Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma implantação do PowerPivot para SharePoint executada em um farm do SharePoint 2010 usa o subsistema de autenticação e o modelo de autorização fornecidos pelos servidores do SharePoint. A infraestrutura de segurança do SharePoint se estende ao conteúdo e às operações do PowerPivot porque todo o conteúdo relacionado ao PowerPivot é armazenado em bancos de dados de conteúdo do SharePoint e todas as operações relacionadas ao PowerPivot são executadas pelos serviços compartilhados do PowerPivot no farm. Os usuários que solicitam uma pasta de trabalho que contém dados PowerPivot são autenticados usando uma identidade de usuário do SharePoint baseada em sua identidade de usuário do Windows. As permissões de exibição na pasta de trabalho determinam se a solicitação é concedida ou negada.
Como a integração com os Serviços do Excel é necessária para análise de dados de autoatendimento, proteger um servidor PowerPivot requer que você também entenda a segurança dos Serviços do Excel. Quando um usuário consulta uma Tabela Dinâmica que tem uma conexão de dados com dados do PowerPivot, os Serviços do Excel encaminham uma solicitação de conexão de dados para um servidor PowerPivot no farm para que os dados sejam carregados. Essa interação entre os servidores requer que você entenda como definir as configurações de segurança para ambos os servidores.
Clique nos links a seguir para ler seções específicas neste tópico:
Autenticação do Windows usando o requisito de entrada do modo clássico
Operações PowerPivot que exigem autorização do usuário
Permissões do SharePoint para acesso a dados PowerPivot
Considerações de segurança dos Serviços do Excel para pastas de trabalho PowerPivot
Autenticação do Windows usando o requisito de entrada do modo clássico
O PowerPivot para SharePoint dá suporte a um conjunto reduzido de opções de autenticação que estão disponíveis no SharePoint. Das opções de autenticação disponíveis, somente a autenticação do Windows tem suporte para uma implantação do PowerPivot para SharePoint. Além disso, o aplicativo Web por meio do qual ocorre a entrada deve ser configurado para o modo clássico.
A autenticação do Windows é necessária porque o mecanismo de dados do Analysis Services em uma implantação do PowerPivot para SharePoint dá suporte apenas à autenticação do Windows. Os Serviços do Excel estabelecem conexões com o Analysis Services por meio do provedor OLE DB MSOLAP usando uma identidade de usuário do Windows que foi autenticada via NTLM ou o protocolo Kerberos.
O segundo requisito, a autenticação de modo clássico no aplicativo Web, é necessário para garantir a operabilidade do serviço Web PowerPivot. O serviço Web é um componente que executa em um front-end da Web e fornece redirecionamento HTTP para um servidor PowerPivot para SharePoint na fazenda. Embora o serviço Web seja compatível com declarações para comunicações de serviço a serviço, ele não reconhece as solicitações de conexão de dados que roteia para um serviço compartilhado do PowerPivot na fazenda. Solicitações para carregar dados PowerPivot só têm suporte para conexões autenticadas provenientes do IIS usando uma identidade do Windows. A entrada no modo clássico no aplicativo Web é o que permite uma conexão bem-sucedida do serviço Web PowerPivot com os serviços compartilhados do PowerPivot no farm.
Embora a entrada no modo clássico não seja necessária para o cenário de acesso a dados mais comum (em que dados PowerPivot são extraídos da mesma pasta de trabalho do Excel que a renderiza) não tente usar o PowerPivot para SharePoint com aplicativos Web do SharePoint configurados para usar outros provedores de autenticação. Isso resultará em uma falha de conexão sempre que os usuários tentarem se conectar às pastas de trabalho powerPivot como uma fonte de dados externa.
Sem a entrada no modo clássico, os seguintes tipos de solicitações que são tratadas pelo serviço Web PowerPivot falharão:
Qualquer solicitação de dados PowerPivot provenientes de fora do farm (por exemplo, criando um relatório no Designer de Relatórios ou construtor de relatórios, em que a fonte de dados é uma URL do SharePoint para uma pasta de trabalho PowerPivot)
Solicitações no farm de um aplicativo cliente ou relatório que usa a pasta de trabalho PowerPivot como uma fonte de dados externa (por exemplo, criando uma pasta de trabalho no aplicativo da área de trabalho do Excel, usando como fonte de dados uma segunda pasta de trabalho do Excel publicada contendo dados powerPivot)
Como verificar o provedor de autenticação para seu aplicativo
Ao criar novos aplicativos Web, selecione a opção de autenticação de modo clássico na página Criar Novo Aplicativo Web.
Para aplicativos Web existentes, use as instruções a seguir para verificar se o aplicativo Web está configurado para usar a autenticação do Windows.
Na Administração Central, no Gerenciamento de Aplicativos, clique em Gerenciar aplicativos Web.
Selecione o aplicativo Web.
Clique em Provedores de Autenticação.
Verifique se você tem um provedor para cada zona e se a zona Padrão está definida como Windows.
Operações do PowerPivot que requerem autorização do usuário
A autorização do SharePoint é usada exclusivamente para todos os níveis de acesso à consulta e ao processamento de dados do PowerPivot.
Não há suporte para o modelo de autorização baseado em função do Analysis Services. Não há nenhuma autorização baseada em função para dados PowerPivot no nível da célula, linha ou tabela. Não é possível proteger diferentes partes da pasta de trabalho para conceder ou negar acesso a dados confidenciais dentro dela para usuários específicos. Os dados do PowerPivot inseridos estão totalmente disponíveis para usuários que têm permissões de exibição na pasta de trabalho do Excel em uma biblioteca do SharePoint.
O PowerPivot para SharePoint representará um usuário do SharePoint nos seguintes casos:
Consultas a Tabelas Dinâmicas ou Gráficos Dinâmicos que têm conexões de dados com um banco de dados PowerPivot, em que um aplicativo de serviço PowerPivot estabelece conexões em nome de um usuário para uma instância de serviço compartilhado do PowerPivot específica que processa os dados.
Carregando dados PowerPivot do cache ou de uma biblioteca se os dados não estiverem disponíveis de outra forma. Se uma solicitação de conexão de dados for feita para dados PowerPivot que ainda não estão carregados no sistema, a instância de serviço do Analysis Services usará a identidade do usuário do SharePoint para recuperar a fonte de dados de uma biblioteca de conteúdo e carregá-la na memória.
Operações de atualização de dados que salvam uma cópia atualizada da fonte de dados na pasta de trabalho em uma biblioteca de conteúdo. Nesse caso, uma operação de logon real é executada usando o nome de usuário e a senha recuperados de um aplicativo de destino no Serviço de Repositório Seguro. As credenciais podem ser a conta de atualização de dados não supervisionada do PowerPivot ou as credenciais que foram armazenadas com o agendamento de atualização de dados durante sua criação. Para obter mais informações, consulte Configurar credenciais armazenadas para o PowerPivot Data Refresh (PowerPivot para SharePoint) e configurar a conta de atualização de dados autônoma do PowerPivot (PowerPivot para SharePoint).
Permissões do SharePoint para acesso a dados PowerPivot
A publicação, o gerenciamento e a proteção de uma pasta de trabalho PowerPivot têm suporte apenas por meio da integração do SharePoint. Os servidores do SharePoint fornecem subsistemas de autenticação e autorização que garantem o acesso legítimo aos dados. Não há cenários com suporte para implantar com segurança uma pasta de trabalho PowerPivot fora de um farm do SharePoint.
O acesso do usuário aos dados do PowerPivot é somente leitura no servidor por meio de permissões de visualização ou superiores. As permissões de contribuição permitem adicionar e editar o arquivo. As alterações nos dados do PowerPivot exigem que você baixe a pasta de trabalho para um aplicativo da área de trabalho do Excel que tenha o PowerPivot para Excel instalado. As permissões de contribuição no arquivo determinarão se o usuário pode baixar o arquivo localmente e, em seguida, salvar as alterações no SharePoint.
Dessa forma, os níveis de permissão Contribuir e Exibir Somente definem o conjunto efetivo de permissões para o acesso do usuário aos dados do PowerPivot. Outros níveis de permissão funcionam na medida em que têm as mesmas permissões que Contribuir e Somente Exibição (por exemplo, como Leitura inclui permissões de Somente Exibição, um usuário atribuído a Leitura terá o mesmo nível de acesso que Somente Exibição).
A tabela a seguir resume os níveis de permissão que determinam o acesso a operações de servidor e dados powerPivot:
| Nível de permissão | Permite essas tarefas |
|---|---|
| Administrador de fazenda ou serviço | Instale, habilite e configure serviços e aplicativos. Use o Painel de Gerenciamento do PowerPivot e exiba relatórios administrativos. |
| Controle total | Ative a integração de recursos do PowerPivot no nível do conjunto de sites. Crie uma biblioteca da Galeria PowerPivot. Crie uma biblioteca de fluxo de dados. |
| Contribuir | Adicione, edite, exclua e baixe pastas de trabalho do PowerPivot. Configurar a atualização de dados. Crie novas pastas de trabalho e relatórios com base nas pastas de trabalho PowerPivot em um site do SharePoint. Criar documentos de serviço de dados em uma biblioteca de fornecimento de dados |
| Leitura | Acesse pastas de trabalho do PowerPivot como uma fonte de dados externa, em que a URL da pasta de trabalho é explicitamente inserida em uma caixa de diálogo de conexão (por exemplo, no Assistente de Conexão de Dados do Excel). |
| Somente Exibição | Exibir pastas de trabalho do PowerPivot. Exibir o histórico de atualização de dados. Conecte uma pasta de trabalho local a uma pasta de trabalho PowerPivot em um site do SharePoint para redefinir seus dados de outras maneiras. Baixe um instantâneo da pasta de trabalho. O instantâneo é uma cópia estática dos dados, sem segmentações, filtros, fórmulas ou conexões de dados. O conteúdo do instantâneo é semelhante à cópia de valores de célula da janela do navegador. |
Considerações de segurança dos Serviços do Excel para pastas de trabalho PowerPivot
O processamento de consultas do lado do servidor powerPivot está firmemente associado aos serviços do Excel. A integração de produtos começa no nível do documento, em que as pastas de trabalho PowerPivot são arquivos de pasta de trabalho do Excel (.xlsx) que contêm ou referenciam dados PowerPivot. Não há nenhuma extensão de arquivo separada para uma pasta de trabalho PowerPivot.
Quando uma pasta de trabalho PowerPivot é aberta em um site do SharePoint, os Serviços do Excel lêem a cadeia de conexão de dados do PowerPivot inserida e encaminham a solicitação para o provedor OLE DB do SQL Server Analysis Services local. Em seguida, o provedor passa as informações de conexão para um servidor PowerPivot na fazenda. Para que as solicitações fluam perfeitamente entre os dois servidores, os Serviços do Excel devem ser configurados para usar as configurações exigidas pelo PowerPivot para SharePoint.
Nos Serviços do Excel, as configurações relacionadas à segurança são especificadas em locais confiáveis, provedores de dados confiáveis e bibliotecas de conexão de dados confiáveis. A tabela a seguir descreve as configurações que habilitam ou aprimoram o acesso a dados PowerPivot. Se uma configuração não estiver listada aqui, ela não terá efeito nas conexões do servidor PowerPivot. Para obter instruções sobre como especificar essas configurações passo a passo, consulte a seção "Habilitar Serviços do Excel" na Configuração Inicial (PowerPivot para SharePoint).
Observação
A maioria das configurações relacionadas à segurança se aplica a locais confiáveis. Se você quiser preservar valores padrão ou usar valores diferentes para sites diferentes, poderá criar um local confiável adicional para sites que contêm dados PowerPivot e, em seguida, definir as seguintes configurações apenas para esse site. Para obter mais informações, consulte Create a trusted location for PowerPivot sites in Central Administration.
| Área | Configurações | Descrição |
|---|---|---|
| Aplicação Web | Provedor de autenticação do Windows | O PowerPivot converte um token de declarações que ele obtém dos Serviços do Excel em uma identidade de usuário do Windows. Qualquer aplicativo Web que use os Serviços do Excel como um recurso deve ser configurado para usar o provedor de autenticação do Windows. |
| Local confiável | Tipo de Local | Esse valor deve ser definido como Microsoft SharePoint Foundation. Os servidores PowerPivot recuperam uma cópia do arquivo .xlsx e o carregam em um servidor do Analysis Services no farm. O servidor só pode recuperar arquivos .xlsx de uma biblioteca de conteúdo. |
| Permitir dados externos | Esse valor deve ser definido como bibliotecas de conexão de dados confiáveis e embutidas. As conexões de dados do PowerPivot estão embutidas na pasta de trabalho. Se você não permitir conexões incorporadas, os usuários poderão visualizar o cache da Tabela Dinâmica, mas não poderão interagir com os dados do PowerPivot. | |
| Avisar sobre Atualização | Esse valor deverá ser desabilitado se você estiver usando a Galeria PowerPivot para armazenar pastas de trabalho e relatórios. A Galeria do PowerPivot inclui um recurso de visualização de documentos que funciona melhor se tanto as opções "Atualizar ao Abrir" quanto "Avisar sobre Atualização" estiverem desativadas. | |
| Provedores de dados confiáveis | MSOLAP.4 MSOLAP.5 |
O MSOLAP.4 é incluído por padrão, mas o acesso a dados PowerPivot requer que o provedor MSOLAP.4 seja a versão do SQL Server 2008 R2. O MSOLAP.5 é instalado com a versão do SQL Server 2014 do PowerPivot para SharePoint. Não remova esses provedores da lista de provedores de dados confiáveis. Em alguns casos, pode ser necessário instalar cópias adicionais desse provedor em outros servidores do SharePoint na sua fazenda. Para obter mais informações, consulte Instalar o provedor OLE DB do Analysis Services em servidores do SharePoint. |
| Bibliotecas de conexões de dados confiáveis | Opcional. | Você pode usar arquivos do Office Data Connection (.odc) em pastas de trabalho do PowerPivot. Se você usar arquivos .odc para fornecer informações de conexão a pastas de trabalho locais do PowerPivot, poderá adicionar os mesmos arquivos .odc a esta biblioteca. |
| Conjunto de função definido pelo usuário | Não aplicável. | O PowerPivot para SharePoint ignora assemblies de funções definidos pelo usuário que você cria e implanta para os Serviços do Excel. Se você depender de assemblies definidos pelo usuário para um comportamento específico, lembre-se de que o processamento de consultas do PowerPivot não usará as funções definidas pelo usuário que você criou. |
Consulte Também
Configurar contas de serviço do PowerPivot
Configurar a conta de atualização de dados autônoma do PowerPivot (PowerPivot para SharePoint)
Criar um local confiável para sites PowerPivot na Administração Central
Arquitetura de segurança do PowerPivot