Planeación de la seguridad de PerformancePoint Services (SharePoint Server 2010)

  • Artículo

 

Se aplica a: SharePoint Server 2010 Enterprise

Última modificación del tema: 2017-01-18

En PerformancePoint Services en Microsoft SharePoint Server 2010, los objetos almacenados en listas y bibliotecas de documentos se protegen mediante el modelo de seguridad de Microsoft SharePoint Server 2010. Además de dicho modelo, PerformancePoint Services agrega otras características del producto al marco de trabajo básico de SharePoint Server 2010 para garantizar que los orígenes de datos y el contenido del panel estén seguros y protegidos contra el acceso no justificado. Aunque PerformancePoint Services tiene dependencia del modelo de seguridad de SharePoint Server 2010, hay otras consideraciones de seguridad especiales que se deben tener en cuenta y, por lo tanto, planear y administrar. Todas las configuraciones de seguridad basadas en servicios se administran en el sitio web de Administración central de SharePoint Server para facilitar la administración de los recursos compartidos y el acceso de los usuarios.

Este artículo abarca las áreas para planear la autenticación, la autorización y la autenticación de orígenes de datos.

Autenticación

En PerformancePoint Services, es posible elegir entre tres métodos diferentes para la autenticación de los orígenes de datos.

  • Identidad por usuario: Se usa la cuenta de cada usuario para obtener acceso a todos los orígenes de datos. Este método requiere delegación Kerberos. Un administrador de dominio debe configurar la delegación Kerberos entre PerformancePoint Services y los orígenes de datos.

    Nota

    Los orígenes de datos externos deben encontrarse en el mismo dominio que la granja de servidores de SharePoint Server 2010. Si los orígenes de datos externos no se encuentran en el mismo dominio, se producirá un error en la autenticación de los orígenes de datos externos. Para obtener más información, vea el tema acerca de las consideraciones de planeación de los servicios que tienen acceso a orígenes de datos externos en “Planeación de una arquitectura de servicios”.

  • Cuenta de servicio desatendida: Una única cuenta de usuario compartida se usa para obtener acceso a todos los orígenes de datos. Ésta es una cuenta de dominio con privilegios bajos almacenada en el servicio de almacenamiento seguro. Al establecer la cuenta de servicio desatendida, en primer lugar se debe determinar si esta cuenta tiene el acceso adecuado a los orígenes de datos que serán necesarios para el panel.

  • Datos personalizados: Permite a SQL Server Analysis Services incluir el nombre de usuario autenticado actual como parámetro en el campo de datos personalizados de la cadena de conexión de Analysis Services. La opción Datos personalizados se usa sólo para orígenes de datos de Analysis Services y puede usarse frente a servidores de Analysis Services 2006 y 2008.

Ubicaciones de confianza

En PerformancePoint Services, las conexiones de orígenes de datos están contenidas en bibliotecas de documentos y el contenido de datos (KPI, filtros, cuadros de mandos, etc.) en listas de documentos. Para proteger el contenido e impedir que los usuarios ejecuten consultas en relación con los orígenes de datos si los objetos de la consulta no son de confianza, las listas y bibliotecas deben establecerse como ubicaciones “de confianza”. El administrador de la granja de servidores tiene la opción de establecer todas las ubicaciones de la granja de servidores como "de confianza" o de identificar ubicaciones de confianza específicas. Debido a la facilidad con la que se puede definir la ubicación de la granja de servidores que se desea proteger, no es necesario que el administrador de la granja de servidores proteja toda la granja de servidores.

Las ubicaciones de confianza proporcionan una capa de seguridad adicional que restringe la ejecución de consultas de orígenes de datos o de cualquier objeto dependiente de un origen de datos que no se encuentre en una ubicación de confianza. Es posible definir como de confianza la biblioteca de documentos o cualquier objeto primario hasta la aplicación web. En PerformancePoint Services, la configuración de las ubicaciones de confianza se administra centralmente mediante Administración central. La configuración también puede administrarse mediante cmdlets de Windows PowerShell 2,0. Al planear la seguridad de PerformancePoint Services, tenga en cuenta si desea o necesita proteger toda la aplicación web o administrar de manera más estricta la ubicación de datos seguros.

Por ejemplo: las ubicaciones dentro de una granja de servidores marcadas individualmente como "de confianza" tienen la siguiente jerarquía de SharePoint Server 2010 tanto para contenido de datos como para orígenes de datos:

  1. Deshabilitar el uso de ubicaciones de confianza para orígenes de datos y/o el contenido de todo el conjunto de datos.

  2. Listas de confianza y/o bibliotecas de documentos en una aplicación web.

  3. Listas de confianza y/o bibliotecas de documentos en una colección de sitio, incluyendo sitios secundarios.

  4. Listas de confianza y/o bibliotecas de documentos en un sitio.

  5. Confiar en una lista y/o biblioteca de documentos individual en la granja de servidores.

Al verificar si una ubicación es de confianza, el servidor comprobará si la propiedad Ubicaciones de confianza está habilitada. Si está habilitada, el servidor comprobará la lista de ubicaciones de confianza desde la colección del sitio a través de cada nivel inferior de la jerarquía para verificar que el contenido es de confianza.

No es necesario que los elementos que no usan un origen de datos estén en una ubicación de confianza para que sea presentado. Esto incluye páginas web, KPI estáticos, paneles e iconos indicadores.

Nota

Las ubicaciones de origen de datos de confianza no pueden definirse en una lista y las ubicaciones de contenido de confianza no pueden definirse en una biblioteca de documentos.

Bibliotecas de contenido de datos de confianza

Las bibliotecas de contenido de datos de confianza son bibliotecas de documentos de SharePoint Server 2010 que solo contienen archivos de conexión de datos (.ppsdc) de PerformancePoint Services. Los archivos .ppsdc se usan para administrar de forma central las conexiones a los orígenes de datos, incluidas bases de datos de SQL Server, cubos OLAP, bases de datos relacionales y hojas de cálculo de Excel Services.

Los orígenes de datos se definen en el Diseñador de paneles y se almacenan en una biblioteca de conexiones de datos de confianza en SharePoint Server 2010. La biblioteca de conexiones de datos de confianza es una biblioteca de documentos que se ha determinado como segura. Restringe el uso de los archivos de orígenes de datos pero permite leerlos. No obstante, se crea una biblioteca de documentos de forma predeterminada al realizar el aprovisionamiento de PerformancePoint Services. Los administradores pueden administrar las conexiones de datos del servidor mediante la creación de más de una biblioteca de conexiones de datos. Si un usuario actualiza una conexión de origen de datos en la biblioteca de documentos, la información se compartirá y se actualizará al abrir un archivo de área de trabajo en el Diseñador de paneles.

Listas de confianza para el contenido del panel

Los informes, cuadros de mandos, KPI y filtros deben almacenarse en una lista de SharePoint Server 2010 de confianza. La lista o cualquier objeto primario hasta la colección de sitios puede definirse como de confianza durante la configuración inicial o después, a través de Administración central.

Seguridad de los orígenes de datos

En PerformancePoint Services, la configuración de seguridad de los orígenes de datos se almacena en cada origen de datos. La configuración que determina si el servidor usa el usuario autenticado actual, la cuenta de usuario desatendida o la cuenta de usuario desatendida con datos personalizados se establece en cada origen de datos en particular.

El servicio de almacenamiento seguro y las cuentas de servicio desatendidas

El servicio de almacenamiento seguro de SharePoint Server 2010 permite almacenar datos de forma segura, por ejemplo credenciales, y asociarlos a una identidad específica o a un grupo de identidades. El servicio de almacenamiento seguro está presente en todas las granjas de servidores de SharePoint Server 2010.

En PerformancePoint Services, cada origen de datos puede configurarse para que use las credenciales del usuario autenticado actual o la "cuenta de servicio desatendida". La cuenta de servicio desatendida es un conjunto de credenciales de dominio que se suplantan al conectarse con un origen de datos. El servidor usa la cuenta de servicio desatendida en lugar de la cuenta administrada para las consultas de orígenes de datos a fin de impedir que el proceso de PerformancePoint Services obtenga acceso a la base de datos de contenido durante la ejecución de la consulta.

PerformancePoint Services almacena y recupera las credenciales de la cuenta de servicio desatendida en el servicio de almacenamiento seguro. Dado que el servidor debe mantener el nombre de usuario y la contraseña para suplantar al usuario, la contraseña de la cuenta de servicio desatendida se almacena en el servicio de almacenamiento seguro. El nombre de usuario se almacena en la base de datos de PerformancePoint Services para que sea accesible y pueda mostrarse en la página de configuración.

Al crear una cuenta de servicio desatendida, asegúrese de que la cuenta tenga el acceso adecuado a los orígenes de datos que serán necesarios.

Es importante comprender que las credenciales de la cuenta de servicio desatendida no se incorporan globalmente a la memoria caché. Por el contrario, se recuperan desde el servicio de almacenamiento seguro sólo cuando son necesarias. Si abre un archivo del área de trabajo en Diseñador de paneles con un origen de datos que se conecta mediante la opción de servicio desatendido y las credenciales no están incorporadas en la memoria caché para esa conexión, la contraseña de la cuenta de servicio desatendida se recupera desde el servicio de almacenamiento seguro y usa el origen de datos objetivo.

Autenticación basada en notificaciones

La autenticación basada en notificaciones de SharePoint Server 2010 admite varios proveedores de autenticación en una aplicación web única y se usa para pasar la identidad de los usuarios entre los servidores front-end web y los servidores de aplicaciones. PerformancePoint Services admite varios proveedores de autenticación sólo cuando se usa contenido de panel por medio de un explorador web. No se admite el Diseñador de paneles cuando se tiene acceso directamente a una dirección URL para cualquier aplicación web que usa varios proveedores de autenticación. Para usar el Diseñador de paneles en esta configuración, se debe extender la aplicación web para configurar el acceso a la nueva dirección URL que se limita al proveedor de autenticación de Windows.

See Also

Concepts

Configuración de la cuenta de servicio desatendida para PerformancePoint Services
Configuración de la autenticación de notificaciones (SharePoint Server 2010)
Planeación de los métodos de autenticación (SharePoint Server 2010)
Planeación de la importación de contenido de panel de PerformancePoint Server 2007 a SharePoint Server 2010 (SharePoint Server 2010)