Contesto di sicurezza delle connessioni PowerPivot in una farm

Questa serie video in 4 parti di Lee Graber fornisce un'introduzione all'architettura di PowerPivot per SharePoint. Nella parte 2 vengono sviluppati ulteriormente i concetti illustrati nella parte 1 per spiegare in che modo l'identità utente viene passata quando un utente richiede i dati PowerPivot.

Questo video è disponibile con sottotitoli che possono essere visualizzati facendo clic su CC sulla barra di controllo del video.

Nonostante la velocità con cui parlo, non riusciamo a far rientrare tutto in un video,

pertanto in questa parte, che è la continuazione della sezione precedente, ci concentreremo sull'integrazione PowerPivot con Excel Services.

Credo che siano disponibili altri interventi su PowerPivot per Excel, tuttavia il risultato ottenuto è un file XLSX con l'aspetto vero e proprio di un file ZIP; inoltre, incorporato da qualche parte nel formato di file, si trova ciò che è essenzialmente un file ABF.

Il file ABF può essere semplicemente considerato un formato di file di backup.

Di conseguenza, si può immaginare che in qualche parte del file XLSX sia incorporato un file ABF e che tramite il sistema, se gli viene fornito un file XLSX, sia possibile individuare il file ABF, nonché recuperarlo e interagire con esso.

Pertanto, ne ho creato uno, in cui è incorporato un file ABF, utilizzando il componente aggiuntivo PowerPivot per Excel

e l'ho caricato in SharePoint.

Tornando un attimo indietro, l'ho aperto, lo sto visualizzando nel browser e adesso desidero interagire.

Voglio effettivamente fare clic su un filtro dei dati o espandere un livello nella tabella pivot.

In questo caso, ci troviamo in un'origine dati, proprio come per qualsiasi altra origine dati.

Il nostro provider OLE DB viene generalmente denominato MS OLAP e in Excel Services si direbbe che è necessario eseguire questa query MDX per ottenere più dati in modo da poter determinare ciò che si deve visualizzare.

A questo punto occorre aprire una connessione tramite MS OLAP e inviare questa query.

Torniamo un attimo indietro a ciò che ho illustrato un secondo fa, cioè all'autenticazione del nome utente e, di conseguenza, dell'utente.

Sono presenti un token delle attestazioni passato fin qui e uno strumento Attestazioni per il servizio token Windows in esecuzione nel computer con cui l'utente interagisce durante una chiamata, essenzialmente per ottenere un token.

È quindi disponibile una connessione fisica in cui è effettivamente possibile aprire un file denominato connections.xml che è incorporato nel file ZIP. In questo file è presente una connessione la cui origine dati è elencata come Dollar Embedded.

Se viene aperta nel client Excel è possibile visualizzare le connessioni; dopo aver compilato questa cartella di lavoro, è possibile visualizzare le connessioni e individuare quella desiderata.

Se si visualizzano le proprietà avanzate per l'autenticazione di Excel, si noterà che ci troviamo in Windows.

Probabilmente sto andando un po' troppo veloce, ma, poco fa, abbiamo detto che in Windows, in particolare per Excel, è necessaria la delega vincolata Kerberos, altrimenti non è possibile far passare un token Windows valido.

Non è possibile passare dal computer a un'istanza di SQL Server di un computer diverso o a un database Oracle.

In questo caso, tuttavia, Windows è consentito poiché ci troviamo nell'ambiente SharePoint.

Possiamo effettivamente comprendere i token delle attestazioni e utilizzare il servizio token di sicurezza di SharePoint per creare un token delle attestazioni persino in MS OLAP.

Di conseguenza, in MS OLAP viene ricevuta una chiamata che viene riconosciuta e la chiamata è Dollar Embedded Dollar.

Insieme a ciò è disponibile un'interfaccia nel provider OLE DB in cui, in Excel Services, viene indicato che ci troviamo in una modalità ospitata.

Pertanto, questo provider MS OLAP è uguale a quello che verrebbe richiamato se stessi aprendo la mia cartella di lavoro nel client Excel e facendo clic sui filtri dei dati.

Di conseguenza, dobbiamo assolutamente aver chiaro che lavoriamo in modo diverso nei due casi e, tramite Excel Services, ci viene indicato che ci troviamo in un ambiente ospitato.

È quindi fondamentale non caricare questo file ABF incorporato nello spazio di elaborazione.

Desideriamo caricarlo in un server separato, potenzialmente separato, in un servizio distinto che è effettivamente un motore di Analysis Services autentico,

quindi un modo classico di immaginare il server in cui possiamo eseguire operazioni come la condivisione.

Se più persone stanno aprendo la stessa cartella di lavoro, può essere caricato una sola volta.

Ad esempio, il file ABF estratto può essere memorizzato nella cache, localmente su un disco, in un formato che consente un caricamento rapido tramite Analysis Services.

Possiamo eseguire molte altre operazioni presentate in scenari diversi, ma questo è l'elemento fondamentale.

Esiste un modo tramite cui possiamo individuare ed eseguire un'operazione di handshake con il chiamante che afferma di non voler essere caricato nel processo.

Pertanto, quando la chiamata viene ricevuta da MS OLAP, capiamo che si tratta di Dollar Embedded, che ci troviamo in un ambiente ospitato e, di conseguenza, non desideriamo caricare nessun elemento.

Ciò che diremo è questo, qual è il modo migliore per spiegarlo? In MS OLAP, al livello inferiore, sono disponibili quattro trasporti,

cioè TCP, HTTP, locale e ciò che viene definito canale.

Questa è una novità. Quindi, questa è una connessione ad AS, una connessione normale.

In genere, questo è MSMDPUMP.

Questo, generalmente, era utilizzato per i file CUB.

Questo è un nuovo componente che è stato scritto in modo che, proprio come qui, viene utilizzata un'associazione WCF; possiamo eseguire una configurazione e interagire con WCF in un ambiente gestito.

Facciamo un vero e proprio salto indietro nell'ambiente gestito e interagiamo direttamente con un servizio Web backend destinato ad Analysis Services.

Questo è un servizio di entità fisica e questo è effettivamente un servizio Web.

Attraverso questo facciamo passare le attestazioni.

Pertanto, prendiamo in considerazione quell'utente; tramite Excel viene eseguita una chiamata all'interno dello strumento Attestazioni per il servizio token Windows e si ottiene un token utente limitato.

Quest'ultimo è sufficiente per ricreare lo stesso set di attestazioni passate attraverso questo livello.

Le ricreiamo.

Tramite l'associazione viene eseguito lo stesso token di uscita attraverso il trasporto.

Lo facciamo passare e a questo punto siamo in grado, ad esempio, di convalidare l'accesso dell'utente al file, tenere traccia di informazioni relative all'utente e indirizzare quest'ultimo verso il server Analysis Services appropriato.

Ciò potrebbe richiederne il caricamento.

Il database potrebbe essere già stato caricato.

In uno scenario con più computer potremmo selezionare uno qualsiasi dei computer in base a scelte round robin o basate sull'integrità.

Solo come precisazione, questo trasporto locale per cui, in precedenza, ho detto che veniva utilizzato per i file CUB, è uguale a quello che è utilizzato qui.

Solo nell'ambiente Excel viene utilizzato il trasporto locale tramite cui, essenzialmente, il file ABF viene caricato durante l'elaborazione.

Pertanto, possiamo utilizzare questo durante l'elaborazione e questo è ciò che stiamo utilizzando in caso di incorporamento in cui desideriamo effettivamente uscire dall'elaborazione.

Si tratta del modo più rapido con cui è possibile capire il motivo per cui non è necessario disporre delle delega vincolata Kerberos, anche se ci troviamo in un'origine dati separata.

In genere, è necessario disporre di Kerberos per qualsiasi origine dati utilizzata da ECS contrassegnata come Windows.

A questo punto è fondamentale far notare un paio di aspetti interessanti.

Il primo, come ho detto in precedenza, è che tramite c2wts viene effettivamente eseguito un tentativo di chiamata in qualche punto e di collegamento ad AD.

Se il computer non è compreso nella rete non è possibile comunicare con Active Directory.

Credo che sia disponibile un altro intervento su una delle alternative tramite cui viene effettivamente configurato Active Directory nello stesso computer.

Pertanto, è possibile eseguire questa operazione. Occorre tuttavia sapere che, anche se non stiamo tentando di utilizzare la delega vincolata Kerberos, tramite lo strumento Attestazioni per il servizio token Windows verrà eseguito il tentativo di comunicazione con AD, anche solo per ottenere un token limitato.

Un altro aspetto da notare è che, come ho detto in precedenza, mentre generalmente pensiamo di eseguire l'autenticazione NTLM di Windows, si potrebbe eseguirne una basata su form e, tecnicamente, disabilitare quella sulle attestazioni.

Se viene eseguita una di queste operazioni, questo non funziona.

Non è possibile convertire un utente con autenticazione basata su form in un utente di Windows.

Non è possibile eseguire questa operazione.

A questo punto questa opzione non è più disponibile.

Pertanto, se è stata effettivamente configurata un'autenticazione basata su form e si dispone di alcuni elementi che non funzionano correttamente con questo tipo di autenticazione, questo scenario può comunque essere valido se si cambia l'autenticazione in nessuna o SSO.

Questa modifica influirà su alcune funzionalità di rilevamento delle informazioni.

Di conseguenza, quando si verifica tutto questo flusso, stiamo effettivamente rilevando il fatto che l'utente X ha eseguito delle operazioni e, in Analysis Services, impostiamo di fatto l'utente effettivo che è un termine AS classico, in modo che, in SQL Profiler e strumenti simili, quando si vede chi sta interagendo, verrà visualizzato questo utente.

Se questo utente sta eseguendo l'autenticazione tramite uno di questi metodi, non sarà possibile far passare ciò.

Pertanto se non si utilizza alcuna autenticazione oppure se ne utilizza una di tipo SSO, è possibile finire, ma si perderanno alcune informazioni.

Tuttavia, è possibile riuscire a ottenere un funzionamento valido.

Questi sono due aspetti importanti da capire per le diverse configurazioni della topologia.