規劃 PowerPivot 驗證及授權
在 SharePoint 2010 伺服陣列中執行的 PowerPivot for SharePoint 部署會使用 SharePoint 伺服器所提供的驗證子系統和授權模型。由於所有 PowerPivot 相關的內容都儲存在 SharePoint 內容資料庫中,而且 PowerPivot 相關的所有處理都在伺服器陣列中的 PowerPivot 共用服務上執行,SharePoint 安全性基礎結構會延伸到 PowerPivot 內容和作業。使用者若要求包含 PowerPivot 資料的活頁簿,就會使用以其 Windows 使用者識別為基礎的 SharePoint 使用者識別進行驗證。活頁簿上的檢視權限會決定授與或拒絕要求。
SharePoint 授權只用於 PowerPivot 資料處理和 PowerPivot 服務的所有層級存取。針對在 Excel 活頁簿內視覺化的 PowerPivot 資料,活頁簿內並沒有任何資料列層級授權,可在資料列或資料表層級啟用細部安全性。您無法透過保護活頁簿不同部分的安全,在其中為特定的使用者授與或拒絕機密資料的存取。您無法套用以 Analysis Services 角色為基礎的安全性來保護 Excel 活頁簿中的 PowerPivot 資料。擁有 SharePoint 文件庫中 Excel 活頁簿之檢視權限的使用者可以完整使用內嵌的 PowerPivot 資料。
由於自助式資料分析必須與 Excel Services 整合,所以您也必須了解 Excel Services 安全性,才能保護 PowerPivot 伺服器的安全。當使用者查詢具有 PowerPivot 資料之資料連接的樞紐分析表時,Excel Services 會轉送資料連接要求到伺服陣列中的 PowerPivot 伺服器以載入資料。您必須了解如何設定兩者都相容的安全性設定,才能進行這種伺服器間的互動。
按下列連結可閱讀本主題中的特定小節:
PowerPivot for SharePoint 支援的驗證提供者
使用者授權
SharePoint 權限
搭配 PowerPivot 活頁簿使用 Excel Services 安全性
PowerPivot for SharePoint 支援的驗證提供者
PowerPivot for SharePoint 支援設定為使用 Windows 驗證的 SharePoint Web 應用程式。PowerPivot Web 服務所處理的資料連接 (具體而言,就是源自在伺服陣列外部執行之應用程式的要求) 需要使用 Windows 驗證。這項需求可確保使用者的 Windows 安全性 Token 會正確地從用戶端應用程式傳送至 Web 應用程式,然後再由 PowerPivot Web 服務使用。
[!附註]
如需有關此 Web 服務所處理之連接類型的詳細資訊,請參閱<PowerPivot Web 服務 (PowerPivot for SharePoint)>。
雖然較常見的資料存取案例 (從轉譯 PowerPivot 資料的 Excel 活頁簿中擷取資料) 不需要使用 Windows 驗證,不過請勿嘗試使用 PowerPivot for SharePoint 搭配設定為使用其他驗證提供者的 SharePoint Web 應用程式。這樣做會在使用者每次嘗試連接至 PowerPivot 活頁簿做為外部資料來源時,導致連接失敗。
如何檢查應用程式的驗證提供者
若為現有的 Web 應用程式,請使用下列指示來確認應用程式是否設定為使用 Windows 驗證。建立新的 Web 應用程式時,請務必在 [建立新 Web 應用程式] 頁面中選取 [傳統模式驗證] 選項。
在 [管理中心] 的 [應用程式管理] 中,按一下 [管理 Web 應用程式]。
選取 Web 應用程式。
按一下 [驗證提供者]。
確認每個區域都有一個提供者,而且預設區域設為 Windows。
了解網域帳戶需求
在實際執行環境中,需要使用 Windows 網域使用者或群組帳戶。這些帳戶必須是網域帳戶。在實際執行伺服器上,您無法使用本機 Windows 使用者或群組帳戶。
由於網域帳戶需求的緣故,SharePoint 伺服器必須隨時擁有網域控制站的網路連線。此需求是必要的,因為對 Windows Token Service 的宣告會使用 Windows 網域使用者的識別驗證每個要求 (它不會驗證本機帳戶)。每個連線都會進行驗證。對 Windows Service 的宣告不會使用快取認證。
請注意,從用戶端應用程式流到伺服器的要求必須位於相同的網域,或介於擁有雙向信任關聯性的網域之間。對於伺服器上的資料重新整理,單向信任還不夠。
[!附註]
如果您要在隔離的環境中,從公司網路離線測試 SharePoint 2010 的功能和行為,您可以在 Hyper-V 虛擬機器上部署 SharePoint 2010、Excel Services 與 PowerPivot for SharePoint。如需詳細資訊,請參閱 TechNet 網站上的在隔離的 Hyper-V 環境中部署單一伺服器。
使用者授權
針對特定類型的要求,會由 PowerPivot 服務執行個體確認要求活頁簿之使用者的 SharePoint 使用者識別,以檢查權限、產生正確的記錄檔資訊,並建立使用量記錄。PowerPivot 伺服器元件將會在下列情況下使用 SharePoint 使用者識別:
查詢具有 PowerPivot 資料來源之資料連接的樞紐分析表或樞紐分析圖,在其中 PowerPivot 服務應用程式會代表使用者建立連接到處理資料的特定 PowerPivot 服務執行個體。
如果沒有可用的資料,從快取或文件庫載入 PowerPivot 資料。如果對尚未載入系統中的 PowerPivot 資料要求資料連接,Analysis Services 服務 執行個體就會使用 SharePoint 使用者的 Windows 使用者識別,從內容庫擷取資料來源,並載入記憶體中。
將資料來源的更新複本儲存至內容庫中活頁簿的資料重新整理作業。在此情況下,實際登入作業是使用從 Secure Store Service 之目標應用程式擷取的使用者名稱和密碼執行。認證可以是 PowerPivot 自動資料重新整理帳戶,或以資料建立時,其重新整理排程儲存的認證。如需詳細資訊,請參閱<設定及使用 PowerPivot 資料重新整理的預存認證>。
SharePoint 權限
若要完全發揮運用 PowerPivot 活頁簿的共用及共同作業功能,活頁簿必須發行至 SharePoint 文件庫。只有在活頁簿發行至 SharePoint 伺服器之後,您才能透過伺服器陣列中的 PowerPivot 服務執行個體、協調而可擴充的連接、文件管理功能,以及對特定活頁簿之使用方式活動管理的深入了解,取得快速伺服器端處理的效益。
發行、管理及保護 PowerPivot 活頁簿安全等作業只透過 SharePoint 整合進行支援。SharePoint 伺服器提供確保合法存取資料的驗證和授權模型。在 SharePoint 伺服器陣列之外安全部署 PowerPivot 活頁簿,並沒有支援案例。
使用者只能在伺服器上以唯讀方式存取資料來源,但是能夠將檔案下載到 Excel 桌面應用程式。檔案的「參與」權限會決定使用者是否能夠在本機修改檔案。在此情況下,「參與」和「僅檢視」層級權限會定義有效的 PowerPivot 資料使用者存取權限集。其他權限層級的有效層級最高與「參與」和「僅檢視」權限相同 (例如,由於「讀取」包含「僅檢視」權限,指派「讀取」權限的使用者也會擁有與「僅檢視」相同的存取層級)。
下表摘要說明決定對 PowerPivot 資料和伺服器作業存取的權限層級:
權限層級 |
允許下列工作 |
---|---|
伺服陣列或服務管理員 |
安裝、啟用與設定服務和應用程式。 使用 PowerPivot 管理儀表板與檢視管理報表。 |
完整控制 |
啟用網站集合層級的 PowerPivot 功能整合。 啟用線上說明。 建立 PowerPivot 圖庫文件庫。 建立資料摘要庫。 |
參與 |
加入、編輯、刪除與下載 PowerPivot 活頁簿。 設定資料重新整理。 根據 SharePoint 網站上的 PowerPivot 活頁簿,建立新的活頁簿和報表。 在資料摘要庫中建立資料服務文件 |
僅檢視 |
檢視 PowerPivot 活頁簿。 檢視資料重新整理記錄。 將本機活頁簿連接至 SharePoint 網站上的 PowerPivot 活頁簿,以其他方式重新訂定其資料用途。 下載活頁簿的快照集。此快照集是資料的靜態複本,不包含交叉分析篩選器、篩選、公式或資料連接。此快照集的內容類似於從瀏覽器視窗中複製資料格值。 |
搭配 PowerPivot 活頁簿使用 Excel Services 安全性
PowerPivot 伺服器端處理與 Excel Services 緊密結合。深層整合開始於文件層級。PowerPivot 活頁簿是包含或參考 PowerPivot 資料的 Excel 活頁簿 (.xlsx) 檔案。PowerPivot 資料沒有個別的副檔名。資料會儲存在活頁簿內部,或從其他活頁簿參考。在 SharePoint 網站上開啟 PowerPivot 活頁簿時,Excel Services 會讀取內嵌的 PowerPivot 資料連接字串,並將要求轉送至本機 SQL Server 2008 R2 Analysis Services OLE DB 提供者。接著,此提供者會將連接資訊傳遞到伺服陣列中的 PowerPivot 伺服器。若要讓要求在兩部伺服器間順暢地流動,必須將 Excel Services 設定為使用 PowerPivot for SharePoint 所需的設定。
在 Excel Services 中,您可以針對信任的位置、信任的資料提供者以及信任的資料連線庫指定安全性相關的組態設定。下表將描述啟用或強化 PowerPivot 資料存取的設定。如果有設定未列在此處,對 PowerPivot 伺服器連接並沒有影響。如需有關如何逐步指定這些設定的指示,請參閱<在現有的 SharePoint Server 上安裝 PowerPivot for SharePoint>中的「啟用 Excel Services」。
[!附註]
與安全性最相關的設定會套用至信任的位置。如果您要保留預設值或在不同的網站使用不同的值,您可以針對包含 PowerPivot 資料的網站建立其他信任的位置,然後只針對該網站進行下列設定。如需詳細資訊,請參閱<建立 PowerPivot 網站的信任位置>。
區域 |
設定 |
說明 |
---|---|---|
Web 應用程式 |
Windows 驗證提供者 |
PowerPivot 會將它從 Excel Services 取得的宣告 Token 轉換為 Windows 使用者識別。將 Excel Services 當做資源使用的所有 Web 應用程式都必須設定為使用 Windows 驗證提供者。 |
信任的位置 |
位置類型 |
此值必須設為 [Microsoft SharePoint Foundation]。PowerPivot 伺服器會擷取 .xlsx 檔案的複本,並將其載入伺服陣列中的 Analysis Services 伺服器。伺服器只能從內容庫擷取 .xlsx 檔。 |
允許外部資料 |
此值必須設為 [信任的資料連線庫與內嵌連線]。PowerPivot 資料連接內嵌在活頁簿中。如果您不允許內嵌連接,使用者可以檢視 PivotTable 快取,但是他們將無法與 PowerPivot 資料進行互動。 |
|
重新整理時警告 |
如果您要使用 PowerPivot 圖庫儲存活頁簿與報表,應該停用此值。PowerPivot 圖庫包含文件預覽功能,開啟時重新整理與重新整理時警告同時關閉時效果最好。 |
|
信任的資料提供者 |
MSOLAP.4 |
預設包含 MSOLAP.4。請不要從信任的資料提供者清單中移除它。這個 OLE DB 提供者版本會處理 SharePoint 伺服陣列中 PowerPivot 資料的要求。 |
信任的資料連線庫 |
選擇性。 |
您可以使用 PowerPivot 活頁簿中的 Office 資料連線 (.odc) 檔案。如果您使用 .odc 檔案來提供本機 PowerPivot 活頁簿的連接資訊,就可以將相同的 .odc 檔案加入至這個連線庫。 |
使用者定義的函數組件 |
不適用。 |
PowerPivot 伺服器不會受到您為 Excel Services 建立部署之使用者定義函數組件的影響。 |