Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un déploiement PowerPivot pour SharePoint qui s’exécute dans une batterie de serveurs SharePoint 2010 utilise le sous-système d’authentification et le modèle d’autorisation fourni par les serveurs SharePoint. L’infrastructure de sécurité SharePoint s’étend au contenu et aux opérations PowerPivot, car tout le contenu lié à PowerPivot est stocké dans les bases de données de contenu SharePoint et toutes les opérations liées à PowerPivot sont effectuées par les services partagés PowerPivot dans la batterie de serveurs. Les utilisateurs qui demandent un classeur qui contient des données PowerPivot sont authentifiés à l’aide d’une identité d’utilisateur SharePoint basée sur leur identité d’utilisateur Windows. Les autorisations d'affichage sur le classeur déterminent si la demande est accordée ou refusée.
Étant donné que l’intégration à Excel Services est requise pour l’analytique des données en libre-service, la sécurisation d’un serveur PowerPivot nécessite également de comprendre la sécurité d’Excel Services. Lorsqu’un utilisateur interroge un tableau croisé dynamique disposant d’une connexion de données aux données PowerPivot, Excel Services transfère une demande de connexion de données à un serveur PowerPivot dans la batterie de serveurs pour charger les données. Cette interaction entre les serveurs nécessite que vous compreniez comment configurer les paramètres de sécurité pour les deux serveurs.
Cliquez sur les liens suivants pour lire des sections spécifiques dans cette rubrique :
Authentification Windows à l’aide de l’exigence de connexion en mode classique
Opérations PowerPivot nécessitant une autorisation utilisateur
Autorisations SharePoint pour l’accès aux données PowerPivot
Considérations relatives à la sécurité Excel Services pour les classeurs PowerPivot
Authentification Windows à l’aide de l’exigence de connexion en mode classique
PowerPivot pour SharePoint prend en charge un ensemble réduit d’options d’authentification disponibles dans SharePoint. Parmi les options d’authentification disponibles, seule l’authentification Windows est prise en charge pour un déploiement PowerPivot pour SharePoint. En outre, l’application web par le biais de laquelle se produit la connexion doit être configurée pour le mode classique.
L’authentification Windows est requise, car le moteur de données Analysis Services dans un déploiement PowerPivot pour SharePoint prend uniquement en charge l’authentification Windows. Excel Services établit des connexions à Analysis Services via le fournisseur OLE DB MSOLAP à l’aide d’une identité utilisateur Windows authentifiée via NTLM ou le protocole Kerberos.
La deuxième exigence, l’authentification en mode classique sur l’application web, est nécessaire pour garantir l’opéraabilité du service web PowerPivot. Le service web est un composant qui s’exécute sur une interface utilisateur Web et fournit une redirection HTTP vers un serveur PowerPivot pour SharePoint dans l’ensemble de serveurs. Bien que le service web prenne en charge les revendications pour les communications de service à service, il n’est pas informé des demandes de connexion de données qu’il achemine vers un service partagé PowerPivot dans la batterie de serveurs. Les demandes de chargement des données PowerPivot ne sont prises en charge que pour les connexions authentifiées provenant d’IIS à l’aide d’une identité Windows. La connexion en mode classique sur l’application Web permet d'établir une connexion réussie entre le service Web PowerPivot et les services partagés PowerPivot dans la batterie de serveurs.
Bien que la connexion en mode classique ne soit pas nécessaire pour le scénario d’accès aux données plus courant (où les données PowerPivot sont extraites du même classeur Excel qui l’affiche) ne tentent pas d’utiliser PowerPivot pour SharePoint avec des applications web SharePoint configurées pour utiliser d’autres fournisseurs d’authentification. Cela entraîne un échec de connexion chaque fois que les utilisateurs essaient de se connecter à des classeurs PowerPivot en tant que source de données externe.
Sans connexion en mode classique, les types de requêtes gérés par le service web PowerPivot échouent :
Toute demande de données PowerPivot provenant de l’extérieur de la ferme de serveurs (par exemple, la création d’un rapport dans le Concepteur de rapports ou le Générateur de rapports, où la source de données est une URL SharePoint vers un classeur PowerPivot)
Demandes internes à partir d’une application cliente ou d’un rapport qui utilise le classeur PowerPivot comme source de données externe (par exemple, créer un classeur dans l’application Excel sur votre bureau, en utilisant comme source de données un deuxième classeur Excel publié contenant des données PowerPivot)
Comment vérifier le fournisseur d’authentification pour votre application
Lorsque vous créez de nouvelles applications web, veillez à sélectionner l’option d’authentification en mode classique dans la page Créer une application web.
Pour les applications web existantes, utilisez les instructions suivantes pour vérifier que l’application web est configurée pour utiliser l’authentification Windows.
Dans Administration centrale, dans Gestion des applications, cliquez sur Gérer les applications web.
Sélectionnez l’application web.
Cliquez sur Fournisseurs d’authentification.
Vérifiez que vous disposez d’un fournisseur pour chaque zone et que la zone par défaut est définie sur Windows.
Opérations PowerPivot nécessitant une autorisation utilisateur
L’autorisation SharePoint est utilisée exclusivement pour tous les niveaux d’accès aux requêtes et au traitement des données PowerPivot.
Le modèle d’autorisation en fonction du rôle Analysis Services n’est pas pris en charge. Il n’existe aucune autorisation basée sur les rôles pour les données PowerPivot au niveau de la cellule, de la ligne ou de la table. Vous ne pouvez pas sécuriser différentes parties du classeur pour accorder ou refuser l’accès aux données sensibles qu’il contient pour des utilisateurs spécifiques. Les données PowerPivot incorporées sont entièrement disponibles pour les utilisateurs disposant d’autorisations d’affichage sur le classeur Excel dans une bibliothèque SharePoint.
PowerPivot pour SharePoint emprunte l’identité d’un utilisateur SharePoint dans les cas suivants :
Requêtes sur des tableaux croisés dynamiques ou des graphiques croisés dynamiques qui ont des connexions de données à une base de données PowerPivot, où une application de service PowerPivot établit des connexions pour le compte d’un utilisateur à une instance de service partagé PowerPivot spécifique qui traite les données.
Chargement des données PowerPivot à partir du cache ou d’une bibliothèque si les données PowerPivot ne sont pas autrement disponibles. Si une demande de connexion de données est effectuée pour les données PowerPivot qui ne sont pas déjà chargées dans le système, l’instance du service Analysis Services utilise l’identité de l’utilisateur SharePoint pour récupérer la source de données d’une bibliothèque de contenu et la charger en mémoire.
Opérations d’actualisation des données qui enregistrent une copie mise à jour de la source de données dans le classeur dans une bibliothèque de contenu. Dans ce cas, une opération de connexion réelle est effectuée à l’aide du nom d’utilisateur et du mot de passe récupérés à partir d’une application cible dans le Service de magasin sécurisé. Les informations d’identification peuvent être le compte de rafraîchissement des données sans surveillance PowerPivot, ou les informations d’identification qui ont été conservées avec le calendrier de mise à jour des données lors de sa création. Pour plus d’informations, consultez Configurer les informations d’identification stockées pour l’actualisation des données PowerPivot (PowerPivot pour SharePoint) et configurer le compte d’actualisation des données sans assistance PowerPivot (PowerPivot pour SharePoint).
Autorisations SharePoint pour l’accès aux données PowerPivot
La publication, la gestion et la sécurisation d’un classeur PowerPivot sont prises en charge uniquement par le biais de l’intégration SharePoint. Les serveurs SharePoint fournissent des sous-systèmes d’authentification et d’autorisation qui garantissent un accès légitime aux données. Il n’existe aucun scénario pris en charge pour le déploiement sécurisé d’un classeur PowerPivot en dehors d’une batterie de serveurs SharePoint.
L’accès utilisateur aux données PowerPivot est en lecture seule sur le serveur avec des autorisations d'affichage ou plus. Les autorisations de contribution permettent d’ajouter et de modifier le fichier. Les modifications apportées aux données PowerPivot nécessitent que vous téléchargez le classeur sur une application de bureau Excel sur laquelle PowerPivot pour Excel est installé. Les autorisations de contribution sur le fichier déterminent si l’utilisateur peut télécharger le fichier localement, puis enregistrer les modifications dans SharePoint.
Par conséquent, Les niveaux d’autorisation Contribuer et Afficher uniquement définissent l’ensemble effectif d’autorisations pour l’accès utilisateur aux données PowerPivot. D’autres niveaux d’autorisation fonctionnent dans la mesure où ils disposent des mêmes autorisations que Contribution et Affichage uniquement (par exemple, étant donné que Read inclut les autorisations d’affichage uniquement, un utilisateur affecté à Lecture aura le même niveau d’accès que l’affichage uniquement).
Le tableau suivant récapitule les niveaux d’autorisation qui déterminent l’accès aux opérations de serveur et de données PowerPivot :
| Niveau d’autorisation | Autorise ces tâches |
|---|---|
| Administrateur de fermes de serveurs ou de services | Installez, activez et configurez des services et des applications. Utilisez le tableau de bord de gestion PowerPivot et affichez des rapports d’administration. |
| Contrôle total | Activez l’intégration des fonctionnalités PowerPivot au niveau de la collection de sites. Créez une bibliothèque powerPivot Gallery. Créez une bibliothèque de flux de données. |
| Contribuer | Ajoutez, modifiez, supprimez et téléchargez des classeurs PowerPivot. Configurez l’actualisation des données. Créez des classeurs et des rapports basés sur des classeurs PowerPivot sur un site SharePoint. Créer des documents de service de données dans une bibliothèque de flux de données |
| Lire | Accédez aux classeurs PowerPivot en tant que source de données externe, où l’URL du classeur est explicitement entrée dans une boîte de dialogue de connexion (par exemple, dans l’Assistant Connexion de données d’Excel). |
| Afficher uniquement | Affichez les classeurs PowerPivot. Afficher l’historique d’actualisation des données. Connectez un classeur local à un classeur PowerPivot sur un site SharePoint pour réaffecter ses données de différentes façons. Téléchargez une capture du classeur. L’instantané est une copie statique des données, sans segments, filtres, formules ou connexions de données. Le contenu de l’instantané est similaire à copier des valeurs de cellules depuis la fenêtre du navigateur. |
Considérations de sécurité pour les classeurs PowerPivot dans Excel Services
Le traitement des requêtes côté serveur PowerPivot est étroitement couplé aux services Excel. L’intégration du produit commence au niveau du document, dans ce que les classeurs PowerPivot sont des fichiers de classeur Excel (.xlsx) qui contiennent ou référencent des données PowerPivot. Il n’existe aucune extension de fichier distincte pour un classeur PowerPivot.
Lorsqu’un classeur PowerPivot est ouvert sur un site SharePoint, Excel Services lit la chaîne de connexion de données PowerPivot incorporée et transfère la requête au fournisseur OLE DB SQL Server Analysis Services local. Le fournisseur transmet ensuite les informations de connexion à un serveur PowerPivot dans la batterie de serveurs. Pour que les demandes soient transmises en toute transparence entre les deux serveurs, Excel Services doit être configuré pour utiliser les paramètres requis par PowerPivot pour SharePoint.
Dans Excel Services, les paramètres de configuration liés à la sécurité sont spécifiés sur les emplacements approuvés, les fournisseurs de données approuvés et les bibliothèques de connexions de données approuvées. Le tableau suivant décrit les paramètres qui activent ou améliorent l’accès aux données PowerPivot. Si un paramètre n’est pas répertorié ici, il n’a aucun effet sur les connexions de serveur PowerPivot. Pour obtenir des instructions sur la façon de spécifier ces paramètres pas à pas, consultez la section « Activer Excel Services » dans la configuration initiale (PowerPivot pour SharePoint) .
Remarque
La plupart des paramètres liés à la sécurité s’appliquent aux emplacements approuvés. Si vous souhaitez conserver les valeurs par défaut ou utiliser des valeurs différentes pour différents sites, vous pouvez créer un emplacement approuvé supplémentaire pour les sites qui contiennent des données PowerPivot, puis configurer les paramètres suivants pour ce site uniquement. Pour plus d’informations, consultez Créer un emplacement approuvé pour les sites PowerPivot dans l’Administration centrale.
| Domaine | Réglage | Descriptif |
|---|---|---|
| Application web | Fournisseur d’authentification Windows | PowerPivot convertit un jeton de revendications qu’il obtient d’Excel Services en identité d’utilisateur Windows. Toute application web qui utilise Excel Services comme ressource doit être configurée pour utiliser le fournisseur d’authentification Windows. |
| Emplacement approuvé | Type d’emplacement | Cette valeur doit être définie sur Microsoft SharePoint Foundation. Les serveurs PowerPivot récupèrent une copie du fichier .xlsx et le chargent sur un serveur Analysis Services dans la batterie de serveurs. Le serveur ne peut récupérer .xlsx fichiers qu’à partir d’une bibliothèque de contenu. |
| Autoriser les données externes | Cette valeur doit être définie sur les bibliothèques de connexions de données approuvées et incorporées. Les connexions de données PowerPivot sont incorporées dans le classeur. Si vous interditz les connexions incorporées, les utilisateurs peuvent afficher le cache de tableau croisé dynamique, mais ils ne pourront pas interagir avec les données PowerPivot. | |
| Avertir lors de l’actualisation | Cette valeur doit être désactivée si vous utilisez powerPivot Gallery pour stocker des classeurs et des rapports. PowerPivot Gallery inclut une fonctionnalité d’aperçu de document qui fonctionne le mieux si à la fois l'actualisation à l'ouverture et l'avertissement à l’actualisation sont désactivés. | |
| Fournisseurs de données approuvés | MSOLAP.4 MSOLAP.5 |
MSOLAP.4 est inclus par défaut, mais l’accès aux données PowerPivot nécessite que le fournisseur MSOLAP.4 soit la version de SQL Server 2008 R2. MSOLAP.5 est installé avec la version SQL Server 2014 de PowerPivot pour SharePoint. Ne supprimez pas ces fournisseurs de la liste des fournisseurs de données approuvés. Dans certains cas, vous devrez peut-être installer des copies supplémentaires de ce fournisseur sur d’autres serveurs SharePoint de votre batterie de serveurs. Pour plus d’informations, consultez Installer le fournisseur OLE DB Analysis Services sur les serveurs SharePoint. |
| Bibliothèques de connexions de données approuvées | Optionnel. | Vous pouvez utiliser des fichiers Office Data Connection (.odc) dans les classeurs PowerPivot. Si vous utilisez des fichiers .odc pour fournir des informations de connexion aux classeurs PowerPivot locaux, vous pouvez ajouter les mêmes fichiers .odc à cette bibliothèque. |
| Assemblage de fonctions définies par l'utilisateur | Non applicable. | PowerPivot pour SharePoint ignore les assemblies de fonctions définies par l'utilisateur que vous déployez pour Excel Services. Si vous vous appuyez sur des assemblys définis par l’utilisateur pour un comportement spécifique, sachez que le traitement des requêtes PowerPivot n’utilise pas les fonctions définies par l’utilisateur que vous avez créées. |
Voir aussi
Configurer des comptes de service PowerPivot
Configurer le compte PowerPivot pour l'actualisation des données sans intervention (PowerPivot pour SharePoint)
Créer un emplacement approuvé pour les sites PowerPivot dans l’Administration centrale
Architecture de sécurité PowerPivot