Planen der Sicherheit für die PerformancePoint-Dienste (SharePoint Server 2010)

SharePoint 2010
 

Gilt für: SharePoint Server 2010 Enterprise

Letztes Änderungsdatum des Themas: 2017-01-18

In PerformancePoint Services in Microsoft SharePoint Server 2010 werden in Listen und Dokumentbibliotheken gespeicherte Objekte durch das Sicherheitsmodell von Microsoft SharePoint Server 2010 geschützt. Zusätzlich zu diesem Modell fügt PerformancePoint-Dienstedem Basisgerüst von SharePoint Server 2010 zusätzliche Produktfeatures hinzu, damit Datenquellen und Dashboardinhalte sicher und vor unberechtigten Zugriffen geschützt sind. Obwohl die PerformancePoint-Dienste vom Sicherheitsmodell von SharePoint Server 2010 abhängig sind, sind dennoch besondere Sicherheitsüberlegungen bei der Planung und Verwaltung zu berücksichtigen. Alle dienstbasierten Sicherheitseinstellungen werden innerhalb der SharePoint Server-Website für die Zentraladministration verwaltet, um die Verwaltung von freigegebenen Ressourcen und Benutzerzugriffe zu vereinfachen.

In diesem Artikel werden die Bereiche behandelt, die beim Planen von Authentifizierung, Autorisierung und Datenquellenauthentifizierung zu berücksichtigen sind.

Die PerformancePoint-Dienste ermöglichen die Wahl zwischen drei verschiedenen Methoden für die Authentifizierung von Datenquellen.

  • Identität für einzelne Benutzer: Für den Zugriff auf alle Datenquellen wird das eigene Konto des jeweiligen Benutzers verwendet. Bei dieser Methode ist die Kerberos-Stellvertretung erforderlich. Ein Domänenadministrator muss die Kerberos-Stellvertretung zwischen PerformancePoint-Dienste und den Datenquellen konfigurieren.

    HinweisNote
    Externe Datenquellen müssen sich innerhalb der gleichen Domäne befinden wie die SharePoint Server 2010-Farm. Befinden sich externe Datenquellen nicht innerhalb der gleichen Domäne, treten bei der Authentifizierung gegenüber den externen Datenquellen Fehler auf. Weitere Informationen finden Sie unter Überlegungen zur Planung für Dienste, die auf auf externe Datenquellen zugreifen in “Planen der Dienstarchitektur”.
  • Unbeaufsichtigtes Dienstkonto: Für den Zugriff auf alle Datenquellen wird ein einziges freigegebenes Benutzerkonto verwendet. Dabei handelt es sich um ein Domänenkonto mit niedrigen Berechtigungen, das in Secure Store Service gespeichert ist. Ermitteln Sie beim Festlegen des unbeaufsichtigten Dienstkontos zuerst, ob das Konto über den entsprechenden Zugriff auf die im Dashboard erforderlichen Datenquellen verfügt.

  • Benutzerdefinierte Daten: Ermöglicht in SQL Server Analysis Services das Einschließen des zurzeit authentifizierten Benutzernamens als Parameter für das benutzerdefinierte Datenfeld in einer Analysis Services-Verbindungszeichenfolge. Die Option für benutzerdefinierte Daten wird nur für Analysis Services-Datenquellen verwendet und kann für Analysis Services 2006- und Analysis Services 2008-Server verwendet werden.

In PerformancePoint-Dienste sind Datenquellenverbindungen in Dokumentbibliotheken enthalten, und Dateninhalte (KPIs, Filter, Scorecards usw.) sind in Dokumentlisten enthalten. Die Listen und Bibliotheken müssen als "vertrauenswürdige" Speicherorte festgelegt werden, um die Inhalte zu schützen und zu verhindern, dass Benutzer Abfragen für Datenquellen ausführen, wenn die Objekte in der Abfrage nicht vertrauenswürdig sind. Der Farmadministrator hat die Möglichkeit, alle Speicherorte in der Farm als vertrauenswürdig festzulegen oder bestimmte Speicherorte als vertrauenswürdig zu identifizieren. Da es möglich ist, den zu schützenden Speicherort in der Farm einfach zu definieren, muss der Farmadministrator nicht die gesamte Farm schützen.

Vertrauenswürdige Speicherorte bieten eine zusätzliche Sicherheitsebene, durch die die Abfrageausführung für Datenquellen oder für beliebige Objekte, die von einer Datenquelle abhängen, die sich nicht in einem vertrauenswürdigen Speicherort befindet, eingeschränkt wird. Die Dokumentbibliothek oder jedes übergeordnete Objekt bis zur Webanwendung kann als vertrauenswürdig definiert werden. In PerformancePoint-Dienste wird die Konfiguration der Einstellungen für vertrauenswürdige Speicherorte zentral über die Zentraladministration verwaltet. Die Konfiguration kann auch mithilfe von Windows PowerShell 2,0-Cmdlets verwaltet werden. Berücksichtigen Sie beim Planen der Sicherheit der PerformancePoint-Dienste, ob Sie die gesamte Webanwendung schützen möchten bzw. müssen oder ob Sie den Speicherort für sichere Daten strikter verwalten möchten.

Beispiel: Speicherorte innerhalb einer Farm, die unabhängig voneinander als vertrauenswürdig gekennzeichnet sind, weisen die folgende SharePoint Server 2010-Hierarchie für Dateninhalte oder Datenquellen auf:

  1. Die Verwendung von vertrauenswürdigen Speicherorten für Datenquellen und/oder Inhalte für die gesamte Farm wird deaktiviert.

  2. Listen und/oder Dokumentbibliotheken in der Webanwendung werden als vertrauenswürdig betrachtet.

  3. Listen und/oder Dokumentbibliotheken in einer Websitesammlung einschließlich aller untergeordneten Websites werden als vertrauenswürdig betrachtet.

  4. Listen und/oder Dokumentbibliotheken auf einer Website werden als vertrauenswürdig betrachtet.

  5. Eine einzelne Liste und/oder Dokumentbibliothek in der Farm wird als vertrauenswürdig betrachtet.

Beim Überprüfen der Vertrauenswürdigkeit eines Speicherorts wird vom Server überprüft, ob Vertrauenswürdige Speicherorte aktiviert ist. Wenn diese Eigenschaft aktiviert ist, wird die Liste der vertrauenswürdigen Speicherorte beginnend mit der Websitesammlung und dann weiter mit den einzelnen niedrigeren Hierarchieebenen daraufhin überprüft, ob die Inhalte vertrauenswürdig sind.

Elemente, für die keine Datenquelle verwendet wird, müssen sich nicht in einem vertrauenswürdigen Speicherort befinden, damit sie gerendert werden. Dazu gehören Webseiten, statische KPIs, Dashboards und Indikatorsymbole.

HinweisNote
Vertrauenswürdige Speicherorte für Datenquellen können nicht in einer Liste definiert werden, und vertrauenswürdige Speicherorte für Inhalte können nicht in einer Dokumentbibliothek definiert werden.

Vertrauenswürdige Dateninhaltsbibliotheken sind SharePoint Server 2010-Dokumentbibliotheken, die nur Datenverbindungsdateien für PerformancePoint-Dienste enthalten. Die PPSDC-Dateien werden verwendet, um Verbindungen mit Datenquellen, beispielsweise SQL Server-Datenbanken, OLAP-Cubes, relationale Datenbanken und Excel Services-Kalkulationstabellen, zentral zu verwalten.

Die Datenquellen werden im Dashboard-Designer definiert und in einer vertrauenswürdigen Datenverbindungsbibliothek in SharePoint Server 2010 gespeichert. Eine vertrauenswürdige Datenverbindungsbibliothek ist eine Dokumentbibliothek, die Sie als sicher bestimmt haben. Sie schränkt die Verwendung von Datenquellendateien ein, lässt jedoch zu, dass die Dateien gelesen werden können. Eine Dokumentbibliothek wird jedoch standardmäßig beim Bereitstellen der PerformancePoint-Dienste erstellt. Administratoren können Datenverbindungen auf dem Server verwalten, indem sie mehrere Datenverbindungsbibliotheken erstellen. Wenn ein Benutzer eine Datenquellenverbindung in der Dokumentbibliothek aktualisiert, werden die Informationen freigegeben und beim Öffnen einer Arbeitsbereichsdatei im Dashboard-Designer aktualisiert.

Berichte, Scorecards, KPIs und Filter müssen in einer vertrauenswürdigen SharePoint Server 2010-Liste gespeichert werden. Die Liste bzw. jedes übergeordnete Objekt bis zur Websitesammlung kann während der Erstkonfiguration oder später über die Zentraladministration als vertrauenswürdig definiert werden.

In PerformancePoint-Dienste wird die Sicherheitseinstellung für Datenquellen in der jeweiligen Datenquelle gespeichert. Die Einstellung, die bestimmt, ob vom Server der zurzeit authentifizierte Benutzer, ein unbeaufsichtigtes Benutzerkonto oder ein unbeaufsichtigtes Benutzerkonto mit benutzerdefinierten Daten verwendet wird, wird für jede Datenquelle einzeln konfiguriert.

Durch Secure Store Service in SharePoint Server 2010 wird das sichere Speichern von Daten wie beispielsweise Anmeldeinformationen und das Zuordnen dieser Anmeldeinformationen zu einer bestimmten Identität oder einer Gruppe von Identitäten ermöglicht. Secure Store Service ist in allen SharePoint Server 2010-Farmen vorhanden.

In PerformancePoint-Dienste kann jede Datenquelle so konfiguriert werden, dass die Anmeldeinformationen des zurzeit authentifizierten Benutzers oder des unbeaufsichtigten Dienstkontos verwendet werden. Beim unbeaufsichtigten Dienstkonto handelt es sich um einen Satz Domänenanmeldeinformationen, die beim Herstellen einer Verbindung mit einer Datenquelle verwendet werden. Vom Server wird das unbeaufsichtigte Dienstkonto anstelle des verwalteten Kontos für Datenquellenabfragen verwendet, um zu verhindern, dass der PerformancePoint-Dienste-Prozess während der Abfrageausführung auf die Inhaltsdatenbank zugreift.

Die PerformancePoint-Dienste speichern und rufen die Anmeldeinformationen für unbeaufsichtigte Dienstkonten in Secure Store Service ab. Da der Server sowohl Benutzername als auch Kennwort zur Annahme der Identität des Benutzers behalten muss, wird das Kennwort für das unbeaufsichtigte Dienstkonto in Secure Store Service gespeichert. Der Benutzername wird in der PerformancePoint-Dienste-Datenbank gespeichert, damit er auf der Seite mit den Einstellungen angezeigt und darauf zugegriffen werden kann .

Stellen Sie beim Erstellen des unbeaufsichtigten Dienstkontos sicher, dass das Konto über entsprechenden Zugriff auf die erforderlichen Datenquellen verfügt.

Es ist wichtig, zu verstehen, dass die Anmeldeinformationen des unbeaufsichtigten Dienstkontos nicht global zwischengespeichert werden. Sie werden stattdessen nur bei Bedarf von Secure Store Service abgerufen. Wenn Sie im Dashboard-Designer eine Arbeitsbereichsdatei mit einer Datenquelle öffnen, bei der eine Verbindung mit der Option für den unbeaufsichtigten Dienst hergestellt wird und die Anmeldeinformationen für diese Verbindung nicht zwischengespeichert sind, wird das Kennwort für das unbeaufsichtigte Dienstkonto von Secure Store Service abgerufen und die Zieldatenquelle verwendet.

Bei der anspruchsbasierten Authentifizierung in SharePoint Server 2010 werden mehrere Authentifizierungsanbieter für eine einzige Webanwendung unterstützt, und die anspruchsbasierte Authentifizierung wird zum Übergeben der Benutzeridentität zwischen den Front-End-Webservern und den Anwendungsservern verwendet. PerformancePoint-Dienste unterstützt mehrere Authentifizierungsanbieter nur, wenn Dashboardinhalte über einen Webbrowser verwendet werden. Für die Verwendung des Dashboard-Designer in dieser Konfiguration müssen Sie die Webanwendung erweitern, um Zugriff auf die neue URL zu konfigurieren, der auf den Windows-Authentifizierungsanbieter beschränkt ist.

Anzeigen: