Pianificare l'autenticazione e l'autorizzazione di PowerPivot
Una distribuzione PowerPivot per SharePoint eseguita in una farm di SharePoint 2010 utilizza il sottosistema di autenticazione e il modello di autorizzazione forniti dai server SharePoint. L'infrastruttura di sicurezza di SharePoint si estende al contenuto e alle operazioni di PowerPivot perché tutto il contenuto correlato a PowerPivot viene archiviato nei database del contenuto di SharePoint e qualsiasi elaborazione correlata a PowerPivot viene eseguita nei servizi condivisi PowerPivot della farm. L'autenticazione degli utenti che richiedono una cartella di lavoro contenente dati PowerPivot avviene tramite un'identità utente di SharePoint basata sull'identità utente di Windows. Le autorizzazioni di visualizzazione nella cartella di lavoro consentono di determinare se la richiesta viene concessa o negata.
L'autorizzazione di SharePoint viene utilizzata in modalità esclusiva per tutti i livelli di accesso all'elaborazione dei dati PowerPivot e ai servizi PowerPivot. Per i dati PowerPivot visualizzati all'interno di una cartella di lavoro di Excel non sono disponibili autorizzazioni a livello di riga nella cartella di lavoro che permettono una sicurezza accurata a livello di riga o di tabella. Non è possibile proteggere parti diverse della cartella di lavoro per concedere o negare a utenti specifici l'accesso ai dati sensibili di tale cartella. Né è possibile applicare la sicurezza basata su ruoli di Analysis Services per proteggere i dati PowerPivot in una cartella di lavoro di Excel. Gli utenti che dispongono di autorizzazioni di visualizzazione per la cartella di lavoro di Excel in una raccolta di SharePoint hanno accesso completo ai dati PowerPivot incorporati.
Poiché per l'analisi di dati in modalità self-service viene richiesta l'integrazione con Excel Services, per la protezione di un server PowerPivot è necessaria anche la comprensione della sicurezza di Excel Services. Quando un utente esegue una query in una tabella pivot che dispone di una connessione dati a dati PowerPivot, tramite Excel Services viene inoltrata una richiesta di connessione dati a un server PowerPivot nella farm per caricare i dati. Per tale interazione tra i server è necessario comprendere la modalità di configurazione delle impostazioni di sicurezza compatibili con entrambi.
Fare clic sui collegamenti seguenti per leggere sezioni specifiche di questo argomento:
Provider di autenticazione supportati da PowerPivot per SharePoint
Autorizzazione utente
Autorizzazioni di SharePoint
Utilizzo della sicurezza di Excel Services con le cartelle di lavoro di PowerPivot
Provider di autenticazione supportati da PowerPivot per SharePoint
PowerPivot per SharePoint è supportato per le applicazioni Web SharePoint configurate per l'utilizzo dell'autenticazione di Windows. L'autenticazione di Windows è necessaria per le connessioni dati gestite dal servizio Web PowerPivot (in modo specifico per richieste che hanno origine dalle applicazioni eseguite esternamente alla farm). Questo requisito assicura che il token di sicurezza di Windows dell'utente venga trasferito correttamente dall'applicazione client all'applicazione Web per l'utilizzo successivo da parte del servizio Web PowerPoint.
Nota
Per ulteriori informazioni sui tipi di connessioni gestite dal servizio Web, vedere Servizio Web PowerPivot (PowerPivot per SharePoint).
Anche se l'autenticazione di Windows non è necessaria per lo scenario di accesso ai dati più comune, nel quale i dati PowerPivot vengono estratti dalla cartella di lavoro di Excel che ne esegue il rendering, non tentare di utilizzare PowerPivot per SharePoint con le applicazioni Web SharePoint configurate per l'utilizzo di altri provider di autenticazione. Questo tentativo comporterebbe un errore di connessione ogni volta che gli utenti tentano di connettersi alle cartelle di lavoro di PowerPivot come un'origine dati esterna.
Modalità di verifica del provider di autenticazione per l'applicazione
Per le applicazioni Web esistenti, utilizzare le istruzioni seguenti per verificare che le applicazioni siano configurate per l'utilizzo dell'autenticazione di Windows. Quando si creano nuove applicazioni Web, assicurarsi di selezionare l'opzione Autenticazione in modalità classica nella pagina Crea nuova applicazione Web.
In Gestione applicazioni di Amministrazione centrale fare clic su Gestisci applicazioni Web.
Selezionare l'applicazione Web.
Fare clic su Provider di autenticazione.
Verificare che si disponga di un provider per ogni area e che l'area predefinita sia impostata su Windows.
Informazioni sul requisito dell'account di dominio
Negli ambienti di produzione l'utilizzo degli account di gruppo o di utente di dominio Windows è obbligatorio. Gli account devono essere account di dominio. Non è possibile utilizzare account di gruppo o utente di Windows locale nei server di produzione.
A causa dei requisiti dell'account di dominio, il server SharePoint deve sempre disporre di connettività di rete a un controller di dominio. Questo requisito è necessario perché Claims nel Servizio token Windows autentica ogni richiesta utilizzando l'identità di un utente di dominio Windows (non autentica account locali). L'autenticazione viene eseguita per ogni connessione. Claims nel Servizio token Windows non utilizza le credenziali memorizzate nella cache.
Si noti che le richiede che vengono trasmesse da un'applicazione client al server devono trovarsi nello stesso dominio o tra domini che dispongono di una relazione di trust bidirezionale. L'attendibilità unidirezionale non è sufficiente per l'aggiornamento dati sul server.
Nota
È possibile distribuire SharePoint 2010, Excel Services e PowerPivot per SharePoint su una macchina virtuale Hyper-V se si desidera testare le caratteristiche e il comportamento di SharePoint 2010 in un ambiente isolato, offline da una rete aziendale. Per ulteriori informazioni, vedere la sezione relativa alla distribuzione di un server singolo in ambiente isolato Hyper-V sul sito Web TechNet.
Autorizzazione utente
Per tipi specifici di richieste, l'identità utente di SharePoint relativa alla persona che richiede una cartella di lavoro viene verificata dalle istanze del servizio PowerPivot per controllare le autorizzazioni, generare informazioni di registro accurate e stabilire una cronologia di utilizzo. I componenti server di PowerPivot utilizzeranno un'identità utente di SharePoint nei casi seguenti:
Query in tabelle pivot o grafici pivot con connessioni dati a un'origine dati PowerPivot, in cui un'applicazione del servizio PowerPivot consente di stabilire connessioni per conto di un utente a un'istanza specifica del servizio PowerPivot tramite cui vengono elaborati i dati.
Caricamento di dati PowerPivot dalla cache o da una raccolta se i dati non sono disponibili altrimenti. Se viene effettuata una richiesta di connessione dati per dati PowerPivot che non sono ancora stati caricati nel sistema, l'istanza di Servizio Analysis Services utilizzerà l'identità utente di Windows dell'utente di SharePoint per recuperare l'origine dati da una raccolta contenuto e caricarla in memoria.
Operazioni di aggiornamento dei dati che consentono di salvare una copia aggiornata dell'origine dati nella cartella di lavoro di una raccolta contenuto. In questo caso, viene effettuata una vera operazione di accesso con il nome utente e la password recuperati da un'applicazione di destinazione nel servizio di archiviazione sicura. Le credenziali possono essere costituite da un account di aggiornamento dati automatico PowerPivot o da credenziali archiviate con la pianificazione dell'aggiornamento dati al momento della creazione. Per ulteriori informazioni, vedere Configurare e utilizzare le credenziali archiviate per l'aggiornamento dati PowerPivot.
Autorizzazioni di SharePoint
Per avvalersi al meglio delle caratteristiche di condivisione e collaborazione per una cartella di lavoro di PowerPivot, è necessario pubblicare la cartella di lavoro in una raccolta di SharePoint. Solo dopo aver pubblicato la cartella di lavoro in un server SharePoint è possibile usufruire dei vantaggi dell'elaborazione rapida lato server grazie alle istanze del servizio PowerPivot nella server farm, alle connessioni coordinate e scalabili, alle caratteristiche di gestione dei documenti e alla possibilità di visionare, in qualità di amministratore, le attività di utilizzo di particolari cartelle di lavoro.
La pubblicazione, la gestione e la protezione di una cartella di lavoro PowerPivot sono supportate solo tramite l'integrazione con SharePoint. I server SharePoint forniscono modelli di autenticazione e autorizzazione che garantiscono l'accesso legittimo ai dati. Non sono supportati scenari che consentano di distribuire in modo protetto una cartella di lavoro PowerPivot all'esterno di una farm di SharePoint.
Gli utenti hanno accesso all'origine dati in sola lettura sul server, ma con la possibilità di scaricare il file nell'applicazione desktop di Excel. Le autorizzazioni di collaborazione sul file determineranno se l'utente potrà modificare il file in locale. I livelli di autorizzazione Collaborazione e Solo visualizzazione definiscono pertanto il set di autorizzazioni valido per l'accesso utente ai dati PowerPivot. Gli altri livelli di autorizzazione consentono un determinato livello di accesso in base alle autorizzazioni di Collaborazione e Solo visualizzazione in essi inclusi. Poiché nel livello Lettura, ad esempio, sono incluse le autorizzazioni Solo visualizzazione, un utente assegnato a tale livello disporrà dello stesso tipo di accesso garantito per Solo visualizzazione.
Nella tabella seguente vengono riepilogati i livelli di autorizzazione che determinano l'accesso ai dati PowerPivot e alle operazioni del server:
Livello di autorizzazione |
Attività consentite |
|---|---|
Amministratore di farm o di servizio |
Installazione, abilitazione e configurazione di servizi e applicazioni. Utilizzo del dashboard di gestione PowerPivot e visualizzazione dei report amministrativi. |
Controllo completo |
Attivazione dell'integrazione delle caratteristiche di PowerPivot a livello di raccolta siti. Attivazione della Guida. Creazione di una libreria di raccolta PowerPivot. Creazione di una libreria di feed di dati. |
Collaborazione |
Aggiunta, modifica e download di cartelle di lavoro di PowerPivot. Configurazione dell'aggiornamento dati. Creazione di cartelle di lavoro e report nuovi in base alle cartelle di lavoro di PowerPivot su un sito di SharePoint. Creazione di documenti di servizio dati in una libreria di feed di dati. |
Solo visualizzazione |
Visualizzazione delle cartelle di lavoro di PowerPivot. Visualizzazione della cronologia dell'aggiornamento dati. Connessione di una cartella di lavoro locale a una cartella di lavoro di PowerPivot su un sito di SharePoint, per la ridefinizione degli scopi dei relativi dati in altri modi. Download di uno snapshot della cartella di lavoro. Lo snapshot è una copia statica dei dati, senza filtri dei dati, filtri, formule o connessioni dati. Il contenuto dello snapshot è simile alla copia di valori cella dalla finestra del browser. |
Utilizzo della sicurezza di Excel Services con le cartelle di lavoro di PowerPivot
L'elaborazione lato server di PowerPivot è strettamente associata a Excel Services. L'integrazione profonda inizia a livello di documento. Le cartelle di lavoro di PowerPivot sono file della cartella di lavoro di Excel (estensione xlsx) che contengono o fanno riferimento ai dati PowerPivot. Non esiste alcuna estensione di file separata per i dati PowerPivot. I dati vengono archiviati nella cartella di lavoro o vi si fa riferimento da un'altra cartella di lavoro. Quando una cartella di lavoro di PowerPivot viene aperta su un sito di SharePoint, Excel Services legge la stringa di connessione dati PowerPivot incorporata e inoltra la richiesta al provider OLE DB per SQL Server 2008 R2 Analysis Services locale. Il provider passa quindi le informazioni di connessione a un server PowerPivot nella farm. Affinché le richieste vengano trasmesse senza interruzioni tra i due server, Excel Services deve essere configurato per l'utilizzo delle impostazioni richieste da PowerPivot per SharePoint.
In Excel Services le impostazioni di configurazione correlate alla sicurezza vengono specificate in percorsi attendibili, provider di dati attendibili e raccolte connessioni dati attendibili. Nella tabella seguente vengono descritte le impostazioni che abilitano o migliorano l'accesso ai dati PowerPivot. Se un'impostazione non rientra tra quelle elencate, non avrà alcun effetto sulle connessioni del server PowerPivot. Per istruzioni su come specificare in modo dettagliato queste impostazioni, vedere la sezione "Abilitare Excel Services" in Installare PowerPivot per SharePoint in un server SharePoint esistente.
Nota
La maggior parte delle impostazioni correlate alla sicurezza si applicano ai percorsi attendibili. Se si desidera mantenere valori predefiniti o utilizzare valori diversi per siti differenti, è possibile creare un percorso attendibile aggiuntivo per siti che contengono dati PowerPivot, quindi configurare le impostazioni seguenti solo per quel sito. Per ulteriori informazioni, vedere Creare un percorso attendibile per siti PowerPivot.
Area |
Impostazione |
Descrizione |
|---|---|---|
Applicazione Web |
Provider di autenticazione di Windows |
PowerPivot converte un token delle richieste ottenute da Excel Services in un'identità utente di Windows. Qualsiasi applicazione Web che utilizza Excel Services come risorsa deve essere configurata per l'utilizzo del provider di autenticazione di Windows. |
Percorso attendibile |
Tipo percorso |
È necessario impostare questo valore su Microsoft SharePoint Foundation. I server PowerPivot recuperano una copia del file con estensione xlsx e la caricano su un server Analysis Services nella farm. Il server può recuperare solo file con estensione xlsx da una raccolta contenuto. |
Impostazione dati esterni consentiti |
È necessario impostare questo valore su Raccolte di connessioni dati attendibili e connessioni incorporate. Le connessioni dati PowerPivot sono incorporate nella cartella di lavoro. Se non si consentono le connessioni incorporate, gli utenti possono visualizzare la cache della tabella pivot, ma non saranno in grado di interagire con i dati PowerPivot. |
|
Avvisa in caso di aggiornamento |
È necessario disabilitare questo valore se si utilizza la raccolta PowerPivot per archiviare cartelle di lavoro e report. La raccolta PowerPivot include una caratteristica di anteprima di documento che funziona meglio se sono disattivati l'aggiornamento all'apertura e Avvisa in caso di aggiornamento. |
|
Provider di dati attendibili |
MSOLAP.4 |
MSOLAP.4 è incluso per impostazione predefinita. Non rimuoverlo dall'elenco dei provider di dati attendibili. Questa versione del provider OLE DB gestisce le richieste di dati PowerPivot in una farm di SharePoint. |
Raccolte connessioni dati attendibili |
Impostazione facoltativa. |
È possibile utilizzare file Office Data Connection (odc) nelle cartelle di lavoro di PowerPivot. Se si utilizzano file odc per fornire informazioni di connessione alle cartelle di lavoro di PowerPivot locali, è possibile aggiungere gli stessi file odc a questa raccolta. |
Assembly per la funzione definita dall'utente |
Non applicabile. |
I server PowerPivot non sono influenzati dagli assembly per la funzione definita dall'utente che si compilano e distribuiscono per Excel Services. |
Vedere anche