內容
XML 資料
Microsoft Azure Marketplace
文字檔
使用 Excel Online 連線至外部資料
Excel Online 可以連線到各種外部數據源,包括 SQL Server、Analysis Services 和自定義 OLE DB/ODBC 數據提供者。 為了連線到數據源,Excel Online 會針對每個數據源使用特定的數據提供者。
連線至 SQL Server 資料來源可以使用下列其中一項來完成:
Windows 驗證
SQL Server 驗證
連線至 Analysis Services 資料來源可以使用 Windows 驗證來完成。
其他資料來源使用的連線字串通常是由使用者名稱與密碼組成。
Excel Online 活頁簿的資料連線
Excel Online 活頁簿會使用兩種連線的其中一種:
內嵌連線
連結連線
內嵌聯機會儲存為 Excel 活頁簿的一部分。 連結連線儲存在活頁簿外部的 Office 資料連線 (ODC) 檔案。 若要使用連結連線,活頁簿必須參考與活頁簿儲存在相同 SharePoint Server 伺服器陣列中的 .odc 檔案。 每個資料連線是由以下所組成:
連線字串
查詢字串
驗證方法
(選用) 有些中繼資料需要擷取外部資料
每種連線都有其優點和缺點,請參閱這裡。 請選擇最符合您案例的一種方法。
Excel Online 的數據連線比較
| 連線類型 | 內嵌連線 | ODC 檔案 |
|---|---|---|
| 優點 |
所有連線資訊都會儲存在活頁簿中。 內嵌連線只需少量的管理工作即可支援。 內嵌連線很容易建立。 |
連結連線可透過使用 SharePoint 文件庫來集中儲存、管理、稽核、共用和存取它們。 活頁簿作者可以使用現有的連線,而不必建立查詢和連線字串。 如果資料來源的資料連線詳細資料變更,管理員只需要更新一個 ODC 檔案。 透過此變更,所有參照 ODC 檔案的活頁簿,將會在下次重新整理時使用更新的連線資訊。 (移動資料庫伺服器或變更資料庫名稱時,就是此案例的範例)。 |
| 缺點 |
如果資料來源的資料連線詳細資料變更,具有連至該資料來源之內嵌連線的所有活頁簿,必須以更新的連線資訊重新發佈。 內嵌資料連線較不易讓 SharePoint 管理員進行稽核。 |
連結連線可能需要 SharePoint 管理員的協助,以共用、管理和保護其安全。 連結連線是以純文字儲存,而且可能包含資料庫密碼。 請務必特別小心,才能協助保護這些檔案的安全。 需要在 Office Online Server 與 SharePoint Server 之間進行伺服器對伺服器驗證。 這會增加設定及管理負擔。 |
對於您必須具有連至企業規模的資料來源 (例如,SQL Server 或 Analysis Services) 的資料連線之案例,請選擇使用 ODC 檔案連線的資料連線。 連結資料連線對於必須將連線在許多使用者之間共用,以及連線必須透過管理員控制的案例特別有用。
如果是不需要廣泛使用資料連線的案例,請選用內嵌連線。
ODC 檔案可以集中在資料連線庫中。 這麼做有許多優點︰
管理員可以將資料連線庫的寫入權限限制為信任的資料連線作者,以確保活頁簿作者僅使用經過嚴謹測試及安全的資料連線。
管理員可在單一地點管理大量使用者的資料連線。
管理員可以使用文件庫版本設定與工作流程功能,輕鬆地核准、稽核、回復和管理資料連線檔案。
數據連線連結庫可以重複使用於其他 Office 應用程式,例如 Visio 和 Visio Services。
活頁簿作者只有單一位置可尋找活頁簿資料連線,以減少混淆和使用者訓練。
Windows 驗證
Windows 驗證 要求 Excel Online 向數據源出示一組 Windows 認證。 這種認證在 Windows 網路上很常見,而且與用來登入 Windows 網域電腦的認證相同。 一般認為,Windows 認證是最安全且容易管理的方式,可用來控制 SQL Server 資料庫的存取。 不過,搭配 Excel Online 使用 Windows 驗證 的其中一個障礙是 Windows 雙躍點安全性措施,其中使用者的認證無法在 Windows 網路中的多部電腦上傳遞。 假設與 SharePoint Server 搭配使用的 Excel Online 是多層式系統,Excel Online 需要特殊的驗證方法,才能代表使用者擷取數據。
選擇哪一種驗證方法,需視下表中所述的各項因素而定。 請選擇最符合您案例的一種方法。
驗證方法的比較
| 驗證方法 | Kerberos 委派 | Secure Store | 有效的使用者名稱 |
|---|---|---|---|
| 描述 |
使用 Kerberos 限制委派,活頁簿查看器的 Windows 認證會直接傳送至數據源。 |
使用 Secure Store Service 時,檢視者的 Windows 認證會對應至 Secure Store 目標應用程式中所指定的另一組認證。 |
使用 EffectiveUserName 全域設定,使用者的網域使用者名稱會被傳送到 Analysis Services 資料來源。 |
| 資料連線認證 |
活頁簿檢視者的 Windows 認證。 |
在 Secure Store 目標應用程式中指定的認證。 |
Office Online Server進程身分識別的認證。 |
| 優點 |
Kerberos 通訊協定是認證管理方面的業界標準。 Kerberos 會繫結至現有的 Active Directory 基礎結構。 Kerberos 委派允許個別存取資料來源的稽核。 假設已知活頁簿檢視者的身分識別,活頁簿建立者可以將個人化的資料庫查詢內嵌至活頁簿。 |
Secure Store Service 是 SharePoint Server 的一部分,並且比 Kerberos 更容易設定。 對應具有彈性:使用者可以是 1 對 1 或多對 1 對應。 非 Windows 認證可用以連線至不接受 Windows 認證的資料來源。 針對 Excel Online 建立的對應可由其他商業智慧應用程式重複使用,例如 Visio Services。 |
各使用者資料安全性,不需要設定 Kerberos 委派。 只需要最少的設定及管理工作。 |
| 缺點 |
設定 SharePoint Server 和 Excel Online 所需的額外管理工作。 |
建立和管理對應表格需要執行一些管理工作。 Secure Store 允許有限的稽核。 在多對 1 的案例中,會將個別的連入使用者透過目標應用程式對應至相同的認證,這樣可有效地將它們併入一個使用者。 |
只可以與 Analysis Services 資料來源搭配使用。 |
| 為了讓驗證作業成功… |
必須在 Office Online Server 上設定 Kerberos 委派。 |
Secure Store Service 必須在 SharePoint Server 伺服器陣列上布建和設定。 也必須包含特定連入使用者的適當對應資訊。 此外,可能需要定期更新對應資訊,以反映對應帳戶的密碼變更。 |
Office Online Server 中必須啟用 EffectiveUserName 選項。 使用者必須是適當 Analysis Services 角色的成員。 |
Kerberos 委派
選擇 Kerberos 委派,可安全而快速地驗證支援 Windows 驗證的企業級關聯式資料來源。 如果您打算設定 Kerberos 限制委派,下列需求適用於在 Office Online Server 中搭配 Excel Online 使用 Kerberos 限制委派:
對 Windows 令牌服務的宣告必須在 Office Online Server 伺服器陣列的每部伺服器上執行,並設定為以本機系統執行。
必須允許 Office Online Server 伺服器陣列中的每個伺服器委派給每個後端數據源,如 Active Directory 網域服務 委派清單所示。
必須更新 c2wtshost.exe.config 檔案 (位於 \Program Files\Windows Identity Foundation\v3.5),並從 NT AUTHORITY\Network Service allowedCallers 清單中移除註解標記︰
<allowedCallers> <clear/> <add value="NT AUTHORITY\\Network Service" /> <!-- <add value="NT AUTHORITY\\Local Service" /> --> <!-- <add value="NT AUTHORITY\\System" /> --> <!-- <add value="NT AUTHORITY\\Authenticated Users" /> --> </allowedCallers>
Secure Store
若要向支援或不支援 Windows 驗證的企業規模相關資料來源進行驗證,請選擇 Secure Store。 Secure Store 對於您要控制使用者認證對應的案例也非常有用。
如需搭配 Excel Online 使用 Secure Store 的相關信息,請參閱:
SQL Server 驗證
SQL Server 驗證需要 Excel Online 向 SQL Server 數據源出示 SQL Server 使用者名稱和密碼以進行驗證。 Excel Online 會將 連接字串 傳遞至數據源。 連線字串必須包含使用者名稱與密碼。
如果使用者名稱和密碼儲存在 Secure Store 目標應用程式中 (建議用於最佳安全性) ,則 Excel Online 會模擬 Office Online Server 網路服務帳戶,而建立連線時,SQL 認證會設定為連線的屬性。
針對 OLEDB/ODBC 資料來源的驗證
第三方數據源的驗證通常需要 Excel Online 向數據源呈現使用者名稱和密碼。
如果使用者名稱和密碼儲存在活頁簿或 ODC 檔案中,則 Excel Online 會根據已針對活頁簿或 ODC 檔案中選取的 Excel Services 驗證設定,模擬 Windows 身分識別。
如果使用者名稱和密碼儲存在 Secure Store 目標應用程式中, (建議用於最佳安全性) ,則 Excel Online 會模擬 Office Online Server 網路服務帳戶,而建立連線時,會將 SQL 認證設定為連線的屬性。
Excel Online 中的資料重新整理
Excel Online 支援重新整理連線到下列一或多個數據源的活頁簿:
SQL Server
SQL Server Analysis Services (SSAS)
注意事項
如果您計畫要連線的資料來源不在上述清單中,則可以建立自訂資料提供者,為其新增支援。 這項技術可讓您將現有的數據源包裝成 Excel Online 可以取用的數據源。
外部數據重新整理是下列一組透過 Excel Online 步驟的結果。
建立活頁簿: 活頁簿作者會將數據連線的活頁簿上傳至 SharePoint Server。
觸發重新整理: 活頁簿檢視者會觸發資料連線活頁簿的重新整理。
數據 Connections:Excel Online 會擷取活頁簿中每個外部數據源的數據連線資訊。
信任的數據提供者: Excel Online 會檢查是否有信任的數據提供者可用來擷取數據。
認證: Excel Online 會向數據源進行驗證,並代表活頁簿查看器擷取要求的數據。
活頁簿重新整理: Excel Online 會根據數據源數據更新活頁簿,並將其傳回給查看器。
重新整理可以透過下列其中一種方式從瀏覽器中觸發:
使用者開啟活頁簿 (如果活頁簿設定成在開啟時重新整理)。
使用者在已經開啟的活頁簿上按一下重新整理按鈕。
如果沒有之前快取的活頁簿版本,這些動作的任何一項將會觸發重新整理並更新活頁簿繪圖。