Pianificare la sicurezza di PerformancePoint Services (SharePoint Server 2010)

SharePoint 2010
 

Si applica a: SharePoint Server 2010 Enterprise

Ultima modifica dell'argomento: 2017-01-18

In PerformancePoint Services in Microsoft SharePoint Server 2010 gli oggetti archiviati in elenchi e raccolte documenti vengono protetti tramite il modello di sicurezza di Microsoft SharePoint Server 2010. A integrazione di tale modello, PerformancePoint Services aggiunge al framework di base di SharePoint Server 2010 ulteriori funzionalità di prodotto per garantire che le origini dati e il contenuto del dashboard siano sicuri e protetti da accessi indesiderati. Benché PerformancePoint Services dipenda dal modello di sicurezza di SharePoint Server 2010, è tuttavia necessario considerare e quindi pianificare e gestire alcuni aspetti specifici relativi alla sicurezza. Tutte le impostazioni di sicurezza basate su servizi vengono gestite all'interno del sito Web Amministrazione centrale SharePoint Server allo scopo di facilitare la gestione delle risorse condivise e dell'accesso degli utenti.

In questo articolo vengono illustrate le aree per cui effettuare la pianificazione dal punto di vista dell'autenticazione, dell'autorizzazione e dell'autenticazione delle origini dati.

In PerformancePoint Services è possibile scegliere tra tre diversi metodi per l'autenticazione delle origini dati.

  • Identità dei singoli utenti. Viene utilizzato l'account di ogni utente per accedere a tutte le origini dati. Questo metodo richiede la delega Kerberos. Un amministratore del dominio deve configurare la delega Kerberos tra PerformancePoint Services e le origini dati.

    NotaNote
    Le origini dati esterne devono risiedere all'interno dello stesso dominio della farm di SharePoint Server 2010. In caso contrario, l'autenticazione nelle origine dati esterne avrà esito negativo. Per ulteriori informazioni, vedere le Considerazioni per la pianificazione dei servizi che accedono a origini dati esterne in "Pianificazione dell'architettura dei servizi".
  • Account di servizio automatico. Viene utilizzato un singolo account utente condiviso per accedere a tutte le origini dati. Si tratta di un account di dominio con privilegi di basso livello archiviato nel servizio di archiviazione sicura. Quando si definisce l'account di servizio automatico, determinare innanzitutto se tale account dispone dell'accesso appropriato per le origini dati che saranno necessarie nel dashboard.

  • Dati personalizzati. SQL Server Analysis Services può includere il nome utente attualmente autenticato come parametro nel campo dei dati personalizzati di una stringa di connessione di Analysis Services. L'opzione relativa ai dati personalizzati è specifica solo delle origini dati di Analysis Services e può essere utilizzata con server Analysis Services 2006 e 2008.

In PerformancePoint Services le connessioni alle origini dati sono incluse in raccolte documenti mentre il contenuto dati, tra cui indicatori di prestazioni chiave (KPI), filtri e scorecard, è incluso in elenchi di documenti. Per proteggere il contenuto e impedire agli utenti di eseguire query su origini dati se gli oggetti presenti nella query non sono attendibili, è necessario definire gli elenchi e le raccolte come percorsi "attendibili". L'amministratore della farm può impostare come "attendibili" tutti i percorsi della farm oppure identificare come tali solo alcuni percorsi specifici. Grazie alla possibilità di definire agevolmente il percorso della farm da proteggere, l'amministratore non deve più proteggere necessariamente l'intera farm.

I percorsi attendibili offrono un livello di sicurezza aggiuntivo che limita l'esecuzione delle query sulle origini dati o sugli oggetti che dipendono da un'origine dati non collocata in un percorso attendibile. È possibile definire come attendibile la raccolta documenti o qualsiasi oggetto padre fino all'applicazione Web. In PerformancePoint Services la configurazione delle impostazioni relative ai percorsi attendibili viene gestita centralmente tramite Amministrazione centrale, ma può anche essere gestita tramite cmdlet di Windows PowerShell 2,0. Durante la pianificazione della sicurezza di PerformancePoint Services valutare se si desidera oppure se si ha la necessità di proteggere l'intera applicazione Web oppure di gestire più rigorosamente il percorso dei dati sicuri.

Ad esempio, per i percorsi all'interno di una farm contrassegnati in modo indipendente come "attendibili", la gerarchia di SharePoint Server 2010 per il contenuto dati o le origini dati è la seguente:

  1. Disabilitare l'utilizzo dei percorsi attendibili per le origini dati e/o il contenuto per l'intera farm.

  2. Considerare attendibili gli elenchi e/o le raccolte documenti nell'applicazione Web.

  3. Considerare attendibili gli elenchi e/o le raccolte documenti in una raccolta siti comprendente eventuali siti figlio.

  4. Considerare attendibili gli elenchi e/o le raccolte documenti in un sito.

  5. Considerare attendibile un singolo elenco e/o una singola raccolta siti nella farm.

Quando verifica se un percorso è attendibile, il server controlla se è attivata la proprietà Percorsi attendibili. In caso affermativo, il server verificherà l'elenco dei percorsi attendibili partendo dalla raccolta siti e scendendo di un livello alla volta della gerarchia per accertarsi che il contenuto sia attendibile.

Per gli elementi che non utilizzano un'origine dati è possibile eseguire il rendering senza che questi si trovino in un percorso attendibile. Tali elementi includono le pagine Web, gli indicatori KPI statici, i dashboard e le icone con funzione di indicatori.

NotaNote
I percorsi di origini dati attendibili non possono essere definiti in un elenco e i percorsi di contenuti attendibili non possono essere definiti in una raccolta documenti.

Le raccolte contenuto dati attendibili sono raccolte documenti di SharePoint Server 2010 contenenti file di connessione dati di PerformancePoint Services (con estensione ppsdc). Tali file vengono utilizzati per gestire centralmente le connessioni alle origini dati, tra cui database di SQL Server, cubi OLAP, database relazionali e fogli di calcolo di Excel Services.

Le origini dati sono definite in Dashboard Designer e archiviate in una raccolta connessioni dati attendibile in SharePoint Server 2010. Tale raccolta è una raccolta documenti ritenuta sicura, che limita l'uso dei file dell'origine dati, ma ne consente la lettura. Per impostazione predefinita, viene comunque creata una raccolta documenti durante il provisioning di PerformancePoint Services. Gli amministratori possono gestire le connessioni dati nel server creando più di una raccolta connessioni dati. Se un utente aggiorna una connessione a un'origine dati inclusa nella raccolta documenti, le informazioni verranno condivise e aggiornate all'apertura di un file dell'area di lavoro in Dashboard Designer.

I report, le scorecard, gli indicatori KPI e i filtri devono essere tutti archiviati in un elenco di SharePoint Server 2010 attendibile. È possibile definire come attendibile l'elenco o qualsiasi oggetto padre fino alla raccolta siti durante la configurazione iniziale o in un secondo tempo tramite Amministrazione centrale.

In PerformancePoint Services l'impostazione di sicurezza per le origini dati è archiviata nella singola origine dati. Allo stesso modo, l'impostazione che determina se il server deve utilizzare l'utente attualmente autenticato, l'account utente automatico oppure l'account utente automatico con dati personalizzati è configurata in ogni origine dati.

Il servizio di archiviazione sicura di SharePoint Server 2010 consente di archiviare in modo protetto dati quali le credenziali e di associarli a un'identità specifica o a un gruppo di identità. Tale servizio è presente in tutte le farm di SharePoint Server 2010.

In PerformancePoint Services ogni origine dati può essere configurata per l'utilizzo delle credenziali dell'utente attualmente autenticato oppure del cosiddetto "account di servizio automatico". Tale account è un insieme di credenziali di dominio che vengono rappresentate al momento della connessione a un'origine dati. Il server utilizza l'account di servizio automatico, anziché l'account gestito, per le query relative alle origini dati per impedire che il processo di PerformancePoint Services acceda al database del contenuto durante l'esecuzione delle query.

PerformancePoint Services archivia e recupera le credenziali dell'account di servizio automatico dal servizio di archiviazione sicura. Poiché il server deve disporre sia del nome utente che della relativa password per rappresentare l'utente, la password per l'account di servizio automatico è archiviata nel servizio di archiviazione sicura. Il nome utente invece è archiviato nel database di PerformancePoint Services , in modo che sia possibile accedervi e visualizzarlo nella pagina delle impostazioni.

Quando si crea l'account di servizio automatico, accertarsi che disponga dell'accesso appropriato per le origini dati di cui si avrà necessità.

È importante comprendere che le credenziali dell'account di servizio automatico non vengono memorizzate nella cache a livello globale. Vengono invece recuperate dal servizio di archiviazione sicura solo quando sono necessarie. Se si apre un file dell'area di lavoro in Dashboard Designer con un'origine dati che si connette tramite l'opzione di utilizzo del servizio automatico e le credenziali non sono già memorizzate nella cache per tale connessione, la password dell'account di servizio automatico verrà recuperata dal servizio di archiviazione sicura e verrà utilizzata l'origine dati di destinazione.

L'autenticazione basata sulle attestazioni in SharePoint Server 2010 supporta diversi provider di autenticazione per un'unica applicazione Web e viene utilizzata per passare l'identità utente tra i server Web front-end e i server applicazioni. In PerformancePoint Services sono supportati diversi provider di autenticazione solo quando si utilizza contenuto del dashboard tramite un Web browser. Dashboard Designer non è supportato quando si accede direttamente a un URL per qualsiasi applicazione Web per cui vengono utilizzati diversi provider di autenticazione. Per poter utilizzare Dashboard Designer in questa configurazione, è necessario estendere l'applicazione Web per configurare l'accesso al nuovo URL limitato al solo provider di autenticazione di Windows.

Mostra: