In diesem Abschnitt wird das Verbindungsverhalten zwischen verschiedenen Clientanwendungen, z. B. der Excel-Desktopanwendung oder dem Power View-Berichtserstellungsclient in SharePoint, und einer Datenbank für tabellarische Modelle innerhalb oder außerhalb der SharePoint-Farm veranschaulicht.
Alle Verbindungen mit einer Datenbank für tabellarische Modelle werden mit den Anmeldeinformationen des Benutzers hergestellt, der die Daten anfordert.
Der Mechanismus dieser Verbindung richtet sich jedoch danach, ob die Verbindung eine farminterne bzw. eine Einzel- oder Doppelhopverbindung ist und ob Kerberos aktiviert ist. Weitere Informationen zu authentifizierten Verbindungen zwischen SharePoint und Back-End-Datenquellen finden Sie unter Doppelhopauthentifizierung: Warum Kerberos funktioniert und NTLM nicht.
Herstellen einer Verbindung von Excel mit Tabellendaten in einem Netzwerk
Wenn ein Excel-Benutzer eine BI-Semantikmodellverbindung als Datenquelle angibt, werden die Verbindungsinformationen in der BISM-Datei in die Clientanwendung heruntergeladen, die dann eine eigene direkte Anforderung für die Datenbank für tabellarische Modelle in Analysis Services ausgibt.
Um auf die BISM-Verbindung zuzugreifen, muss der Excel-Benutzer ein SharePoint-Benutzer mit Leseberechtigungen für die BISM-Verbindungsdatei sein. Sobald die Verbindungsinformationen heruntergeladen wurden, wird SharePoint bei allen nachfolgenden Verbindungen umgangen, und die Daten werden direkt zwischen Excel und der Back-End-Datenbank für tabellarische Modelle übertragen.
In der folgenden Abbildung ist diese Verbindungssequenz dargestellt.
Zunächst wird die BISM-Verbindung angefordert, anschließend werden die Verbindungsinformationen auf den Client heruntergeladen, und zuletzt wird die Einzelhopverbindung mit der Datenbank hergestellt. Die Verbindung wird mit den Windows-Anmeldeinformationen des Excel-Benutzers hergestellt, der über Leseberechtigungen für die Analysis Services-Datenbank verfügt. Da in diesem Szenario eine Einzelhopverbindung verwendet wird, ist Kerberos nicht erforderlich, selbst wenn es aktiviert ist.
Herstellen einer Verbindung von Power View mit Tabellendaten in einem Netzwerk
Wenn ein SharePoint-Benutzer auf eine BI-Semantikmodellverbindung in einer Dokumentbibliothek klickt, wird Power View (falls installiert) sofort gestartet und eine Verbindung mit der Datenbank für tabellarische Modelle hergestellt.
Bei Verbindungen zwischen Power View und einer Datenbank für tabellarische Modelle wird eine Doppelhop-Authentifizierungssequenz verwendet, bei der die Benutzeridentität vom Client an SharePoint und dann von SharePoint an eine Analysis Services-Back-End-Datenbank für tabellarische Modelle übertragen wird, die außerhalb der Farm ausgeführt wird.
Die ADOMD.NET-Clientbibliothek, von der die Verbindungsanforderung verarbeitet wird, verwendet beim ersten Versuch falls möglich immer Kerberos. Wenn Kerberos konfiguriert ist, erfolgt für die Benutzeridentität für die Verbindung mit der Datenbank für tabellarische Modelle ein Identitätswechsel, und die Verbindung wird erfolgreich hergestellt.
Wenn Kerberos nicht konfiguriert ist und die Anforderung fehlschlägt, wird von Reporting Services ein zweiter Versuch unternommen.
In diesem Szenario stellt die Clientbibliothek unter Verwendung der Reporting Services-Dienstidentität und der NTLM-Authentifizierung eine Verbindung mit Analysis Services her. Die Identität des Power View-Benutzers wird mithilfe des effectiveusername-Parameters in der Verbindungszeichenfolge übergeben.
Nur ein Mitglied der Systemadministratorrolle auf der Analysis Services-Instanz ist berechtigt, eine Verbindung unter Verwendung des effectiveusername-Parameters herzustellen und die Identität eines anderen Benutzers auf der Serverinstanz anzunehmen.
Aus diesem Grund müssen dem Ausführungskonto des freigegebenen Reporting Services-Diensts Administratorrechte auf der Analysis Services-Instanz erteilt werden. Anweisungen dazu, wie dem Dienstkonto Administratorberechtigungen erteilt werden, sind im Thema Erstellen einer BI-Semantikmodellverbindung mit einer tabellarischen Modelldatenbank zu finden.
Die folgende Abbildung enthält eine Verbindungssequenz, die die gleiche Windows-Benutzeridentität für alle Verbindungen verwendet.
Bei der letzten Verbindung mit Analysis Services wird die Verbindung von der Reporting Services-Dienstanwendungsidentität hergestellt und die Windows-Benutzeridentität unter Verwendung von effectiveusername übergeben.
Herstellen einer Verbindung von Power View mit PowerPivot-Daten in SharePoint
Wenn ein SharePoint-Benutzer auf eine BI-Semantikverbindung klickt, die zu einer PowerPivot-Arbeitsmappe in der gleichen Farm führt, befinden sich die Verbindungen im Kontext der SharePoint-Umgebung.
Die Verbindungsanforderung wird von einer PowerPivot-Dienstanwendung verarbeitet und an die Analysis Services-Instanz auf demselben Computer weitergeleitet. Die PowerPivot-Daten werden von der Analysis Services-Instanz aus der Arbeitsmappe extrahiert und geladen. Alle nachfolgenden Verbindungen werden von PowerPivot-Dienstanwendungen in der Farm verwaltet.
Da alle Verbindungen in diesem Szenario innerhalb der gleichen Farm erfolgen, ist weder eine Kerberos- noch eine eingeschränkte Delegierung erforderlich.
.png)
.png)
