Konfigurieren von Analysis Services für die eingeschränkte Kerberos-Delegierung
Wenn Sie Analysis Services für eine Kerberos-Authentifizierung konfigurieren, möchten Sie wahrscheinlich eines oder beide der folgenden Ergebnisse erreichen: die Annahme einer Benutzeridentität durch Analysis Services im Falle einer Datenabfrage oder die Delegierung einer Benutzeridentität durch Analysis Services an einen untergeordneten Dienst. Für die Szenarien gelten leicht abweichende Konfigurationsanforderungen. Bei beiden Szenarien muss überprüft werden, ob die Konfiguration ordnungsgemäß ausgeführt wurde.
.gif "Tipp") Tipp |
|---|
Microsoft Kerberos-Konfigurations-Manager für SQL Server ist ein Diagnosetool zur Behebung Kerberos-bezogener Verbindungsprobleme bei SQL Server. Weitere Informationen finden Sie unter Microsoft Kerberos-Konfigurations-Manager für SQL Server. |
Dieses Thema enthält folgende Abschnitte:
Zulassen, dass Analysis Services eine Benutzeridentität annimmt
Konfigurieren von Analysis Services für die vertrauenswürdige Delegierung
Prüfen, ob eine Identität angenommen oder delegiert wurde
| Hinweis |
|---|
Die Delegierung ist nicht erforderlich, wenn die Verbindung mit Analysis Services eine Single-Hop-Verbindung ist oder wenn die Lösung gespeicherte Anmeldeinformationen verwendet, die vom SharePoint Secure Store Service oder Reporting Services bereitgestellt werden. Wenn alle Verbindungen mit einer Analysis Services-Datenbank Direktverbindungen mit Excel sind bzw. auf gespeicherten Anmeldeinformationen basieren, können Sie Kerberos (oder NTLM) verwenden, ohne die eingeschränkte Delegierung zu konfigurieren. Die eingeschränkte Kerberos-Delegierung ist erforderlich, wenn die Benutzeridentität über mehrere Computerverbindungen verwendet werden muss (auch bekannt als "Doppelhop"). Wenn der Analysis Services-Datenzugriff von der Benutzeridentität abhängig ist und die Verbindungsanforderung von einem delegierenden Dienst stammt, verwenden Sie die Checkliste im nächsten Abschnitt, um sicherzustellen, dass Analysis Services die Identität des ursprünglichen Aufrufers annehmen kann. Weitere Informationen zu Analysis Services-Authentifizierungsabläufen finden Sie unter Microsoft BI-Authentifizierung und Identitätsdelegierung. Als bewährte Sicherheitsmethode empfiehlt Microsoft immer eine eingeschränkte Delegierung statt einer nicht eingeschränkten Delegierung. Die nicht eingeschränkte Delegierung stellt ein größeres Sicherheitsrisiko dar, da sie der Dienstidentität erlaubt, die Identität eines anderen Benutzers auf jedem Downstreamcomputer, in jedem Dienst und in jeder Anwendung anzunehmen (im Gegensatz zu den Diensten, die über die eingeschränkte Delegierung explizit definiert werden). |
Zulassen, dass Analysis Services eine Benutzeridentität annimmt
Um übergeordneten Diensten wie Reporting Services, IIS oder SharePoint zu ermöglichen, eine Benutzeridentität für Analysis Services anzunehmen, müssen Sie die eingeschränkte Kerberos-Delegierung für diese Dienste konfigurieren. In diesem Szenario nimmt Analysis Services die Identität des aktuellen Benutzers an, indem die Identität des delegierenden Dienstes angenommen wird. Die daraufhin zurückgegebenen Ergebnisse basieren auf der Rollenmitgliedschaft dieser Benutzeridentität.
Aufgabe |
Beschreibung |
||
|---|---|---|---|
Schritt 1: Überprüfen, ob die Konten für die Delegierung geeignet sind |
Stellen Sie sicher, dass die Konten, unter denen Sie die Dienste ausführen, über die entsprechenden Eigenschaften in Active Directory verfügen. Dienstkonten in Active Directory dürfen nicht als vertrauliche Konten gekennzeichnet oder ausdrücklich aus Delegierungsszenarien ausgeschlossen werden. Weitere Informationen finden Sie unter Grundlegendes zu Benutzerkonten.
|
||
Schritt 2: Registrieren des SPN |
Vor dem Einrichten der eingeschränkten Delegierung müssen Sie einen Dienstprinzipalnamen (SPN) für die Analysis Services-Instanz registrieren. Sie benötigen den Analysis Services-SPN, wenn Sie die eingeschränkte Kerberos-Delegierung für Dienste der mittleren Ebene konfigurieren. Anweisungen dazu finden Sie unter SPN-Registrierung für eine Analysis Services-Instanz. Ein Dienstprinzipalname (Service Principal Name, SPN) gibt die eindeutige Identität eines Diensts in einer Domäne an, die für die Kerberos-Authentifizierung konfiguriert wurde. Clientverbindungen mit integrierter Sicherheit erfordern im Rahmen der SSPI-Authentifizierung häufig einen SPN. Die Anforderung wird an einen Active Directory-Domänencontroller (DC) weitergeleitet. Dabei stellt KDC ein Ticket bereit, wenn für den vom Client angegebenen SPN in Active Directory eine entsprechende SPN-Registrierung vorhanden ist. |
||
Schritt 3: Konfigurieren der eingeschränkten Delegierung |
Nachdem Sie die zu verwendenden Konten überprüft und SPNs dafür registriert haben, konfigurieren Sie im nächsten Schritt übergeordnete Dienste wie IIS, Reporting Services oder SharePoint-Webdienste für die eingeschränkte Delegierung, und geben Sie dabei die Analysis Services-SPN als spezifischen Dienst an, für den die Delegierung erlaubt ist. Unter SharePoint ausgeführte Dienste wie Excel Services oder Reporting Services im SharePoint-Modus hosten häufig Arbeitsmappen und Berichte, die mehrdimensionale oder tabellarische Analysis Services-Daten nutzen. Die Konfiguration der eingeschränkten Delegierung für diese Dienste ist eine allgemeine Konfigurationsaufgabe, die ausgeführt werden muss, damit die Datenaktualisierung von Excel Services unterstützt wird. Über die folgenden Links erhalten Sie Anweisungen für SharePoint Services und andere Dienste, die Downstream-Verbindungsanforderungen für Analysis Services-Daten ausgeben können:
|
||
Schritt 4: Testen von Verbindungen |
Stellen Sie beim Testen Verbindungen von Remotecomputern unter verschiedenen Identitäten her, und fragen Sie Analysis Services mit den gleichen Anwendungen ab, die von Benutzern im geschäftlichen Bereich verwendet werden. Mithilfe von SQL Server Profiler können Sie die Verbindung überwachen. Die Benutzeridentität für die Anforderung sollte angezeigt werden. Weitere Informationen finden Sie unter Prüfen, ob eine Identität angenommen oder delegiert wurde in diesem Abschnitt. |
.gif "Wichtiger Hinweis")
WichtigKonfigurieren von Analysis Services für die vertrauenswürdige Delegierung
Indem Sie Analysis Services für die eingeschränkte Kerberos-Delegierung konfigurieren, ermöglichen Sie dem Dienst, eine Clientidentität für einen untergeordneten Dienst, z. B. das relationale Datenbankmodul, anzunehmen. Daraufhin können die Daten so abgefragt werden, als wäre der Client direkt verbunden.
Delegierungsszenarien für Analysis Services sind auf tabellarische Modelle beschränkt, die für den DirectQuery-Modus konfiguriert sind. Dies ist das einzige Szenario, bei dem Analysis Services delegierte Anmeldeinformationen an einen anderen Dienst übergeben kann. In allen anderen Szenarien, z. B. den im vorherigen Abschnitt erwähnten SharePoint-Szenarien, befindet sich Analysis Services am empfangenden Ende der Delegierungskette. Weitere Informationen zu DirectQuery finden Sie unter DirectQuery-Modus (SSAS – tabellarisch).
| Hinweis |
|---|
Es ist ein verbreiteter Irrtum, dass in der ROLAP-Speicherung, bei Verarbeitungsvorgängen oder beim Zugriff auf Remotepartitionen eine eingeschränkte Delegierung notwendig ist. Dies ist nicht der Fall. Alle diese Vorgänge werden direkt vom Dienstkonto (auch Verarbeitungskonto genannt) im eigenen Namen ausgeführt. Eine Delegierung für diese Operationen in Analysis Services ist nicht erforderlich, sofern die Berechtigungen für diese Operationen direkt an das Dienstkonto vergeben wurden (z. B. die Berechtigung "db_datareader" für die relationale Datenbank, sodass der Dienst Daten verarbeiten kann). Weitere Informationen zu Servervorgängen und zu Berechtigungen finden Sie unter Konfigurieren von Dienstkonten (Analysis Services). |
In diesem Abschnitt wird erläutert, wie Sie Analysis Services für die vertrauenswürdige Delegierung einrichten. Wenn Sie diese Aufgabe abgeschlossen haben, ist Analysis Services in der Lage, delegierte Anmeldeinformationen an SQL Server weiterzuleiten, um den in tabellarischen Anwendungen verwendeten Modus DirectQuery zu unterstützen.
Vorbereitungen:
Überprüfen Sie, ob Analysis Services gestartet wurde.
Überprüfen Sie, ob der für Analysis Services registrierte SPN gültig ist. Anweisungen finden Sie unter SPN-Registrierung für eine Analysis Services-Instanz.
Wenn beide Voraussetzungen erfüllt sind, fahren Sie mit den folgenden Schritten fort. Beachten Sie, dass Sie Domänenadministrator sein müssen, um die eingeschränkte Delegierung einzurichten.
Suchen Sie unter Active Directory-Benutzer und -Computer das Dienstkonto, unter dem Analysis Services ausgeführt wird. Klicken Sie mit der rechten Maustaste auf das Dienstkonto, und wählen Sie Eigenschaften aus.
Zur Veranschaulichung werden in den folgenden Screenshots "OlapSvc" und "SQLSvc" verwendet, um Analysis Services und SQL Server darzustellen.
"OlapSvc" ist das Konto, das für die eingeschränkte Delegierung an "SQLSvc" konfiguriert wird. Nachdem Sie diese Aufgabe abgeschlossen haben, ist "OlapSvc" berechtigt, delegierte Anmeldeinformationen für ein Dienstticket an "SQLSvc" zu übergeben. Dadurch wird beim Anfordern von Daten die Identität des ursprünglichen Aufrufers angenommen.
Wählen Sie auf der Registerkarte Delegierung die Option Benutzer bei Delegierungen angegebener Dienste vertrauen und dann Nur Kerberos verwenden aus. Klicken Sie auf Hinzufügen, um anzugeben, an welchen Dienst Anmeldeinformationen von Analysis Services delegiert werden dürfen.
Die Registerkarte Delegierung wird nur angezeigt, wenn das Dienstkonto (OlapSvc) einem Dienst (Analysis Services) zugewiesen ist und für den Dienst ein SPN registriert wurde. Die SPN-Registrierung setzt voraus, dass der Dienst ausgeführt wird.
.gif "Kontoeigenschaften (Seite in Active Directory)")
Klicken Sie auf der Seite Dienste hinzufügen auf Benutzer oder Computer.
.gif "Dienste hinzufügen (Seite in Active Directory)")
Geben Sie auf der Seite zum Auswählen von Benutzern oder Computern das Konto ein, das zur Ausführung der SQL Server-Instanz verwendet wird, die Daten für tabellarische Analysis Services-Modelldatenbanken bereitstellt. Klicken Sie auf OK, um das Dienstkonto zu übernehmen.
Wenn Sie das gewünschte Konto nicht auswählen können, überprüfen Sie, ob SQL Server ausgeführt wird und ob ein SPN für das Konto registriert wurde. Weitere Informationen zu SPNs für das Datenbankmodul finden Sie unter Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.
.gif "Benutzer oder Computer auswählen (Active Directory)")
Die SQL Server-Instanz sollte jetzt in Dienste hinzufügen angezeigt werden. Darüber hinaus wird jeder Dienst, der dieses Konto verwendet, in der Liste angezeigt. Wählen Sie die SQL Server-Instanz aus, die Sie verwenden möchten. Klicken Sie auf OK, um die Instanz zu übernehmen.
.gif "Dienste hinzufügen (Active Directory)")
Die Eigenschaftenseite des Analysis Services-Dienstkontos sollte jetzt dem folgenden Screenshot entsprechen. Klicken Sie auf OK, um die Änderungen zu speichern.
.gif "Ausgefüllte Seite 'Kontoeigenschaften'")
Überprüfen Sie, ob die Delegierung erfolgreich war, indem Sie vom Remoteclientcomputer unter einer anderen Identität eine Verbindung herstellen und eine Abfrage an das tabellarische Modell senden. Die Benutzeridentität für die Anforderung sollte im SQL Server Profiler angezeigt werden.
Prüfen, ob eine Identität angenommen oder delegiert wurde
Überwachen Sie mit SQL Server Profiler die Identität des Benutzers, der die Daten abfragt.
Starten Sie erst SQL Server Profiler für die Analysis Services-Instanz und dann eine neue Ablaufverfolgung.
Überprüfen Sie in der Ereignisauswahl, ob Audit Login und Audit Logout im Abschnitt Sicherheitsüberwachung aktiviert sind.
Stellen Sie von einem Remoteclientcomputer über einen Anwendungsdienst (z. B. SharePoint oder Reporting Services) eine Verbindung mit Analysis Services her. Das Audit Login-Ereignis zeigt die Identität des Benutzers an, der eine Verbindung mit Analysis Services herstellt.
Gründliche Tests erfordern den Einsatz von Netzwerküberwachungstools, die Kerberos-Anforderungen und -Antworten im Netzwerk erfassen können. Für diese Aufgabe kann das Netzwerkmonitor-Hilfsprogramm (netmon.exe) mit Kerberos-Filter verwendet werden. Weitere Informationen zur Verwendung von Netmon 3.4 und anderen Tools zum Testen der Kerberos-Authentifizierung finden Sie unter Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010).
Außerdem finden Sie unter Das verwirrendste Dialogfeld in Active Directory eine genaue Beschreibung jeder Option auf der Registerkarte "Delegierung" des Eigenschaften-Dialogfelds für Active Directory-Objekte. In diesem Artikel wird auch erklärt, wie Testergebnisse mit LDP getestet und interpretiert werden.
Siehe auch
Konzepte
Verbindung mit Analysis Services herstellen
SPN-Registrierung für eine Analysis Services-Instanz
Verbindungszeichenfolgen-Eigenschaften (Analysis Services)