Compartilhar via


Autenticação de dados para o Excel Online no Servidor do Office Online

Resumo Saiba como o Excel Online dá suporte a conexões com SQL Server Analysis Services (SSAS), bancos de dados SQL Server e fontes de dados OLE DB e ODBC.

Recuperar os dados de uma fonte de dados exige que o usuário que seja autenticado pela fonte de dados e em seguida autorizado para acessar os dados contidos nela. No caso de uma pasta de trabalho, o Excel Online autentica-se na fonte de dados em nome do usuário que a está exibindo para atualizar os dados aos quais a pasta de trabalho está conectada.

Qual método de autenticação o Excel Online pode usar para recuperar dados depende do tipo da fonte de dados subjacente, conforme descrito na tabela a seguir. Para fontes de dados que suportam mais de um método de autenticação, as conexões devem especificar qual será usado.

Fontes de dados e métodos de autenticação para o Excel Online

Fonte de dados Método de autenticação
Analysis Services
Autenticação do Windows (segurança integrada)
usando a Delegação Kerberos Restrita
usando o Repositório Seguro
usando a propriedade da sequência de conexão EffectiveUserName
SQL Server
Uma de:
Autenticação do Windows (segurança integrada)
usando a Delegação Kerberos Restrita
usando o Repositório Seguro
Autenticação do SQL Server
Fornecedores de dados personalizados
Varia conforme a fonte de dados, normalmente um par de nome de usuário e senha armazenado na sequência de conexão.

As seguintes fontes de dados têm suporte no Excel, mas não no Excel Online:

  • Bancos de dados do Access

  • Conteúdo da web

  • Dados XML

  • Microsoft Azure Marketplace

  • Arquivos de texto

Conectando-se aos dados externos com o Excel Online

O Excel Online pode se conectar a várias fontes de dados externas, incluindo SQL Server, Analysis Services e provedores de dados OLE DB/ODBC personalizados. Para se conectar à fonte de dados, o Excel Online usa um provedor de dados específico para cada fonte de dados.

A conexão a uma fonte de dados do SQL Server pode ser feita usando:

  • Autenticação do Windows

  • Autenticação do SQL Server

A conexão a uma fonte de dados do Analysis Services é feita usando a autenticação do Windows.

Outras fontes de dados usam uma sequência de conexão que normalmente consiste em um nome de usuário e senha.

Conexões de dados para pastas de trabalho do Excel Online

As pastas de trabalho do Excel Online usam um dos dois tipos de conexões:

  • Conexões inseridas

  • Conexões vinculadas

As conexões inseridas são armazenadas como parte da pasta de trabalho do Excel. As conexões vinculadas são armazenadas externamente em uma pasta de trabalho nos arquivos ODC. Para usar uma conexão vinculada, uma pasta de trabalho deve fazer referência a um arquivo .odc que também é armazenado no mesmo farm do SharePoint Server que a pasta de trabalho. Cada conexão de dados consiste em:

  • Uma cadeia de conexão

  • Uma cadeia de consulta

  • Um método de autenticação

  • Opcionalmente, alguns metadados exigidos para recuperar os dados externos

Cada tipo de conexão tem suas vantagens e desvantagens, discutidas aqui. Escolha a opção mais adequada para o seu cenário.

Comparação de conexões de dados para o Excel Online

Tipo de conexão Conexões inseridas Arquivos ODC
Vantagens
Todas as informações da conexão são armazenadas na pasta de trabalho.
Conexões incorporadas exigem menos sobrecarga administrativa para o suporte.
Conexões inseridas são fáceis de criar.
As conexões vinculadas podem ser centralmente armazenadas, gerenciadas, auditoradas, compartilhadas e ter seu acesso controlado usando uma biblioteca de documentos do SharePoint.
Os autores da pasta de trabalho podem usar conexões existentes sem ter que criar sequências de consultas e conexão.
Se os detalhes da conexão de uma fonte de dados mudarem, o administrador precisa somente atualizar um arquivo ODC. Com essa alteração, todas as pastas de trabalho que referenciam o arquivo ODC usarão as informações de conexão atualizadas quando a próxima atualização ocorrer. (Um exemplo desse cenário é quando o servidor do banco de dados é movido ou o nome do banco de dados é alterado).
Desvantagens
Se os detalhes da conexão de dados para uma fonte mudarem, todas as pastas de trabalho com conexões incorporadas a essa fonte terão que ser republicadas com informações atualizadas.
Conexões de dados incorporadas são mais difíceis de auditorar pelos administradores do SharePoint.
Conexões vinculadas poderão precisar de ajuda de um administrador do SharePoint para serem compartilhadas, gerenciadas e protegidas.
Conexões vinculadas são salvas em texto não criptografado e podem conter senhas de bancos de dados. É necessário ter cuidado extra ao ajudar a proteger esses arquivos.
Requer a autenticação servidor a servidor entre Servidor do Office Online e o SharePoint Server. Isso adiciona configuração e sobrecarga administrativa.

Escolha uma conexão de dados vinculada, usando um arquivo ODC, para os cenários em que você deve ter uma conexão de dados a uma fonte em escala corporativa como o SQL Server ou Analysis Services. Conexões vinculadas são mais úteis nos cenários em que serão compartilhadas por diversos usuários e nas quais o controle pelo administrador é importante.

Escolha uma conexão incorporada para cenários nos quais você precisa de uma conexão de dados que não será usada amplamente.

Os arquivos ODC podem ser centralizados em uma biblioteca de conexões de dados. Isso oferece várias vantagens:

  • Os administradores podem restringir o acesso de gravação para uma biblioteca de conexão de dados, para autores de conexões confiáveis, para garantir que somente as conexões bem testadas e seguras sejam usadas pelos autores da pasta de trabalho.

  • Os administradores têm um único local para gerenciar as conexões de dados para um grupo grande de usuários.

  • Os administradores podem aprovar, auditar, reverter e gerenciar arquivos de conexão de dados usando recursos de controle de versão da biblioteca de documentos e de fluxo de trabalho.

  • As bibliotecas de conexão de dados podem ser reutilizados em outros aplicativos do Office, como o Visio e o Visio Services.

  • Os autores da pasta de trabalho têm um único local para encontrar conexões de dados da pasta de trabalho, reduzindo a confusão e o treinamento do usuário.

Autenticação do Windows

autenticação do Windows exige que o Excel Online apresente à fonte de dados um conjunto de credenciais do Windows. Esse tipo de credencial é comum nas redes Windows e é a mesma credencial usada para fazer o logon em computadores em um domínio do Windows. As credenciais do Windows são consideradas os meios mais seguros e gerenciáveis de controlar o acesso a bancos de dados SQL Server. No entanto, um obstáculo para usar autenticação do Windows com o Excel Online é a medida de segurança de salto duplo do Windows, na qual as credenciais de um usuário não podem ser passadas por mais de um computador em uma rede Windows. Dado que o Excel Online usado com o SharePoint Server é um sistema de várias camadas, métodos de autenticação especiais são necessários para o Excel Online recuperar dados em nome do usuário final.

O método de autenticação para escolher depende de vários fatores, destacados na tabela a seguir. Escolha a opção mais adequada para o seu cenário.

Comparação dos métodos de autenticação

Método de autenticação Delegação Kerberos Repositório Seguro Nome de Usuário Efetivo
Descrição
Usando a delegação restrita kerberos, as credenciais do visualizador de pasta de trabalho do Windows são enviadas diretamente para a fonte de dados.
Usando o Serviço de Repositório Seguro, as credenciais do Windows do visualizador são mapeadas para outro conjunto de credenciais especificadas em um aplicativo de destino do Repositório Seguro.
Usando a Configuração Global EffectiveUserName, o nome de usuário de domínio do usuário é passado para fontes de dados do Analysis Services.
Credenciais de conexão de dados
As credenciais do Windows do visualizador da pasta de trabalho.
As credenciais especificadas no aplicativo de destino do Repositório Seguro.
As credenciais do Servidor do Office Online identidade do processo.
Vantagens
O protocolo Kerberos é um padrão da indústria em gerenciamento de credenciais.
O Kerberos é vinculado à infraestrutura existente do Active Directory.
A delegação Kerberos permite a auditoria de acessos individuais a uma fonte de dados.
Visto que a identidade do visualizador da pasta de trabalho é conhecida, os criadores da pasta podem incorporar consultas de banco de dados personalizadas às pastas.
O Serviço de Repositório Seguro é parte do SharePoint Server e é mais fácil de configurar que o Kerberos.
Mapeamentos são flexíveis: um usuário pode ser mapeado um-para-um ou muitos-para-um.
Credenciais não relacionadas ao Windows podem ser usadas para conexão com fontes de dados que não aceitam credenciais do Windows.
Mapeamentos criados para o Excel Online podem ser reutilizedos por outros aplicativos de business intelligence, como o Visio Services.
A segurança dos dados por usuário sem a necessidade de configurar a delegação Kerberos.
Configuração e sobrecarga administrativa mínimas.
Desvantagens
Esforço administrativo adicional necessário para configurar o SharePoint Server e o Excel Online.
Estabelecer e gerenciar as tabelas de mapeamento exige uma certa sobrecarga administrativa.
O Repositório Seguro permite a auditoria limitada. No cenário muitos-para-1, os usuários individuais que entram são mapeados nas mesmas credenciais por um aplicativo de destino, sendo efetivamente mesclados em um usuário.
Só funciona com fontes de dados do Analysis Services.
Para que a operação de autenticação tenha sucesso…
A delegação Kerberos deve ser criada no Servidor do Office Online.
O Serviço de Repositório Seguro deve ser provisionado e configurado no farm do SharePoint Server. Também deve conter informações de mapeamento apropriadas para um usuário específico que esteja entrando. Além disso, as informações de mapeamento podem precisar ser atualizadas periodicamente para refletir as alterações de senha na conta mapeada.
A opção EffectiveUserName deve ser habilitada no Servidor do Office Online.
O usuário deve ser um membro da função do Analysis Services apropriada.

Delegação Kerberos

Escolha a delegação Kerberos para obter autenticação rápida e segura de dados relacionais em escala corporativa que oferecem suporte para a autenticação do Windows. Se você planeja configurar a delegação restrita kerberos, os seguintes requisitos são específicos para usar a delegação restrita kerberos com o Excel Online em Servidor do Office Online:

  • O Serviço de Token do Windows deve estar em execução em cada servidor no farm Servidor do Office Online e definido para ser executado como Sistema Local.

  • Cada servidor no farm Servidor do Office Online deve ter permissão para delegar a cada fonte de dados de back-end, conforme mostrado na lista de delegações Active Directory Domain Services.

  • O arquivo c2wtshost.exe.config (localizado em \Arquivos de Programas\Windows Identity Foundation\v3.5) deve estar atualizado, e as marcas de comentário removidas da lista allowedCallers do NT AUTHORITY\Network Service:

    <allowedCallers>
       <clear/>
       <add value="NT AUTHORITY\\Network Service" />
       <!-- <add value="NT AUTHORITY\\Local Service" /> -->
       <!-- <add value="NT AUTHORITY\\System" /> -->
       <!-- <add value="NT AUTHORITY\\Authenticated Users" /> -->
     </allowedCallers>
    

Repositório Seguro

Escolha o Repositório Seguro para a autenticação de fontes de dados relacionais de escala corporativa que podem ou não suportar a Autenticação do Windows. O Repositório Seguro também é útil em cenários nos quais você deseja controlar os mapeamentos da credencial do usuário.

Para obter informações sobre como usar o Secure Store com o Excel Online, confira:

Autenticação do SQL Server

SQL Server Autenticação exige que o Excel Online apresente um SQL Server nome de usuário e senha para uma fonte de dados SQL Server para autenticação. O Excel Online passa o cadeia de conexão para a fonte de dados. O cadeia de conexão deve conter o nome de usuário e a senha.

Se o nome de usuário e a senha forem armazenados em um aplicativo de destino da Loja Segura (recomendado para melhor segurança), o Excel Online representará a conta de serviço de rede Servidor do Office Online e quando a conexão for feita, as credenciais SQL serão definidas como propriedades da conexão.

Autenticação contra fontes de dados OLEDB/ODBC

A autenticação para fontes de dados de terceiros normalmente exige que o Excel Online apresente um nome de usuário e uma senha para uma fonte de dados.

Se o nome de usuário e a senha forem armazenados na pasta de trabalho ou no arquivo ODC, o Excel Online representará uma identidade do Windows dependente de qual opção foi selecionada para Serviços do Excel configurações de autenticação, seja na pasta de trabalho ou no arquivo ODC.

Se o nome de usuário e a senha forem armazenados em um aplicativo de destino da Loja Segura (recomendado para melhor segurança), o Excel Online representará a conta de serviço de rede Servidor do Office Online e quando a conexão for feita, as credenciais SQL serão definidas como propriedades da conexão.

Atualização de dados no Excel Online

O Excel Online dá suporte a pastas de trabalho refrescantes conectadas a uma ou mais das seguintes fontes de dados:

  • SQL Server

  • SQL Server Analysis Services (SSAS)

Observação

Se a fonte à qual você planeja conectar não estiver na lista acima, você pode adicionar o suporte criando um Fornecedor de Dados Personalizado. Essa tecnologia permite que você embrulhe suas fontes de dados existentes em uma que o Excel Online pode consumir.

A atualização de dados externos é o resultado do seguinte conjunto de etapas por meio do Excel Online.

  1. Criando uma pasta de trabalho: Um autor de pasta de trabalho carrega uma pasta de trabalho conectada a dados no SharePoint Server.

  2. Atualização de disparo: The workbook viewer triggers refresh on a data-connected workbook.

  3. Connections de dados: o Excel Online recupera informações de conexão de dados para cada fonte de dados externa na pasta de trabalho.

  4. Provedores de dados confiáveis: O Excel Online verifica se há um provedor de dados confiável que ele pode usar para recuperar dados.

  5. Autenticação: O Excel Online autentica-se na fonte de dados e recupera os dados solicitados em nome do visualizador da pasta de trabalho.

  6. Atualização da pasta de trabalho: O Excel Online atualiza a pasta de trabalho com base nos dados da fonte de dados e os retorna ao visualizador.

A atualização pode ser disparada de uma de maneiras a seguir, dentro do navegador:

  • O usuário final abre a pasta de trabalho (se ela for configurada para atualizar ao abrir).

  • O usuário final clica no botão para atualizar em uma pasta de trabalho já aberta.

Se não houver versões previamente colocadas no cache dessa pasta de trabalho, qualquer uma das ações dispara a atualização da pasta.

Confira também

Configurar o KCD (Analysis Services) e o Kerberos Constrained Delegation (KCD)