SharePoint 2010 ファーム内で実行される PowerPivot for SharePoint 展開では、SharePoint サーバーによって提供される認証サブシステムと承認モデルが使用されます。 すべての PowerPivot 関連コンテンツが SharePoint コンテンツ データベースに格納され、PowerPivot 関連のすべての操作がファーム内の PowerPivot 共有サービスによって実行されるため、SharePoint セキュリティ インフラストラクチャは PowerPivot のコンテンツと操作に拡張されます。 PowerPivot データを含むブックを要求するユーザーは、Windows ユーザー ID に基づく SharePoint ユーザー ID を使用して認証されます。 ワークブックのアクセス許可は、要求が許可されるか拒否されるかを決定します。
セルフサービス データ分析には Excel Services との統合が必要であるため、PowerPivot サーバーをセキュリティで保護するには、Excel Services のセキュリティも理解している必要があります。 ユーザーが PowerPivot データへのデータ接続を持つピボットテーブルに対してクエリを実行すると、Excel Services はデータ接続要求をファーム内の PowerPivot サーバーに転送してデータを読み込みます。 このサーバー間の対話では、両方のサーバーのセキュリティ設定を構成する方法を理解している必要があります。
このトピックの特定のセクションを読むには、次のリンクをクリックします。
クラシック モードのサインイン要件を使用した Windows 認証
PowerPivot データ アクセスのための SharePoint アクセス権限
Excel サービスにおける PowerPivot ブックのセキュリティに関する考慮事項
クラシック モードのサインイン要件を使用した Windows 認証
PowerPivot for SharePoint では、SharePoint で使用できる認証オプションのセットを減らすことができます。 使用可能な認証オプションのうち、PowerPivot for SharePoint 展開では Windows 認証のみがサポートされています。 さらに、サインインが行われる Web アプリケーションは、クラシック モード用に構成する必要があります。
PowerPivot for SharePoint 展開の Analysis Services データ エンジンでは Windows 認証のみがサポートされているため、Windows 認証が必要です。 Excel Services は、NTLM または Kerberos プロトコルを使用して認証された Windows ユーザー ID を使用して、MSOLAP OLE DB プロバイダー経由で Analysis Services への接続を確立します。
2 つ目の要件は、PowerPivot Web サービスの操作性を確保するために、Web アプリケーションでのクラシック モード認証です。 Web サービスは、Web フロントエンドで実行され、ファーム内の PowerPivot for SharePoint サーバーへの HTTP リダイレクトを提供するコンポーネントです。 Web サービスはサービス間通信に対する要求に対応していますが、ファーム内の PowerPivot 共有サービスにルーティングされるデータ接続要求に対する要求は認識されません。 PowerPivot データを読み込む要求は、Windows ID を使用する IIS からの認証済み接続でのみサポートされます。 Web アプリケーションでのクラシック モードのサインインによって、PowerPivot Web サービスからファーム内の PowerPivot 共有サービスへの接続が成功します。
より一般的なデータ アクセス シナリオ (PowerPivot データをレンダリングするのと同じ Excel ブックから PowerPivot データが抽出される場合) では、クラシック モードのサインインは必要ありませんが、他の認証プロバイダーを使用するように構成された SharePoint Web アプリケーションで PowerPivot for SharePoint を使用しようとはしません。 これにより、ユーザーが外部データ ソースとして PowerPivot ブックに接続しようとするたびに、接続エラーが発生します。
クラシック モードのサインインがない場合、PowerPivot Web サービスによって処理される次の種類の要求は失敗します。
ファームの外部から送信された PowerPivot データに対する要求 (たとえば、レポート デザイナーまたはレポート ビルダーでレポートを作成し、データ ソースが PowerPivot ブックの SharePoint URL である場合)
外部データ ソースとして PowerPivot ブックを使用するクライアント アプリケーションまたはレポートからのファーム内要求 (たとえば、PowerPivot データを含む 2 つ目のパブリッシュされた Excel ブックをデータ ソースとして使用して Excel デスクトップ アプリケーションでブックを作成する)
アプリケーションの認証プロバイダーを確認する方法
新しい Web アプリケーションを作成するときは、[新しい Web アプリケーションの作成] ページで クラシック モードの認証 オプションを選択してください。
既存の Web アプリケーションの場合は、次の手順に従って、Windows 認証を使用するように Web アプリケーションが構成されていることを確認します。
サーバーの全体管理の [アプリケーション管理] で、[ Web アプリケーションの管理] をクリックします。
Web アプリケーションを選択します。
[ 認証プロバイダー] をクリックします。
ゾーンごとに 1 つのプロバイダーがあり、既定のゾーンが Windows に設定されていることを確認します。
ユーザーの承認を必要とする PowerPivot 操作
SharePoint 承認は、PowerPivot クエリとデータ処理へのすべてのレベルのアクセスにのみ使用されます。
Analysis Services のロールベースの承認モデルはサポートされていません。 PowerPivot データに対するロールベースの承認は、セル、行、またはテーブル レベルでは行われません。 ブックのさまざまな部分をセキュリティで保護して、特定のユーザーに対してブック内の機密データへのアクセスを許可または拒否することはできません。 埋め込み PowerPivot データは、SharePoint ライブラリの Excel ブックに対する表示権限を持つユーザーが完全に使用できます。
PowerPivot for SharePoint は、次の場合に SharePoint ユーザーを偽装します。
PowerPivot サービス アプリケーションが、データを処理する特定の PowerPivot 共有サービス インスタンスへの接続をユーザーに代わって確立する、PowerPivot データベースへのデータ接続を持つピボットテーブルまたはピボットグラフに対するクエリ。
PowerPivot データが他に利用できない場合には、キャッシュまたはライブラリから読み込みます。 システムにまだ読み込まれていない PowerPivot データに対してデータ接続要求が行われた場合、Analysis Services サービス インスタンスは SharePoint ユーザーの ID を使用してコンテンツ ライブラリからデータ ソースを取得し、メモリに読み込みます。
データ ソースの更新されたコピーをコンテンツ ライブラリ内のワークブックに保存するデータを更新する操作。 この場合、実際のログオン操作は、Secure Store Service のターゲット アプリケーションから取得されたユーザー名とパスワードを使用して実行されます。 資格情報には、PowerPivot 無人データ更新アカウント、または作成時にデータ更新スケジュールと共に格納された資格情報を指定できます。 詳細については、「 PowerPivot データ更新用の保存された資格情報の構成 (PowerPivot for SharePoint) 」および「 PowerPivot 無人データ更新アカウント (PowerPivot for SharePoint)」を参照してください。
PowerPivot データ アクセス用の SharePoint アクセス許可
PowerPivot ブックの発行、管理、セキュリティ保護は、SharePoint 統合を通じてのみサポートされます。 SharePoint サーバーは、データへの正当なアクセスを保証する認証サブシステムと承認サブシステムを提供します。 SharePoint ファームの外部に PowerPivot ブックを安全に展開するためのサポートされているシナリオはありません。
PowerPivot データへのユーザー アクセスは、ビュー権限以上でサーバー上で読み取り専用です。 投稿権限を使用すると、ファイルを追加および編集できます。 PowerPivot データを変更するには、PowerPivot for Excel がインストールされている Excel デスクトップ アプリケーションにブックをダウンロードする必要があります。 ファイルに対する投稿アクセス許可によって、ユーザーがファイルをローカルにダウンロードし、変更を SharePoint に保存できるかどうかが決まります。
そのため、アクセス許可の [投稿] レベルと [表示のみ] レベルでは、PowerPivot データへのユーザー アクセスに対する有効なアクセス許可セットが定義されます。 他のアクセス許可レベルは、投稿と表示のみと同じアクセス許可を持つ範囲で機能します (たとえば、読み取りには表示専用アクセス許可が含まれているため、読み取りに割り当てられているユーザーは表示のみと同じレベルのアクセス権を持ちます)。
次の表は、PowerPivot データとサーバー操作へのアクセスを決定するアクセス許可レベルをまとめたものです。
| 権限レベル | これらのタスクを許可します |
|---|---|
| ファームまたはサービス管理者 | サービスとアプリケーションをインストール、有効化、構成します。 PowerPivot 管理ダッシュボードを使用し、管理レポートを表示します。 |
| フル コントロール | サイト コレクション レベルで PowerPivot 機能の統合をアクティブ化します。 PowerPivot ギャラリー ライブラリを作成します。 データ フィード ライブラリを作成します。 |
| 貢献する | PowerPivot ワークブックを追加、編集、削除して、ダウンロードします。 データ更新を構成します。 SharePoint サイト上の PowerPivot workbook に基づいて新しいブックとレポートを作成します。 データ フィード ライブラリでデータ サービス ドキュメントを作成する |
| お読みください | PowerPivot ブックに外部データ ソースとしてアクセスします。この場合、ブックの URL は接続ダイアログ ボックスに明示的に入力されます (Excel のデータ接続ウィザードなど)。 |
| 表示のみ | PowerPivot ワークブックを表示します。 データ更新履歴を表示します。 ローカル ブックを SharePoint サイト上の PowerPivot ブックに接続して、他の方法でそのデータを再利用します。 ワークブックのスナップショットをダウンロードします。 スナップショットは、スライサー、フィルター、数式、またはデータ接続を使用しないデータの静的コピーです。 スナップショットの内容は、ブラウザー ウィンドウからセル値をコピーするのと似ています。 |
PowerPivot ブックの Excel Services のセキュリティに関する考慮事項
PowerPivot サーバー側のクエリ処理は、Excel サービスと密接に結び付けられます。 PowerPivot ブックは、PowerPivot データを含むまたは参照する Excel ブック (.xlsx) ファイルであるという点で、製品の統合はドキュメント レベルで開始されます。 PowerPivot ブックに個別のファイル拡張子はありません。
PowerPivot ブックが SharePoint サイトで開かれると、Excel Services は埋め込まれた PowerPivot データ接続文字列を読み取り、ローカルの SQL Server Analysis Services OLE DB プロバイダーに要求を転送します。 プロバイダーは、ファーム内の PowerPivot サーバーに接続情報を渡します。 2 つのサーバー間で要求をシームレスにフローさせるには、PowerPivot for SharePoint で必要な設定を使用するように Excel Services を構成する必要があります。
Excel Services では、セキュリティ関連の構成設定は、信頼できる場所、信頼できるデータ プロバイダー、および信頼できるデータ接続ライブラリで指定されます。 次の表では、PowerPivot データ アクセスを有効または強化する設定について説明します。 ここに設定が一覧表示されていない場合、PowerPivot サーバー接続には影響しません。 これらの設定を段階的に指定する方法については、「 初期構成 (PowerPivot for SharePoint)」の「Excel Services を有効にする」セクションを参照してください。
注
ほとんどのセキュリティ関連の設定は、信頼できる場所に適用されます。 既定値を保持する場合や、異なるサイトに異なる値を使用する場合は、PowerPivot データを含むサイトに対して追加の信頼できる場所を作成し、そのサイトに対して次の設定を構成できます。 詳細については、「 サーバーの全体管理で PowerPivot サイトの信頼できる場所を作成する」を参照してください。
| 面積 | 設定 | 説明 |
|---|---|---|
| Web アプリケーション | Windows 認証プロバイダー | PowerPivot は、Excel Services から取得したクレーム トークンを Windows ユーザー ID に変換します。 Excel Services をリソースとして使用するすべての Web アプリケーションは、Windows 認証プロバイダーを使用するように構成する必要があります。 |
| 信頼できる場所 | 場所の種類 | この値は Microsoft SharePoint Foundation に設定する必要があります。 PowerPivot サーバーは、.xlsx ファイルのコピーを取得し、ファーム内の Analysis Services サーバーに読み込みます。 サーバーは、コンテンツ ライブラリから .xlsx ファイルのみを取得できます。 |
| 外部データを許可する | この値は 、信頼できるデータ接続ライブラリに設定し、埋め込む必要があります。 PowerPivot のデータ接続はブックに埋め込まれます。 埋め込み接続を禁止すると、ユーザーはピボットテーブル キャッシュを表示できますが、PowerPivot データを操作することはできません。 | |
| 更新時に警告する | PowerPivot ギャラリーを使用してブックとレポートを保存する場合は、この値を無効にする必要があります。 PowerPivot ギャラリーには、開いている状態で更新する場合と更新時に警告する機能の両方がオフになっている場合に最適なドキュメント プレビュー機能が含まれています。 | |
| 信頼できるデータ プロバイダー | MSOLAP.4 MSOLAP.5 |
MSOLAP.4 は既定で含まれていますが、PowerPivot データ アクセスでは、MSOLAP.4 プロバイダーが SQL Server 2008 R2 バージョンである必要があります。 MSOLAP.5 は、SQL Server 2014 バージョンの PowerPivot for SharePoint と共にインストールされます。 信頼されたデータ プロバイダーの一覧からこれらのプロバイダーを削除しないでください。 場合によっては、このプロバイダーの追加のコピーをファーム内の他の SharePoint サーバーにインストールする必要があります。 詳細については、「 SharePoint サーバーへの Analysis Services OLE DB プロバイダーのインストール」を参照してください。 |
| 信頼できるデータ接続ライブラリ | 任意。 | PowerPivot ブックでは、Office データ接続 (.odc) ファイルを使用できます。 .odc ファイルを使用してローカル PowerPivot ブックに接続情報を提供する場合は、同じ .odc ファイルをこのライブラリに追加できます。 |
| ユーザー定義関数アセンブリ | 適用されません。 | PowerPivot for SharePoint では、Excel Services 用に配置するユーザー定義関数アセンブリは無視されます。 特定の動作にユーザー定義アセンブリを使用する場合は、PowerPivot クエリ処理で作成したユーザー定義関数が使用されないことに注意してください。 |
こちらもご覧ください
PowerPivot サービス アカウントの構成
PowerPivot 無人データ更新アカウントの構成 (PowerPivot for SharePoint)
サーバーの全体管理で PowerPivot サイトの信頼できる場所を作成する
PowerPivot セキュリティ アーキテクチャ