Partager via

  • Article

Authentification Kerberos et délégation pour Planning Server

Mise à jour : 2009-04-09

L'emprunt d'identité permet à une application ou un service Web d'agir au nom de l'identité de l'appelant pour accéder à des ressources locales au lieu d'utiliser l'identité du processus. La délégation permet à une application ou un service Web d'utiliser le jeton d'emprunt d'identité pour accéder aux ressources réseau distantes.

Le fonctionnement de la délégation repose sur une authentification Windows intégrée et le protocole Kerberos. Monitoring Server et Planning Server présentent des configurations qui requièrent l'utilisation de la délégation. Pour déployer la Console Administration de planification avec les serveurs Web frontaux et clients situés sur différents ordinateurs, le service doit être en mesure de transmettre les informations d'identification de l'utilisateur authentifié au service frontal. Monitoring Server requiert la délégation si la propriété Bpm.ServerConnectionPerUser du fichier Web.config a la valeur true et que les services et sites Web inscrits en tant que sources de données sont définis sur des ordinateurs distants. Le paramètre Bpm.ServerConnectionPerUser force Monitoring Server à essayer d'utiliser l'identité de l'utilisateur authentifié lors de la communication avec des sources données externes, telles qu'Analysis Services.

Pour configurer la délégation sur un site Web, il faut modifier les comptes des utilisateurs de domaine, les noms principaux de service (SPN) sur le domaine et les serveurs clients et de couche intermédiaire. Cette section décrit les modifications qui sont nécessaires pour que Planning Server fonctionne avec la délégation. Certaines options de configuration sont expliquées, y compris la délégation contrainte et la façon dont différentes identités de pools d'applications peuvent modifier les étapes de l'installation. La délégation contrainte n'est disponible qu'à un niveau fonctionnel de domaine Windows Server 2003.

ImportantImportant :

Pour que l'authentification Kerberos fonctionne correctement, Service PPS doit être installé sur un ordinateur séparé du reste des services PerformancePoint Server.

Les rubriques de cette section font référence aux sites Web PerformancePoint Server suivants pour le déploiement par défaut de Planning Server.

  • Service d'administration et serveur Web frontal

Pour plus d'informations, voir Troubleshooting Kerberos Delegation (https://go.microsoft.com/fwlink/?LinkId=99662).