规划 PerformancePoint Services 安全性 (SharePoint Server 2010)

项目
02/17/2017

适用于： SharePoint Server 2010 Enterprise

上一次修改主题： 2017-01-18

在 Microsoft SharePoint Server 2010 中的 PerformancePoint Services 中，通过 Microsoft SharePoint Server 2010 安全模型来保护存储在列表和文档库中的对象。在此模型之上，PerformancePoint Services将额外的产品功能添加到基本 SharePoint Server 2010 框架中，以确保数据源和仪表板内容的安全，并防止未经授权的访问。尽管 PerformancePoint Services 对 SharePoint Server 2010 安全模型存在依赖性，仍需要考虑特殊的安全注意事项，进而对此进行规划和管理。所有基于服务的安全设置都在 SharePoint Server 管理中心网站内进行管理，以便管理共享资源和用户访问。

本文涉及的领域为身份验证、授权和数据源身份验证中的规划。

身份验证

在 PerformancePoint Services 中，可以从三种不同的方法中选择数据源身份验证方法。

每用户标识： 使用每个用户自己的帐户访问所有数据源。此方法需要 Kerberos 委派。域管理员必须在 PerformancePoint Services 和数据源之间配置 Kerberos 委派。

备注

外部数据源必须在与 SharePoint Server 2010 服务器场相同的域中。如果外部数据源不在相同的域中，则对外部数据源的身份验证将失败。有关详细信息，请参阅“服务体系结构规划”中的有关访问外部数据源的服务的规划注意事项。
无人参与服务帐户： 使用单个共享的用户帐户访问所有数据源。这是存储在 Secure Store Service 中的一种低特权域帐户。在建立无人参与服务帐户时，首先应当确定该帐户是否具有适当的权限，能否访问将来仪表板中所需要的数据源。
自定义数据： 为 SQL Server Analysis Services 提供一种功能，使其可将当前经过身份验证的用户名作为自定义数据字段上的一个参数包括在 Analysis Services 连接字符串中。“自定义数据”选项仅用于 Analysis Services 数据源，可在 Analysis Services 2006 和 2008 服务器上使用。

受信任位置

在 PerformancePoint Services 中，数据源连接包含在文档库中，数据内容（KPI、筛选器、记分卡等）包含在文档列表中。为保护内容，防止用户对数据源运行查询（如果查询中的对象不受信任），必须将列表和库构建为“受信任”的位置。服务器场管理员可以选择将服务器场中的所有位置都设置为“受信任”位置，也可以标识特定位置为受信任位置。因为可以方便地将服务器场中的位置定义为安全位置，所以，服务器场管理员不必执行保护整个服务器场的任务。

受信任位置额外提供了一层安全性，可限制对数据源或依赖于非信任位置处的数据源的任何对象执行查询。可将文档库或任何父对象（直至 Web 应用程序）定义为受信任。在 PerformancePoint Services中，通过管理中心集中管理受信任位置设置的配置。也可使用 Windows PowerShell 2.0 cmdlet 管理配置。在规划 PerformancePoint Services的安全性时，请考虑是要保护整个 Web 应用程序，还是要更严格地管理安全数据的位置。

例如：服务器场中独立标记为“受信任”的位置，它们具有以下针对数据内容或数据源的 SharePoint Server 2010 层次结构：

对于整个服务器场，禁止将“受信任位置”用于数据源和/或内容。
信任 Web 应用程序中的列表和/或文档库。
信任网站集（包括所有子网站）中的列表和/或文档库。
信任网站中的列表和/或文档库。
信任服务器场中的单个列表和/或文档库。

在验证某个位置是否为受信任位置时，服务器将检查是否启用了“受信任位置”。如果启用了该属性，服务器将从网站集开始，沿层次结构向下逐级检查受信任位置的列表，以验证内容是否受信任。

不使用数据源的项目即使不在受信任位置也能呈现。这些项目包括网页、静态 KPI、仪表板和指示器图标。

备注

不能对列表定义受信任的数据源位置，也不能对文档库定义受信任的内容位置。

受信任数据内容库

受信任数据内容库是包含 PerformancePoint Services 数据连接 (.ppsdc) 文件的 SharePoint Server 2010 文档库。.ppsdc 文件用于集中管理与数据源（包括 SQL Server 数据库、OLAP 多维数据集、关系数据库和 Excel Services 电子表格）的连接。

数据源是在仪表板设计器中定义的，存储在 SharePoint Server 2010 上的受信任数据连接库中。受信任数据连接库是您已确定处于安全状态的文档库。它限制对数据源文件的使用，但仍然允许读取数据源文件。在设置 PerformancePoint Services 时，默认情况下将创建文档库，不过，管理员可通过创建多个数据连接库来管理服务器上的数据连接。如果用户更新了文档库中的数据源连接，则在仪表板设计器中打开工作区文件时，将共享和更新相应信息。

仪表板内容的受信任列表

报表、记分卡、KPI 和筛选器都需要存储在受信任的 SharePoint Server 2010 列表中。在初次配置或之后通过管理中心配置期间，列表或任何父对象（直至网站集）都可以定义为是受信任的。

数据源安全性

在 PerformancePoint Services中，数据源的安全设置存储在每个数据源中。用于确定服务器是使用当前验证用户、无人参与用户帐户还是使用自定义数据的无人参与用户帐户的设置，则是在每个数据源上配置的。

Secure Store Service 和无人参与服务帐户

SharePoint Server 2010 Secure Store Service 提供安全存储数据（如凭据）的功能并将数据与特定标识或标识组相关联。所有 SharePoint Server 2010 服务器场都提供 Secure Store Service。

在 PerformancePoint Services 中，可将每个数据源配置为使用当前经过身份验证的用户凭据，或使用“无人参与服务帐户”。无人参与服务帐户是连接到数据源时所模拟的一组域凭据。服务器使用无人参与服务帐户而非托管帐户进行数据源查询，以防止 PerformancePoint Services 进程在执行查询过程中访问内容数据库。

PerformancePoint Services 在 Secure Store Service 中存储和检索无人参与服务帐户凭据。因为服务器需要保留用户名和密码来模仿用户，所以在 Secure Store Service 中存储无人参与服务帐户的密码。用户名存储在 PerformancePoint Services 数据库中，因此用户名是可以访问的，并可以显示在设置页中。

在创建无人参与服务帐户时，确保该帐户具有适当的访问权，可以访问将来需要的数据源。

无人参与服务帐户凭据并非全局缓存的，理解这一点很重要。确切地说，仅当需要时，才会从 Secure Store Service 中检索无人参与服务帐户凭据。如果在仪表板设计器中打开一个工作区文件，该设计器包含一个使用无人参与服务选项连接的数据源，并且尚未为该连接缓存凭据，则会从 Secure Store Service 中检索无人参与服务帐户密码，然后使用目标数据源。

基于声明的身份验证

SharePoint Server 2010 中的基于声明的身份验证支持单个 Web 应用程序上的多个身份验证提供程序，并可用于在前端 Web 服务器和应用程序服务器之间传递用户标识。PerformancePoint Services 仅在通过 Web 浏览器使用仪表板内容时支持多个身份验证提供程序。在使用多个身份验证提供程序直接访问任何 Web 应用程序的 URL 时，不支持仪表板设计器。若要在此配置中使用仪表板设计器，则必须扩展 Web 应用程序以配置对仅限 Windows 身份验证提供程序访问的新 URL 的访问权。