Delega dell'identità per PerformancePoint Services (SharePoint Server 2010)

SharePoint 2010
 

Si applica a: PerformancePoint Services, SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

In questo scenario verrà aggiunta l'applicazione di servizio PerformancePoint Services all'ambiente SharePoint Server e verrà configurata la delega vincolata Kerberos per consentire al servizio di recuperare i dati da un cubo di Analysis Services esterno e avere la possibilità di recuperare i dati da SQL Server.

NotaNote
Se si esegue l'installazione in Windows Server 2008, potrebbe essere necessario installare l'hotfix seguente per l'autenticazione Kerberos:
Un'autenticazione Kerberos ha esito negativo con codice errore 0X80090302 oppure 0x8009030f in un computer in cui è in esecuzione Windows Server 2008 o Windows Vista quando viene utilizzato l'algoritmo AES (https://support.microsoft.com/kb/969083/it)

Per eseguire questo scenario è necessario aver completato le operazioni seguenti:

 

Area di configurazione Descrizione

Configurazione di Active Directory

Creare l'account di servizio di PerformancePoint Services

Creare un SPN per l'account di servizio utilizzato per l'esecuzione di PerformancePoint Service nel server applicazioni

Verificare l'SPN di Analysis Services nell'account di servizio di SQL Server Analysis Services, vmlab\svcSQLAS (operazione eseguita nello scenario 3)

e

(Facoltativo) Verificare l'account di servizio del motore di database di SQL Server, vmlab\svcSQL(operazione eseguita nello scenario 2)

Configurare la delega vincolata Kerberos per l'account di servizio di Attestazioni per il servizio token Windows per Analysis Services

Configurare la delega vincolata Kerberos per l'account di servizio di PerformancePoint Services

per Analysis Services

Configurazione di SharePoint Server

Avviare Attestazioni per il servizio token Windows nei server di PerformancePoint Services

Avviare l'istanza del servizio PerformancePoint Services nel server di PerformancePoint Services

Creare l'applicazione e il proxy del servizio PerformancePoint Services

Verificare l'identità nell'applicazione PerformancePoint

Concedere all'account di servizio di PerformancePoint Services le autorizzazioni per il database del contenuto dell'applicazione Web

Configurare le impostazioni di autenticazione e i percorsi attendibili dei file di PerformancePoint Services

Verifica della delega vincolata di PerformancePoint Service

Creare una raccolta documenti per ospitare un dashboard di prova

Creare un'origine dati che faccia riferimento a un cubo di SQL Server Analysis Services esistente

Creare un elenco del contenuto di PerformancePoint attendibile

Creare un dashboard di PerformancePoint di prova

Pubblicare il dashboard in SharePoint Server

Diagramma del processo di autenticazione

In questo scenario verrà configurato l'account di servizio di PerformancePoint Services per la delega vincolata Kerberos per il servizio di SQL Server.

NotaNote
In questo scenario verrà configurato Attestazioni per il servizio token Windows per l'utilizzo di un account di servizio dedicato. Se la configurazione del componente Attestazioni per il servizio token Windows resta impostata su Sistema locale, sarà necessario configurare la delega vincolata nell'account del computer in cui sono in esecuzione Attestazioni per il servizio token Windows ed Excel Services.

Diagramma del flusso di autenticazione

L'autenticazione in questo scenario ha inizio con l'autenticazione del client tramite autenticazione Kerberos nel server Web front-end. SharePoint Server 2010 convertirà il token dell'autenticazione di Windows in un token delle attestazioni con il servizio token di sicurezza locale. L'applicazione di servizio PerformancePoint accetterà il token delle attestazioni e lo convertirà in un token Windows (Kerberos) utilizzando l'istanza locale di Attestazioni per il servizio token Windows, che fa parte di Windows Identity Framework (WIF). L'applicazione di servizio PerformancePoint utilizzerà quindi il ticket Kerberos del client per l'autenticazione nell'origine dati back-end.

Come procedura consigliata, è opportuno eseguire PerformancePoint Services con la relativa identità di dominio. Per configurare l'applicazione di servizio PerformancePoint Service, è necessario creare un account di Active Directory e registrarlo come account gestito in SharePoint Server 2010. Per ulteriori informazioni, vedere Account gestiti in SharePoint 2010 (le informazioni potrebbero essere in lingua inglese). In questo esempio viene creato e successivamente registrato in questo scenario l'account seguente:

 

Servizio SharePoint Server Identità del pool di applicazioni IIS

PerformancePoint Services

vmlab\svcPPS

Questo passaggio è necessario perché l'account di servizio utilizzato per l'esecuzione del pool di applicazioni SharePoint è diverso dall'account di PerformancePoint.

Per configurare la delega Kerberos viene utilizzato in genere lo snap-in MMC Utenti e computer di Active Directory. Per configurare le impostazioni di delega nell'ambito dello snap-in, è necessario che all'oggetto Active Directory da configurare sia applicato un nome dell'entità servizio (SPN, Service Principal Name), altrimenti la scheda Delega dell'oggetto non sarà visibile nella finestra di dialogo delle proprietà dell'oggetto. Benché per il funzionamento di Servizi Visio non sia necessario un SPN, ne verrà configurato uno per questo scopo.

Nella riga di comando eseguire il comando seguente:

SETSPN -S SP/svcPPS
NotaNote
L'SPN non è un nome dell'entità servizio valido. Viene applicato all'account di servizio specificato per visualizzare le opzioni di delega nel componente aggiuntivo Utenti e computer di Active Directory. Sono supportate altre modalità per la specifica delle impostazioni di delega, in particolare l'attributo di Active Directory msDS-AllowedToDelegateTo, ma non verranno illustrate in questo documento.

Verificare l'esistenza dell'SPN per l'account di servizio di SQL Server (vmlab\svcSQLAS) con il comando SetSPN seguente:

SetSPN -L vmlab\svcSQLAS

Dovrebbe visualizzarsi quanto segue:

MSOLAPSvc.3/MySqlCluster

Verificare l'esistenza dell'SPN per l'account di servizio di SQL Analysis Services (vmlab\svcSQL) con il comando SetSPN seguente:

SetSPN -L vmlab\svcSQL

Dovrebbe visualizzarsi quanto segue:

MSSQLSVC/MySqlCluster

Per consentire a PerformancePoint Services di delegare l'identità del client, è necessario configurare la delega vincolata Kerberos. È inoltre necessario configurare la delega vincolata con transizione di protocollo per la conversione del token delle attestazioni in token Windows tramite Attestazioni per il servizio token Windows di WIF.

Ogni server in cui è in esecuzione PerformancePoint Services deve essere attendibile per la delega delle credenziali in ogni servizio back-end in cui PerformancePoint eseguirà l'autenticazione. L'account di servizio di PerformancePoint Services inoltre deve essere configurato anche per consentire la delega negli stessi servizi back-end. Si noti infine che HTTP/Portal e HTTP/Portal.vmlab.local sono configurati per la delega in modo da includere un elenco SharePoint come origine dati facoltativa per il dashboard di PerformancePoint.

In questo esempio vengono definiti i percorsi di delega seguenti:

 

Tipo entità Nome entità

Utente

Vmlab\svcC2WTS

Utente

Vmlab\svcPPS

Per configurare la delega vincolata
  1. Aprire le proprietà dell'oggetto Active Directory in Utenti e computer di Active Directory.

  2. Passare alla scheda Delega.

  3. Selezionare Computer attendibile per la delega solo ai servizi specificati.

  4. Selezionare Utilizza un qualsiasi protocollo di autenticazione.

  5. Fare clic sul pulsante Aggiungi per selezionare l'identità servizio.

  6. Selezionare Utenti e computer.

  7. Selezionare l'account di servizio con cui viene eseguito il servizio di destinazione della delega.

    NotaNote
    All'account di servizio selezionato deve essere applicato un SPN. In questo esempio l'SPN dell'account è stato configurato in uno scenario precedente.
  8. Fare clic su OK.

  9. Selezionare gli SPN di destinazione della delega e quindi fare clic su OK.

  10. A questo punto gli SPN selezionati dovrebbero essere visibili nell'elenco Servizi ai quali l'account può presentare credenziali delegate.

  11. Ripetere questi passaggi per ogni percorso di delega definito all'inizio della sezione.

Attestazioni per il servizio token Windows è un componente di Windows Identity Foundation (WIF) responsabile della conversione dei token delle attestazioni dell'utente in token Windows. In Performance Point Services questo componente viene utilizzato per convertire il token delle attestazioni dell'utente in un token Windows quando è necessario delegare le credenziali a un sistema back-end che utilizza l'autenticazione di Windows. WIF viene distribuito con SharePoint Server 2010 e Attestazioni per il servizio token Windows può essere avviato da Amministrazione centrale.

In ogni server applicazioni di PerformancePoint Services il componente Attestazioni per il servizio token Windows deve essere eseguito localmente. Questo componente non apre le porte e non è accessibile da parte di un chiamante remoto. È inoltre necessario configurare il file di configurazione del servizio di Attestazioni per il servizio token Windows in modo da considerare attendibile l'identità del client chiamante locale.

Come procedura consigliata, eseguire Attestazioni per il servizio token Windows utilizzando un account di servizio dedicato e non come sistema locale (configurazione predefinita). Poiché l'account di servizio di Attestazioni per il servizio token Windows richiede autorizzazioni locali speciali in ogni server in cui viene eseguito il servizio, configurare tali autorizzazioni a ogni avvio del servizio in un server. La procedura ottimale prevede la configurazione delle autorizzazioni dell'account di servizio nel server locale prima dell'avvio di Attestazioni per il servizio token Windows. Se tuttavia questa operazione viene eseguita dopo l'avvio del componente, è possibile riavviare Attestazioni per il servizio token Windows dalla console di gestione dei servizi di Windows (services.msc).

Per avviare Attestazioni per il servizio token Windows
  1. Creare un account di servizio in Active Directory per l'esecuzione del servizio. In questo esempio è stato creato vmlab\svcC2WTS.

  2. Aggiungere un nome dell'entità servizio (SPN) arbitrario all'account di servizio per esporre le opzioni di delega per l'account in Utenti e computer di Active Directory. L'SPN può essere specificato in qualsiasi formato, poiché non viene utilizzata l'autenticazione Kerberos per l'autenticazione in Attestazioni per il servizio token Windows. È consigliabile non utilizzare un SPN HTTP per evitare il rischio di creare SPN duplicati nell'ambiente. Nell'esempio è stato registrato SP/C2WTS in vmlab\svcC2WTS utilizzando il comando seguente:

    SetSPN -S SP/C2WTS vmlab\svcC2WTS
    
  3. Configurare la delega vincolata Kerberos nell'account di servizio di Attestazioni per il servizio token Windows. In questo scenario vengono delegate le credenziali al servizio SQL Server eseguito con il nome dell'entità servizio MSOLAPsvc.3/MySqlCluster.vmlab.local.

  4. Configurare quindi le autorizzazioni necessarie per il server locale richieste da Attestazioni per il servizio token Windows. Queste autorizzazioni devono essere configurate in ogni server in cui viene eseguito Attestazioni per il servizio token Windows, in questo esempio VMSP10APP01. Accedere al server e concedere ad Attestazioni per il servizio token Windows le autorizzazioni seguenti:

    1. Aggiungere l'account di servizio ai gruppi Administrators locali.

    2. Nel criterio di sicurezza locale (secpol.msc) nell'assegnazione dei diritti utente concedere all'account di servizio le autorizzazioni seguenti:

      1. Agire come parte del sistema operativo

      2. Rappresenta un client dopo l'autenticazione

      3. Accedi come servizio

  5. Aprire Amministrazione centrale.

  6. In Configura account gestiti nella sezione Sicurezza registrare l'account di servizio di Attestazioni per il servizio token Windows come account gestito.

  7. In Servizi selezionare Gestisci servizi nel server.

  8. Nella casella di selezione dei server nell'angolo in alto a destra selezionare uno o più server in cui è in esecuzione PerformancePoint Services, in questo caso VMSP10APP01.

  9. Individuare il componente Attestazioni per il servizio token Windows e avviarlo.

  10. Passare a Configura account di servizio nella sezione Sicurezza. Cambiare l'identità di Attestazioni per il servizio token Windows nel nuovo account gestito.

    NotaNote
    Se Attestazioni per il servizio token Windows era già in esecuzione prima della configurazione dell'account di servizio dedicato o si desidera modificare le autorizzazioni dell'account di servizio dopo aver avviato il componente, è necessario riavviare Attestazioni per il servizio token Windows dalla console dei servizi.

    Se inoltre si verificano errori con il componente Attestazioni per il servizio token Windows dopo aver riavviato il servizio, potrebbe essere necessario anche reimpostare i pool di applicazioni IIS che comunicano con il componente.

Esiste un problema noto con Attestazioni per il servizio token Windows per cui potrebbe non avviarsi automaticamente al riavvio del sistema. Per ovviare a questo problema, configurare una dipendenza del servizio dal servizio Servizi di crittografia:

  1. Aprire una finestra del prompt dei comandi.

  2. Digitare: sc config c2wts depend= CryptSvc

  3. Individuare Attestazioni per il servizio token Windows nella console dei servizi.

  4. Aprire le proprietà per il servizio.

  5. Controllare nella scheda Dipendenze che sia elencato Servizi di crittografia.

  6. Fare clic su OK.

Prima di creare un'applicazione di servizio PerformancePoint Services, avviare il servizio PerformancePoint Services nei server della farm designata. Per ulteriori informazioni sulla configurazione di PerformancePoint Services, vedere Gestione di PerformancePoint Services.

  1. Aprire Amministrazione centrale.

  2. In Servizi selezionare Gestisci servizi nel server.

  3. Nella casella di selezione dei server nell'angolo in alto a destra selezionare uno o più server in cui è in esecuzione PerformancePoint Services, in questo caso VMSP10APP01.

  4. Avviare il servizio PerformancePoint Service.

Configurare quindi una nuova applicazione di servizio e un proxy di applicazione PerformancePoint Services per consentire alle applicazioni Web di utilizzare PerformancePoint Services:

  1. Aprire Amministrazione centrale.

  2. Selezionare Gestisci applicazioni di servizio in Gestione applicazioni.

  3. Selezionare Nuova e quindi fare clic su Applicazione di PerformancePoint Service.

  4. Configurare la nuova applicazione di servizio. Selezionare l'account di servizio corretto oppure creare un nuovo account gestito qualora questa operazione non sia stata eseguita precedentemente.

NotaNote
La configurazione dell'account di servizio automatico è facoltativa in questo scenario e viene utilizzata solo se si desidera testare anche l'autenticazione NTLM.

È possibile creare e registrare un nuovo account di servizio per un pool di applicazioni esistente dedicato per PerformancePoint Services prima di eseguire questo passaggio o quando si crea la nuova applicazione PerformancePoint Service. Per associare l'account di servizio a un pool di applicazioni esistente dedicato a PerformancePoint oppure verificare un account esistente, eseguire le operazioni seguenti.

  1. Accedere ad Amministrazione centrale SharePoint. Individuare Configura account gestiti nella sezione Sicurezza.

  2. Selezionare nella casella di riepilogo il pool di applicazioni.

  3. Selezionare l'account di Active Directory.

Un passaggio obbligatorio della configurazione delle applicazioni Web di SharePoint Server 2010 consiste nel concedere all'account di servizio dell'applicazione Web l'accesso ai database del contenuto per un'applicazione Web specifica. In questo esempio all'account di PerformancePoint Services verrà concesso l'accesso al database del contenuto dell'applicazione Web "portal" tramite Windows PowerShell.

Eseguire il comando seguente dalla Shell di gestione SharePoint 2010:

$w = Get-SPWebApplication -Identity http://portal

$w.GrantAccessToProcessIdentity("vmlab\svcPPS")

Dopo la creazione dell'applicazione PerformancePoint Services, è necessario configurare le proprietà nella nuova applicazione di servizio per specificare un percorso host attendibile e le impostazioni di autenticazione.

  1. Aprire Amministrazione centrale.

  2. Selezionare Gestisci applicazioni di servizio in Gestione applicazioni.

  3. Fare clic sul collegamento per la nuova applicazione di servizio PerformancePoint Services e fare clic sul pulsante Gestisci sulla barra multifunzione.

  4. Nella schermata di gestione di PerformancePoint Services fare clic su Percorsi origini dati attendibili.

  5. Selezionare l'opzione Solo percorsi specifici e fare clic su Aggiungi percorso origine dati attendibile.

  6. Digitare l'URL del percorso, selezionare l'opzione Raccolta siti (e sottoalbero) e quindi fare clic su OK.

  7. Selezionare l'opzione Solo percorsi specifici e fare clic su Aggiungi percorso origine dati attendibile.

  8. Digitare l'URL del percorso, selezionare l'opzione Sito (e sottoalbero) e quindi fare clic su OK.

Aprire PerformancePoint Dashboard Designer e creare una connessione dati di Analysis Services.

  1. Aprire PerformancePoint Dashboard Designer e fare clic con il pulsante destro del mouse sull'origine dati per creare una connessione.

  2. Scegliere Analysis Services.

  3. Specificare il server, il database e il cubo e selezionare Identità per utente.

  4. Fare clic su Test origine dati per testare la connessione.

  5. Creare un report e un dashboard.

  6. Accertarsi di disporre di una connessione dati trascinando misure e dimensioni dal riquadro Dettagli in Progettazione report.

  7. Il report può essere incluso nel dashboard.

    Selezionare Report e quindi trascinare il report nella pagina Contenuto dashboard.

  8.  

L'ultimo passaggio per la convalida dell'applicazione PerformancePoint Services consiste nel pubblicare il dashboard e testare l'aggiornamento e la visualizzazione dei dati di Analysis Services. A tale scopo:

  1. Selezionare l'icona del pulsante file luminosa.

  2. Fare clic su Distribuisci nella selezione dei file.

  3. Selezionare una pagina master in cui si desidera effettuare la pubblicazione.

  4. Fare clic sul pulsante di aggiornamento nel browser.

    Se la connessione dati si aggiorna, la configurazione della delega Kerberos per PerformancePoint Services è stata eseguita correttamente.

Mostra: