Planeje a Autenticação e a Autorização do PowerPivot
Uma implantação do PowerPivot para SharePoint, executada dentro de um farm do SharePoint 2010, usa o subsistema de autenticação e o modelo de autorização fornecidos pelos servidores do SharePoint. A infraestrutura de segurança do SharePoint se estende ao conteúdo e operações do PowerPivot porque todo o conteúdo relacionado ao PowerPivot é armazenado nos bancos de dados de conteúdo do SharePoint, e todo o processamento relacionado ao PowerPivot é executado nos serviços compartilhados do PowerPivot no farm. Os usuários que solicitam uma pasta de trabalho que contém dados PowerPivot são autenticados, usando uma identidade de usuário do SharePoint que é baseada na respectiva identidade de usuário do Windows. As permissões de exibição na pasta de trabalho determinam se a solicitação é concedida ou negada.
A autorização do SharePoint é usada exclusivamente para todos os níveis de acesso ao processamento de dados do PowerPivot e aos serviços PowerPivot. Para os dados do PowerPivot que são visualizados dentro de uma pasta de trabalho do Excel, não há nenhuma autorização em nível de linha na pasta de trabalho que habilite segurança refinada no nível de linha ou de tabela. Você não pode proteger partes diferentes da pasta de trabalho para conceder ou negar acesso a dados confidenciais dentro delas para usuários específicos. Você não pode aplicar a segurança por funções do Analysis Services para proteger dados PowerPivot em uma pasta de trabalho do Excel. Os dados inseridos PowerPivot estão totalmente disponíveis para os usuários que têm permissões de Exibição na pasta de trabalho do Excel em uma biblioteca do SharePoint.
Como a integração com os Serviços do Excel é necessária para análises de dados de autoatendimento, a proteção de um servidor do PowerPivot exige que você também compreenda a segurança dos Serviços do Excel. Quando um usuário consulta um Tabela Dinâmica que tem uma conexão de dados a dados do PowerPivot, os Serviços do Excel encaminham uma solicitação de conexão de dados a um servidor do PowerPivot no farm para carregar os dados. Essa interação entre os servidores exige que você compreenda como configurar parâmetros de segurança que são compatíveis para os dois.
Clique nos seguintes links para ler as seções específicas deste tópico:
Provedores de autenticação com suporte do PowerPivot para SharePoint
Autorização de usuário
Permissões do SharePoint
Usando a segurança dos Serviços do Excel com pastas de trabalho PowerPivot
Provedores de autenticação com suporte do PowerPivot para SharePoint
O PowerPivot para SharePoint tem suporte para aplicativos Web do SharePoint configurados para usar a autenticação do Windows. Essa autenticação é necessária para conexões de dados que são tratadas pelo serviço Web PowerPivot (especificamente, para solicitações originadas em aplicativos executados fora do farm). Esse requisito garante que o token de segurança do Windows do usuário seja transferido corretamente do aplicativo cliente para o aplicativo Web para ser usado posteriormente pelo serviço Web PowerPivot.
.gif "Observação") Observação |
|---|
Para obter mais informações sobre os tipos de conexões que são tratadas pelo serviço Web, consulte Serviço Web do PowerPivot (PowerPivot para SharePoint). |
Embora a autenticação do Windows não seja necessária para o cenário mais comum de acesso a dados (onde os dados PowerPivot são extraídos da pasta de trabalho do Excel que os renderiza), não tente usar o PowerPivot para SharePoint com aplicativos Web do SharePoint configurados para usar outros provedores de autenticação. Se isso for feito, o resultado será uma falha na conexão sempre que os usuários tentarem conectar pastas de trabalho PowerPivot como uma fonte de dados externa.
Como verificar o provedor de autenticação do seu aplicativo
Para aplicativos Web existentes, use as instruções a seguir para verificar se os aplicativos estão configurados para usar autenticação do Windows. Ao criar novos aplicativos Web, selecione a opção Autenticação de modo clássico na página Criar Novo Aplicativo Web.
Na Administração Central, em Gerenciamento de Aplicativo, clique em Gerenciar aplicativos Web.
Selecione o aplicativo Web.
Clique em Provedores de autenticação.
Verifique se você tem um provedor para cada zona, e se a zona Padrão é definida como Windows.
Compreendendo a exigência de conta de domínio
Em ambientes de produção, é obrigatório usar um usuário de domínio do Windows ou contas de grupo. As contas devem ser contas de domínio. Não é possível usar contas locais de usuários do Windows nem contas de grupo em servidores de produção.
Devido à exigência de uma conta de domínio, o servidor SharePoint deve sempre ter conectividade de rede com um controlador de domínio. Essa exigência é necessária porque as Reivindicações para o Windows Token Service autenticam cada solicitação utilizando a identidade de um usuário do domínio do Windows (não autentica contas locais). A Autenticação ocorre em cada conexão. As Reivindicações ao Windows Service não utilizam credenciais armazenadas em cache.
Observe que as solicitações que seguem de um aplicativo cliente para o servidor devem estar no mesmo domínio ou entre domínios que tenham uma relação de confiança mão dupla. Uma confiança unidirecional não basta para a atualização de dados no servidor.
| Observação |
|---|
Você pode implantar o SharePoint 2010, Serviços do Excel e o PowerPivot para SharePoint em uma máquina virtual Hyper-V se desejar testar os recursos e o comportamento do SharePoint 2010 em um ambiente isolado, desconectado de uma rede corporativa. Para obter mais informações, consulte Implantar um único servidor em um ambiente Hyper-V isolado no site da TechNet. |
Autorização de usuário
Para tipos específicos de solicitação, a identidade de usuário do SharePoint da pessoa que solicita uma pasta de trabalho é verificada por meio de instâncias do serviço PowerPivot para verificar permissões, gerar informações de log precisas e estabelecer um histórico de uso. Os componentes de servidor do PowerPivot usarão uma identidade de usuário do SharePoint nos seguintes casos:
Consultas a Tabelas Dinâmicas ou Gráficos Dinâmicos que têm conexões de dados com uma fonte de dados do PowerPivot, onde um aplicativo do serviço PowerPivot estabelece conexões em nome de um usuário com uma instância do serviço PowerPivot específica que processa os dados.
Carregando dados do PowerPivot do cache ou de uma biblioteca se os dados não estiverem disponíveis de outra maneira. Se uma solicitação de conexão de dados for feita para uma fonte de dados do PowerPivot que ainda não está carregada no sistema, a instância do Serviço Analysis Services usará a identidade de usuário do Windows do usuário do SharePoint para recuperar a fonte de dados de uma biblioteca de conteúdo e carregá-la na memória.
Operações de atualização de dados que salvam uma cópia atualizada da fonte de dados na pasta de trabalho em uma biblioteca de conteúdo. Neste caso, um log real em operação é executado usando o nome de usuário e a senha que são recuperados de um aplicativo de destino no Serviço de Repositório Seguro. As credenciais podem ser a conta autônoma de atualização de dados do PowerPivot ou credenciais que foram armazenadas com a agenda de atualização de dados quando ela foi criada. Para obter mais informações, consulte Configurar e usar credenciais armazenadas para a atualização de dados PowerPivot.
Permissões do SharePoint
Para que os recursos de compartilhamento e colaboração de uma pasta de trabalho do PowerPivot sejam totalmente utilizados, a pasta de trabalho deve ser publicada em uma biblioteca do SharePoint. Apenas depois que a pasta de trabalho foi publicada em um servidor do SharePoint, você obterá os benefícios do processamento rápido do lado do servidor por meio das instâncias do serviço PowerPivot no farm de servidores, conexões coordenadas e escalonáveis, recursos de gerenciamento de documentos e insight administrativo das atividades de uso de pastas de trabalho específicas.
A publicação, gerenciamento e proteção de uma pasta de trabalho do PowerPivot têm suporte apenas por meio da integração do SharePoint. Os servidores do SharePoint fornecem modelos de autenticação e autorização que garantem acesso legítimo aos dados. Não há nenhum cenário com suporte para implantar uma pasta de trabalho do PowerPivot de maneira segura fora de um farm do SharePoint.
O acesso de usuário à fonte de dados é somente leitura no servidor, mas com a capacidade de baixar o arquivo no aplicativo da área de trabalho do Excel. Permissões de colaboração no arquivo determinarão se o usuário pode modificar o arquivo localmente. Dessa forma, níveis de permissão de Colaboração e Somente Exibição definem o conjunto efetivo de permissões para acesso de usuário aos dados PowerPivot. Outros níveis de permissão funcionam na medida em que têm as mesmas permissões que Colaboração e Somente Exibição (por exemplo, como Leitura inclui permissões Somente Exibição, um usuário que receba a permissão de Leitura terá o mesmo nível de acesso que Somente Leitura).
A tabela a seguir resume os níveis de permissão que determinam acesso a dados PowerPivot e as operações de servidor:
Nível de permissão |
Permite as seguintes tarefas |
|---|---|
Administrador de farm ou serviço |
Instalar, habilitar e configurar serviços e aplicativos. usar o Painel de Gerenciamento do PowerPivot e exibir relatórios administrativos. |
Controle total |
Ativar a integração de recursos do PowerPivot em nível de conjunto de sites. Ative a ajuda online. Criar uma biblioteca da Galeria do PowerPivot Criar uma biblioteca de feeds de dados. |
Colaborar |
Adicionar, editar, excluir e baixar pastas de trabalho PowerPivot. Configurar a atualização de dados Criar novas pastas de trabalho e novos relatórios com base em pastas de trabalho PowerPivot em um site do SharePoint. Criar documentos de serviço de dados em uma biblioteca de feed de dados |
Exibir Apenas |
Exibir pastas de trabalho PowerPivot. Exibir o histórico de atualizações de dados. Conectar uma pasta de trabalho local a uma pasta de trabalho PowerPivot em um site do SharePoint, para adaptar seus dados de outros modos. Baixar um instantâneo da pasta de trabalho. O instantâneo é uma cópia estática dos dados, sem segmentações de dados, fórmulas ou conexões de dados. O conteúdo do instantâneo é semelhante à cópia de valores de células da janela do navegador. |
Usando a segurança dos Serviços do Excel com pastas de trabalho PowerPivot
O processamento do PowerPivot no servidor é estreitamente ligado aos serviços do Excel. A integração profunda começa no nível de documento. pastas de trabalho PowerPivot são arquivos de pasta de trabalho do Excel (.xlsx) que contêm ou fazem referência a dados PowerPivot. Não há nenhuma extensão de arquivo separada para dados PowerPivot. Os dados ficam armazenados dentro da pasta de trabalho ou outra pasta de trabalho faz referência a eles. Quando uma pasta de trabalho PowerPivot é aberta em um site do SharePoint, os Serviços do Excel leem a cadeia de conexão de dados PowerPivot inserida e encaminham a solicitação ao provedor local de OLE DB do SQL Server 2008 R2 Analysis Services. Então, o provedor transmite as informações de conexão a um servidor do PowerPivot no farm. Para que as solicitações fluam diretamente entre os dois servidores, os Serviços do Excel devem ser configurados para usar configurações requeridas pelo PowerPivot para SharePoint.
Nos Serviços do Excel, as configurações relacionadas à segurança são especificadas em locais confiáveis, provedores de dados confiáveis e bibliotecas de conexão de dados confiáveis. A tabela a seguir descreve as configurações que permitem ou aprimoram o acesso a dados PowerPivot. Se uma configuração não estiver listada aqui, ela não terá nenhum efeito nas conexões com o servidor do PowerPivot. Para saber como especificar essas configurações passo a passo, consulte a seção "Ativar Serviços do Excel" em Instalar o PowerPivot para SharePoint em um SharePoint Server existente.
| Observação |
|---|
A maioria das configurações relacionadas à segurança se aplicam a locais confiáveis. Se quiser preservar valores padrão ou usar valores diferentes para sites diferentes, você poderá criar mais um local confiável para sites que contenham dados PowerPivot e, então, configurar os seguintes parâmetros apenas para esse site. Para obter mais informações, consulte Criar um local confiável para sites do PowerPivot. |
Área |
Configuração |
Descrição |
|---|---|---|
Aplicativo Web |
Provedor de autenticação do Windows |
O PowerPivot converte um token de declaração obtido dos Serviços do Excel em uma identidade de usuário do Windows. Qualquer aplicativo Web que utilize os Serviços do Excel como um recurso deve ser configurado para usar o provedor de autenticação do Windows. |
Local confiável |
Tipo de local |
Este valor deve ser definido como Microsoft SharePoint Foundation. Os servidores do PowerPivot recuperam uma cópia do arquivo .xlsx e o carregam em um servidor de Serviços de Análise no farm. O servidor só pode recuperar arquivos .xlsx de uma biblioteca de conteúdo. |
Permitir dados externos |
Esse valor deve ser definido como Bibliotecas confiáveis e incorporadas de conexão de dados. As conexões de dados PowerPivot são inseridas na pasta de trabalho. Se você não permitir conexões inseridas, os usuários poderão exibir o cache de Tabela Dinâmica, mas não poderão interagir com o dados PowerPivot. |
|
Aviso de Atualização |
Este valor deverá ser desabilitado se você estiver usando a Galeria do PowerPivot para armazenar pastas de trabalho e relatórios. A Galeria do PowerPivot inclui um recurso de visualização de documentos que funciona melhor se a atualização na abertura e a Advertência na Atualização estiverem desabilitados. |
|
Provedores de dados confiáveis |
MSOLAP.4 |
O MSOLAP.4 está incluído por padrão. Não o remova da lista de provedores de dados confiáveis. Esta versão do provedor OLE DB trata as solicitações de dados PowerPivot em um farm do SharePoint. |
Bibliotecas de conexão de dados confiáveis |
Opcional. |
Você pode usar arquivos .odc em pastas de trabalho PowerPivot. Se você usar arquivos .odc para fornecer informações de conexão a pastas de trabalho PowerPivot locais, poderá adicionar os mesmos arquivos .odc a essa biblioteca. |
Assembly de função definida pelo usuário |
Não aplicável. |
Os servidores do PowerPivot não são afetados por conjuntos de funções definidas pelo usuário que você criar para os Serviços do Excel. |
Consulte também