Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)

Gilt für: PerformancePoint Services, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In diesem Szenario fügen Sie die PerformancePoint Services-Dienstanwendung der SharePoint Server-Umgebung hinzu. Anschließend konfigurieren Sie die eingeschränkte Kerberos-Delegierung, damit der Dienst Daten aus einem externen Analysis Services-Cube abrufen kann und die Möglichkeit hat, Daten aus SQL Server abzurufen.

Voraussetzungen für dieses Szenario

Bevor Sie dieses Szenario angehen, müssen die folgenden Aufgaben erledigt sein:

• Szenario 1: Kernkonfiguration

• Szenario 2: Kerberos-Authentifizierung für SQL OLTP (optional)

• Szenario 3: Kerberos-Authentifizierung für SQL Server Analysis Services

Checkliste für die Konfiguration

Details der Szenarioumgebung

Pfade der eingeschränkten Kerberos-Delegierung

In diesem Szenario wird das PerformancePoint Services-Dienstkonto für die eingeschränkte Kerberos-Delegierung für den SQL Server-Dienst konfiguriert.

Logische SharePoint Server-Authentifizierung

Die Authentifizierung in diesem Szenario beginnt mit der Clientauthentifizierung über Kerberos auf dem Web-Front-End-Server. SharePoint Server 2010 wandelt das Windows-Authentifizierungstoken mithilfe des lokalen Sicherheitstokendiensts in ein Forderungstoken um. Die PerformancePoint Services-Anwendung akzeptiert das Forderungstoken und wandelt es mithilfe des zum Windows Identity Framework (WIF) gehörenden Forderungen an den Windows-Tokendiensts in ein Windows-Token (Kerberos) um. Die PerformancePoint Services-Anwendung verwendet anschließend das Kerberos-Ticket zur Authentifizierung bei der Datenquelle im Back-End.

Schrittweise Konfigurationsanweisungen

Active Directory-Konfiguration

Erstellen eines PerformancePoint Services-Dienstkontos

Empfohlen wird, die PerformancePoint Services-Anwendung unter ihrer eigenen Domänenidentität auszuführen. Zum Konfigurieren der PerformancePoint Services-Anwendung muss ein Active Directory-Konto erstellt und in SharePoint Server 2010 als verwaltetes Konto registriert werden. Weitere Informationen zu verwalteten Konten finden Sie im Blogbeitrag Managed Accounts in SharePoint 2010. In diesem Beispiel wird das folgende Konto erstellt und später in diesem Szenario registriert:

Erstellen eines Dienstprinzipalnamens für das Dienstkonto, mit dem der PerformancePoint-Dienst auf dem Anwendungsserver ausgeführt wird

Dieser Schritt ist erforderlich, da das Dienstkonto, mit dem der SharePoint-Anwendungspool ausgeführt wird, sich vom PerformancePoint-Konto unterscheidet.

Die Kerberos-Delegierung wird zumeist im Active Directory-Snap-In Benutzer und Computer konfiguriert. Hierfür muss dem zu konfigurierenden Active Directory-Objekt ein Dienstprinzipalname zugeordnet werden. Andernfalls wird die Registerkarte Delegierung des Objekts in dessen Eigenschaftendialogfeld nicht angezeigt. Wenngleich PerformancePoint Services für den Betrieb keinen Dienstprinzipalnamen benötigt, wird für diesen Zweck einer konfiguriert.

Führen Sie an der Eingabeaufforderung folgenden Befehl aus:

SETSPN -S SP/svcPPS

Überprüfen des Dienstprinzipalnamens von Analysis Services für das SQL Server Analysis Services-Dienstkonto, vmlab\svcSQLAS (erfolgt in Szenario 3) UND (Optional) Überprüfen des Dienstkontos des SQL Server-Datenbankmoduls, vmlab\svcSQL (erfolgt in Szenario 2)

Überprüfen Sie mit dem folgenden SetSPN-Befehl, ob der Dienstprinzipalname für das SQL Server-Dienstkonto (vmlab\svcSQL) vorhanden ist:

SetSPN -L vmlab\svcSQLAS

Folgendes sollte angezeigt werden:

MSSQLSVC/MySqlCluster

Überprüfen Sie mit dem folgenden SetSPN-Befehl, ob der Dienstprinzipalname für das Analysis Services-Dienstkonto (vmlab\svcSQLAS) vorhanden ist:

SetSPN -L vmlab\svcSQL

Folgendes sollte angezeigt werden:

MSOLAPSvc.3/MySqlCluster

Konfigurieren der eingeschränkten Kerberos-Delegierung zwischen dem PerformancePoint Services-Dienstkonto und dem SSAS-Dienst und optional für SQL Server

Damit PerformancePoint-Dienste die Identität des Clients delegieren können, muss die eingeschränkte Kerberos-Delegierung konfiguriert werden. Ferner müssen Sie die eingeschränkte Delegierung mit Protokollübergang für die Umwandlung von Forderungstoken in Windows-Token über den Forderungen an den Windows-Tokendienst von Windows Identity Framework (WIF) konfigurieren.

Servern, auf denen PerformancePoint-Dienste ausgeführt werden, muss für die Delegierung von Anmeldeinformationen an alle Back-End-Dienste vertraut werden, bei denen sich PerformancePoint authentifiziert. Darüber hinaus muss das PerformancePoint Services-Dienstkonto ebenfalls für das Zulassen der Delegierung an dieselben Back-End-Dienste konfiguriert werden. Beachten Sie auch, dass HTTP/Portal und HTTP/Portal.vmlab.local für die Delegierung konfiguriert sind, um eine SharePoint-Liste als optionale Datenquelle für Ihr PerformancePoint-Dashboard hinzuzufügen.

In unserem Beispiel werden die folgenden Delegierungspfade definiert:

So konfigurieren Sie die eingeschränkte Delegierung

1. Öffnen Sie die Eigenschaften des Active Directory-Objekts in Active Directory-Benutzer und -Computer.

2. Navigieren Sie zur Registerkarte Delegierung.

3. Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen aus.

4. Wählen Sie anschließend Beliebiges Authentifizierungsprotokoll verwenden aus.

5. Klicken Sie auf die Schaltfläche Hinzufügen, um den Dienstprinzipal auszuwählen.

6. Wählen Sie Benutzer und Computer aus.

7. Wählen Sie das Dienstkonto aus, mit dem der Dienst ausgeführt wird, an den die Delegierung erfolgen soll.

   Hinweis

   Dem ausgewählten Dienstkonto muss ein Dienstprinzipalname zugeordnet sein. In unserem Beispiel wurde der Dienstprinzipalname für dieses Konto in einem vorherigen Szenario konfiguriert.

8. Klicken Sie auf OK.

9. Wählen Sie die Dienstprinzipalnamen aus, an die die Delegierung erfolgen soll, und klicken Sie dann auf OK.

10. Die ausgewählten Dienstprinzipalnamen sollten nun in der Liste Dienste, für die dieses Konto delegierte Anmeldeinformationen verwenden kann enthalten sein.

11. Wiederholen Sie diese Schritte für alle Delegierungspfade, die am Anfang dieses Abschnitts definiert wurden.

SharePoint Server-Konfiguration

Konfigurieren und Starten des Forderungen an den Windows-Tokendiensts auf Servern mit PerformancePoint Services

Der Forderungen an den Windows-Tokendienst ist eine Komponente von Windows Identity Foundation (WIF) und für das Umwandeln von Benutzerforderungstoken in Windows-Token zuständig. Dies erfolgt in PerformancePoint Services, wenn die Dienste Anmeldeinformationen an ein Back-End-System delegieren müssen, das mit der Windows-Authentifizierung arbeitet. WIF wird mit SharePoint Server 2010 bereitgestellt, der Forderungen an den Windows-Tokendienst kann in der Zentraladministration gestartet werden.

Auf jedem PerformancePoint Services-Anwendungsserver muss der Forderungen an den Windows-Tokendienst lokal ausgeführt werden. Dieser Dienst öffnet keine Ports, und Remoteaufrufer können nicht auf ihn zugreifen. Darüber hinaus muss die Dienstkonfigurationsdatei des Forderungen an den Windows-Tokendiensts so konfiguriert werden, dass der lokalen aufrufenden Clientidentität vertraut wird.

Empfohlen wird, den Forderungen an den Windows-Tokendienst mit einem dedizierten Dienstkonto und nicht als Lokales System (Standardkonfiguration) auszuführen. Das Dienstkonto des Forderungen an den Windows-Tokendiensts erfordert spezielle lokale Berechtigungen für jeden Server, auf dem der Dienst ausgeführt wird. Die entsprechenden Berechtigungen müssen jedes Mal konfiguriert werden, wenn der Dienst auf einem Server gestartet wird. Optimal ist die Konfiguration der Berechtigungen des Dienstkontos auf dem lokalen Server, bevor der Forderungen an den Windows-Tokendienst gestartet wird. Falls dies jedoch im Anschluss erfolgt, können Sie den Forderungen an den Windows-Tokendienst über die Windows-Dienstverwaltungskonsole (services.msc) neu starten.

So starten Sie den Forderungen an den Windows-Tokendienst

1. Erstellen Sie in Active Directory ein Dienstkonto, unter dem der Dienst ausgeführt wird. In diesem Beispiel wird vmlab\svcC2WTS erstellt.

2. Ordnen Sie dem Dienstkonto einen beliebigen Dienstprinzipalnamen zu, um die Delegierungsoptionen für dieses Konto in Active Directory-Benutzer und -Computer anzuzeigen. Dieser Name darf ein beliebiges Format haben, da beim Forderungen an den Windows-Tokendienst keine Kerberos-Authentifizierung erfolgt. Es wird empfohlen, keinen HTTP-Dienstprinzipalnamen zu wählen, damit in Ihrer Umgebung keine doppelten Namen generiert werden. Im Beispiel wurde SP/C2WTS bei vmlab\svcC2WTS mit folgendem Befehl registriert:

   SetSPN -S SP/C2WTS vmlab\svcC2WTS
   

3. Konfigurieren Sie die eingeschränkte Kerberos-Delegierung für das Dienstkonto des Forderungen an den Windows-Tokendiensts. In diesem Szenario werden Anmeldeinformationen an den SQL Server-Dienst delegiert, der mit dem Dienstprinzipalnamen MSOLAPsvc.3/MySqlCluster.vmlab.local ausgeführt wird.

4. Konfigurieren Sie anschließend die vom Forderungen an den Windows-Tokendienst benötigten lokalen Serverberechtigungen, die auf allen Servern konfiguriert werden müssen, auf denen der Forderungen an den Windows-Tokendienst ausgeführt wird. In unserem Beispiel ist dies VMSP10APP01. Melden Sie sich an diesem Server an, und erteilen Sie dem Forderungen an den Windows-Tokendienst die folgenden Berechtigungen:

   1. Fügen Sie das Dienstkonto der lokalen Gruppe Administratoren hinzu.

   2. Erteilen Sie in der lokalen Sicherheitsrichtlinie (secpol.msc) unter Zuweisen von Benutzerrechten dem Dienstkonto die folgenden Berechtigungen:

      1. Einsetzen als Teil des Betriebssystems

      2. Annehmen der Clientidentität nach Authentifizierung

      3. Anmelden als Dienst

5. Öffnen Sie die Zentraladministration.

6. Registrieren Sie im Abschnitt Sicherheit unter Verwaltete Dienstkonten konfigurieren das Dienstkonto des Forderungen an den Windows-Tokendiensts als verwaltetes Konto.

7. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus.

8. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen PerformancePoint-Dienste ausgeführt werden. In diesem Beispiel heißt der Server VMSP10APP01.

9. Navigieren Sie zu Forderungen an den Windows-Tokendienst, und starten Sie den Dienst.

10. Wechseln Sie im Abschnitt Sicherheit zu Dienstkonten verwalten. Ändern Sie die Identität des Forderungen an den Windows-Tokendiensts in das neue verwaltete Konto.

    Hinweis

    Wenn der Forderungen an den Windows-Tokendienst bereits ausgeführt wurde, bevor Sie das dedizierte Dienstkonto konfiguriert haben, oder Sie die Berechtigungen des Dienstkontos nach Start des Forderungen an den Windows-Tokendiensts ändern müssen, starten Sie den Dienst über die Konsole Dienste neu.

    Falls darüber hinaus Probleme mit dem Forderungen an den Windows-Tokendienst nach dem Neustart des Diensts vorliegen sollten, müssen Sie ggf. die IIS-Anwendungspools zurücksetzen, die mit dem Forderungen an den Windows-Tokendienst kommunizieren.

Hinzufügen von Startabhängigkeiten zum Forderungen an den Windows-Tokendienst im WIF

Beim Forderungen an den Windows-Tokendienst gibt es ein bekanntes Problem. Der Dienst wird bei einem Systemneustart nicht automatisch erfolgreich gestartet. Dieses Problem kann behoben werden, indem für die Kryptografiedienste eine Abhängigkeit konfiguriert wird:

1. Öffnen Sie das Eingabeaufforderungsfenster.

2. Geben Sie Folgendes ein: sc config c2wts depend= CryptSvc

3. Wechseln Sie in der Konsole Dienste zum Forderungen an den Windows-Tokendienst.

4. Öffnen Sie die Eigenschaften des Diensts.

5. Überprüfen Sie auf der RegisterkarteAbhängigkeiten, ob Kryptografiedienste aufgeführt ist.

6. Klicken Sie auf OK.

Starten der PerformancePoint Services-Dienstinstanz auf dem Server mit PerformancePoint Services

Starten Sie vor dem Erstellen einer PerformancePoint Services-Dienstanwendung den PerformancePoint Services-Dienst auf den vorgesehenen Farmservern. Weitere Informationen zur PerformancePoint Services-Konfiguration finden Sie unter PerformancePoint Services-Verwaltung.

1. Öffnen Sie die Zentraladministration.

2. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus.

3. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen PerformancePoint-Dienste ausgeführt werden. In diesem Beispiel heißt der Server VMSP10APP01.

4. Starten Sie den Dienst PerformancePoint-Dienst .

Erstellen der PerformancePoint Services-Dienstanwendung und des Proxys

Konfigurieren Sie anschließend eine neue PerformancePoint Services-Dienstanwendung und einen Anwendungsproxy, um Webanwendungen die Nutzung von PerformancePoint Services zu ermöglichen:

1. Öffnen Sie die Zentraladministration.

2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.

3. Klicken Sie auf Neu und dann auf PerformancePoint Services-Anwendung.

4. Konfigurieren Sie die neue Dienstanwendung. Wählen Sie das ordnungsgemäße Dienstkonto aus, oder erstellen Sie ein neues verwaltetes Konto, falls noch nicht geschehen.

Sie können ein neues Dienstkonto für einen vorhandenen dedizierten Anwendungspool für PerformancePoint Services vor diesem Schritt oder beim Erstellen des neuen PerformancePoint-Diensts erstellen und registrieren. Zum Zuordnen des Dienstkontos zu einem vorhandenen dedizierten Anwendungspool für PerformancePoint oder Überprüfen eines vorhandenen Kontos führen Sie die folgenden Schritte aus.

1. Klicken Sie auf der Website für die Zentraladministration im Abschnitt Sicherheit auf Verwaltete Konten konfigurieren.

2. Wählen Sie im Dropdownfeld den Anwendungspool aus.

3. Wählen Sie das Active Directory-Konto aus.

Erteilen von Berechtigungen für die Inhaltsdatenbank der Webanwendung für das PerformancePoint Services-Dienstkonto

Ein erforderlicher Schritt bei der Konfiguration von SharePoint Server 2010-Office-Webanwendungen besteht darin, dem Dienstkonto der Webanwendung den Zugriff auf die Inhaltsdatenbanken einer bestimmten Webanwendung zu ermöglichen. In diesem Beispiel wird dem PerformancePoint Services-Konto Zugriff auf die Inhaltsdatenbank der Webanwendung "portal" über Windows PowerShell erteilt.

Führen Sie den folgenden Befehl an der SharePoint 2010-Verwaltungsshell aus:

$w = Get-SPWebApplication -Identity http://portal

$w.GrantAccessToProcessIdentity("vmlab\svcPPS")

Konfigurieren des vertrauenswürdige Dateispeicherorts und von Authentifizierungseinstellungen für PerformancePoint Services

Nach Erstellen der PerformancePoint Services-Anwendung müssen Sie die Eigenschaften der neuen Dienstanwendung konfigurieren, um einen vertrauenswürdigen Hostspeicherort und Authentifizierungseinstellungen anzugeben.

1. Öffnen Sie die Zentraladministration.

2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.

3. Klicken Sie auf den Link der neuen Dienstanwendung PerformancePoint Services, und klicken Sie auf dem Menüband auf Verwalten.

4. Klicken Sie auf dem Bildschirm zur Verwaltung von PerformancePoint Services auf Vertrauenswürdige Datenquellen-Speicherorte.

5. Wählen Sie die Option Nur bestimmte Orte aus, und klicken Sie auf Vertrauenswürdigen Datenquellen-Speicherort hinzufügen.

6. Geben Sie die URL des Speicherorts ein, wählen Sie die Option Websitesammlung (und Unterstruktur) aus, und klicken Sie dann auf OK.

7. Wählen Sie die Option Nur bestimmte Orte aus, und klicken Sie auf Vertrauenswürdigen Datenquellen-Speicherort hinzufügen.

8. Geben Sie die URL des Speicherorts ein, wählen Sie die Option Website (und Unterstruktur) aus, und klicken Sie dann auf OK.

Überprüfen der eingeschränkten PerformancePoint Services-Delegierung

Erstellen eines PerformancePoint-Testdashboards mit einer SQL Server Analysis Services-Datenverbindung

Öffnen Sie als Nächstes PerformancePoint Dashboard Designer, und erstellen Sie eine Analysis Services-Datenverbindung.

1. Öffnen Sie PerformancePoint Dashboard Designer, und klicken Sie dann mit der rechten Maustaste, um eine Verbindung zu erstellen.

2. Wählen Sie Analysis Services aus.

3. Geben Sie den Server, die Datenbank und den Cube an, und wählen Sie Identität pro Benutzer aus.

4. Klicken Sie auf Datenquelle testen, um die Verbindung zu testen.

5. Erstellen Sie einen Bericht und ein Dashboard.

6. Vergewissern Sie sich, dass Sie über eine Datenverbindung verfügen, indem Sie Measures und Dimensionen aus dem Detailbereich in den Berichts-Designer ziehen.

7. Ihr Bericht kann in das Dashboard einbezogen werden.

   Wählen Sie Berichte aus, und ziehen Sie dann Mein Bericht auf die Seite Dashboardinhalt.

8.  

Veröffentlichen des Dashboards in SharePoint Server

Der letzte Schritt bei der Überprüfung der PerformancePoint Services-Anwendung ist das Veröffentlichen des Dashboards und Testen der Aktualisierung und Anzeige der Analysis Services-Daten. Gehen Sie so vor:

1. Klicken Sie auf das helle Dateischaltflächensymbol.

2. Klicken Sie im Dateiauswahlbereich auf Bereitstellen.

3. Wählen Sie eine Gestaltungsvorlage aus, in der die Veröffentlichung erfolgen soll.

4. Klicken Sie im Browser auf die Schaltfläche Aktualisieren.

   Wenn die Datenverbindung aktualisiert wird, haben Sie die Kerberos-Delegierung für PerformancePoint Services erfolgreich konfiguriert.