Monitoring Server 安全注意事项

监控服务器 依赖 Microsoft Internet Information Services (IIS) 域身份验证来验证用户对该应用程序的访问权限。受信任域中的任何活动用户都有权访问 Web 服务，但如果该用户不具有特定的对象级或服务器级角色，则无权创建或查看服务器上的任何元数据。

Monitoring Server 在数据库存储库中配置了一组预定义角色。授权根据用户、用户所属的组和分配给用户的 Monitoring Server 角色之间的比较结果来进行。

监控服务器 提供了若干角色以定义仪表板元素的管理或创建权限。在 仪表板设计器 中，来自 Active Directory 目录服务的用户和组将分配给这些角色。

除了系统中的基本角色之外，还存在仪表板元素编辑角色和读者角色，这两个角色适用于服务器上的单个元素。这些仪表板元素包括报表、记分卡和仪表板本身的定义。

模拟使得 Web 应用程序或 Web 服务能够以另一实体的标识身份（而不是进程标识身份）访问本地资源。委派允许 Web 应用程序或 Web 服务使用模拟令牌来访问远程网络资源。

需要使用委派的情况通常称为“双跃点”应用场景。委派在集成的 Windows 身份验证和 Kerberos 协议的基础之上进行。如果 Web.config 文件中的 Bpm.ServerConnectionPerUser 属性设置为 True，并且注册为数据源的服务和网站都安装在远程计算机上，则 监控服务器 需要委派。Bpm.ServerConnectionPerUser 设置强制要求 监控服务器 在与 Analysis Services 等外部数据源通信时尝试使用经过身份验证的用户的标识。

有关配置 Kerberos 委派的信息，请参阅《PerformancePoint Server 2007 部署指南》。