Configurare Analysis Services per la delega vincolata Kerberos

Quando si configura Analysis Services per l'autenticazione Kerberos, è probabile che si desideri ottenere uno o entrambi i seguenti risultati: che Analysis Services rappresenti un'identità utente per l'esecuzione di query sui dati oppure che Analysis Services deleghi un'identità utente a un servizio di livello inferiore. Ogni scenario prevede requisiti di configurazione lievemente diversi. Entrambi gli scenari richiedono che si verifichi la correttezza della configurazione.

Suggerimento
Microsoft Kerberos Configuration Manager per SQL Server è uno strumento di diagnostica che semplifica la risoluzione dei problemi di connettività correlati a Kerberos con SQL Server. Per ulteriori informazioni, vedere Microsoft Kerberos Configuration Manager per SQL Server.

In questo argomento sono incluse le sezioni seguenti:

• Consentire ad Analysis Services di rappresentare un'identità utente

• Configurare Analysis Services per la delega trusted

• Verificare l'identità rappresentata o delegata

[!NOTA]

La delega non è necessaria se la connessione ad Analysis Services è a hop singolo o la soluzione utilizza credenziali archiviate fornite dal servizio di archiviazione sicura di SharePoint o da Reporting Services. Se tutte le connessioni sono connessioni dirette da Excel a un database di Analysis Services oppure si basano su credenziali archiviate, è possibile usare Kerberos (o NTLM) senza dovere configurare la delega vincolata.

La delega vincolata Kerberos è necessaria se l'identità utente deve passare tra più connessioni di computer (condizione nota come "doppio hop"). Quando l'accesso ai dati di Analysis Services dipende dall'identità dell'utente e la richiesta di connessione proviene da un servizio di delega, usare l'elenco di controllo disponibile nella sezione successiva per accertarsi che Analysis Services sia in grado di rappresentare il chiamante originale. Per altre informazioni sui flussi di autenticazione di Analysis Services, vedere la pagina relativa all'autenticazione di Microsoft Business Intelligence e alla delega dell'identità.

Ai fini della sicurezza, Microsoft consiglia sempre le deleghe vincolate rispetto a quelle non vincolate. Le deleghe non vincolate rappresentano un rischio maggiore per la sicurezza perché consentono all'identità del servizio di rappresentare un altro utente in qualsiasi computer, servizio o applicazione a valle (rispetto ai servizi definiti in modo esplicito tramite la delega vincolata).

Consentire ad Analysis Services di rappresentare un'identità utente

Per consentire a servizi di livello superiore come Reporting Services, IIS o SharePoint di rappresentare un'identità utente in Analysis Services, è necessario configurare la delega vincolata Kerberos per tali servizi. In questo scenario, Analysis Services rappresenta l'utente corrente utilizzando l'identità fornita dal servizio di delega e restituisce i risultati in base all'appartenenza a ruoli dell'identità in questione.

Attività	Descrizione
Passaggio 1: Verificare che gli account siano idonei per la delega	Assicurarsi che gli account usati per eseguire i servizi siano provvisti delle proprietà corrette in Active Directory. Gli account di servizio in Active Directory non devono essere contrassegnati come account sensibili o essere esplicitamente esclusi dagli scenari di delega. Per altre informazioni, vedere Informazioni sugli account utente. Importante In genere, tutti gli account e i server devono appartenere allo stesso dominio di Active Directory o a domini trusted nella stessa foresta. Tuttavia, poiché Windows Server 2012 supporta la delega tra i limiti di dominio, è possibile configurare la delega vincolata Kerberos in un limite di dominio se il livello funzionale del dominio è Windows Server 2012. Un'altra alternativa è configurare Analysis Services per l'accesso HTTP e usare i metodi di autenticazione di IIS per la connessione client. Per ulteriori informazioni, vedere Configurare l'accesso HTTP ad Analysis Services in Internet Information Services (IIS) 7.0.
Passaggio 2: Registrare il nome SPN	Prima di configurare la delega vincolata, è necessario registrare un nome SPN (Service Principle Name) per l'istanza di Analysis Services. È necessario il nome SPN di Analysis Services per la configurazione della delega vincolata Kerberos per i servizi di livello intermedio. Per istruzioni, vedere Registrazione del nome SPN per un'istanza di Analysis Services. Un nome SPN specifica l'identità univoca di un servizio in un dominio configurato per l'autenticazione Kerberos. Le connessioni client in cui viene usata la sicurezza integrata spesso richiedono un nome SPN nell'ambito dell'autenticazione SSPI. La richiesta viene inoltrata a un controller di dominio Active Directory e la delega vincolata Kerberos concede un ticket se al nome SPN presentato dal client corrisponde una registrazione del nome SPN in Active Directory.
Passaggio 3: Configurare la delega vincolata	Dopo avere convalidato gli account da usare e aver registrato i nomi SPN per tali account, il passaggio successivo consiste nel configurare i servizi di livello superiore quali IIS, Reporting Services o i servizi Web di SharePoint per la delega vincolata, specificando il nome SPN di Analysis Services come servizio specifico per cui la delega è consentita. I servizi eseguiti in SharePoint, ad esempio Excel Services o Reporting Services in modalità SharePoint, spesso ospitano cartelle di lavoro e report che utilizzano dati tabulari o multidimensionali di Analysis Services. La configurazione della delega vincolata per tali servizi è un'attività comune e necessaria per supportare l'aggiornamento dei dati da Excel Services. Tramite i collegamenti seguenti è possibile ottenere istruzioni per i servizi SharePoint e per altri servizi che con tutta probabilità presentano una richiesta di connessione dati a valle per i dati di Analysis Services: Delega dell'identità per Excel Services (SharePoint Server 2010) or Come configurare Excel Services in SharePoint Server 2010 per l'autenticazione Kerberos Delega dell'identità per PerformancePoint Services (SharePoint Server 2010) Delega dell'identità per SQL Server Reporting Services (SharePoint Server 2010) Per IIS 7.0, vedere Configurare l'autenticazione di Windows (IIS 7.0) o Come configurare SQL Server 2008 Analysis Services e SQL Server 2005 Analysis Services per usare l'autenticazione Kerberos.
Passaggio 4: Test delle connessioni	Durante il test connettersi da computer remoti con diverse identità ed eseguire una query su Analysis Services utilizzando le stesse applicazioni degli utenti aziendali. È possibile usare SQL Server Profiler per monitorare la connessione. Nella richiesta verrà visualizzata l'identità dell'utente. Per ulteriori informazioni, vedere Verificare l'identità rappresentata o delegata in questa sezione.

Configurare Analysis Services per la delega trusted

La configurazione di Analysis Services per la delega vincolata Kerberos consente al servizio di rappresentare un'identità client per un servizio di livello inferiore, ad esempio il motore di database relazionale, in modo che sia possibile eseguire query sui dati come se il client fosse connesso direttamente.

Gli scenari di delega per Analysis Services sono limitati ai modelli tabulari configurati per la modalità DirectQuery. Questo è l'unico scenario in cui Analysis Services può passare credenziali delegate a un altro servizio. In tutti gli altri scenari, ad esempio gli scenari di SharePoint descritti nella sezione precedente, Analysis Services si trova all'estremità ricevente della catena della delega. Per altre informazioni su DirectQuery, vedere Modalità DirectQuery (SSAS tabulare).

[!NOTA]

È un luogo comune ritenere che l'archiviazione ROLAP, le operazioni di elaborazione o l'accesso a partizioni remote rappresentino i requisiti per la delega vincolata. Non è così. Tutte queste operazioni vengono eseguite direttamente dall'account del servizio (definito anche account di elaborazione) per proprio conto. La delega non è necessaria per queste operazioni in Analysis Services, visto che le autorizzazioni per tali operazioni vengono concesse direttamente all'account del servizio. Ad esempio, per consentire al servizio di elaborare i dati, è sufficiente concedere le autorizzazioni db_datareader nel database relazionale. Per altre informazioni sulle autorizzazioni e le operazioni del server, vedere Configurare gli account del servizio (Analysis Services).

In questa sezione viene illustrato come configurare Analysis Services per la delega trusted. Dopo aver completato questa attività, Analysis Services potrà passare le credenziali delegate a SQL Server, a supporto della modalità DirectQuery usata nelle soluzioni tabulari.

Prima di iniziare:

• Verificare che Analysis Services sia avviato.

• Verificare che il nome SPN registrato per Analysis Services sia valido. Per istruzioni, vedere Registrazione del nome SPN per un'istanza di Analysis Services

Quando entrambi i prerequisiti vengono soddisfatti, continuare con la procedura seguente. Si noti che è necessario essere un amministratore di dominio per configurare la delega vincolata.

1. In Utenti e computer di Active Directory, individuare l'account del servizio con cui viene eseguito Analysis Services. Fare clic con il pulsante destro del mouse sull'account del servizio e scegliere Proprietà.

   A fini illustrativi, le seguenti catture di schermata utilizzano OlapSvc e SQLSvc per rappresentare rispettivamente Analysis Services e SQL Server.

   OlapSvc è l'account che verrà configurato per la delega vincolata in SQLSvc. Al termine di questa attività, OlapSvc disporrà delle autorizzazioni necessarie per passare le credenziali delegate su un ticket di servizio a SQLSvc, rappresentando il chiamante originale al momento di richiedere i dati.

2. Nella scheda Delega selezionare Utente attendibile per la delega solo ai servizi specificati, seguito da Usa solo Kerberos. Fare clic su Aggiungi per specificare il servizio per il quale Analysis Services è autorizzato a delegare le credenziali.

   La scheda Delega è disponibile solo se l'account utente (OlapSvc) viene assegnato a un servizio (Analysis Services) e il servizio dispone di un nome SPN registrato. Per registrare il nome SPN è necessario che il servizio sia in esecuzione.

   

3. Nella pagina Aggiungi servizi, fare clic su Utenti o computer.

   

4. Nella pagina Seleziona utenti o computer immettere l'account usato per eseguire l'istanza di SQL Server che fornisce i dati ai database del modello tabulare di Analysis Services. Fare clic su OK per accettare l'account del servizio.

   Se non è possibile selezionare l'account desiderato, verificare che SQL Server sia in esecuzione e disponga di un nome SPN registrato per tale account. Per altre informazioni sui nomi SPN per il motore di database, vedere Registrazione di un nome dell'entità servizio per le connessioni Kerberos.

   

5. L'istanza di SQL Server dovrebbe ora apparire in Aggiungi servizi. Nell'elenco saranno inoltre presente gli altri eventuali servizi che utilizzano l'account in questione. Scegliere l'istanza di SQL Server da usare. Fare clic su OK per accettare l'istanza.

   

6. La pagina delle proprietà dell'account del servizio di Analysis Services dovrebbe apparire analoga a quella nella cattura di schermata seguente. Fare clic su OK per salvare le modifiche.

   

7. Verificare che la delega avvenga in modo corretto eseguendo la connessione a un computer client remoto, con un'identità diversa ed eseguendo una query sul modello tabulare. L'identità utente dovrebbe essere presente nella richiesta in SQL Server Profiler.

Verificare l'identità rappresentata o delegata

Usare SQL Server Profiler per monitorare l'identità dell'utente che esegue query sui dati.

1. Avviare SQL Server Profiler nell'istanza di Analysis Services e quindi avviare una nuova traccia.

2. In Selezione eventi, verificare che Audit Login e Audit Logout siano selezionati nella sezione Controllo di sicurezza.

3. Connettersi ad Analysis Services tramite un servizio di applicazione (ad esempio SharePoint o Reporting Services) da un computer client remoto. L'evento Audit Login visualizzerà l'identità dell'utente che si connette ad Analysis Services.

Per un test completo è necessario usare strumenti di monitoraggio della rete in grado di acquisire richieste e risposte Kerberos. A tale scopo è possibile usare l'utilità Network Monitor (netmon.exe), con filtro per Kerberos. Per altre informazioni sull'uso di Netmon 3.4 e di altri strumenti per verificare l'autenticazione Kerberos, vedere Configurazione dell'autenticazione Kerberos: configurazione di base (SharePoint Server 2010).

Vedere inoltre La finestra di dialogo che più disorienta in Active Directory per una descrizione dettagliata di ciascuna opzione nella scheda Delega della finestra di dialogo delle proprietà dell'oggetto di Active Directory. Questo articolo spiega inoltre come usare LDP per eseguire i test e interpretarne i relativi risultati.

Vedere anche

Concetti

Connetti ad Analysis Services

Registrazione del nome SPN per un'istanza di Analysis Services

Proprietà delle stringhe di connessione (Analysis Services)

Altre risorse

Autenticazione di Microsoft Business Intelligence e delega dell'identità

Autenticazione reciproca tramite Kerberos