Делегирование удостоверений для служб PerformancePoint (SharePoint Server 2010)

Применимо к: PerformancePoint Services, SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

В данном сценарии в среду SharePoint Server добавляется приложение-служба PerformancePoint Services и настраивается ограниченное делегирование Kerberos, которое позволяет службе извлекать данные из внешнего куба служб Analysis Services и иметь возможность извлекать данные из SQL Server.

Зависимости сценария

Для выполнения этого сценария потребуется выполнить:

• Сценарий 1. Базовая настройка

• Сценарий 2. Проверка подлинности Kerberos для SQL OLTP (необязательно)

• Сценарий 3. Проверка подлинности Kerberos для служб SQL Server Analysis Services

Контрольный список настройки

Сведения о среде для сценария

Пути ограниченного делегирования Kerberos

В данном сценарии мы настроим в учетной записи службы PerformancePoint Services ограниченное делегирование Kerberos для службы SQL Server.

Логическая проверка подлинности SharePoint Server

Проверка подлинности в данном сценарии начинается с проверки подлинности клиента с использованием Kerberos на интерфейсном веб-сервере. SharePoint Server 2010 преобразует маркер проверки подлинности Windows в маркер утверждений с использованием локальной службы маркеров безопасности. Приложение-служба PerformancePoint принимает маркер утверждений и преобразует его в маркер Windows (Kerberos) с использованием локальной службы Claims to Windows Token Service (C2WTS), которая входит в состав Windows Identity Framework (WIF). Приложение-служба PerformancePoint затем использует билет Kerberos клиента для проверки подлинности на сервере DataSource.

Пошаговые инструкции по настройке

Настройка Active Directory

Создание учетной записи службы PerformancePoint Services

Рекомендуется запускать службу PerformancePoint Services со своим удостоверением домена. Для настройки приложения-службы PerformancePoint Services нужно создать учетную запись Active Directory и зарегистрировать ее в качестве управляемой учетной записи в SharePoint Server 2010. Дополнительные сведения см. в статье, посвященной управляемым учетным записям в SharePoint 2010 (Возможно, на английском языке). В данном примере создается следующая учетная запись, которая регистрируется позже в этом сценарии.

Создание имени участника-службы для учетной записи службы, в которой выполняются службы PerformancePoint Service на сервере приложений.

Этот шаг является обязательным, поскольку учетная запись службы, от имени которой выполняется пул приложений SharePoint Application, отличается от учетной записи PerformancePoint.

Обычно для настройки делегирования Kerberos используется оснастка консоли управления (MMC) "Пользователи и компьютеры Active Directory". Для настройки параметров делегирования в оснастке у настраиваемого объекта Active Directory должно быть имя участника-службы, в противном случае в диалоговом окне свойств объекта будет отсутствовать вкладка делегирование. Для работы службы Visio Services не требуется имя участника-службы, тем не менее, мы его зададим.

В командной строке введите следующую команду:

SETSPN -S SP/svcPPS

Проверка имени участника-службы Analysis Services в учетной записи службы SQL Server Analysis Services, vmlab\svcSQLAS (выполняется в сценарии 3) И (Необязательно) Проверка учетной записи компонента SQL Server Database Engine, vmlab\svcSQL (выполняется в сценарии 2)

Проверить, существует ли имя участника-службы для учетной записи службы SQL Server (vmlab\svcSQLAS), можно с помощью следующей команды SetSPN:

SetSPN -L vmlab\svcSQLAS

Должна появиться следующая строка:

MSOLAPSvc.3/MySqlCluster

Проверить, существует ли имя участника-службы для учетной записи службы Analysis Services (vmlab\svcSQL), можно с помощью следующей команды SetSPN:

SetSPN -L vmlab\svcSQL

Должна появиться следующая строка:

MSSQLSVC/MySqlCluster

Настройка ограниченного делегирования Kerberos в учетной записи службы PerformancePoint Services для служб SSAS и при необходимости для службы SQL Server

Чтобы позволить службам PerformancePoint Services делегировать удостоверение клиента, необходимо настроить ограниченное делегирование Kerberos. Также необходимо задать ограниченное делегирование с переносом протокола для преобразования маркеров утверждений в маркеры Windows с помощью службы WIF C2WTS.

Каждый сервер, на котором выполняются службы PerformancePoint Services, должен быть доверенным для делегирования учетных данных каждой серверной службе, в которой будет проходить проверку подлинности PerformancePoint. Также необходимо настроить учетную запись службы PerformancePoint Services, чтобы разрешить делегирование тем же серверным службам. Обратите внимание, что делегирование в HTTP/Portal и HTTP/Portal.vmlab.local настраивается для того, чтобы включить список SharePoint в качестве дополнительного источника данных для панели мониторинга PerformancePoint.

В данном примере определяются следующие пути делегирования:

Настройка ограниченного делегирования

1. Откройте окно свойств объекта Active Directory в оснастке "Пользователи и компьютеры Active Directory".

2. Перейдите на вкладку Делегирование.

3. Выберите Этот компьютер доверенный для делегирования указанных служб.

4. Выберите Использовать любой протокол проверки подлинности.

5. Нажмите кнопку добавления, чтобы выбрать участника-службу.

6. Выберите Пользователи и компьютеры.

7. Выберите учетную запись службы, от имени которой выполняется служба, для которой нужно выполнить делегирование.

   Примечание

   У выбранной учетной записи должно быть имя участника-службы. В данном примере имя участника-службы для этой учетной записи было настроено в предыдущем сценарии.

8. Нажмите кнопку ОК.

9. Выберите имена участников-служб, для которых нужно выполнить делегирование, и нажмите кнопку OK.

10. После этого выбранные имена участников-служб должны появиться в списке Службы, которым данная учетная запись может предоставлять делегированные учетные данные.

11. Повторите эти действия для каждого пути делегирования, определенного в начале этого раздела.

Настройка SharePoint Server

Настройка и запуск службы Claims to Windows Token Service на серверах PerformancePoint Services

Claims to Windows Token Service (C2WTS) — это компонент платформы Windows Identity Foundation (WIF), который выполняет преобразование маркеров пользовательских утверждений в маркеры Windows. Службы PerformancePoint Services используют C2WTS для преобразования маркеров пользовательских утверждений в маркеры Windows, когда им необходимо делегировать учетные данные серверной системе, в которой используется проверка подлинности Windows. WIF развертывается вместе с SharePoint Server 2010, а службу C2WTS можно запустить в центре администрирования.

На каждом сервере приложений PerformancePoint Services должна быть локально запущена служба C2WTS. C2WTS не открывает портов, и к ней не могут получать доступ удаленные вызывающие. Кроме того, в файле конфигурации службы C2WTS необходимо определить доверие к удостоверениям локальных вызывающих клиентов.

Рекомендуется запускать C2WTS в выделенной учетной записи службы, а не в качестве учетной записи "Локальная система" (конфигурация по умолчанию). Учетная запись службы C2WTS требует особых локальных разрешений для каждого сервера, на котором выполняется служба, поэтому эти разрешения нужно настраивать каждый раз при запуске службы на сервере. Оптимально настроить разрешения учетной записи службы на локальном сервере до запуска C2WTS. Если разрешения задаются позже, можно перезапустить C2WTS из консоли управления службами Windows (services.msc).

Запуск C2WTS

1. Создайте учетную запись службы в Active Directory, от имени которой будет запускаться служба. В данном примере создана запись vmlab\svcC2WTS.

2. Добавьте в учетную запись службы произвольное имя участника-службы, чтобы открыть параметры делегирования для этой учетной записи в оснастке "Пользователи и компьютеры Active Directory". Имя участника службы может иметь любой формат, поскольку проверка подлинности в C2WTS выполняется не с помощью Kerberos. Рекомендуется не использовать имя участника-службы HTTP, чтобы случайно не создать повторяющихся имен в среде. В данном примере для учетной записи vmlab\svcC2WTS было зарегистрировано имя SP/C2WTS с помощью следующей команды:

   SetSPN -S SP/C2WTS vmlab\svcC2WTS
   

3. Настройте ограниченное делегирование Kerberos в учетной записи службы C2WTS. В данном сценарии учетные данные делегируются службе SQL Server, которая выполняется с именем участника-службы MSOLAPsvc.3/MySqlCluster.vmlab.local.

4. Затем задайте необходимые разрешения на локальном сервере, которые необходимы для C2WTS. Эти разрешения нужно задать на каждом сервере, на котором выполняется C2WTS. В данном примере это VMSP10APP01. Выполните вход на сервер и предоставьте C2WTS следующие разрешения.

   1. Добавьте учетную запись службы в группу локальных администраторов.

   2. В локальной политике безопасности (secpol.msc) в области назначения прав пользователей предоставьте учетной записи службы следующие разрешения:

      1. Работа в режиме операционной системы

      2. Имитация клиента после проверки подлинности

      3. Вход в качестве службы

5. Откройте центр администрирования.

6. В разделе Безопасность в области Настройка управляемых учетных записей служб зарегистрируйте учетную запись службы C2WTS в качестве управляемой записи.

7. В области служб выберите Управление службами на сервере.

8. В поле выбора сервера в верхнем правом углу выберите серверы, на которых выполняется служба PerformancePoint Services. В данном примере это VMSP10APP01.

9. Найдите службу Claims to Windows Token Service и запустите ее.

10. Перейдите в область Управление учетными записями служб в разделе Безопасность. Измените удостоверение C2WTS на новую управляемую учетную запись.

    Примечание

    Если служба C2WTS была запущена до настройки выделенной учетной записи службы или необходимо изменить разрешения для учетной записи службы, потребуется перезапустить C2WTS из консоли служб.

    Кроме того, при возникновении проблем с C2WTS после перезапуска, может потребоваться перезапустить пулы приложений IIS, которые взаимодействуют с C2WTS.

Добавление зависимостей при запуске для службы WIF C2WTS

У службы C2WTS имеется известная проблема, когда она не может автоматически запускаться при перезагрузке системы. Чтобы решить эту проблему, нужно настроить зависимость службы от служб криптографии.

1. Откройте окно командной строки.

2. Введите: sc config c2wts depend= CryptSvc

3. Найдите службу Claims to Windows Token Service в консоли служб.

4. Откройте окно свойств для службы.

5. Перейдите на вкладку Зависимости. Убедитесь, что на ней указаны Службы криптографии:

6. Нажмите кнопку ОК.

Запуск экземпляра служб PerformancePoint Services на сервере PerformancePoint Services

Перед созданием приложения-службы PerformancePoint Services нужно запустить службы PerformancePoint Services на выделенных серверах фермы. Более подробные сведения о конфигурации служб PerformancePoint Services см. в статье Управление службами PerformancePoint.

1. Откройте центр администрирования.

2. В области служб выберите Управление службами на сервере.

3. В поле выбора сервера в верхнем правом углу выберите серверы, на которых выполняются службы PerformancePoint Services. В данном примере это VMSP10APP01.

4. Запустите службы PerformancePoint Service.

Создание приложения-службы PerformancePoint Services и прокси

Затем нужно настроить новое приложение-службу PerformancePoint Services и прокси приложения, чтобы веб-приложения могли использовать PerformancePoint Services:

1. Откройте центр администрирования.

2. Выберите Управление приложениями-службами в разделе Управление приложениями.

3. Щелкните Создать и выберите пункт Приложение-служба PerformancePoint Services.

4. Настройте новое приложение-службу. Убедитесь, что выбрана правильная учетная запись службы, либо создайте новую управляемую учетную запись, если это не было сделано ранее.

Создать и зарегистрировать новую учетную запись службы для существующего пула приложений, выделенного для PerformancePoint Services, можно до этого шага или при создании нового приложения-службы PerformancePoint Service. Чтобы связать учетную запись службы с существующим пулом приложений, выделенным для PerformancePoint PerformancePoint Services, или проверить существующую учетную запись, выполните следующие действия.

1. Откройте центр администрирования SharePoint. Найдите пункт Настройка управляемых учетных записей в разделе Безопасность.

2. В раскрывающемся списке выберите пул приложений.

3. Выберите учетную запись Active Directory.

Предоставление учетной записи служб PerformancePoint Services разрешений для базы данных контента веб-приложения

Необходимым этапом настройки SharePoint Server 2010 Office Web Applications является предоставление учетной записи службы для веб-приложения разрешений на доступ к базам данных контента для данного веб-приложения . В данном примере в Windows PowerShell учетной записи службы PerformancePoint Services предоставляется доступ к базе данных контента веб-приложения портала.

Выполните следующую команду в консоли управления SharePoint 2010:

$w = Get-SPWebApplication -Identity http://portal

$w.GrantAccessToProcessIdentity("vmlab\svcPPS")

Настройка надежного расположения файлов для служб PerformancePoint Services и настройка параметров проверки подлинности

После создания приложения-службы PerformancePoint Services необходимо настроить свойства нового приложения-службы и указать надежное расположение узла и параметры проверки подлинности.

1. Откройте центр администрирования.

2. Выберите Управление приложениями-службами в разделе Управление приложениями.

3. Щелкните ссылку для нового приложения-службы, PerformancePoint Services, и нажмите кнопку Управление на ленте.

4. На экране управления PerformancePoint Services щелкните Надежные расположения источника данных.

5. Выберите параметр Только заданные расположения и щелкните Добавить надежное расположение источника данных.

6. Введите URL-адрес расположения, выберите Семейство сайтов (и поддерево) и нажмите кнопку OK.

7. Выберите параметр Только заданные расположения и щелкните Добавить надежное расположение источника данных.

8. Введите URL-адрес расположения, выберите Сайт (и поддерево) и нажмите кнопку OK.

Проверка ограниченного делегирования в PerformancePoint Services

Создайте тестовую панель мониторинга PerformancePoint с подключением к данным служб SQL Server AS

Затем откройте конструктор панелей мониторинга PerformancePoint и создайте подключение к данным служб Analysis Services.

1. Откройте конструктор панелей мониторинга PerformancePoint и щелкните правой кнопкой мыши источник данных для создания подключения.

2. Выберите Службы Analysis Services.

3. Укажите сервер, базу данных и куб и выберите По пользовательскому удостоверению.

4. Нажмите кнопку Проверить источник данных, чтобы проверить подключение.

5. Создайте отчет и панель мониторинга.

6. Убедитесь в наличии подключения к данным, для этого перетащите меры и измерения из области сведений в конструктор отчетов.

7. Отчет можно включить в панель мониторинга.

   Выберите Отчеты и затем перетащите "Мой отчет" на страницу контента панели мониторинга.

8.  

Публикация панели мониторинга в SharePoint Server

Последним шагом проверки приложения-службы PerformancePoint Services является публикация панели мониторинга и тестирование обновления и просмотра данных в службах Analysis Services. Для этого:

1. Выберите светлый значок кнопки файла.

2. Щелкните Развернуть для выбранного файла.

3. Выберите главную страницу, на которой нужно провести публикацию.

4. Нажмите кнопку обновления в браузере.

   Если подключение к данным было обновлено, значит делегирование Kerberos в службах PerformancePoint Services было успешно настроено.