Monitoring Server-Anwendungspoolkonten
Aktualisiert: 2009-04-30
Der Monitoring Server-Anwendungsprozess wird als Konto ausgeführt, das in der Konfiguration der Anwendungspoolidentität angegeben wird.
Zusätzlich zu den integrierten Konten Lokales System, Lokaler Dienst und Netzwerkdienst kann auch ein lokales Konto oder ein Netzwerkkonto angegeben werden. Dieses Konto benötigt Zugriff auf die Anwendungsdatenbank sowie auf alle erforderlichen Datenquellen. Wenn der Server für Verbindungen mit Authentifizierung pro Benutzer konfiguriert ist, d. h., wenn für die Authentifizierung die Anmeldeinformationen der einzelnen Endbenutzer verwendet werden, benötigt das Anwendungspoolkonto nur Zugriff auf die Anwendungsdatenbank. Allerdings muss allen Benutzern eine Zugriffsberechtigung für alle Datenquellen erteilt werden.
Nach Möglichkeit sollte Monitoring Server stets mit einem Domänenkonto mit niedrigen Berechtigungen ausgeführt werden. Die Identität sollte keinen Zugriff auf andere Ressourcen als die von der Anwendung benötigten haben.
Die Monitoring Server-Anwendungspoolidentität wird unter dem mit dem Konfigurations-Manager für Monitoring Server angegebenen Konto ausgeführt. Für die Anwendungspoolidentität, mit der die SharePoint-Website ausgeführt wird, sollte dasselbe Konto eingerichtet werden. Allerdings wird vom Konfigurations-Manager für Monitoring Server die aktuelle Einstellung nicht geändert. Der Benutzer muss diese Einstellung daher manuell ändern. Es wird empfohlen, ein Domänenkonto als Anwendungspoolidentität zu verwenden. Das Domänenkonto sollte nur der Gruppe IIS_WPG auf dem Computer zugewiesen werden, auf dem Monitoring Server installiert ist.
Der Konfigurations-Manager für Monitoring Server unterstützt neben der Angabe eines Domänenkontos (empfohlene Bereitstellung) auch die Angabe eines integrierten Kontos. Im Konfigurations-Manager für Monitoring Server wird dem ausgewählten Konto automatisch Zugriff auf die in der Anwendungsdatenbank gespeicherten Metadaten erteilt. Standardmäßig müssen diesem Konto manuell Berechtigungen für alle Datenquellen zugewiesen werden, die verwendet werden sollen.
Datenquellenauthentifizierung
Für den Zugriff auf Daten in Monitoring Server-Datenquellen ist häufig die Authentifizierung von Monitoring Server erforderlich. Standardmäßig verwendet Monitoring Server immer die Anwendungspoolidentität für die Verbindung mit einer Datenquelle. Die einzige Ausnahme sind Datenquellen, für die Administratoren eine Verbindungszeichenfolge mit Anmeldeinformationen für den Zugriff angeben können. Im Dashboard-Designer kann im Assistenten zum Erstellen einer SQL Server 2005 Analysis Services-Datenquelle eine Reihe von Rollen zur Sicherung der Verbindung mit Analysis Services angegeben werden.
Die Authentifizierung als einzelner Benutzer bietet möglicherweise nicht genügend Kontrolle über den Zugriff auf die Geschäftsdaten eines Unternehmens. In Monitoring Server stehen zwei Optionen für eine bessere Zugriffssteuerung zur Verfügung.
Die erste Option ist die Verwendung des CustomData-Felds für eine Analysis Services-Verbindungszeichenfolge. In Monitoring Server können der Domänen- und der Benutzername des Kontos für die Authentifizierung beim Server als CustomData der Verbindungszeichenfolge angegeben werden. Anschließend kann in Analysis Services der Zugriff basierend auf der von Monitoring Server bereitgestellten Zeichenfolge mit dem Benutzernamen eingeschränkt werden.
Die zweite Option besteht darin, in Monitoring Server die Unterstützung der Kerberos-Delegierung zu aktivieren. Hierzu wird die Bpm.ServerConnectionPerUser-Eigenschaft in der Datei web.config aktiviert. Die Delegierung stellt ein Identitätstoken des derzeit authentifizierten Benutzers für alle registrierten Datenquellen bereit. Bei Verwendung der Kerberos-Delegierung benötigt jeder Benutzer Zugriff auf die Datenquelle. Dieser Datenquellenzugriff pro Benutzer muss sowohl für Monitoring Server als auch für den Dienst, mit dem die Benutzer eine Verbindung herstellen, registriert werden. Dieser Ansatz bietet den Vorteil, dass Sie die Anwendungssicherheitsmodelle nutzen können, die für registrierte Datenquellen verfügbar sind.
Analyseberichte und Datenquellensicherheit
Durch die Unterstützung der Navigation in Analysis Services-Berichten können Benutzer einen umfassenderen Einblick in das Unternehmen gewinnen, als mit einem statischen Bericht möglich wäre. Die Sicherheit auf Berichtsebene für Mitglieder der Rollen Editor und Leser ermöglicht es den Benutzern, relevante Daten mit bestimmten Personen gemeinsam zu nutzen. Die Berechtigungen für die Rollen Editor und Leser für einen Analysebericht verhindern nicht, dass mehr Daten angezeigt werden können, als für die Ansicht vorgesehen sind. In diesem Fall ist die Sicherheitskonfiguration der Datenquelle die einzige Möglichkeit, den Zugriff auf Cubedaten einzuschränken. Wenn ein Benutzer Zugriff auf eine Datenquelle hat, die auf einen Analysis Services-OLAP-Cube verweist, kann der Benutzer alle Daten in diesem Cube anzeigen, es sei denn, der Zugriff wird in Analysis Services eingeschränkt. Standardmäßig stellt Monitoring Server für alle Datenquellen eine Verbindung als einzelner Benutzer her.
Datenquellen-Verbindungszeichenfolgen
Monitoring Server bietet Benutzern die Möglichkeit, eigene Verbindungszeichenfolgen für viele der unterstützten Datenquellentypen anzugeben. Wenn Sie Anmeldeinformationen als Teil der Verbindungszeichenfolge angeben möchten, müssen Sie beachten, dass diese Anmeldeinformationen nicht verschlüsselt werden und direkt im Arbeitsbereich jedes Benutzers gespeichert werden können, der Zugriff auf die Datenquelle hat.
.gif "Vorsicht") Vorsicht: |
|---|
Es wird empfohlen, keine Anmeldeinformationen als Teil einer Verbindungszeichenfolge anzugeben. |
Bereitstellungen von SharePoint-Produkten und -Technologien
Das Konto der Monitoring Server-Anwendungspoolidentität sollte mit den Monitoring Server-Websites übereinstimmen. Dadurch wird sichergestellt, dass in der Standardkonfiguration Berichte und Scorecards im selben Benutzerkontext ausgeführt werden. Auch wenn Sie die Bpm.ServerConnectionPerUser-Eigenschaft verwenden möchten, wird empfohlen, die Konfiguration von Kerberos zu vereinfachen. Beachten Sie, dass der Prozess, in dem die Bereitstellung der SharePoint-Produkte und -Technologien ausgeführt wird, Zugriff auf das Metadatenrepository für Monitoring Server hat. Daher ist es wichtig, den Kreis der Personen einzuschränken, die Inhalte veröffentlichen können, da diese Benutzer möglicherweise auf Monitoring Server-Daten zugreifen können.
IIS-Konfiguration
Neben der Konfiguration der Anwendungspoolidentität und der Datei web.config müssen Sie Monitoring Server zusätzlich sichern, indem Sie SSL für alle relevanten Websites aktivieren. Von einer anderen Authentifizierungsmethode als der integrierten Windows-Authentifizierung und von der Verwendung eines nicht standardmäßigen Ports wird abgeraten. Die Verwendung der integrierten Windows-Authentifizierung und eines Standardports wird empfohlen.