規劃 PerformancePoint Services 安全性 (SharePoint Server 2010)

發行項
01/20/2017

適用版本： SharePoint Server 2010 Enterprise

上次修改主題的時間： 2017-01-18

在 Microsoft SharePoint Server 2010 的 PerformancePoint Services 中，儲存在清單與文件庫中的物件受到 Microsoft SharePoint Server 2010 安全性模型的保護。PerformancePoint Services 會在該模型的最上層，將額外的產品功能新增至基本的 SharePoint Server 2010 架構，以確保保護資料來源與儀表板內容的安全，並防止遭到不當的存取。即使 PerformancePoint Services 與 SharePoint Server 2010 安全性模型相依，仍有需要考量進而規劃及管理的特殊安全性考量。所有服務架構安全性設定都會在 SharePoint Server 管理中心網站內管理，以便管理共用資源與使用者存取。

本文涵蓋在驗證、授權及資料來源驗證中規劃的內容。

驗證

在 PerformancePoint Services 中，您可以選擇三種不同的資料來源驗證方法。

每個使用者的識別： 使用每個使用者自己的帳戶存取所有資料來源。此方法需要 Kerberos 委派。網域管理員必須設定 PerformancePoint Services 與資料來源之間的 Kerberos 委派。

注意

外部資料來源必須和 SharePoint Server 2010 伺服器陣列位在相同網域。若外部資料來源不在相同的網域中，則外部資料來源的驗證將會失敗。如需詳細資訊，請參閱＜服務架構規劃＞中的＜存取外部資料來源之服務的規劃考量＞。
自動服務帳戶： 使用單一共用的使用者帳戶存取所有資料來源。這是儲存在 Secure Store Service 中的低權限網域帳戶。建立自動服務帳戶時，請先判斷此帳戶是否具有儀表板中所要求之資料來源的適當存取權。
自訂資料： 提供 SQL Server Analysis Services 功能，可包括目前驗證的使用者名稱，作為 Analysis Services 連線字串之自訂資料欄位中的參數。[自訂資料] 選項僅適用於 Analysis Services 資料來源，並可在 Analysis Services 2006 與 2008 伺服器上使用。

信任位置

在 PerformancePoint Services 中，資料來源聯線包含在文件庫中，而資料內容 (KPI、篩選、計分卡等) 包含在文件清單中。為了保護內容，並在查詢中的物件不受信任時，防止使用者對資料來源執行查詢，必須建立清單與文件庫作為「信任」位置。伺服器陣列管理員可選擇將伺服器陣列中的所有位置設定為「信任」，或選擇識別要信任的特定位置。由於伺服器陣列管理員可在伺服器陣列中輕鬆定義要保護的位置，因此不需要保護整個伺服器陣列。

信任位置提供更進一步的安全性，限制對不在信任位置之資料來源或任何與資料來源相依的任何物件執行查詢。您可以將文件庫或任何高達 Web 應用程式的父物件定義為信任。在 PerformancePoint Services 中，信任位置設定的組態會透過管理中心集中管理。也可使用 Windows PowerShell 2.0 Cmdlet 管理組態。當您規劃 PerformancePoint Services 的安全性時，請考慮是否想要或必須保護整個 Web 應用程式，或更嚴密地管理安全資料的位置。

例如：伺服器陣列內個別標示為「信任」的位置，具有資料內容或資料來源的下列 SharePoint Server 2010 階層：

停用整個伺服器陣列的資料來源及 (或) 內容的信任位置。
信任 Web 應用程式中的清單及 (或) 文件庫。
信任網站集合 (包括所有子網站) 中的清單及 (或) 文件庫。
信任網站中的清單及 (或) 文件庫。
信任伺服器陣列中的個別清單及 (或) 文件庫。

確認是否信任位置時，伺服器會檢查是否啟用 [信任位置]。若已啟用該屬性，伺服器會檢查信任位置清單，從網站集合開始，再到階層下一層級逐層確認是否信任內容。

不使用資料來源的項目不需要位於信任位置才可呈現。這些項目包括網頁、靜態 KPI、儀表板及標記圖示。

注意

信任的資料來源位置無法在清單上定義，而信任的內容位置無法在文件庫上定義。

信任的資料內容庫

信任的資料內容庫是包含 PerformancePoint Services 資料連線檔案 (.ppsdc) 的 SharePoint Server 2010 文件庫。.ppsdc 檔案係用於集中管理資料來源的連線，這些資料來源包括 SQL Server 資料庫、OLAP Cube、關聯式資料庫及 Excel Services 試算表。

資料來源透過儀表板設計工具定義，並儲存在 SharePoint Server 2010 之信任的資料連線庫中。信任的資料連線庫是您判定為安全的文件庫，可限制資料來源檔案的使用，但仍允許讀取作業。預設會在佈建 PerformancePoint Services 時建立文件庫，但是管理員可建立多個資料連線庫，以管理伺服器上的資料連線。若使用者更新文件庫中的資料來源連線，則在儀表板設計工具中開啟工作區檔案時，會共用及更新此資訊。

信任的儀表板內容清單

報表、計分卡、KPI 及篩選全部必須儲存在信任的 SharePoint Server 2010 清單中。您可以在初始設定期間或之後，透過管理中心將清單或任何高達網站集合的父物件定義為信任。

資料來源安全性

在 PerformancePoint Services 中，資料來源的安全性設定會儲存在每個資料來源中。針對每一個資料來源進行設定，以確定伺服器會使用已經過驗證的使用者、自動使用者帳戶或使用自訂資料的自動使用者帳戶。

Secure Store Service 帳戶與自動服務帳戶

SharePoint Server 2010 Secure Store Service 提供安全儲存資料 (例如透過認證)，以及將資料與特定身分識別或一組身分識別建立關聯的功能。所有 SharePoint Server 2010 伺服器陣列都有 Secure Store Service。

在 PerformancePoint Services 中，您可以將每個資料來源設定為使用已經過驗證的使用者認證，或使用「自動服務帳戶」。自動服務帳戶是連線至資料來源時，會模擬的一組網域認證。伺服器會使用自動服務帳戶 (而不是受管理帳戶) 進行資料來源查詢，以防止 PerformancePoint Services 程序在執行查詢時存取內容資料庫。

PerformancePoint Services 會將自動服務帳戶認證儲存在 Secure Store Service 中並從中擷取。由於伺服器必須保留使用者名稱與密碼才可模擬使用者，因此會將自動服務帳戶的密碼儲存在 Secure Store Service 中。使用者名稱則儲存在 PerformancePoint Services 資料庫中，以供存取並顯示在設定頁面中。

建立自動服務帳戶時，請確定此帳戶具有所需之資料來源的適當存取權。

請務必了解自動服務帳戶認證不會從全域快取。相反地，只有在需要時，才會從 Secure Store Service 中擷取。若在使用自動服務選項連線資料來源的儀表板設計工具中開啟工作區檔案，但尚未快取該連線的認證，則會從 Secure Store Service 擷取自動服務帳戶密碼並使用目標資料來源。

宣告式驗證

SharePoint Server 2010 中的宣告式驗證在單一 Web 應用程式上支援多種驗證提供者，並可用以在前端網頁伺服器與應用程式伺服器之間傳遞使用者身分識別。只有透過網頁瀏覽器使用儀表板時，PerformancePoint Services 才支援多種驗證提供者。當您直接存取使用多種驗證提供者的任一 Web 應用程式的 URL 時，不支援儀表板設計工具。您必須擴充並設定 Web 應用程式僅限存取 Windows 驗證提供者的新 URL，才可在此組態中使用儀表板設計工具。