Monitoring Server 应用程序池帐户

Monitoring Server 数据源通常要求 Monitoring Server 通过身份验证才能访问数据。默认情况下，Monitoring Server 始终使用应用程序池标识来连接到任何数据源，但仅有允许管理员指定连接字符串（包含访问凭据）的数据源例外。在 仪表板设计器 中，用于创建 SQL Server 2005 Analysis Services 数据源的向导允许您指定一组角色以保护到 Analysis Services 的连接。

以单个用户向数据源进行身份验证可能不足以控制对组织的业务数据的访问。监控服务器 提供了两个选项以更好地进行访问控制。

第一个选项是使用 Analysis Services 连接字符串中的 CustomData 字段。监控服务器 可以将向服务器进行身份验证的帐户的域名和用户名指定为连接字符串的 CustomData。然后，可以将 Analysis Services 配置为根据包含 监控服务器 所提供用户名的字符串来限制访问。

第二个选项是通过在 Web.config 文件中启用 Bpm.ServerConnectionPerUser 属性以使 监控服务器 支持 Kerberos 委派。委派可向任何已注册的数据源提供当前经过身份验证的用户的模拟令牌。使用 Kerberos 委派时，每个用户都需要具有对该数据源的访问权限。这种每用户数据源访问权限必须同时在 监控服务器 和用户将连接到的服务中注册。这种方法的优点在于您可以使用适用于每个已注册数据源的应用程序安全模型。

支持在 Analysis Services 报表上导航使用户能够了解静态报表所传达的信息以外的业务情况。编辑角色成员和读者角色成员的报表级安全设置使用户可以和一组特定人群共享相关数据。对分析报表的编辑角色或读者角色权限不会阻止用户查看预期视图允许的范围以外的数据。在这种情况下，数据源的安全设置是限制对多维数据集数据的访问的唯一方法。如果用户有权访问引用 Analysis Services OLAP 多维数据集的数据源，则除非在 Analysis Services 中限制访问权限，否则该用户可以查看该多维数据集中的所有数据。默认情况下，监控服务器 以单个用户身份连接所有数据源。

监控服务器 使用户能够为许多支持的数据源类型指定自己的连接字符串。如果您选择将一组凭据指定为连接字符串的一部分，则需要注意这些凭据不会加密并可直接存储在任何有权访问该数据源的用户的工作区中。

小心：
我们建议您不要将凭据指定为连接字符串的一部分。

我们建议 Monitoring Server 应用程序池标识帐户与 Monitoring Server 网站相匹配。这样可确保在使用默认配置时，报表和记分卡在同一用户上下文中执行。如果您选择使用 Bpm.ServerConnectionPerUser 属性，我们仍然建议您简化 Kerberos 的配置。请注意，运行 SharePoint 产品和技术部署的过程将具有 Monitoring Server 元数据存储库的访问权限。请确保该部署对可发布内容的用户进行限制，因为这些用户也许能够访问 Monitoring Server 数据。

除了配置应用程序池标识和 Web.config 文件之外，还必须为所有相关网站启用 SSL 以进一步保护 Monitoring Server。我们不建议使用集成 Windows 身份验证以外的任何其他方法，也不建议使用非默认端口。我们建议您使用集成 Windows 身份验证和默认端口。