使用 NTLM 配置 SharePoint Server 2010 服务器场以实现商业智能
适用于: SharePoint Server 2010
上一次修改主题: 2017-01-19
利用集成 Windows 身份验证,Windows 客户端可以向 Microsoft SharePoint Server 进行无缝身份验证,而不必手动提供凭据(用户名/密码)。通常用于身份验证的两种协议类型是 Kerberos 协议和 NT LAN Manager (NTLM) 协议。本文介绍用于每个 SharePoint Server 服务的 NTLM 身份验证详细选项,并演示配置 Microsoft SharePoint Server 2010 环境来执行使用 NTLM 的商业智能任务所需的步骤。若要查看 Kerberos 身份验证和 NTLM 身份验证的优缺点,请参阅 Microsoft SharePoint 2010 产品的 Kerberos 身份验证概述。
本文档的分步说明涉及可配置为使用 NTLM 的几种 SharePoint Server 2010 方案;还将提供指向其他资源的链接。涉及的方案包括:
方案 1:核心配置
方案 2:SQL Server 和 Analysis Services 配置
方案 3:Reporting Services 配置
方案 4:PerformancePoint Services 配置
方案 5:从 Excel 连接到 SQL Server 数据并使用 Excel Services 发布到 SharePoint 网站
方案 6:PowerPivot for SharePoint 2010 配置
方案 7:创建数据连接 Web 图表并使用 Visio Services 发布到 SharePoint 网站
鉴于 IT 资产的部署拓扑结构,您可能必须配置 Kerberos,但在许多生产和测试方案中,该操作并不是必需操作。如果要了解有关专用于商业智能的各种服务应用程序的方案的详细信息,请参阅白皮书为 Microsoft SharePoint 2010 产品配置 Kerberos 身份验证(该链接可能指向英文页面)。
使用 NTLM 进行经典模式身份验证的 SharePoint Server 2010
在 SharePoint 经典模式中,NTLM 是进行 SharePoint Server 服务器场传入和传出身份验证所使用的默认协议,而声明身份验证用于进行服务器场内身份验证。这样会产生配置缺陷:您期望 Windows 集成身份验证使用客户端凭据向远程数据源进行身份验证时没有授权障碍,但 NTLM 的“双跃点”限制不允许这样做。从客户端到 SharePoint 服务器场的连接被视为第一个跃点,从 SharePoint 服务器场到远程数据源的连接是第二个跃点。若要了解有关声明和三种身份验证方案、传入授权、场间/场内授权和传出授权的详细信息,请参阅 Microsoft SharePoint 2010 产品的 Kerberos 身份验证概述
在这种情况下,SharePoint 2010 产品必须使用受信任的子系统模型,才能访问数据层。如下图所示,受信任的子系统使用受信任用户的帐户访问外部系统。
备注
独立帐户在 SharePoint Server 和 SQL Server 产品之间的称呼有所不同。SharePoint Server 将该帐户称为无人参与服务帐户,而 SQL Server 将其称为无人参与执行帐户。该帐户是一个普通帐户,它与客户端无关并且不能通过客户端,了解这一点很重要。
SharePoint 2010 产品使用以下策略之一来实现受信任的子系统,并在 NTLM 中进行数据层访问:
提示用户提供数据源凭据
嵌入式登录
存储的数据库凭据
以上任一策略均可创建与数据层的“第一个跃点”连接,以便消除 NTLM“第二个跃点”。使用存储的数据源凭据可消除使用商业智能应用程序时出现的其他凭据提示。SharePoint Server 资源的所有用户都可共享对数据资源的同一访问权限,因为只能在 SharePoint Server 资源中存储一个数据源凭据。
使用 SQL Server 产品,您还可以提示用户提供数据源凭据。
SharePoint Server 2010 中商业智能产品的数据访问选项
本节列出了将 SharePoint 服务器场配置为通过 NTLM 使用经典模式身份验证时,以及服务器场连接到远程数据源时每个商业智能产品的数据访问选项。每个 SharePoint Server 2010 服务均以不同方式对数据层进行访问。
Secure Store Service 是消除双跃点问题,同时验证外部数据源的常用方法。本文中的演练列出了通过 NTLM 使用经典模式身份验证来启用该部署方案所需的步骤。事件发生的基本顺序如下所示:
SharePoint Server 2010 用户访问数据连接对象,例如 Excel Services 或 PowerPivot 工作表、Visio Services Web 绘图或者 PerformancePoint Services 仪表板。
如果该对象配置为使用 Secure Store 进行数据身份验证,则商业智能服务应用程序会通过调用 Secure Store Service 来访问该对象指定的目标应用程序。
服务应用程序使用无人参与帐户向远程数据源进行身份验证。
如果身份验证成功,则在工作表、Web 绘图或仪表板上下文中向用户显示数据。
虽然步骤相似,但服务应用程序之间存在一些区别。若要了解有关如何在 SharePoint Server 2010 中为服务配置 Secure Store Service 的详细信息,请参阅将安全存储与 SQL Server 身份验证结合使用 (SharePoint Server 2010)。
有一些将用户登录信息嵌入查询的方法允许直接连接到外部系统。例如,在 PerformancePoint Services 中,可使用多维表达式 (MDX) 函数来应用动态 OLAP 安全设置,从而访问 SQL Server Analysis Services 值。
重要
身份验证方法可能具有不同名称,但其用途和功能相似。例如,在 PerformancePoint Services 中,“每用户标识”指集成 Windows 身份验证。下表提供了相应说明。
服务应用程序 | 实现详细信息 |
---|---|
Excel Services |
Excel Services 应用程序支持三种数据身份验证方法:
若要了解详细信息,请参阅规划 Excel Services 身份验证 (SharePoint Server 2010)。 |
PerformancePoint Services |
PerformancePoint Services 支持三种数据身份验证方法:
|
Visio Services |
|
PowerPivot for SharePoint 2010 |
在访问包含 PowerPivot 数据的 Excel 工作表时,PowerPivot 服务应用程序可访问本地 Analysis Services VertiPaq 引擎,但不能突破计算机界限访问 SharePoint 场之外的服务器。如果数据刷新,PowerPivot 服务应用程序将使用存储在 Secure Store Services 中的凭据刷新外部 Analysis Services 数据库中的数据。 |
SQL Server 2008 R2 Reporting Services1 |
可以对每个报表及其数据源进行配置,以使其显示提供凭据的相关提示,或使用作为报表或数据源元数据的一部分存储的预配置凭据,并且在用户运行报表时将使用配置的选项。如果在无人参与情况下运行报表(例如计划订阅),SQL Server Reporting Services 会使用存储在报表服务器上的无人参与执行帐户来访问外部数据源。 |
1SQL Server 2008 R2 在 SharePoint Server 2010 中不是服务应用程序,也不是声明感知程序;它不能利用场内声明身份验证体系结构。
多层方案中的 SharePoint Server 2010 商业智能
下图显示了在本节中配置 SharePoint Server 2010 商业智能时使用的部署方案。如之前子系统的相关讨论所述,前端服务先对客户端进行身份验证和授权,然后向其他后端服务进行身份验证,但不会将客户端标识传递到后端系统。后端系统“信任”前端服务代表它执行身份验证和授权。该服务器场拓扑可在多层之间实现负载平衡并进行扩展,以此演示标识委派如何在多台服务器、多跃点方案中发挥作用。使用 Windows Server 2008 网络负载平衡 (NLB) 可在 SharePoint Server 前端 Web 服务器和 SQL Server Reporting Services 服务器上实现负载平衡。本文档不介绍如何配置 NLB 和 NLB 最佳实践。有关 NLB 的详细信息,请参阅网络负载平衡概述。
备注
与您自己的拓扑结构相比,该示例中的拓扑结构可能或多或少要更复杂一些,但客户端、SharePoint Server 2010 服务器场和外部系统的基本特征是相同的。有关如何设计和构建 SharePoint Server 生产环境的详细信息,请参阅 SharePoint Server 2010 部署。
基本配置
可采用多种方案配置各种服务。本节中的步骤演示在没有运行场配置向导时如何配置 PerformancePoint Services、Excel Services 和 Visio Services。如果选择使用向导配置服务器场的选项,则该向导会帮助您创建默认网站集,并自动配置您所选择的服务应用程序。本方案假定您已经选择自行配置所有内容。若要了解有关部署 SharePoint Server 2010 的不同方案的详细信息,请参阅:
当您演练这些方案时,您将发现其他一些配置差异。
**步骤 1:**在 SP10WFE-01 上创建 Web 应用程序。
若要了解详细信息,请参阅创建使用 Windows 经典身份验证的 Web 应用程序 (SharePoint Server 2010)。在本文中,使用以下步骤进行配置。
浏览到管理中心,并选择“应用程序管理”和“管理 Web 应用程序”。
在工具栏中,选择“新建”,并创建 Web 应用程序。
选择“Windows 经典模式”身份验证。
为每个 Web 应用程序配置端口和主机标头。
选择“NTLM”作为验证提供程序
备注
如果选择“协商”,且未配置 Kerberos 身份验证,则会默认恢复为 NTLM 身份验证。
在应用程序池下,选择“新建应用程序池”,然后选择“管理帐户”。
备注
管理帐户是一个 Active Directory 用户帐户,该帐户使用 SharePoint Server 管理并包含的凭据。若要了解如何注册新管理帐户,请参阅配置自动密码更改 (SharePoint Server 2010)。
备注
安全的做法是:使用单独的管理帐户运行每个服务应用程序。
在创建新的 Web 应用程序时,还要创建一个配置为使用 Windows 身份验证提供程序的新区域(默认区域)。区域代表用于获取 Web 应用程序中相同网站的访问权限的不同逻辑路径,并且可能意味着用于指定 Web 应用程序的不同身份验证方法。
如果用户能够匿名访问网站内容,则在 SharePoint 网站级别进行匿名访问之前,应对 Web 应用程序区域进行匿名访问;之后,网站所有者便可以配置如何在其网站中使用匿名访问。若要了解有关区域的详细信息,请参阅规划身份验证方法 (SharePoint Server 2010) 中的“为 Web 应用程序规划区域”一节。
**步骤 2:**在 SP10WFE-01 上创建网站集。按照创建网站集 (SharePoint Server 2010) 中的步骤操作。
SQL Server 和 Analysis Services 配置
在本节中,将通过商业智能应用程序为访问配置 SQL Server 2008 R2 数据库服务器和 SQL Server 2008 R2Analysis Services 服务器,并安装 AdventureWorks 示例数据库和 AdventureWorks 示例多维数据集。
步骤 | 有关信息,请参阅 |
---|---|
在 dbsrvSQL 上安装 SQL Server 引擎实例,并在 dbsrvSQLAS 上安装 Analysis Services 实例。 |
|
在 dbsrvSQL 上打开端口 1433 和 1434。 |
|
在 dbsrvSQLAS 上打开端口 2383。 |
|
在 dbsrvSQL 上为 SQL Server 引擎实例启用 TCP/IP 和命名管道。 |
|
从 CodePlex(该链接可能指向英文页面) 下载示例数据库,并将其安装在 dbsrvSQL 和 dbsrvSQLAS 上。安装包包括 Analysis Services 项目示例。必须手动部署它。 |
|
安装 Analysis Services 项目示例,并部署多维数据集示例。 |
Reporting Services 配置
在本节中,将配置 SQL Server 2008 R2Reporting Services 以将报表发布到 SharePoint 网站,并在 SharePoint 网站中查看这些报表。有关 SharePoint Server 集成中 Reporting Services 的体系结构概述,请参阅 https://msdn.microsoft.com/zh-cn/library/bb283324.aspx。
步骤 | 有关信息,请参阅 |
---|---|
在 SP10App-02 上安装 SharePoint Server 2010,并将其加入 SharePoint Server 场。报表服务器计算机需要 SharePoint Foundation 2010 或 SharePoint Server 2010 作为必备组件。 |
|
在 SP10App-02 上以 SharePoint 集成模式安装 SQL Server 2008 R2Reporting Services。 |
|
配置域帐户来运行报表服务器实例。 备注 如果同时满足以下两个条件,则必须使用域用户凭据来运行报表服务器实例:
|
|
在 rsreportserver.config 中,如果 |
|
在 SharePoint 管理中心设置报表服务器集成时,使用“可信帐户”选项。 该帐户不用于访问数据层。它使 SharePoint Server 2010 的 Reporting Services 加载项可以在 SP10App-02 上与 Reporting Services Windows 服务进行通信。 |
|
通过访问链接 http://< 主机名 >/<网站 >/_layouts/ReportServer/SiteLevelSettings.aspx,来测试报表服务器集成。 |
|
从 CodePlex(该链接可能指向英文页面) 中下载示例报表,并将这些示例报表发布到 SharePoint 网站。 |
|
在 SharePoint Server 目录中查找示例报表,将 DataSources\AdventureWorks2008R2 共享数据源配置为提示提供凭据,并选中“用作 Windows 凭据”复选框。 |
|
在 SharePoint 网站中打开示例报表来测试报表视图。您将收到输入 Windows 凭据的提示。键入有权访问 AdventureWorks2008R2 数据库的用户的凭据。 |
PerformancePoint Services 配置
在本节中,将配置 PerformancePoint Services。您将配置安全设置,以使用户有权访问外部数据系统。有关详细步骤,请参阅安装和配置 PerformancePoint Services(分步)。
步骤 | 有关信息,请参阅 |
---|---|
如果决定从网站而不是商业智能中心打开 PerformancePoint 仪表板设计器,请参阅启用 PerformancePoint Services 网站功能。 |
|
如果没有通过运行配置向导来创建服务应用程序和代理,则必须创建 PerformancePoint Service 应用程序。 还必须启动 PerformancePoint Services 服务。可以使用管理中心或 Windows PowerShell 2.0 cmdlet 管理服务。 |
创建 PerformancePoint Services 服务应用程序 (SharePoint Server 2010) 管理服务器上的服务 (SharePoint Server 2010) 中的“启动或停止服务” |
在创建 PerformancePoint Services 服务后,最好为专用于 PerformancePoint Services 的现有应用程序池创建并注册一个新服务帐户。为此,请运行以下 Windows PowerShell 脚本来向该帐户授予对关联内容数据库的访问权限。下面是一个示例: PS C:\> $w = Get-SPWebApplication(“ <您的 Web 应用程序> ”) PS C:\> $w.GrantAccessToProcessIdentity(" <插入服务帐户> ") 若要使 PerformancePoint Services 正常工作,则必须执行此步骤。请注意,这一操作会向 db_owner 授予对 SharePoint Foundation 内容数据库的访问权限。 备注 该内容数据库不支持 SQL Server 身份验证。 |
SharePoint 2010 中的管理帐户(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=198229&clcid=0x804)(该链接可能指向英文页面) |
创建和配置 Secure Store Service 应用程序和代理。这是存储 PerformancePoint Services 服务应用程序的无人参与服务帐户密码所必需的。 若要初始化 Secure Store Service 应用程序,请参阅配置 Secure Store Service (SharePoint Server 2010) 的以下各节。 |
配置 Secure Store Service (SharePoint Server 2010) 备注 只有特定节适用于 PerformancePoint Services 配置。有关如何创建目标应用程序,或如何设置目标应用程序的凭据的各节内容不适用于 PerformancePoint,而这些内容适用于 Visio 和 Excel Services。 |
确保服务应用程序连接、PerformancePoint Services 服务应用程序和 Secure Store Service 与 Web 应用程序相关联。
|
|
配置无人参与服务帐户。必须为 PerformancePoint Services 设置无人参与服务帐户,才能连接到除当前验证的用户以外的数据源。可以在配置 PerformancePoint Service 应用程序后设置无人参与服务帐户。该设置位于管理中心中“PerformancePoint Services 管理”页下的“管理服务应用程序”中。 |
|
默认情况下,所有位置均受信任。您可能希望通过启用一个或多个网站、列表或文档库而不是启用整个网站集来限制对 PerformancePoint Services 数据源或依赖数据源的任何对象的访问权限。在网站和网站集中启用 PerformancePoint Services 功能之前或之后,可以对 PerformancePoint Services 启用受信任的位置。 |
|
创建 Analysis Services 的数据连接。 若要了解如何将 Analysis Services 配置为与时间智能功能一起使用,请参阅使用仪表板设计器配置 Analysis Services 数据源时间设置。 |
|
通过创建基本仪表板来测试数据连接。 如果您已成功创建一个支持 PerformancePoint Services 的网站集,则应该可以打开 PerformancePoint 仪表板设计器,并连接到外部数据源。 |
从 Excel 连接到 SQL Server 数据并使用 Excel Services 发布到 SharePoint 网站
Excel Services 应用程序 是一个共享服务,您可以使用该服务在 Excel Web Access 中查看和编辑工作簿。以下 Excel Services 方案假定存在一个 Web 应用程序,并按本文开始处的“方案 1:核心配置”中所述配置 NTLM 身份验证。
步骤 | 有关详细信息,请参阅: |
---|---|
定义一个可从中加载 Excel 文件的新的受信任位置。 备注 还可以对 SharePoint Server 2010 自动创建的 Excel Services 使用默认的受信任文件位置。若要了解有关如何规划安全设置的详细信息,请参阅规划 Excel Services 身份验证 (SharePoint Server 2010)。 |
|
在 Microsoft SharePoint 2010 产品中,为 Excel Services 应用程序设置和配置 Secure Store Service。为应用程序 ID 设置凭据,以便在后续步骤中加入这些凭据。 |
|
将 Excel 2010 客户端连接到正确的 SQL Server 服务器。 使用连接到(导入)SQL Server 数据中介绍的步骤,完成数据连接向导中的步骤。
警告 请确保不在独占模式下打开数据库。 |
另请参阅: |
将 Excel 工作簿发布到 SharePoint Server 2010。 |
PowerPivot for SharePoint 2010 配置
在这种情况下,请在 SP10App-02 上将 PowerPivot 添加到现有 SharePoint Server 2010 安装中。
步骤 | 有关信息,请参阅 |
---|---|
请按照 Microsoft 支持中的说明在 SP10App-02 上将 Setup1000.exe.config 添加到路径 %ProgramFiles%\Microsoft SQL Server\100\Setup Bootstrap\SQLServer2008R2\x64 下。 |
|
在 SP10App-02 上向现有 SharePoint Server 场中安装 PowerPivot |
|
配置服务器。 |
|
上载 PowerPivot 工作簿(包括安装步骤)。 |
|
查看工作簿。 |
创建数据连接 Web 图表并使用 Visio Services 发布到 SharePoint 网站
Microsoft SharePoint Server 2010 中的 Visio Services 是允许用户共享和查看 Microsoft Visio Web 绘图的服务应用程序。该服务还支持数据连接 Microsoft Visio 2010 Web 绘图,后者在发布到 SharePoint Server 网站上时可从各种数据源进行刷新和更新。例如,形状可显示当前过程指定阶段的单位数,或者可用于当数量超过或低于指定阈值时配置颜色。
以下 Visio Services 方案假定存在一个 Web 应用程序,并按“方案 1:核心配置”中所述配置 NTLM 身份验证。
步骤 | 有关详细信息,请参阅: | ||
---|---|---|---|
|
|||
如果没有运行配置向导来创建服务应用程序,则必须创建 Visio Graphics Service 应用程序。 |
|||
在 Microsoft SharePoint 2010 产品中,为 Visio Services 应用程序设置和配置 Secure Store Service。 |
|||
在 Visio Professional 或 Visio Premium 中,创建数据连接 Web 图表。数据选取器向导与在 Excel Services 中使用的向导相似。 |
|||
将 Visio Web 图表发布到 SharePoint Server 2010。 |