Планирование безопасности PerformancePoint Services (SharePoint Server 2010)

Статья
03/05/2017

Применимо к: SharePoint Server 2010 Enterprise

Последнее изменение раздела: 2017-01-18

В PerformancePoint Services в Microsoft SharePoint Server 2010 объекты, которые хранятся в списках и библиотеках документов, защищены моделью безопасности Microsoft SharePoint Server 2010. На вершине этой модели PerformancePoint Services добавляет дополнительные возможности к базовой структуре SharePoint Server 2010, чтобы обеспечить безопасность источников данных и защитить их от нежелательного доступа. Хотя PerformancePoint Services зависит от модели безопасности SharePoint Server 2010, существуют определенные вопросы безопасности, которые нужно учитывать, а следовательно планировать их и управлять ими. Все параметры безопасности на основе служб управляются на веб-сайте центра администрирования SharePoint, что позволяет управлять общими ресурсами и доступом пользователей.

В этой статье описывается планирование проверки подлинности, авторизации и проверки подлинности источников данных.

Проверка подлинности.

В PerformancePoint Services можно выбирать среди трех методов проверки подлинности.

Удостоверение каждого пользователя. Каждая учетная запись пользователя используется для доступа ко всем источникам данных. Для этого метода требуется делегирование Kerberos. Администратор домена должен настроить делегирование Kerberos между PerformancePoint Services и источниками данных.

Примечание

Внешние источники данных должны располагаться в одном домене с фермой SharePoint Server 2010. Если они находятся в другом домене, это не позволит пройти проверку подлинности при доступе к внешним источникам данных. Дополнительные сведения см. в разделе вопросов планирования служб, обращающихся к внешним источникам данных, в статье «Планирование архитектуры служб».
Учетная запись автоматической службы: Одна учетная запись пользователя применяется для доступа ко всем источникам данных. Эта учетная запись домена с малыми привилегиями хранится в службе безопасного хранения. При создании учетной записи автоматической службы сначала определите, есть ли у нее доступ к источникам данных, которые необходимы в панели мониторинга.
Данные пользователя. Предоставляют возможность службам аналитики SQL Server включать имя пользователя, прошедшее в текущий момент проверку подлинности, в качестве параметра в настраиваемом поле данных в строке подключения служб аналитики. Параметр "Данные пользователя" используется только для источников данных служб аналитики и может использоваться с серверами служб аналитики 2006 и 2008.

Надежные расположения.

В PerformancePoint Services подключения источника данных содержатся в библиотеках документов, а контент данных (ключевые индикаторы производительности, фильтры, системы показателей и т.д.) хранится в списках документов. Чтобы защитить контент и предотвратить запросы от пользователей к источникам данных, если объекты в запросе не являются надежными, следует размещать списки и и библиотеки в надежных расположениях. Администратор фермы может определить как надежные все расположения в ферме или только некоторые конкретные расположения. Так как можно легко задать, какое размещение в ферме должно быть защищенным, администратору не нужно защищать всю ферму.

Надежные расположения обеспечивают дополнительный уровень безопасности, ограничивающий выполнение запросов к источникам данных или другим объектам, зависящим от источника данных, который не находится в надежном расположении. В качестве надежных элементов можно определить библиотеку документов или любой родительский объект вплоть до веб-приложения. В PerformancePoint Services настройка параметров надежного расположения производится централизованно в центре администрирования. Конфигурацией параметров можно также управлять с помощью командлетов Windows PowerShell 2,0. При планировании безопасности PerformancePoint Services необходимо понять, какова главная задача: обеспечить безопасность всего веб-приложения или же более строгий контроль расположения защищаемых данных.

Например предположим, что расположения в ферме, независимо помеченные как "надежные", имеют следующую иерархию SharePoint Server 2010 для всего контента данных или источников данных:

Можно отключить использование надежных расположений для источников данных и (или) контента для всей фермы.
Можно отметить списки или библиотеки документов в веб-приложении как надежные.
Можно отметить списки и (или) библиотеки документов в семействе сайтов, включая все дочерние сайты, как надежные.
Можно отметить списки и (или) библиотеки документов на сайте как надежные.
Можно отметить списки и (или) библиотеки документов в ферме как надежные.

При проверке надежности размещения сервер проверяет, включены ли надежные размещения. Если этот параметр включен, сервер проверяет список надежных размещений, начиная с семейства сайтов и переходя на последующие уровни иерархии, чтобы узнать, можно ли доверять контенту.

Элементы, не использующие источники данных, могут не располагаться в надежных размещениях. Сюда входят веб-части, статические KPI, панели мониторинга и значки индикаторов.

Примечание

Надежные расположения источников данных нельзя задать в списке, а расположения надежного контента нельзя задать в библиотеке документов.

Надежные библиотеки контента данных

Надежные библиотеки контента данных — это библиотеки документов SharePoint Server 2010, содержащие файлы подключений данных PerformancePoint Services (PPSDC-файлы). PPSDC-файлы используются для централизованного управления подключениями к источникам данных, включая базы данных SQL Server, кубы OLAP, реляционные базы данных и электронные таблицы служб Excel.

Источники данных задаются в конструкторе панелей мониторинга и хранятся в надежной библиотеке подключений данных в SharePoint Server 2010. Надежная библиотека подключений данных — это библиотека документов, определенная как безопасная. Она ограничивает использование файлов источников данных, но позволяет читать их. Однако библиотека документов создается по умолчанию при подготовке PerformancePoint Services. Администраторы могут управлять подключениями данных на сервере, создавая несколько библиотек подключения данных. Если пользователь обновляет подключение к источнику данных в библиотеке документов, то сведения обновляются и становятся доступными для общего доступа после открытия файла рабочей области в конструкторе панелей мониторинга.

Надежные списки для контента панелей мониторинга

Отчеты, системы показателей, ключевые индикаторы производительности и фильтры должны храниться в надежном списке SharePoint Server 2010. Этот список или любой родительский объект вплоть до семейства сайтов может быть определен как надежный во время первоначальной настройки или позднее в центре администрирования.

Безопасность источников данных

В PerformancePoint Services параметр безопасности для источников данных хранится в каждом источнике данных. Параметр, который определяет, использует ли сервер текущего пользователя, прошедшего проверку подлинности, автоматическую учетную запись пользователя или же автоматическую учетную запись пользователя с помощью данных пользователя, настраивается отдельно для каждого источника данных.

Служба Secure Store и автоматические учетные записи служб

Служба Secure Store SharePoint Server 2010 позволяет безопасно хранить такие сведения, как учетные данные, и связывать их с определенным удостоверением или группой удостоверений. Служба Secure Store есть во всех фермахSharePoint Server 2010.

В PerformancePoint Services каждый источник данных можно настроить для использования учетных данных пользователя, в текущий момент прошедшего проверку подлинности, или автоматическую учетную запись службы. Автоматическая учетная запись службы — это набор учетных данных домена, которые олицетворяются при подключении к источнику данных. Сервер использует автоматическую учетную запись службы вместо управляемой учетной записи для запросов к источнику данных, чтобы не позволить процессу PerformancePoint Services доступ к базе данных контента во время выполнения запроса.

PerformancePoint Services хранит учетные данные автоматической учетной записи службы в службе Secure Store и извлекает их оттуда. Поскольку серверу для олицетворения пользователя необходимо хранить и имя пользователя, и его пароль, пароль для автоматической учетной записи службы хранится в службе Secure Store. Имя пользователя хранится в базе данных PerformancePoint Services, так что оно доступно и может отображаться на странице параметров.

При создании автоматической учетной записи службы убедитесь, что учетная запись имеет соответствующий доступ к нужным источникам данных.

Важно понимать, что учетные данные учетной записи автоматической службы не кэшируются глобально. Вместо этого они получаются из службы безопасного хранения, только когда они необходимы. Если открыть файл рабочей области в конструкторе панелей мониторинга с источником данных, который подключается с помощью учетной записи автоматической службы, а учетные данные еще не кэшированы для этого подключения, пароль учетной записи автоматической службы берется из службы безопасного хранения и используется конечный источник данных.

Проверка подлинности на основе утверждений

Проверка подлинности на основе утверждений в SharePoint Server 2010 поддерживает использование нескольких служб проверки подлинности в одном веб-приложении и позволяет передавать удостоверения пользователей между интерфейсными веб-серверами и серверами приложений. PerformancePoint Services поддерживает использование нескольких служб проверки подлинности только при доступе к содержимому панели мониторинга через веб-браузер. Конструктор панели мониторинга не поддерживается при непосредственном обращении по URL-адресу в каком-либо веб-приложении, использующем несколько служб проверки подлинности. Чтобы использовать Конструктор панели мониторинга в такой конфигурации, необходимо расширить веб-приложение, настроив доступ к новому URL-адресу с использованием только службы проверки подлинности Windows.