MOSS: Niveles de seguridad en Excel Services!

Uno de los componentes más destacados de los Shared Services Providers (SSP) de MOSS son los Excel Services. Este servicio habilita que el usuario pueda ver renderizados en el navegador, y en modo lectura, documentos de Excel, hojas de un documento Excel o bien elementos individuales de un cierto documento Excel (gráficos, tablas). Una de las preguntas típicas en torno a Excel Services es como se gestiona la seguridad de acceso a estos documentos Excel. La idea de este post es comentar los niveles de seguridad que tenemos en Excel Services.Empecemos.

Seguridad de acceso a archivo

Básicamente, cuando un usuario visualiza un documento Excel en el navegador de forma directa o mediante la Web Acces Web Part, en ningún momento interactúa con el documento Excel de manera directa. Es Excel Services quien se encarga de realizar la carga del documento Excel en “nombre” del usuario y realizar los cálculos y llamadas a a datos externos que sean necesarios. Excel Services soporta dos formas de acceso a los documentos Excel y las fuentes de datos que los alimentan:

  • Impersonación, dónde Excel Services usa la cuenta del usuario que accede.
  • Cuenta de Proceso (Process Account), dónde Excel Services utiliza la cuenta asociada al Application Pool de la Web Application dónde esta guardado el documento Excel.
image image

 

De las dos alternativas de acceso a documentos Excel, la más sencilla es la segunda en cuanto a que no se necesita ningún requisito adicional aparte de asegurar que el Application Pool tiene al menos permisos de lectura en las ubicaciones definidas como confiables (Trusted File Locations) en las configuraciones de Excel Services:

image image

Sin embargo, aunque este mecanismo es el más sencillo para acceder a documentos Excel almacenados en bibliotecas de documentos de SharePoint, podría no serlo para documentos Excel almacenados en carpetas compartidas u otros sitios web (Excel Services está preparado para permitir renderizar en el navegador documentos Excel que estén almacenados en sitios de SharePoint, carpetas compartidas o bien sitios web externos). En estos caso, el segundo mecanismo de acceso a documentos Excel puede ser más idóneo, ya que se proporciona un mayor nivel de seguridad pues Excel Services impersona la cuenta del usuario y utiliza las credenciales del usuario para acceder a los documentos Excel, de manera que el usuario solo visualizará estos documentos si tiene permisos para ello.

Seguridad de acceso a datos

Excel 2007 permite vincular datos externos referenciando para ello archivos odc (Office Data Connection) almacenados en bibliotecas de conexiones de datos del servidor. Básicamente, Excel Services soporta tres mecanismos de autenticación para el acceso a datos externos:

  • Autenticación integrada, lo que implica que Excel Calculation Services intenta ejecutar la consulta a los datos externos impersonando las credenciales del usuario que accede al documento Excel. Evidentemente, es necesario que el usuario tenga los privilegios suficientes sobre la fuente de datos para que todo vaya como la seda. En el caso de que la fuente de datos resida en un servidor distinto al de Excel Services, tendremos que configurar delegación de Kerberos para asegurar que las credenciales del usuario llegan a la fuente de datos.
  • SSO, mecanismo utilizado normalmente para autenticarnos contra sistemas que no soportan autenticación Windows. En este caso Excel Calculation Services envía al servidor de datos en nombre del usuario una combinación de usuario y contraseña evitando que las credenciales tengan que ser mantenidas en un archivo .odc, así como la petición de las mismas de manera  continua al usuario.
  • Ninguna, lo que implica que las credenciales necesarias para acceder a la fuente de datos están embebidas en un archivo odc o bien el acceso al servidor de datos es directo.

Seguridad de acceso de usuario

El tercer nivel de seguridad en Excel Services viene dado por el acceso del usuario a los documentos Excel almacenados en una cierta ubicación: biblioteca de documentos de MOSS, una carpeta compartida en red, o un sitio web externo. En el primer caso, es MOSS quien controla como el usuario accede a los documentos Excel a partir de los permisos que posee el usuario. En el segundo y tercer caso, el acceso se controla a partir de los permisos compartidos y derechos NFTS del usuario. 

Y hasta aquí llega este post sobre niveles de seguridad en Excel Services.

Publicado por

Juan Carlos González

Juan Carlos es Ingeniero de Telecomunicaciones por la Universidad de Valladolid y Diplomado en Ciencias Empresariales por la Universidad Oberta de Catalunya (UOC). Cuenta con más de 12 años de experiencia en tecnologías y plataformas de Microsoft diversas (SQL Server, Visual Studio, .NET Framework, etc.), aunque su trabajo diario gira en torno a SharePoint & Office 365. Juan Carlos es MVP de Office Servers & Services desde 2015 (anteriormente fue reconocido por Microsoft como MVP de Office 365 y MVP de SharePoint Server desde 2008 hasta 2015), coordinador del grupo de usuarios .NET de Cantabria (Nuberos.Net, www.nuberos.es), co-fundador y coordinador del Grupo de Usuarios de SharePoint de España (SUGES, www.suges.es), así como co-director de la revista gratuita en castellano sobre SharePoint CompartiMOSS (www.compartimoss.com). Hasta la fecha, ha publicado 8 libros sobre SharePoint & Office 365 y varios artículos en castellano y en inglés sobre ambas plataformas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *