Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine PowerPivot für SharePoint-Bereitstellung, die in einer SharePoint 2010-Farm ausgeführt wird, verwendet das Authentifizierungssubsystem und das Autorisierungsmodell, das von SharePoint-Servern bereitgestellt wird. Die SharePoint-Sicherheitsinfrastruktur erstreckt sich auf PowerPivot-Inhalte und -Vorgänge, da alle powerPivot-bezogenen Inhalte in SharePoint-Inhaltsdatenbanken gespeichert sind und alle PowerPivot-bezogenen Vorgänge von PowerPivot gemeinsam genutzten Diensten in der Farm ausgeführt werden. Benutzer, die eine Arbeitsmappe anfordern, die PowerPivot-Daten enthält, werden mithilfe einer SharePoint-Benutzeridentität authentifiziert, die auf ihrer Windows-Benutzeridentität basiert. Die Ansicht der Berechtigungen in der Arbeitsmappe bestimmt, ob die Anforderung gewährt oder verweigert wird.
Da die Integration in Excel Services für Self-Service-Datenanalysen erforderlich ist, erfordert die Sicherung eines PowerPivot-Servers, dass Sie auch die Sicherheit von Excel Services verstehen. Wenn ein Benutzer eine PivotTable abfragt, die über eine Datenverbindung mit PowerPivot-Daten verfügt, leitet Excel Services eine Datenverbindungsanforderung an einen PowerPivot-Server in der Farm weiter, um die Daten zu laden. Diese Interaktion zwischen den Servern erfordert, dass Sie verstehen, wie Sicherheitseinstellungen für beide Server konfiguriert werden.
Klicken Sie auf die folgenden Links, um bestimmte Abschnitte in diesem Thema zu lesen:
Windows-Authentifizierung mit Anmeldeanforderung für den klassischen Modus
PowerPivot-Vorgänge, die eine Benutzerautorisierung erfordern
SharePoint-Berechtigungen für PowerPivot-Datenzugriff
Überlegungen zur Excel Services-Sicherheit für PowerPivot-Arbeitsmappen
Windows-Authentifizierung mit Anmeldeanforderung für den klassischen Modus
PowerPivot für SharePoint unterstützt einen reduzierten Satz von Authentifizierungsoptionen, die in SharePoint verfügbar sind. Von den verfügbaren Authentifizierungsoptionen wird nur die Windows-Authentifizierung für eine PowerPivot für SharePoint-Bereitstellung unterstützt. Darüber hinaus muss die Webanwendung, über die die Anmeldung erfolgt, für den klassischen Modus konfiguriert werden.
Windows-Authentifizierung ist erforderlich, da das Analysis Services-Datenmodul in einer PowerPivot für SharePoint-Bereitstellung nur die Windows-Authentifizierung unterstützt. Excel Services stellt Verbindungen mit Analysis Services über den MSOLAP OLE DB-Anbieter mithilfe einer Windows-Benutzeridentität her, die über NTLM oder das Kerberos-Protokoll authentifiziert wurde.
Die zweite Anforderung, die klassische Modusauthentifizierung in der Webanwendung, ist erforderlich, um die Funktionsfähigkeit des PowerPivot-Webdiensts sicherzustellen. Der Webdienst ist eine Komponente, die auf einem Web-Front-End ausgeführt wird und eine HTTP-Umleitung zu einem PowerPivot für SharePoint-Server in der Farm bereitstellt. Während der Webdienst über Ansprüche für die Kommunikation von Dienst zu Dienst informiert ist, ist er nicht in der Lage, diese Ansprüche für Datenverbindungsanforderungen zu erkennen, die er an einen freigegebenen PowerPivot-Dienst im Farmnetzwerk weiterleitet. Anforderungen zum Laden von PowerPivot-Daten werden nur für authentifizierte Verbindungen unterstützt, die von IIS mithilfe einer Windows-Identität stammen. Die Anmeldung im klassischen Modus in der Webanwendung ermöglicht eine erfolgreiche Verbindung vom PowerPivot-Webdienst zu gemeinsam genutzten PowerPivot-Diensten in der Farm.
Obwohl die Anmeldung im klassischen Modus für das häufigere Datenzugriffsszenario nicht erforderlich ist (in dem PowerPivot-Daten aus derselben Excel-Arbeitsmappe extrahiert werden, die sie rendert), versuchen Sie nicht, PowerPivot für SharePoint mit SharePoint-Webanwendungen zu verwenden, die für die Verwendung anderer Authentifizierungsanbieter konfiguriert sind. Dies führt zu einem Verbindungsfehler, wenn Benutzer versuchen, eine Verbindung mit PowerPivot-Arbeitsmappen als externe Datenquelle herzustellen.
Ohne anmeldung im klassischen Modus schlagen die folgenden Arten von Anforderungen fehl, die vom PowerPivot-Webdienst behandelt werden:
Jede Anforderung für PowerPivot-Daten, die von außerhalb der Farm stammen (z. B. Erstellen eines Berichts im Berichts-Designer oder Berichts-Generator, wobei die Datenquelle eine SharePoint-URL zu einer PowerPivot-Arbeitsmappe ist)
In-Farm-Anforderungen von einer Clientanwendung oder einem Bericht, die die PowerPivot-Arbeitsmappe als externe Datenquelle verwendet (z. B. Erstellen einer Arbeitsmappe in der Excel-Desktopanwendung, die als Datenquelle eine zweite veröffentlichte Excel-Arbeitsmappe mit PowerPivot-Daten verwendet)
So überprüfen Sie den Authentifizierungsanbieter für Ihre Anwendung
Achten Sie beim Erstellen neuer Webanwendungen darauf, die Authentifizierungsoption für den klassischen Modus auf der Seite "Neue Webanwendung erstellen" auszuwählen.
Verwenden Sie für vorhandene Webanwendungen die folgenden Anweisungen, um zu überprüfen, ob die Webanwendung für die Verwendung der Windows-Authentifizierung konfiguriert ist.
Klicken Sie in der Zentraladministration in "Anwendungsverwaltung" auf "Webanwendungen verwalten".
Wählen Sie die Webanwendung aus.
Klicken Sie auf Authentifizierungsanbieter.
Vergewissern Sie sich, dass Sie über einen Anbieter für jede Zone verfügen und die Standardzone auf Windows festgelegt ist.
PowerPivot-Vorgänge, die eine Benutzerautorisierung erfordern
Die SharePoint-Autorisierung wird ausschließlich für alle Zugriffsebenen auf PowerPivot-Abfrage und -Datenverarbeitung verwendet.
Das rollenbasierte Autorisierungsmodell von Analysis Services wird nicht unterstützt. Es gibt keine rollenbasierte Autorisierung für PowerPivot-Daten auf Zellen-, Zeilen- oder Tabellenebene. Sie können unterschiedliche Teile der Arbeitsmappe nicht schützen, um für bestimmte Benutzer Zugriff auf vertrauliche Daten zu gewähren oder zu verweigern. Eingebettete PowerPivot-Daten sind vollständig für Benutzer verfügbar, die über Anzeigeberechtigungen für die Excel-Arbeitsmappe in einer SharePoint-Bibliothek verfügen.
PowerPivot für SharePoint wird in den folgenden Fällen einen SharePoint-Benutzer nachahmen:
Abfragen an PivotTables oder PivotCharts, die Datenverbindungen mit einer PowerPivot-Datenbank haben, wobei eine PowerPivot-Dienstanwendung Verbindungen im Namen eines Benutzers mit einer bestimmten Freigegebenen PowerPivot-Dienstinstanz herstellt, die die Daten verarbeitet.
Laden von PowerPivot-Daten aus dem Cache oder einer Bibliothek, wenn die Daten andernfalls nicht verfügbar sind. Wenn eine Datenverbindungsanforderung für PowerPivot-Daten erfolgt, die noch nicht im System geladen sind, verwendet die Analysis Services-Dienstinstanz die Identität des SharePoint-Benutzers, um die Datenquelle aus einer Inhaltsbibliothek abzurufen und in den Arbeitsspeicher zu laden.
Datenaktualisierungsvorgänge, die eine aktualisierte Kopie der Datenquelle in der Arbeitsmappe in einer Inhaltsbibliothek speichern. In diesem Fall wird mithilfe des Benutzernamens und des Kennworts, der aus einer Zielanwendung in Secure Store Service abgerufen wird, ein tatsächlicher Anmeldevorgang ausgeführt. Anmeldeinformationen können die Anmeldeinformationen für das unbeaufsichtigte Datenaktualisierungskonto von PowerPivot oder Anmeldeinformationen sein, die beim Erstellen des Datenaktualisierungszeitplans gespeichert wurden. Weitere Informationen finden Sie unter Gespeicherte Anmeldeinformationen für die PowerPivot-Datenaktualisierung konfigurieren (PowerPivot für SharePoint) und Das unverfügbare Datenaktualisierungskonto von PowerPivot konfigurieren (PowerPivot für SharePoint).
SharePoint-Berechtigungen für PowerPivot-Datenzugriff
Das Veröffentlichen, Verwalten und Sichern einer PowerPivot-Arbeitsmappe wird ausschließlich über die SharePoint-Integration unterstützt. SharePoint-Server stellen Authentifizierungs- und Autorisierungssubsysteme bereit, die einen legitimen Zugriff auf Daten gewährleisten. Es gibt keine unterstützten Szenarien für die sichere Bereitstellung einer PowerPivot-Arbeitsmappe außerhalb einer SharePoint-Farm.
Der Benutzerzugriff auf PowerPivot-Daten ist über Ansichtsberechtigungen oder höher auf dem Server schreibgeschützt. Berechtigungen zum Mitwirken ermöglichen das Hinzufügen und Bearbeiten der Datei. Änderungen an PowerPivot-Daten erfordern, dass Sie die Arbeitsmappe in eine Excel-Desktopanwendung herunterladen, die PowerPivot für Excel installiert hat. Die Berechtigungen zum Mitwirken für die Datei bestimmen, ob der Benutzer die Datei lokal herunterladen und dann Änderungen wieder in SharePoint speichern kann.
Die Berechtigungsstufen "Mitwirken" und "Nur anzeigen" definieren die effektiven Berechtigungssätze für den Benutzerzugriff auf PowerPivot-Daten. Andere Berechtigungsstufen wirken in dem Maße, dass sie dieselben Berechtigungen haben wie die Stufen "Mitwirken" und "Nur Ansichtsrechte" (z. B. weil "Lesen" Berechtigungen der Stufe "Nur Ansichtsrechte" beinhaltet, wird ein Benutzer mit Leseberechtigungen dieselbe Zugriffsebene wie "Nur Ansichtsrechte" haben).
In der folgenden Tabelle sind die Berechtigungsstufen zusammengefasst, die den Zugriff auf PowerPivot-Daten und Servervorgänge bestimmen:
| Berechtigungsstufe | Ermöglicht diese Aufgaben |
|---|---|
| Farm- oder Dienstadministrator | Installieren, Aktivieren und Konfigurieren von Diensten und Anwendungen Verwenden Sie das PowerPivot-Verwaltungsdashboard, und zeigen Sie administrative Berichte an. |
| Volle Kontrolle | Aktivieren der PowerPivot-Featureintegration auf der Ebene der Websitesammlung. Erstellen Sie eine PowerPivot-Katalogbibliothek. Erstellen Sie eine Datenfeedbibliothek. |
| Mitwirken | Hinzufügen, Bearbeiten, Löschen und Herunterladen von PowerPivot-Arbeitsmappen Konfigurieren sie die Datenaktualisierung. Erstellen Sie neue Arbeitsmappen und Berichte, die auf PowerPivot-Arbeitsmappen auf einer SharePoint-Website basieren. Erstellen von Datendienstdokumenten in einer Datenfeedbibliothek |
| Lesen Sie | Greifen Sie auf PowerPivot-Arbeitsmappen als externe Datenquelle zu, in der die Arbeitsmappen-URL explizit in ein Verbindungsdialogfeld eingegeben wird (z. B. im Excel-Datenverbindungs-Assistenten). |
| Nur Anzeigen | PowerPivot-Arbeitsmappen anzeigen. Datenaktualisierungsverlauf anzeigen. Verbinden Sie eine lokale Arbeitsmappe mit einer PowerPivot-Arbeitsmappe auf einer SharePoint-Website, um ihre Daten auf andere Weise neu zu verwenden. Laden Sie eine Momentaufnahme der Arbeitsmappe herunter. Die Momentaufnahme ist eine statische Kopie der Daten, ohne Datenschnitte, Filter, Formeln oder Datenverbindungen. Der Inhalt der Momentaufnahme ähnelt dem Kopieren von Zellwerten aus dem Browserfenster. |
Überlegungen zur Excel Services-Sicherheit für PowerPivot-Arbeitsmappen
Die serverseitige PowerPivot-Abfrageverarbeitung ist eng mit Excel-Diensten verbunden. Die Produktintegration beginnt auf Dokumentebene, da Es sich bei PowerPivot-Arbeitsmappen um Excel-Arbeitsmappendateien (.xlsx) handelt, die entweder PowerPivot-Daten enthalten oder referenzieren. Es gibt keine separate Dateierweiterung für eine PowerPivot-Arbeitsmappe.
Wenn eine PowerPivot-Arbeitsmappe auf einer SharePoint-Website geöffnet wird, liest Excel Services die eingebettete PowerPivot-Datenverbindungszeichenfolge und leitet die Anforderung an den lokalen OLE DB-Anbieter von SQL Server Analysis Services weiter. Der Anbieter übergibt dann die Verbindungsinformationen an einen PowerPivot-Server in der Farm. Damit Anforderungen nahtlos zwischen den beiden Servern fließen können, muss Excel Services für die Verwendung von Einstellungen konfiguriert werden, die von PowerPivot für SharePoint benötigt werden.
In Excel Services werden sicherheitsbezogene Konfigurationseinstellungen für vertrauenswürdige Speicherorte, vertrauenswürdige Datenanbieter und vertrauenswürdige Datenverbindungsbibliotheken angegeben. In der folgenden Tabelle werden die Einstellungen beschrieben, die den PowerPivot-Datenzugriff aktivieren oder verbessern. Wenn eine Einstellung hier nicht aufgeführt ist, hat sie keine Auswirkung auf PowerPivot-Serververbindungen. Anweisungen zum Angeben dieser Einstellungen schrittweise finden Sie im Abschnitt "Aktivieren von Excel Services" in der Erstkonfiguration (PowerPivot für SharePoint).
Hinweis
Die meisten sicherheitsbezogenen Einstellungen gelten für vertrauenswürdige Speicherorte. Wenn Sie Standardwerte beibehalten oder unterschiedliche Werte für verschiedene Websites verwenden möchten, können Sie einen zusätzlichen vertrauenswürdigen Speicherort für Websites erstellen, die PowerPivot-Daten enthalten, und dann die folgenden Einstellungen nur für diese Website konfigurieren. Weitere Informationen finden Sie unter Create a trusted location for PowerPivot sites in Central Administration.
| Fläche | Konfiguration | BESCHREIBUNG |
|---|---|---|
| Webanwendung | Windows-Authentifizierungsanbieter | PowerPivot konvertiert ein von Excel Services abgerufenes Claimstoken in eine Windows-Benutzeridentität. Jede Webanwendung, die Excel Services als Ressource verwendet, muss für die Verwendung des Windows-Authentifizierungsanbieters konfiguriert werden. |
| Vertrauenswürdiger Speicherort | Ortstyp | Dieser Wert muss auf Microsoft SharePoint Foundation festgelegt werden. PowerPivot-Server rufen eine Kopie der .xlsx Datei ab und laden sie auf einem Analysis Services-Server in der Farm. Der Server kann nur .xlsx Dateien aus einer Inhaltsbibliothek abrufen. |
| Externe Daten zulassen | Dieser Wert muss auf vertrauenswürdige Datenverbindungsbibliotheken und Einbettung festgelegt werden. PowerPivot-Datenverbindungen sind in die Arbeitsmappe eingebettet. Wenn Sie eingebettete Verbindungen nicht zulassen, können Benutzer den PivotTable-Cache anzeigen, aber sie können nicht mit den PowerPivot-Daten interagieren. | |
| Warnung bei Aktualisierung | Dieser Wert sollte deaktiviert werden, wenn Sie den PowerPivot-Katalog zum Speichern von Arbeitsmappen und Berichten verwenden. Der PowerPivot-Katalog enthält ein Feature für die Dokumentvorschau, das am besten funktioniert, wenn sowohl die Aktualisierung beim Öffnen als auch "Beim Aktualisieren warnen" deaktiviert sind. | |
| Vertrauenswürdige Datenanbieter | MSOLAP.4 MSOLAP.5 |
MSOLAP.4 ist standardmäßig enthalten, aber der PowerPivot-Datenzugriff erfordert, dass der MSOLAP.4-Anbieter die SQL Server 2008 R2-Version ist. MSOLAP.5 wird mit der SQL Server 2014-Version von PowerPivot für SharePoint installiert. Entfernen Sie diese Anbieter nicht aus der Liste der vertrauenswürdigen Datenanbieter. In einigen Fällen müssen Sie möglicherweise zusätzliche Kopien dieses Anbieters auf anderen SharePoint-Servern in Ihrer Farm installieren. Weitere Informationen finden Sie unter Installieren des OLE DB-Anbieters analysis Services auf SharePoint-Servern. |
| Vertrauenswürdige Datenverbindungsbibliotheken | Wahlfrei. | Sie können Office-Datenverbindungsdateien (.odc) in PowerPivot-Arbeitsmappen verwenden. Wenn Sie ODC-Dateien verwenden, um Verbindungsinformationen für lokale PowerPivot-Arbeitsmappen bereitzustellen, können Sie dieser Bibliothek dieselben ODC-Dateien hinzufügen. |
| Benutzerdefinierte Funktionsassembly | Nicht zutreffend. | PowerPivot für SharePoint ignoriert benutzerdefinierte Funktionsassemblys, die Sie für Excel Services entwickeln und bereitstellen. Wenn Sie sich auf benutzerdefinierte Assemblys für ein bestimmtes Verhalten verlassen, beachten Sie, dass die PowerPivot-Abfrageverarbeitung nicht die von Ihnen erstellten benutzerdefinierten Funktionen verwendet. |
Siehe auch
Konfigurieren von PowerPivot-Dienstkonten
Konfigurieren des unbeaufsichtigten PowerPivot-Datenaktualisierungskontos (PowerPivot für SharePoint)
Erstellen eines vertrauenswürdigen Speicherorts für PowerPivot-Websites in der Zentraladministration
PowerPivot-Sicherheitsarchitektur