PerformancePoint Services の ID 委任 (SharePoint Server 2010)

適用先: PerformancePoint Services, SharePoint Server 2010

トピックの最終更新日: 2016-11-30

このシナリオでは、SharePoint Server 環境に PerformancePoint Services サービス アプリケーションを追加して、サービスが、外部の Analysis Services キューブからデータを取得し、また SQL Server からデータを取得できるように Kerberos の制限付き委任を構成します。

シナリオの依存関係

このシナリオを完了するには、以下をすでに完了している必要があります。

• シナリオ 1: コア構成

• 2: SQL OLTP 用の Kerberos 認証 (オプション)

• 3: SQL Server Analysis Services 用の Kerberos 認証

構成チェックリスト

シナリオ環境の詳細

Kerberos 制限付き委任のパス

このシナリオでは、SQL Server サービスへの Kerberos 制限付き委任の PerformancePoint Services サービス アカウントを構成します。

SharePoint Server 論理認証

このシナリオでの認証は、Web フロントエンドでの Kerberos 認証による、クライアント認証から始まります。SharePoint Server 2010 は、ローカル Security Token Service (STS) を使用して、Windows 認証トークンをクレーム トークンに変換します。PerformancePoint サービス アプリケーションは、クレーム トークンを受け取り、Windows Identity Framework (WIF) の一部であるローカル Claims to Windows Token Service (C2WTS) を使用して、Windows トークン (Kerberos) に変換します。次に、PerformancePoint サービス アプリケーションは、クライアントの Kerberos チケットを使用して、バックエンド DataSource で認証します。

構成手順

Active Directory の構成

PerformancePoint Services サービス アカウントを作成する

ベスト プラクティスとしては、PerformancePoint Services はそれ自身のドメイン ID で実行する必要があります。PerformancePoint Service アプリケーションを構成するには、Active Directory アカウントが作成され、SharePoint Server 2010 に管理アカウントとして登録されている必要があります。詳細については、「Managed Accounts in SharePoint 2010 (英語)」を参照してください。この例では、以下のアカウントが作成されて、このシナリオの後の手順で登録されます。

アプリケーション サーバーで PerformancePoint サービスを実行しているサービス アカウントの SPN を作成する

SharePoint アプリケーション プールを実行中のサービス アカウントが PerformancePoint アカウントとは異なることから、この手順が必要です。

Kerberos 委任を構成する目的で、一般的には、Active Directory ユーザーとコンピューター MMC スナップインが使用されます。スナップインで委任設定を構成するには、構成する Active Directory オブジェクトにサービス プリンシパル名が適用されている必要があります。そうでない場合は、オブジェクトの [委任] タブは、オブジェクトのプロパティ ダイアログ ボックスに表示されません。このことから、Visio Services が機能するには SPN は不要ですが、この目的で SPN を構成する必要があります。

コマンド ラインで、次のコマンドを実行します。

SETSPN -S SP/svcPPS

SQL Server Analysis Services サービス アカウント、vmlab\svcSQLAS の Analysis Services SPN を確認する (シナリオ 3 で実行) および (オプション) SQL Server データベース エンジン サービス アカウント、vmlab\svcSQL を確認する (シナリオ 2 で実行)

以下の SetSPN コマンドを持つ、SQL Server サービス アカウント (vmlab\svcSQLAS) の SPN が存在することを確認してください。

SetSPN -L vmlab\svcSQLAS

以下のように表示されます。

MSOLAPSvc.3/MySqlCluster

以下の SetSPN コマンドを持つ、Analysis Services サービス アカウント (vmlab\svcSQL) の SPN が存在することを確認してください。

SetSPN -L vmlab\svcSQL

以下のように表示されます。

MSSQLSVC/MySqlCluster

PerformancePoint Services サービス アカウントから、SSAS サービスに、オプションとして SQL Server サービスに Kerberos 制限付き委任を構成する

PerformancePoint サービスにクライアントの ID を委任することを許可するには、Kerberos 制限付き委任を構成する必要があります。また、WIF C2WTS によるクレーム トークンの Windows トークンへの変換のプロトコル移行でも制限付き委任を構成する必要があります。

PerformancePoint サービスを実行中の各サーバーが、PerformancePoint が認証する各バック エンド サービスに資格情報を委任するよう信頼できる必要があります。さらに、同じバック エンド サービスへの委任を許可するよう、PerformancePoint Services サービス アカウントも設定する必要があります。また、PerformancePoint ダッシュボードのオプションのデータ ソースとして SharePoint リストを含むよう、委任する目的で、HTTP /Portal と HTTP/Portal.vmlab.local が構成されることに注意してください。

この例では、以下の委任パスが定義されます。

制限付き委任を構成するには

1. Active Directory ユーザーとコンピューターで、Active Directory オブジェクトのプロパティを開きます。

2. [委任] タブを表示します。

3. [指定されたサービスへの委任でのみこのコンピューターを信頼する] を選択します。

4. [任意の認証プロトコルを使う] を選択します。

5. 追加ボタンをクリックして、サービス プリンシパルを選択します。

6. [ユーザーまたはコンピューター] を選択します。

7. 委任するサービスを実行中のサービス アカウントを選択します。

   注意

   選択したサービス アカウントには、SPN が適用されている必要があります。この例では、このアカウントの SPN は以前のシナリオで構成済みです。

8. [OK] をクリックします。

9. 委任する SPN を選択し、[OK] をクリックします。

10. これで、[このアカウントが委任された資格情報を提示できるサービス] リストに選択した SPN が表示されるはずです。

11. このセクションの初めに定義した各委任パスで、これらの手順を繰り返します。

SharePoint Server の構成

PerformancePoint Services サーバーで Claims to Windows Token Service を構成して開始する

Claims to Windows Token Service (C2WTS) は、Windows Identity Foundation (WIF) のコンポーネントで、ユーザー クレーム トークンを Windows トークンに変換します。PerformancePoint Services は、Windows 認証を使用するバック エンドシステムにサービスが資格情報を委任する必要があるとき、C2WTS を使用して、ユーザーのクレーム トークンを Windows トークンに変換します。WIF は SharePoint Server 2010 と同時に展開され、C2WTS はサーバーの全体管理から開始できます。

各 PerformancePoint Services アプリケーション サーバーは、C2WTS をローカルで実行する必要があります。C2WTS はどのポートも開かず、リモート コーラーはアクセスできません。さらに、C2WTS サービス構成ファイルは、ローカル呼び出しクライアント ID を、明示的に信頼するよう構成する必要があります。

ベスト プラクティスとしては、ローカル システム (既定の構成) としてではなく、専用のサービス アカウントを使用して C2WTS を実行する必要があります。C2WTS サービス アカウントはサービスが実行中の各サーバーで特別なローカル権限を必要とすることから、サービスがサーバーで開始されるたびに、これらの権限を構成する必要があります。最良の方法は、C2WTS を開始する前に、ローカル サーバーのサービス アカウントの権限を構成することです。もし C2WTS の開始後に行った場合は、Windows サービス管理コンソール (services.msc) から C2WTS を、再度、開始できます。

C2WTS を開始するには

1. サービスを実行するには、Active Directory でサービス アカウントを作成します。この例では、vmlab\svcC2WTS を作成しました。

2. Active Directory ユーザーとコンピューターで、このアカウントの委任オプションを公開する目的で、サービス アカウントに任意のサービス プリンシパル名前 (SPN) を追加します。Kerberos 認証を使用して C2WTS に対して認証しないことから、SPN ではあらゆる形式が使用できます。使用中の環境に重複する SPN を作成するのを避ける目的で、HTTP SPN を使用しないことが推奨されます。この例では、以下のコマンドを使用して vmlab\svcC2WTS に SP/C2WTS を登録しました。

   SetSPN -S SP/C2WTS vmlab\svcC2WTS
   

3. C2WTS サービス アカウントに Kerberos 制限付き委任を構成します。このシナリオでは、MSOLAPsvc.3/MySqlCluster.vmlab.local サービス プリンシパル名で実行中の SQL Server サービスに資格情報を委任します。

4. 次に、C2WTS が必要とするローカル サーバー権限を構成します。C2WTS が実行する各サーバーで、これらの権限を構成する必要があります。この例では、VMSP10APP01 です。サーバーにログオンして、C2WTS に以下の権限を与えます。

   1. ローカル Administrators グループにサービス アカウントを追加します。

   2. ローカル セキュリティ ポリシー (secpol.msc) の、ユーザー権限割り当てで、サービス アカウントに以下の権限を与えます。

      1. オペレーティング システムの一部として機能

      2. 認証後にクライアントを偽装

      3. サービスとしてログオン

5. サーバーの全体管理を開きます。

6. [セキュリティ] セクションの、[管理アカウントの構成] で、管理アカウントとして C2WTS サービス アカウントを登録します。

7. サービスで、[サーバーのサービスの管理] を選択します。

8. 右上隅のサーバー選択ボックスで、PerformancePoint サービスを実行中のサーバーを選択します。この例では、VMSP10APP01 です。

9. [Claims to Windows Token Service] を選択して、開始します。

10. [セキュリティ] セクションの [サービス アカウントの構成] に移動します。C2WTS の ID を新しい管理アカウントに変更します。

    注意

    専用のサービス アカウントを構成する前に、C2WTS がすでに実行されていた場合、あるいは、C2WTS が実行された後で、サービス アカウントの権限を変更する必要がある場合、サービス コンソールから C2WTS を、再度、開始する必要があります。

    さらに、サービスを、再度、開始した後で、C2WTS で問題が発生した場合、C2WTS と通信する IIS アプリケーション プールをリセットする必要があることがあります。

WIF C2WTS サービスに起動依存関係を追加する

C2WTS には、システム再起動時に、正常に自動開始しないことがあるという、既知の課題があります。この問題の回避策は、Cryptographic Services サービスにサービス依存関係を構成することです。

1. コマンド プロンプト ウィンドウを開きます。

2. 「sc config c2wts depend= CryptSvc」と入力します。

3. サービス コンソールで Claims to Windows Token Service を探します。

4. サービスのプロパティを開きます。

5. [依存関係] タブを確認してください。[Cryptographic Services] が表示されていることを確認してください。

6. [OK] をクリックします。

PerformancePoint Services サーバーで PerformancePoint Services サービス インスタンスを開始する

PerformancePoint Services サービス アプリケーションを作成する前に、割り当てられたファーム サーバーで PerformancePoint サービスを開始します。PerformancePoint Services 構成の詳細については、「PerformancePoint Services の管理」を参照してください。

1. サーバーの全体管理を開きます。

2. サービスで、[サーバーのサービスの管理] を選択します。

3. 右上隅のサーバー選択ボックスで、PerformancePoint サービスを実行中のサーバーを選択します。この例では、VMSP10APP01 です。

4. [PerformancePoint Service] サービスを開始します。

PerformancePoint Services サービス アプリケーションとプロキシを作成する

次に、Web アプリケーションが PerformancePoint Services を使用できるように、新しい PerformancePoint Services サービス アプリケーションとアプリケーション プロキシを構成します。

1. サーバーの全体管理を開きます。

2. [アプリケーション構成の管理] で [サービス アプリケーションの管理] を選択します。

3. [新規]、[PerformancePoint Services アプリケーション] の順にクリックします。

4. 新しいサービス アプリケーションを構成します。適切なサービス アカウントを選択するか、まだ作成していない場合は、新しい管理アカウントを作成します。

この手順の前、あるいは新しい PerformancePoint Service を作成するときに、PerformancePoint Services 専用の既存のアプリケーション プールの新しいサービス アカウントを作成して、登録できます。PerformancePoint 専用の既存のアプリケーション プールにサービス アカウントを関連付けるか、あるいは既存のアカウントを確認するには、以下の操作を実行します。

1. SharePoint サーバーの全体管理に移動します。[セキュリティ] セクションで [管理アカウントの構成] を探します。

2. ドロップダウン ボックスを選択して、アプリケーション プールを選択します。

3. Active Directory アカウントを選択します。

Web アプリケーション コンテンツ データベースに PerformancePoint Services サービス アカウント権限を与える

SharePoint Server 2010 Office Web アプリケーションの構成で必要な手順は、特定の Web アプリケーションのコンテンツ データベースに、Web アプリケーションのサービス アカウント アクセスを許可することです。この例では、Windows PowerShell を使用して、"ポータル" Web アプリケーションのコンテンツ データベースに PerformancePoint Services アカウント アクセスを与えます。

SharePoint 2010 管理シェルから以下のコマンドを実行します。

$w = Get-SPWebApplication -Identity http://portal

$w.GrantAccessToProcessIdentity("vmlab\svcPPS")

PerformancePoint サービスの信頼できるファイルの場所および認証の設定を構成する

PerformancePoint Services アプリケーションが作成された後で、信頼できるホスト場所と認証設定を指定する目的で、新しいサービス アプリケーションでプロパティを構成する必要があります。

1. サーバーの全体管理を開きます。

2. [アプリケーション構成の管理] で [サービス アプリケーションの管理] を選択します。

3. 新しいサービス アプリケーションのリンク、[PerformancePoint Services]、リボンの [管理] ボタンの順にクリックします。

4. PerformancePoint Services 管理画面で、[信頼できるデータ ソースの場所] をクリックします。

5. [特定の場所のみ] オプションを選択して、[信頼できるデータ ソースの場所の追加] をクリックします。

6. 場所の URL を入力し、[サイト コレクション (およびサブツリー)] オプションを選択して、[OK] をクリックします。

7. [特定の場所のみ] オプションを選択して、[信頼できるデータ ソースの場所の追加] をクリックします。

8. 場所の URL を入力し、[サイト (およびサブツリー)] オプションを選択して、[OK] をクリックします。

PerformancePoint サービス制限付き委任を確認する

SQL Server をデータ接続としてテスト PerformancePoint ダッシュボードを作成する

次に PerformancePoint ダッシュボード デザイナーを開いて、Analysis Services データ接続を作成します。

1. PerformancePoint ダッシュボード デザイナーを開いて、データ ソースを右クリックして接続を作成します。

2. [Analysis Services] を選択します。

3. サーバー、データベース、およびキューブを指定し、[ユーザーごとの ID] を選択します。

4. [データ ソースのテスト] をクリックして、接続をテストします。

5. レポートとダッシュボードを作成します。

6. メジャーとディメンションを、詳細ウィンドウからレポート デザイナーにドラッグして、データ接続があることを確認してください。

7. レポートはダッシュボードに含めることができます。

   [レポート] を選択して、ダッシュボード コンテンツ ページにマイ レポートをドラッグします。

8.  

SharePoint Server にダッシュボードを発行する

PerformancePoint Services アプリケーションを検証する最後の手順は、ダッシュボードを発行し、Analysis Services データの更新と表示をテストすることです。次の手順を実行します。

1. 明るい色のファイル ボタン アイコンを選択します。

2. ファイル選択で [展開] をクリックします。

3. 発行先のマスター ページを選択します。

4. ブラウザーの更新ボタンをクリックします。

   データ接続が更新されれば、Kerberos 委任は PerformancePoint Services で正常に構成されています。