Configurar Analysis Services para la delegación limitada de Kerberos

Al configurar Analysis Services para la autenticación de Kerberos, puede ser que le interese más conseguir uno de los resultados siguientes o los dos: que Analysis Services suplante la identidad de un usuario al consultar datos o bien hacer que Analysis Services delegue una identidad de usuario a un servicio de nivel inferior. Cada escenario necesita requisitos de configuración ligeramente diferentes. En ambos escenarios es necesario asegurarse de que la configuración se ha realizado correctamente.

Sugerencia
Microsoft Administrador de configuración de Kerberos para SQL Server es una herramienta de diagnóstico que sirve para solucionar problemas de conectividad de Kerberos relacionados con SQL Server. Para obtener más información, vea Administrador de configuración de Microsoft Kerberos para SQL Server.

Este tema contiene las siguientes secciones:

• Permitir que Analysis Services suplante una identidad de usuario

• Configurar Analysis Services para la delegación de confianza

• Probar la identidad suplantada o delegada

[!NOTA]

La delegación no es necesaria si la conexión con Analysis Services es un solo salto o bien, si la solución usa credenciales almacenadas que haya proporcionado el Servicio de almacenamiento seguro de SharePoint o Reporting Services. Si todas las conexiones son conexiones directas desde Excel a una base de datos de Analysis Services o bien se basan en credenciales almacenadas, puede usar Kerberos (o NTLM) sin tener que configurar ninguna delegación restringida.

La delegación restringida de Kerberos es obligatoria si la identidad de usuario tiene que fluir en varias conexiones de equipos (lo que se denomina "salto doble"). Cuando el acceso de datos de Analysis Services depende de la identidad de usuario y la solicitud de conexión procede de un servicio de delegación, use la lista de comprobación de la sección siguiente para asegurarse de que Analysis Services puede suplantar al autor de la llamada original. Para obtener más información sobre los flujos de autenticación de Analysis Services, vea Autenticación y delegación de identidad de Microsoft BI.

Como práctica recomendada de seguridad, Microsoft siempre recomienda la delegación restringida en lugar de la delegación no restringida. La delegación no restringida es un riesgo de seguridad importante, ya que permite que la identidad del servicio suplante a otro usuario en cualquier equipo, servicio o aplicación de nivel inferior (en oposición a los servicios explícitamente definidos mediante la delegación restringida).

Permitir que Analysis Services suplante una identidad de usuario

Para permitir que los servicios de nivel superior como Reporting Services, IIS o SharePoint suplanten una identidad de usuario en Analysis Services, debe configurar la delegación restringida de Kerberos para dichos servicios. En este escenario, Analysis Services suplanta al usuario actual usando la identidad que proporciona el servicio de delegación, devolviendo resultados según la pertenencia a roles de esa identidad de usuario.

Tarea	Descripción
Paso 1: Comprobar que las cuentas son adecuadas para la delegación	Asegúrese de que las cuentas empleadas para ejecutar los servicios tienen las propiedades correctas en Active Directory. Las cuentas de servicio de Active Directory no se deben marcar como cuentas confidenciales ni excluir específicamente de los escenarios de delegación. Para obtener más información, vea Información acerca de las cuentas de usuario. Importante Por lo general, todas las cuentas y los servidores deben pertenecer al mismo dominio de Active Directory o a dominios de confianza del mismo bosque. Sin embargo, dado que Windows Server 2012 admite la delegación a través de los límites del dominio, puede configurar la delegación restringida de Kerberos a través de un límite de dominio si el nivel funcional del dominio es Windows Server 2012. Otra alternativa consiste en configurar Analysis Services para el acceso HTTP y usar métodos de autenticación de IIS en la conexión de cliente. Para obtener más información, vea Configurar el acceso HTTP a Analysis Services en Internet Information Services (IIS) 7.0.
Paso 2: Registrar el SPN	Antes de configurar una delegación, es preciso que registre un nombre principal de servicio (SPN) para la instancia de Analysis Services. Necesitará configurar el SPN de Analysis Services en el momento que configure la delegación restringida de Kerberos para servicios de nivel intermedio. Para obtener instrucciones, vea Registro de SPN para una instancia de Analysis Services. Un nombre principal del servicio (SPN) especifica la identidad única de un servicio en un dominio configurado para la autenticación Kerberos. Las conexiones de cliente que usan seguridad integrada suelen solicitar un SPN como parte de la autenticación SSPI. La solicitud se reenvía a un controlador de dominio (DC) de Active Directory y el KDC concede un vale si el SPN presentado por el cliente tiene un registro SPN coincidente en Active Directory.
Paso 3: Configurar la delegación restringida	Tras validar las cuentas que desea usar y registrar los SPN para esas cuentas, el siguiente paso es configurar los servicios de nivel superior, como IIS, Reporting Services o servicios Web de SharePoint para la delegación restringida, para lo cual, hay que especificar el SPN de Analysis Services como el servicio específico para el que se permite la delegación. Los servicios que se ejecutan en SharePoint, como Excel Services o Reporting Services en modo de SharePoint, suelen hospedar libros e informes que usan datos multidimensionales o tabulares de Analysis Services. La configuración de la delegación restringida para estos servicios es una tarea de configuración frecuente y es necesaria para admitir la actualización de datos desde Excel Services. Los vínculos siguientes proporcionan instrucciones para los servicios de SharePoint así como otros que es probable que presenten una conexión de flujo de datos de nivel inferior para los datos de Analysis Services: Delegación de identidad para Servicios de Excel (SharePoint Server 2010) o Cómo configurar Excel Services en SharePoint Server 2010 para la autenticación Kerberos Delegación de identidad para PerformancePoint Services (SharePoint Server 2010) Delegación de identidad de SQL Server Reporting Services (SharePoint Server 2010) Para IIS 7.0, vea Configurar la autenticación de Windows (IIS 7.0) o Cómo configurar SQL Server 2008 Analysis Services y SQL Server 2005 Analysis Services para usar la autenticación de Kerberos.
Paso 4: Probar conexiones	Cuando lo pruebe, conéctese desde equipos remotos, con distintas identidades y haga consultas a Analysis Services con las mismas aplicaciones como usuario empresarial. Puede servirse de SQL Server Profiler para supervisar la conexión. En la solicitud, se debe ver la identidad del usuario. Para obtener más información, vea Probar la identidad suplantada o delegada en esta sección.

Configurar Analysis Services para la delegación de confianza

La configuración de Analysis Services para delegación restringida de Kerberos permite al servicio suplantar una identidad de cliente en un servicio de nivel inferior, como el motor de base de datos relacional, para poder consultar datos como si el cliente se conectara directamente.

Los escenarios de delegación para Analysis Services están limitados a los modelos tabulares configurados para el modo DirectQuery. Este es el único escenario en el que Analysis Services puede pasar credenciales delegadas a otro servicio. En el resto de los escenarios, como los escenarios de SharePoint mencionados en la sección anterior, Analysis Services se encuentra en el extremo receptor de la cadena de delegación. Para obtener más información sobre DirectQuery, vea Modo DirectQuery (SSAS tabular).

[!NOTA]

Un concepto erróneo habitual es que el almacenamiento ROLAP, las operaciones de procesamiento o el acceso a las particiones remotas introducen de alguna manera requisitos para la delegación restringida. Este no es el caso. La cuenta de servicio (también conocida como cuenta de procesamiento) ejecuta directamente todas estas operaciones en su nombre. La delegación no es necesaria para estas operaciones en Analysis Services, dado que los permisos para estas operaciones se conceden directamente a la cuenta de servicio (por ejemplo, concediendo permisos db_datareader en la base de datos relacional para que el servicio pueda procesar datos). Para obtener más información acerca de los permisos y las operaciones de servidor, vea Configurar las cuentas de servicio (Analysis Services).

En esta sección se explica cómo configurar Analysis Services para la delegación de confianza. Después de completar esta tarea, Analysis Services podrá pasar credenciales delegadas a SQL Server, como ayuda para el modo DirectQuery, usado en las soluciones de modelo tabular.

Antes de empezar:

• Compruebe que Analysis Services se ha iniciado.

• Compruebe que el SPN para Analysis Services es válido. Para obtener instrucciones, vea Registro de SPN para una instancia de Analysis Services.

Cuando se cumplan ambos requisitos previos, continúe con los pasos siguientes. Tenga en cuenta que debe ser administrador de dominio para poder configurar la delegación restringida.

1. En Usuarios y equipos de Active Directory, busque la cuenta de servicio bajo la que se ejecuta Analysis Services. Haga clic con el botón secundario en la cuenta de servicio y elija Propiedades.

   Con fines ilustrativos, las capturas de pantalla siguientes usan OlapSvc y SQLSvc para representar Analysis Services y SQL Server, respectivamente.

   OlapSvc es la cuenta que se configurará para la delegación restringida en SQLSvc. Al completar esta tarea, OlapSvc tendrá permiso para pasar credenciales delegadas en un vale de servicio a SQLSvc, suplantando al autor de la llamada original cuando se soliciten datos.

2. En la pestaña Delegación, seleccione Confiar en este usuario para la delegación solo a los servicios especificados y, después, seleccione Usar solamente Kerberos. Haga clic en Agregar para especificar el servicio para el que Analysis Services tiene permiso para delegar credenciales.

   La pestaña Delegación solo aparece cuando la cuenta de usuario (OlapSvc) está asignada a un servicio (Analysis Services) y el servicio tiene un SPN registrado para él. El registro de SPN necesita que el servicio esté en ejecución.

   

3. En la página Agregar servicios, haga clic en Usuarios o equipos.

   

4. En la página Seleccionar usuarios o equipos, escriba la cuenta usada para ejecutar la instancia de SQL Server que proporciona datos a bases de datos de modelos tabulares de Analysis Services. Haga clic en Aceptar para aceptar la cuenta de servicio.

   Si no puede seleccionar la cuenta que desea, compruebe que SQL Server está en ejecución y tiene un SPN registrado para esta cuenta. Para obtener más información acerca de los SPN para el motor de base de datos, vea Registrar un nombre principal de servicio para las conexiones con Kerberos.

   

5. La instancia de SQL Server debe aparecer ahora en Agregar servicios. En la lista también aparecerán todos los servicios que usan también esa cuenta. Elija la instancia de SQL Server que desee usar. Haga clic en Aceptar para aceptar la instancia.

   

6. La página de propiedades del servicio Analysis Services debe ser similar ahora a la captura de pantalla siguiente. Haga clic en Aceptar para guardar los cambios.

   

7. Pruebe si la delegación se ha realizado correctamente conectándose desde un equipo cliente remoto, con una identidad diferente, y consulte el modelo tabular. Debe ver la identidad de usuario de la solicitud en SQL Server Profiler.

Probar la identidad suplantada o delegada

Use SQL Server Profiler para supervisar la identidad del usuario que está consultando datos.

1. Inicie SQL Server Profiler en la instancia de Analysis Services e inicie después un nuevo seguimiento.

2. En Selección de eventos, compruebe que Audit Login y Audit Logout están activadas en la sección Auditoría de seguridad.

3. Conéctese a Analysis Services a través de un servicio de aplicación (como SharePoint o Reporting Services) desde un equipo cliente remoto. El evento Audit Login mostrará la identidad del usuario que se conecta a Analysis Services.

Para realizar una prueba completa será necesario usar herramientas de supervisión de red que puedan capturar las solicitudes y respuestas de Kerberos en la red. Para esta tarea se puede emplear la utilidad Monitor de red (netmon.exe), filtrada para Kerberos. Para obtener más información acerca de cómo usar Netmon 3.4 y otras herramientas para probar la autenticación de Kerberos, vea Configurar la autenticación de Kerberos: configuración básica (SharePoint Server 2010).

También puede consultar The Most Confusing Dialog Box in Active Directory (El cuadro de diálogo más confuso de Active Directory) para obtener una descripción minuciosa de cada opción de la pestaña Delegación del cuadro de diálogo de propiedades del objeto de Active Directory. En este artículo también se explica cómo usar LDP para probar e interpretar los resultados de las pruebas.

Vea también

Conceptos

Conectar a Analysis Services

Registro de SPN para una instancia de Analysis Services

Propiedades de cadena de conexión (Analysis Services)

Otros recursos

Autenticación y delegación de identidad de Microsoft BI

Autenticación mutua mediante Kerberos