Planejar a autenticação de Serviços do Excel (SharePoint Server 2010)

 

Aplica-se a: Excel Services (SharePoint 2010), SharePoint Server 2010

Tópico modificado em: 2016-11-30

Neste artigo:

• Sobre a segurança dos Serviços do Excel

• Planejar a autenticação de usuários

• Planejar a comunicação entre servidores

• Planejar a autenticação de dados externos

Sobre a segurança dos Serviços do Excel

Além dos requisitos de segurança para implantação do Produtos do Microsoft SharePoint 2010, é preciso analisar as considerações de segurança para uma implantação que inclua os Aplicativo de Serviços do Excel. O Microsoft SharePoint Foundation 2010 fornece a plataforma na qual é desenvolvido o SharePoint Server 2010.

A funcionalidade dos Aplicativo de Serviços do Excel, juntamente com o SharePoint Server 2010, é a principal forma de controlar, proteger e gerenciar o acesso às pastas de trabalho do Excel na empresa. Os Aplicativo de Serviços do Excel consistem um servidor de aplicativos de classe empresarial projetado para obter desempenho, escalabilidade e segurança. Uma implantação dos Aplicativo de Serviços do Excel oferece renderização refinada — e interatividade — com pastas de trabalho e permite que você reutilize facilmente componentes de pastas de trabalho, como gráficos e relatórios de tabela dinâmica, que podem ser processados em painéis de business intelligence.

Usando os Aplicativo de Serviços do Excel, você pode aproveitar cálculos de planilha do Excel no servidor para aplicativos personalizados, e os usuários podem bloquear pastas de trabalho e ajudar a proteger dados privados e propriedade intelectual. Isso garante que os dados em suas pastas de trabalho fiquem mais protegidos, enquanto os usuários que interagem com as pastas de trabalho em um servidor podem aproveitar totalmente a funcionalidade de atualização de dados e recálculo fornecida pelos Aplicativo de Serviços do Excel.

Segurança é um componente importante para habilitar esses cenários de renderização de dados. É preciso considerar muitos fatores ao planejar um ambiente que ajude a garantir a segurança de pastas de trabalho renderizadas em um servidor. Você deve planejar o gerenciamento da segurança de pastas de trabalho e a segurança do próprio servidor. Os Aplicativo de Serviços do Excel trazem um nível significativo de controle de exatidão para o processamento e a exibição de pastas de trabalho do Excel. Você pode controlar a maneira como as pastas de trabalho são abertas no servidor e os recursos específicos que são habilitados para cada pasta de trabalho.

Este artigo resume as configurações de segurança e autenticação dos Aplicativo de Serviços do Excel e os componentes relacionados que devem ser considerados ao planejar uma implantação. Além disso, o artigo contém orientações para usar os Aplicativo de Serviços do Excel para aumentar a segurança e gerenciar o acesso a pastas de trabalho no servidor.

O modelo de segurança dos Aplicativo de Serviços do Excel se baseia no conceito de que, para garantir a integridade e a qualidade dos dados, um administrador deve poder gerenciar de forma centralizada os recursos compartilhados e o acesso dos usuários a itens de propriedade intelectual corporativa contidos em pastas de trabalho. Para fazer isso, você pode usar os Aplicativo de Serviços do Excel para especificar:

• Locais de arquivos confiáveis   São bibliotecas de documentos do SharePoint, caminhos UNC ou sites HTTP que precisam ser explicitamente confiáveis para que os Serviços de Cálculo do Excel possam acessá-los. Os Serviços de Cálculo do Excel abrem somente pastas de trabalho armazenadas em locais de arquivo confiáveis.

• Provedores de dados confiáveis   São bancos de dados externos para os quais os Serviços de Cálculo do Excel são explicitamente configurados para confiar ao processar conexões de dados em pastas de trabalho. Os Serviços de Cálculo do Excel apenas tentarão processar uma conexão de dados se a conexão for estabelecida com um provedor de dados confiável.

• Bibliotecas de conexões de dados confiáveis   São bibliotecas de documentos do SharePoint que contêm arquivos de conexão de dados (.odc) do Office. Os arquivos .odc são usados para gerenciar centralmente conexões com fontes de dados externas. Em vez de permitir conexões inseridas com fontes de dados externas, os Serviços de Cálculo do Excel podem ser configurados para exigir o uso de arquivos .odc em todas as conexões de dados. Os arquivos .odc são armazenados em bibliotecas de conexões de dados, as quais precisam ser explicitamente confiáveis para que os Serviços de Cálculo do Excel permitam que as pastas de trabalho as acessem.

  Por padrão, o acesso de conexão a pastas de trabalho e dados entre domínios não é permitido. Para permitir que pastas de trabalho em locais de arquivo confiáveis (e conexões de dados em bibliotecas de conexões de dados confiáveis) sejam acessadas em domínios por Web Parts, páginas da Web ou serviços Web, execute os cmdlets do Windows PowerShell, como mostrado nos exemplos em Gerenciar os Serviços do Excel com o Windows PowerShell.

  As páginas da Web solicitantes e as conexões de dados ou pastas de trabalho devem residir no mesmo farm.

  Observação

  Quando uma pasta de trabalho é aberta nos Serviços de Cálculo do Excel, um arquivo temporário é armazenado na pasta %TEMP% do servidor de aplicativos que executa o Serviços de Cálculo do Excel.

Planejar a autenticação do usuário

As pastas de trabalho do Excel abertas pelos Serviços de Cálculo do Excel devem ser armazenadas no banco de dados de conteúdo do SharePoint Server 2010, pois o SharePoint Foundation 2010 mantém uma ACL (lista de controle de acesso) desses arquivos. Os Serviços de Cálculo do Excel também podem abrir pastas de trabalho de caminhos UNC e sites HTTP. Contudo, recomendamos o uso do banco de dados de conteúdo do SharePoint Server 2010 para armazenamento de pastas de trabalho.

A autenticação para acesso do usuário a um site de portal do SharePoint é efetuada pelo SharePoint Foundation 2010. Por padrão, o SharePoint Foundation 2010 usa autenticação integrada do Windows.

Além dos métodos de autenticação listados, os Aplicativo de Serviços do Excel também oferecem suporte à autenticação baseada em formulários genéricos. No entanto, a configuração do SharePoint Foundation 2010 para usar autenticação baseada em formulários genéricos não é abordada aqui.

Planejar a comunicação entre servidores

A autenticação baseada em declarações é o mecanismo de autenticação padrão do SharePoint Server 2010. Trata-se de um padrão com amplo suporte da indústria e da Microsoft. A autenticação de declarações ajuda a melhorar a autenticação e a segurança durante a implantação de farms, aplicativos do Office Business e serviços do SharePoint em diferentes ambientes. Os Aplicativo de Serviços do Excel usam a autenticação baseada em declarações para todos os cenários de implantação, seja em uma instalação de único servidor ou em um ambiente de farm. Além disso, o processo de autenticação e autorização de usuários para todos os recursos e conteúdos do SharePoint Server 2010 é muito mais seguro com a autenticação baseada em declarações.

Planejar a autenticação de dados externos

Pastas de trabalho podem conter conexões de dados de direcionamento incorporados e vínculos para arquivos de conexão de dados que são armazenados em bibliotecas de conexão de dados. Ao atualizar, dependendo da configuração dos Aplicativo de Serviços do Excel, a conexão de dados de direcionamento incorporados pode ser usada para consultar a fonte de dados, ou o vínculo com a biblioteca de conexão de dados poderá ser usado para consultar o arquivo .odc. O arquivo .odc contém informações de conexão de dados e deve ser armazenado em uma biblioteca de conexão de dados.

Para configurar os Aplicativo de Serviços do Excel para processar conexões com fontes de dados externas, selecione uma configuração na seção Dados Externos da página Serviços do Excel: Adicionar Local de Arquivo Confiável do aplicativo Web da Administração Central do SharePoint.

Para configurar definições administrativas para os Aplicativo de Serviços do Excel, consulte OBSOLETO Gerenciar autenticação dos Serviços do Excel (SharePoint Server 2010) para obter mais informações.

As implantações em farm que possuem conexões integradas agora usam a autenticação baseada em declarações do SharePoint Server 2010. Quando os Serviços de Cálculo do Excel recuperam informações de conexão, credenciais são designadas como Armazenados (a serem recuperados do banco de dados do Serviço de Repositório Seguro), Integradas ou Nenhuma. Todas as conexões de dados com credenciais integradas usam agora a autenticação baseada em declarações para implantações dimensionadas para vários servidores. Uma implantação autônoma também usa a autenticação padrão baseada em declarações.

Imagine uma conexão de dados em uma pasta de trabalho aberta em um servidor de aplicativos dos Serviços de Cálculo do Excel que use o método de credenciais Armazenadas. Os Serviços de Cálculo do Excel devem recuperar credenciais válidas de um banco de dados de autenticação do Serviço de Repositório Seguro. Em seguida, eles usam essas credenciais para fazer a autenticação com base em uma fonte de dados, antes que a conexão de dados possa ser estabelecida.

Os Aplicativo de Serviços do Excel oferecem suporte para três métodos de autenticação de dados: autenticação integrada do Windows, autenticação via Serviço de Repositório Seguro e Nenhum.

Autenticação integrada do Windows

O protocolo Kerberos é a configuração de segurança recomendada para uso com a autenticação integrada do Windows. Como o SharePoint Server 2010 usa a autenticação baseada em declarações, todos os cenários dos Aplicativo de Serviços do Excel também usam essa autenticação baseada em declarações. A autenticação integrada do Windows agora é usada exclusivamente para Configurações de Autenticação do IIS no SharePoint Server 2010. Consulte a página do Centro de Download da Microsoft sobre como configurar a autenticação Kerberos para Produtos do Microsoft SharePoint 2010para obter mais informações sobre como configurar a delegação restrita de Kerberos nos Aplicativo de Serviços do Excel.

Autenticação via Serviço de Repositório Seguro

Usando a autenticação Serviço de Repositório Seguro, os usuários podem acessar vários recursos do sistema sem precisar fornecer credenciais de autenticação mais de uma vez. O SharePoint Server 2010 implementa a autenticação Serviço de Repositório Seguro, incluindo um serviço do Windows e um banco de dados de credenciais seguras. Com a funcionalidade Serviço de Repositório Seguro compatível com os Aplicativo de Serviços do Excel, você pode implementar seu próprio provedor de Serviço de Repositório Seguro. O SharePoint Server 2010 inclui um provedor de Serviço de Repositório Seguro que funciona com os Aplicativo de Serviços do Excel.

Qualquer provedor de Serviço de Repositório Seguro que você implementar com os Aplicativo de Serviços do Excel deverá enviar credenciais juntamente com um tipo de credencial, sejam credenciais do Windows ou outras credenciais. Os Aplicativo de Serviços do Excel usam o banco de dados do Serviço de Repositório Seguro para recuperar credenciais para a autenticação de conexão.

A autenticação via Serviço de Repositório Seguro no SharePoint Server 2010 oferece suporte a mapeamentos individuais e a mapeamentos de grupo. O Serviço de Repositório Seguro mantém um conjunto de credenciais para identidades de aplicativos (App IDs) de recursos armazenados no banco de dados de Serviço de Repositório Seguro do SharePoint Server 2010. Para mapeamentos individuais, uma camada de segurança verifica as credenciais do usuário com base em várias listagens individuais de uma App ID armazenada no banco de dados do Serviço de Repositório Seguro. Mapeamentos individuais são úteis se você precisa registrar informações sobre acesso de usuários individuais a recursos compartilhados.

Em mapeamentos de grupos, uma camada de segurança verifica as credenciais de grupo para vários usuários de domínio com base em um único conjunto de credenciais para um recurso identificado por uma App ID armazenada no banco de dados do Serviço de Repositório Seguro. Isso também funciona com a autenticação baseada em formulários ou com outros provedores de declarações que você usar. Mapeamentos de grupos são mais fáceis de manter que mapeamentos individuais, e o desempenho é melhor.

Para habilitar a funcionalidade de Serviço de Repositório Seguro do SharePoint Server 2010, crie um novo Serviço de Repositório Seguro no site da Administração Central do SharePoint. Consulte Usar os Serviços do Excel com o Repositório Seguro (SharePoint Server 2010) para obter mais informações.

Nenhuma

Quando você especifica Nenhuma como método de autenticação da sua implantação dos Aplicativo de Serviços do Excel, os Aplicativo de Serviços do Excel tentam usar as cadeias de conexão de entrada para se conectar ao banco de dados especificado na cadeia de caracteres. Dependendo do provedor de banco de dados específico, o banco de dados poderá usar a cadeia de conexão para autenticar o usuário.

Os Aplicativo de Serviços do Excel não analisam cadeias de conexão para determinar um método de autenticação. Essas cadeias de conexão são passadas para o provedor de banco de dados e podem especificar se a autenticação integrada do Windows é necessária. Além disso, também podem conter nome de usuário e senha específicos. Em ambos os casos, quando você especifica Nenhuma como método de autenticação, os Aplicativo de Serviços do Excel exigem a representação de uma conta de serviço autônoma.

Se o provedor de banco de dados determinar que a cadeia de conexão especifica autenticação integrada do Windows e se o banco de dados autorizar o acesso, a conexão será estabelecida usando o contexto de segurança da conta autônoma. Se a cadeia de conexão contiver um nome de usuário e uma senha e se o banco de dados autorizar o acesso, a conexão será estabelecida usando o contexto de segurança da conta de usuário autorizado.

Conta de serviço autônoma

A conta de serviço sem supervisão é uma conta privilegiada que está criptografada e protegida. O SSS (Serviço de Repositório Seguro) armazena as credenciais da conta sem supervisão para que os Serviços de Cálculo do Excel possam representá-la ao estabelecerem uma conexão de dados que utilize credenciais de SSS a partir de um ambiente que não se baseia no Windows ou que utilize Nenhum como método de autenticação. Se uma conta de serviço sem supervisão não for configurada, as conexões de dados falharão caso o SSS de um ambiente diferente do Windows ou Nenhum for usado como método de autenticação.

A representação da conta autônoma protege os bancos de dados do SharePoint Server 2010, e todas as outras fontes de dados que os Aplicativo de Serviços do Excel possam acessar diretamente, contra conexões não autorizadas por computadores clientes que usem os Serviços de Cálculo do Excel para abrir conexões de dados externas. Quando uma conta de serviço autônoma é representada, as credenciais associadas a um thread de aplicativo dos Serviços de Cálculo do Excel não podem ser utilizadas para acessar nenhum outro banco de dados. Além disso, quando uma conta de serviço autônoma é representada, as consultas a dados externos são executadas no contexto de segurança de uma conta com poucas permissões, em vez de serem executadas no contexto de segurança de um thread de aplicativo dos Serviços de Cálculo do Excel com mais permissões.

Você pode configurar a conta de serviço autônoma como uma conta de domínio ou como uma conta de computador local. Se a conta de serviço autônoma for configurada como uma conta de computador local, verifique se a configuração é idêntica m cada serviço de aplicativos que executa os Serviços de Cálculo do Excel. As credenciais da conta autônoma são armazenadas em cache na conexão e em cada sessão de pasta de trabalho. Sempre que ocorrer o carregamento de uma pasta de trabalho com conexões de dados que utilizem a conta autônoma, e se as credenciais ainda não estiverem armazenadas em cache para essa conexão, a conta autônoma será obtida no Repositório Seguro e utilizada. Ou seja, as credenciais de conta autônoma não são armazenadas globalmente em cache, mas, em vez disso, são extraídas do Repositório Seguro conforme a necessidade para cada sessão ou conexão de dados. Restrinja as permissões da conta de serviço autônoma para permitir somente logon na rede. Verifique se a conta de serviço autônoma não tem acesso a nenhuma fonte de dados ou aos bancos de dados do SharePoint Server 2010. Consulte Usar os Serviços do Excel com o Repositório Seguro (SharePoint Server 2010) para obter mais informações.

Configurações de segurança

Para configurar as definições administrativas dos Aplicativo de Serviços do Excel, incluindo as definições de segurança, abra o aplicativo Web da Administração Central do SharePoint e acesse a página Configurações dos Serviços do Excel. Consulte OBSOLETO Gerenciar autenticação dos Serviços do Excel (SharePoint Server 2010) para obter mais informações.

A página Configurações de Serviços do Excel fornece configurações para o seguinte:

• Segurança   Autenticação, comunicação e definições de serviço Web dos Aplicativo de Serviços do Excel.

• Balanceamento de Carga   Balanceamento de carga de sessão dos Aplicativo de Serviços do Excel nos processos dos Serviços de Cálculo do Excel.

• Gerenciamento de Sessões   Comportamento de sessões do Serviços de Cálculo do Excel.

• Utilização de Memória   Alocação de memória no Serviços de Cálculo do Excel.

• Cache de Pasta de Trabalho   Configurações relacionadas ao cache de arquivos de pasta de trabalho em disco e na memória.

• Dados Externos  Manipulação de conexões de dados externos no Serviços de Cálculo do Excel.

Você também pode usar a página Configurações dos Serviços do Excel para configurar as opções de método de acesso a arquivo e criptografia de conexões, as quais têm impacto direto na implantação segura.

Método de acesso a arquivos

Na página Configurações dos Aplicativo de Serviços do Excel, na seção Segurança, em Método de Acesso a Arquivos, selecione Representação ou Conta de processo

• Representação   Permite que um thread seja executado em um contexto de segurança diferente daquele do processo proprietário do thread. Selecione Representação para exigir que os Serviços de Cálculo do Excel autorizem os usuários quando eles tentarem acessar pastas de trabalho armazenadas em locais UNC e HTTP. Essa opção não afeta pastas de trabalho armazenadas nos bancos de dados do SharePoint Server 2010. Na maioria das implantações de farm de servidores em que servidores Web front-end e servidores de aplicativos dos Serviços de Cálculo do Excel são executados em computadores diferentes, a representação exige a delegação restrita do Kerberos.

• Conta de processo Se os servidores de aplicativos dos Serviços de Cálculo do Excel estiverem abrindo pastas de trabalho de compartilhamentos UNC ou sites HTTP, a conta de usuário não poderá ser representada, e a conta de processo deverá ser usada.

Criptografia de conexão

Você pode usar o protocolo IPSec ou o SSL (Secure Sockets Layer) para criptografar a transmissão de dados entre servidores de aplicativos dos Serviços de Cálculo do Excel, fontes de dados, computadores clientes e servidores Web front-end. Para exigir a transmissão de dados criptografados entre computadores clientes e servidores Web front-end, clique na configuração Criptografia de ConexãoNecessária. Não Necessária é a configuração padrão. Se você alterar a configuração Criptografia de Conexão para Necessária, o servidor de aplicativos dos Serviços de Cálculo do Excel somente permitirá a transmissão de dados entre computadores clientes e servidores Web front-end via conexões SSL.

Se optar por exigir a transmissão de dados criptografados, você deverá configurar manualmente o protocolo IPsec ou o protocolo SSL. É possível exigir conexões criptografadas entre computadores clientes e servidores Web front-end, permitindo conexões não criptografadas entre servidores Web front-end e servidores de aplicativos dos Serviços de Cálculo do Excel.

A página Gerenciar Serviços do Excel também lista as páginas Locais de Arquivos Confiáveis, Provedores de Dados Confiáveis, Bibliotecas de Conexões de Dados Confiáveis e Assemblies de Função Definida pelo Usuário para Aplicativo de Serviços do Excel.

Locais de arquivos confiáveis

Locais de arquivos confiáveis são sites do SharePoint, caminhos UNC ou sites HTTP nos quais um servidor que executa os Serviços de Cálculo do Excel tem permissão para acessar pastas de trabalho.

Na seção Local da página Serviços do Excel: Adicionar Local de Arquivo Confiável, você pode configurar o endereço, o tipo de local e se as bibliotecas filho de locais de arquivos confiáveis também são confiáveis. Ao selecionar Confiar em Filhos, você poderá melhorar a capacidade de gerenciamento, porém, também poderá criar um possível problema de segurança ao habilitar subsites e subdiretórios de locais confiáveis para serem automaticamente considerados confiáveis assim que criados.

Na seção Gerenciamento de Sessões, é possível configurar definições para ajudar a preservar a disponibilidade de recursos e melhorar o desempenho e a segurança dos Serviços de Cálculo do Excel. O desempenho poderá ser prejudicado quando muitos usuários tiverem várias sessões dos Serviços de Cálculo do Excel abertas simultaneamente. Você pode controlar o consumo de recursos e limitar a duração de sessões abertas dos Serviços de Cálculo do Excel configurando duas definições diferentes de tempo limite para sessões abertas.

A definição Tempo Limite de Sessão determina o tempo durante o qual uma sessão dos Serviços de Cálculo do Excel pode permanecer aberta e inativa após cada interação do usuário. A definição Tempo Limite de Sessão Curto determina o tempo durante o qual uma sessão dos Serviços de Cálculo do Excel pode permanecer aberta e inativa após a solicitação de sessão inicial. A definição Tempo Limite de Sessão da Nova Pasta de Trabalho determina durante quanto tempo uma sessão dos Serviços de Cálculo do Excel de uma nova pasta de trabalho pode permanecer aberta e inativa antes de ser desligada. Você também pode controlar o número de segundos permitidos para qualquer solicitação única de sessão configurando um valor de Duração Máxima da Solicitação. Ao limitar o tempo no qual as sessões permanecem abertas, você poderá ajudar a reduzir o risco de ataques de negação de serviço.

Na seção de Propriedades da Pasta de Trabalho , você pode configurar um tamanho máximo de qualquer pasta de trabalho, gráfico ou imagem que tem permissão para ser aberto em uma sessão dos Serviços de Cálculo do Excel. O desempenho e a disponibilidade de recursos podem ser comprometidos quando os usuários abrem pastas de trabalho extremamente grandes. A menos que você controle o tamanho permitido de pastas de trabalho em execução em sessões abertas dos Serviços de Cálculo do Excel, correrá o risco de os usuários excederem sua capacidade de recursos e provocarem a falha do servidor.

Observação

Se um servidor de aplicativos que executa os Serviços de Cálculo do Excel apresentar uma falha ou for desligado, todas as sessões abertas nesse servidor serão perdidas. Em uma instalação autônoma, os Aplicativo de Serviços do Excel não ficam disponível. Isso significa que as pastas de trabalho não podem ser carregadas, recalculadas, atualizadas ou recuperadas pelos Serviços de Cálculo do Excel. Em uma implantação de farm de servidores que inclua vários servidores de aplicativos com os Serviços de Cálculo do Excel em execução, o desligamento de um servidor não afetará as sessões abertas em execução em outros servidores. Os usuários com sessões em execução em um servidor que é desligado serão solicitados a reabrir suas pastas de trabalho. Quando os usuários iniciarem uma nova sessão, eles serão automaticamente roteados para servidores de aplicativos ativos com os Serviços de Cálculo do Excel em execução.

Na seção Dados Externos, é possível determinar se as pastas de trabalho armazenadas em locais de arquivos confiáveis e abertas em sessões dos Serviços de Cálculo do Excel podem acessar uma fonte de dados externa. Você pode designar se a opção Permitir Dados Externos é definida como Nenhum, Bibliotecas de conexões de dados confiáveis somente ou Bibliotecas de conexões de dados confiáveis e inseridas. Se você selecionar Bibliotecas de conexões de dados confiáveis somente ou Bibliotecas de conexões de dados confiáveis e inseridas, as pastas de trabalho armazenadas nos locais de arquivos confiáveis terão permissão para acessar fontes de dados externas.

As conexões de dados externos poderão ser acessadas somente quando forem inseridas ou vinculadas a partir de uma pasta de trabalho. Os Serviços de Cálculo do Excel verificarão a lista de locais de arquivos confiáveis antes de abrir uma pasta de trabalho. Se você selecionar Nenhum, os Serviços de Cálculo do Excel bloquearão qualquer tentativa de acesso a uma fonte de dados externa. Se você gerenciar conexões dados para um grande número de autores de pastas de trabalho, considere a especificação de Bibliotecas de conexões de dados confiáveis somente. Isso garantirá que todas as conexões de dados em todas as pastas de trabalho geradas por autores de pastas de trabalho autenticados tenham que usar uma biblioteca de conexões de dados confiáveis para acessar qualquer fonte de dados externa.

Se você gerenciar conexões dados para um pequeno número de autores de pastas de trabalho, considere a especificação de Bibliotecas de conexões de dados confiáveis e inseridas. Isso permitirá que os autores de pastas de trabalho insiram conexões diretas com fontes dados externas em suas pastas de trabalho, mas eles ainda terão acesso às bibliotecas de conexão de dados confiáveis se os links inseridos falharem.

Na área Aviso de Atualização da seção Dados Externos, você pode especificar se um aviso é exibido antes que uma pasta de trabalho seja atualizada com base em uma fonte de dados externa. Ao selecionar Aviso de atualização habilitado, você garante que dados externos não sejam automaticamente atualizados sem interação do usuário.

Na opção Exibir Erros de Dados Externos Granulares, se você habilitar a configuração Erros de Dados Externos Granulares, ela exibirá mensagens de erro descritivas que fornecem informações úteis para solucionar problemas e corrigir problemas de conexão.

Na área Parar quando Atualizar ao Abrir Falhar, você pode especificar se os Serviços de Cálculo do Excel irão parar de abrir uma pasta de trabalho se esta contiver uma conexão de dados Atualizar ao Abrir que apresente falha. Selecionando Parada ao abrir habilitada, você garante que os valores armazenados em cache não sejam exibidos se uma operação de atualização falhar quando a pasta de trabalho for aberta. Quando a tarefa Atualizar ao Abrir for bem-sucedida, os valores armazenados em cache serão removidos. Ao desmarcar a caixa de seleção Parada ao abrir habilitada, haverá o risco da exibição de valores armazenados em cache se houver falha em Atualizar ao Abrir.

Na área Tempo de Vida do Cache de Dados Externos da seção Dados Externos, você pode especificar o tempo máximo durante o qual os valores armazenados em cache poderão ser usados antes de expirarem, além do número máximo de consultas a dados externos que poderão ser executadas ao mesmo tempo em uma única sessão.

Para garantir que somente os usuários confiáveis tenham acesso às pastas de trabalho armazenadas em locais confiáveis, é importante aplicar as ACLs em todos os locais de arquivos confiáveis.

Existem três cenários principais para implantar os Aplicativo de Serviços do Excel com o SharePoint Server 2010: corporativo, pequeno departamento e personalizado.

Em uma implantação corporativa, considere as seguintes diretrizes:

• Não configure suporte para funções definidas pelo usuário.

• Não permita que as pastas de trabalho usem conexões de dados incorporadas para acessar diretamente fontes de dados externas.

• Limite o uso de bibliotecas de conexão de dados para o acesso a fontes de dados externas de pastas de trabalho.

• Restrinja o tamanho das pastas de trabalho que podem ser abertas nos Serviços de Cálculo do Excel.

• Considere confiáveis locais de arquivos específicos, seletivamente, e não habilite Confiar em Filhos para sites e diretórios confiáveis.

Em uma implantação de pequeno departamento, considere as seguintes diretrizes:

• Habilite a confiança para todos os locais de arquivos usados por membros do departamento para armazenar pastas de trabalho.

• Habilite Confiar em Filhos para todos os de sites e diretórios confiáveis.

• Restrinja seletivamente o acesso a locais de arquivos específicos, se houver problemas.

Em uma implantação personalizada, considere as seguintes diretrizes:

• Habilite os Serviços de Cálculo do Excel para abrir pastas de trabalho grandes.

• Defina configurações de tempo limite longo para as sessões.

• Configure caches de dados grandes.

• Crie um único local confiável para essa implantação.

• Não habilite Confiar em Filhos para esse local confiável.

Provedores de dados confiáveis

É possível controlar o acesso a dados externos definindo explicitamente os provedores de dados confiáveis e registrando-os na lista de provedores de dados confiáveis. Essa lista designa provedores de dados externos específicos aos quais as pastas de trabalho abertas nos Serviços de Cálculo do Excel podem se conectar.

Antes de instanciar um provedor de dados para permitir que uma pasta de trabalho seja conectada a uma fonte de dados externa, os Serviços de Cálculo do Excel verifica as informações de conexão para determinar se o provedor aparece na lista de provedores de dados confiáveis. Se esse provedor estiver na lista, haverá uma tentativa de conexão; caso contrário, a solicitação de conexão será ignorada.

Bibliotecas de conexões de dados confiáveis

Uma biblioteca de conexões de dados confiáveis é uma biblioteca de documentos na qual você determinou que o acesso a arquivos .odc é seguro. Bibliotecas de conexões de dados são usadas para proteger e gerenciar conexões de dados para pastas de trabalho acessadas por um servidor que executa os Serviços de Cálculo do Excel. Uma lista de bibliotecas de conexões de dados confiáveis designa bibliotecas de conexões de dados específicas nas quais as pastas de trabalho abertas nos Serviços de Cálculo do Excel têm permissão para acessar arquivos .odc.

Se a conexão de dados estiver vinculada com base em uma pasta de trabalho que é acessada por um servidor com os Serviços de Cálculo do Excel em execução, o servidor verificará as informações da conexão e a lista de bibliotecas de conexões de dados confiáveis. Se a biblioteca de conexões de dados estiver na lista, ocorrerá uma tentativa de conexão com o arquivo .odc dessa biblioteca; caso contrário, a solicitação de conexão será ignorada.

Permissões Exibir Apenas

Você pode especificar os usuários que só têm permissão para exibir pastas de trabalho adicionando-os ao grupo Visualizadores do SharePoint Server 2010 ou criando um novo grupo configurado para usar as permissões Exibir Apenas. Por padrão, o grupo Visualizadores está configurado com as permissões Exibir Apenas. Os usuários adicionados a um grupo configurado com as permissões Exibir Apenas podem exibir, abrir, interagir, atualizar e recalcular pastas de trabalho, mas são impedidos de acessar a fonte do arquivo de outra maneira que não por meio dos Aplicativo de Serviços do Excel. Isso ajuda a proteger as informações proprietárias. Os dados de origem nunca são exibidos para os usuários designados.

Pastas de trabalho e objetos de dados de pastas de trabalho configurados com permissões Exibir Apenas não podem ser abertos no Microsoft Excel 2010. Entretanto, um instantâneo da pasta de trabalho, exibindo somente valores e formatação dos intervalos visíveis do servidor, pode ser renderizado no Excel 2010.

Você pode configurar definições de site no SharePoint Server 2010 para controlar o acesso aos dados da pasta de trabalho, configurando permissões Exibir Apenas em pastas de trabalho gerenciadas centralmente e renderizadas em um navegador da Web. Também é possível configurar definições de site no SharePoint Server 2010 para permitir que as pastas de trabalho atualizem dados externos no servidor e também para proteger e gerenciar conexões de dados externos. Consulte OBSOLETO Gerenciar autenticação dos Serviços do Excel (SharePoint Server 2010) para obter informações sobre como salvar objetos de dados especificados como itens Exibir Apenas.

Conexões de dados externos

O componente Serviços de Cálculo do Excel dos Aplicativo de Serviços do Excel é usado para conectar fontes de dados externas. Os Serviços de Cálculo do Excel processam informações sobre conexões de dados externos que contêm tudo de que o servidor precisa para se conectar a uma fonte de dados, incluindo como autenticar, que cadeia de conexão usar, que cadeia de consulta usar e também onde e como coletar credenciais para a conexão. Essas conexões podem ser definidas em dois lugares: inseridas em pastas de trabalho e em arquivos .odc. As informações de conexão são idênticas nos dois locais. Os arquivos .odc são pequenos arquivos que mantêm informações de conexão em texto sem formatação e em um formato reutilizável.

Você pode usar o cliente do Excel 2010 para criar e editar arquivos .odc e conexões incorporadas em pastas de trabalho. No cliente do Excel 2010, é possível executar o Assistente de Conexão de Dados ou definir as configurações na página de propriedades Conexões. Você também pode exportar um arquivo .odc com base nessas configurações. A página de propriedades Conexões mostra informações de conexão, incluindo propriedades de autenticação dos Aplicativo de Serviços do Excel.

Arquivos .odc

As pastas de trabalho podem conter links para arquivos .odc e informações de conexão incorporadas. Isso permite que as pastas de trabalho recuperem o arquivo .odc, leiam o conteúdo e tentem conectar-se a uma fonte de dados externa se as informações de conexão incorporadas falharem. Os arquivos .odc devem ser gerenciados e receber manutenção para garantir que contenham informações precisas sobre conexões de dados.

Você também pode configurar os Serviços de Cálculo do Excel para usar informações de conexão do arquivo .odc exclusivamente, em vez de primeiramente tentar se conectar usando as informações incorporadas. Essa estratégia permite que os administradores implantem um pequeno conjunto de arquivos .odc gerenciados que fornecem informações de conexão atualizadas para várias pastas de trabalho.

Os autores de pastas de trabalho podem especificar, por conexão individual, quais informações de conexão a pasta de trabalho pode usar. Para isso, abra o cliente do Excel 2010 e clique em Conexões da Pasta de Trabalho, na guia Dados. Adicione uma conexão a uma pasta de trabalho, abra Conexões da Pasta de Trabalho e exiba as propriedades da conexão que você acabou de adicionar. Na guia Definição, selecione Sempre usar arquivo de conexão. Essa definição permite que a pasta de trabalho recupere um arquivo de conexão de uma biblioteca de conexões de dados e use as informações de conexão do arquivo para se conectar a uma fonte de dados externa. Você também pode configurar essa definição selecionando Sempre usar arquivo de conexão na página final do Assistente para Conexão de Dados.

Gerenciando arquivos .odc

As bibliotecas de conexões de dados oferecem um repositório para conjuntos de arquivos .odc. Os administradores podem gerenciar as conexões de dados no servidor criando uma biblioteca de conexões de dados e arquivos .odc que exijam que as pastas de trabalho sempre usem um arquivo de conexão. As pastas de trabalho que consomem conexões diretamente de uma biblioteca de conexões de dados obterão sempre informações de conexão atualizadas antes de se conectarem a uma fonte de dados.

Se as informações sobre fontes de dados forem alteradas (por exemplo, nome do servidor), você só precisará atualizar um arquivo .odc na biblioteca de conexões de dados e todas as pastas de trabalho que consumirem o arquivo .odc serão automaticamente atualizadas na próxima vez. Também é possível usar permissões Exibir Apenas para restringir o acesso a arquivos .odc.

Assemblies de função definida pelo usuário

Se os seus cenários de implantação incluírem pastas de trabalho que contenham funções definidas pelo usuário para estender os recursos dos Serviços de Cálculo do Excel, configure os Aplicativo de Serviços do Excel para oferecer suporte a funções definidas pelo usuário.

Para configurar esse suporte, habilite as funções definidas pelo usuário em locais de arquivos confiáveis que contenham pastas de trabalho que precisam acessar funções definidas pelo usuário. Além disso, registre os assemblies de funções definidas pelo usuário na lista de assemblies de funções definidas pelo usuário, nos Aplicativo de Serviços do Excel. Consulte OBSOLETO Gerenciar autenticação dos Serviços do Excel (SharePoint Server 2010) para obter informações sobre como habilitar as funções definidas pelo usuário.