Share via

Configurer Analysis Services et la délégation Kerberos contrainte (KCD)

  • Article

S’applique à : SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

La délégation Kerberos contrainte (KCD) est un protocole d’authentification que vous pouvez configurer avec l’authentification Windows pour déléguer les informations d’identification du client d’un service à l’autre dans votre environnement. KCD requiert une infrastructure supplémentaire, par exemple un contrôleur de domaine, et une configuration supplémentaire de votre environnement. KCD est une exigence dans certains scénarios qui impliquent des données SQL Server Analysis Services et Power Pivot avec SharePoint 2016. Dans SharePoint 2016, Excel Services a été déplacé de la batterie de serveurs SharePoint vers un nouveau serveur séparé nommé Office Online Server. Le serveur Office Online Server étant séparé, il existe un besoin accru de trouver un mode de délégation les informations d’identification du client dans les scénarios classiques de deux tronçons.

Vue d’ensemble

KCD permet à un compte d’emprunter l’identité d’un autre afin de donner accès à des ressources. Le compte empruntant l’identité est un compte de service affecté à une application web ou le compte d’ordinateur d’un serveur web, tandis que le compte dont l’identité est empruntée est un compte d’utilisateur nécessitant un accès aux ressources. KCD opérant au niveau du service, les services sélectionnés sur un serveur peuvent se voir octroyer l’accès par le compte empruntant l’identité, alors que cet accès est refusé à d’autres services, sur le même serveur ou sur d’autres serveurs.

Les sections de cette rubrique passent en revue les scénarios courants avec SQL Server Analysis Services et Power Pivot où KCD est nécessaire, ainsi qu’un exemple de déploiement de serveur avec un résumé général de ce que vous devez installer et configurer. Pour obtenir des liens vers des informations détaillées sur les technologies impliquées, telles que les contrôleurs de domaine et KCD, consultez la section Informations supplémentaires et contenu de la communauté .

Scénario 1 : classeur en tant que source de données (WDS).

voir 1 Office Online Server ouvre un classeur Excel et 2 détecte une connexion de données à un autre classeur. Office Online Server envoie une demande au service de redirecteur Power Pivot, voir 3 pour ouvrir le deuxième classeur et les données voir 4.

Dans ce scénario, les informations d’identification de l’utilisateur doivent être déléguées du Office Online Server au service de redirection Power Pivot sharePoint dans SharePoint.

classeur en tant que classeur de source

Un modèle tabulaire Analysis Services voir 1 liens vers un classeur Excel qui contient un modèle Power Pivot. Dans ce scénario, quand SQL Server Analysis Services charge le modèle tabulaire, SQL Server Analysis Services détecte le lien vers le classeur. Lors du traitement du modèle, SQL Server Analysis Services envoie une demande de requête à SharePoint pour charger le classeur. Dans ce scénario, les informations d’identification du client ne doivent pas être déléguées d’Analysis Services à SharePoint, mais une application cliente peut remplacer les informations de source de données dans une liaison hors ligne. Si la demande de liaison hors ligne spécifie d’emprunter l’identité de l’utilisateur actuel, les informations d’identification de l’utilisateur doivent être déléguées, ce qui nécessite que KCD soit configuré entre SQL Server Analysis Services et SharePoint.

serveur office online serveur

Exemple de déploiement de KCD avec Office Online Server et Analysis Services

Cette section présente un exemple de déploiement utilisant quatre ordinateurs. Les sections suivantes résument les principales étapes d’installation et de configuration de chaque ordinateur. Avant de commencer les déploiements, nous vous recommandons de vous assurer que les ordinateurs ont fait l’objet d’une mise à jour corrective du système d’exploitation, et que vous connaissez leurs noms, car ceux-ci sont nécessaires à certaines étapes de la configuration.

  • Contrôleur de domaine

  • Moteur de base de données SQL Server et Analysis Services en mode PowerPivot. L’instance du moteur de base de données sera utilisée pour les bases de données de contenu SharePoint.

  • SharePoint server 2016

  • Serveur en ligne Office

contrôleur de domaine du contrôleur domaine

Contrôleur de domaine

Voici un résumé des éléments à installer pour le contrôleur de domaine (DC).

  • Rôle : services de domaine Active Directory.

  • Rôle : serveur DNS

  • Fonctionnalité : composants du .NET Framework 3.5 / .NET Framework 3.5

  • Fonctionnalité : outils d’administration de serveur distant / outils d’administration de rôles

  • Configurez Active Directory pour créer une forêt et joindre les ordinateurs au domaine. Avant d’essayer d’ajouter des ordinateurs au domaine privé, vous devez configurer le DNS des ordinateurs clients sur l’adresse IP du contrôleur de domaine. Sur l’ordinateur contrôleur de domaine, exécutez ipconfig /all pour obtenir les adresses IPv4 et IPv6 pour l’étape suivante.

  • Il est recommandé de que configurer tant les adresses IPv4 que les adresses IPv6. Vous pouvez le faire dans le Panneau de configuration Windows :

    1. Cliquez sur Centre Réseau et partage.

    2. Cliquez sur votre connexion Ethernet.

    3. Cliquez sur Propriétés.

    4. Cliquez sur Protocole Internet version 6 (TCP/IPv6).

    5. Cliquez sur Propriétés.

    6. Cliquez sur Utiliser les adresses de serveur DNS suivantes

    7. Tapez l’adresse IP à partir de la commande ipconfig.

    8. Cliquez sur le bouton Avancé , sur l’onglet DNS , puis vérifiez que les suffixes DNS sont corrects.

    9. Cliquez sur Ajouter ces suffixes DNS.

    10. Répétez les étapes pour IPv4.

    Remarque : Vous pouvez joindre des ordinateurs au domaine à partir du Panneau de configuration Windows, dans les Paramètres système. Pour plus d’informations, consultez How To Join Windows Server 2012 to a Domain(Comment joindre Windows Server 2012 à un domaine).

Serveur ssas en mode powerpivot

Moteur de Base de données SQL Server 2016 et Analysis services en mode PowerPivot

Voici un résumé des éléments à installer sur l’ordinateur SQL Server.

remarque Dans l’Assistant Installation SQL Server 2017, SQL Server Analysis Services en mode Power Pivot est installé dans le cadre du workflow de sélection de fonctionnalités.

  1. Exécutez l’Assistant Installation de SQL Server 2017 et, dans la page de sélection des fonctionnalités, cliquez sur le moteur de base de données, SQL Server Analysis Services et les outils de gestion. Dans une configuration ultérieure de l’Assistant Installation, vous pouvez spécifier le mode Power Pivot pour SQL Server Analysis Services.

  2. Pour instance configuration, configurez un instance nommé de « POWERPIVOT ».

  3. Dans la page Configuration d’Analysis Services, configurez le serveur Analysis Services pour le mode PowerPivot , puis ajoutez le nom de l’ordinateur Office Online Server à la liste des administrateurs de serveur Analysis Services. Pour plus d’informations, voir Install Analysis Services in Power Pivot Mode.

  4. Notez que par défaut, le type d’objet « Ordinateur » n’est pas inclus dans la recherche. Cliquez sur des objets click pour ajouter un compte d’ordinateur pour ajouter l’objet Computers.

    ajouter des comptes d’ordinateur en tant qu’administrateurs ssas ajouter des

  5. Créez les noms de principal du service (SPN) pour l’instance Analysis Services.

    Voici des commandes utiles pour les SPN :

    • Afficher le SPN pour un nom de compte spécifique exécutant le service qui vous intéresse : SetSPN -l <account-name>

    • Définir un SPN pour un nom de compte exécutant le service qui vous intéresse : SetSPN -a <SPN> <account-name>

    • Supprimer un SPN d’un nom de compte spécifique exécutant le service qui vous intéresse : SetSPN -D <SPN> <account-name>

    • Rechercher les SPN en double : SetSPN -X

    Le SPN pour l’instance PowerPivot présentera la forme suivante :

    MSSQLSvc.3/\<Fully Qualified Domain Name (FQDN)>:POWERPIVOT  
MSSQLSvc.3/<NetBIOS Name>:POWERPIVOT

    Où le nom de domaine complet (FQDN) et le nom NetBIOS constituent le nom de l’ordinateur sur lequel l’instance réside. Ces SPN sont placés sur le compte de domaine utilisé pour le compte de service. Si vous utilisez Service réseau, Système Local ou l’ID de service, vous devez placer le SPN sur le compte de l’ordinateur de domaine. Si vous utilisez un compte d’utilisateur de domaine, vous devez placer le SPN sur ce compte.

  6. Créez le SPN pour le service SQL Browser sur l’ordinateur Analysis Services.

    En savoir plus

  7. Configurez les paramètres de délégation contrainte sur le compte de service Analysis Services pour toute source externe à partir de laquelle vous comptez actualiser, telle que SQL Server ou des fichiers Excel. Sur le compte de service Analysis Services, il convient de s’assurer que la configuration est la suivante.

    Remarque : Si vous ne voyez pas l’onglet Délégation pour le compte dans Utilisateurs et ordinateurs Active Directory, c’est parce qu’il n’y a aucun SPN sur ce compte. Vous pouvez ajouter un SPN factice pour qu’il s’affiche comme my/spn.

    N’approuver cet utilisateur que pour la délégation aux services spécifiés et Utiliser tout protocole d’authentification.

    C’est ce qu’on appelle une délégation contrainte. Elle est requise parce que le jeton Windows proviendra du Service d’émission de jetons Revendications vers Windows (C2WTS) qui requiert une délégation contrainte avec transition de protocole.

    Analysis Services - Délégation contrainte

    Vous devez également ajouter les services auxquels vous voulez déléguer. Cela varie en fonction de votre environnement.

Serveur en ligne Office

  1. Installer Office Online Server

  2. Configurez Office Online Server pour vous connecter au serveur SQL Server Analysis Services. Notez que le compte d’ordinateur Office Online Server doit être administrateur sur le serveur SQL Server Analysis Services. Cette opération a été effectuée dans une section précédente de cette rubrique, à l’installation du serveur SQL Server Analysis Services.

    1. Sur l’ordinateur Office Online Server, ouvrez une fenêtre PowerShell avec des privilèges d’administration, puis exécutez la commande suivante

    2. New-OfficeWebAppsExcelBIServer -ServerId <AS instance name>

    3. Exemple : New-OfficeWebAppsExcelBIServer -ServerId "MTGQLSERVER-13\POWERPIVOT"

  3. Configurez Active Directory pour permettre au compte d’ordinateur Office Online Server d’emprunter l’identité d’utilisateurs pour le compte de service SharePoint. Par conséquent, définissez la propriété de délégation sur le principal exécutant le pool d’applications pour les services web SharePoint sur Office Online Server : les commandes PowerShell décrites dans cette section nécessitent les objets Active Directory (AD) PowerShell.

    1. Obtenir l’identité Active Directory d’Office Online Server

      $computer1 = Get-ADComputer -Identity [ComputerName]

      Pour déterminer ce nom de principal, il faut rechercher dans Gestionnaire des tâches / Détails / Nom d’utilisateur de w3wp.exe. Par exemple , « svcSharePoint »

      Set-ADUser svcSharePoint -PrincipalsAllowedToDelegateToAccount $computer1

    2. Pour vérifier que la propriété a été correctement définie

    3. Get-ADUser svcSharePoint -Properties PrincipalsAllowedToDelegateToAccount

  4. Configurez les paramètres de délégation contrainte pour le compte Office Online Server sur l’instance PowerPivot d’Analysis Services. Il doit s’agir du compte de l’ordinateur sur lequel Office Online Server s’exécute. Sur le compte de service Office Online, il convient de s’assurer que la configuration est la suivante.

    Remarque : Si vous ne voyez pas l’onglet Délégation pour le compte dans Utilisateurs et ordinateurs Active Directory, c’est parce qu’il n’y a aucun SPN sur ce compte. Vous pouvez ajouter un SPN factice pour qu’il s’affiche comme my/spn.

    N’approuver cet utilisateur que pour la délégation aux services spécifiés et Utiliser tout protocole d’authentification.

    C’est ce qu’on appelle une délégation contrainte. Elle est requise parce que le jeton Windows proviendra du Service d’émission de jetons Revendications vers Windows (C2WTS) qui requiert une délégation contrainte avec transition de protocole. Ensuite, vous devez autoriser la délégation aux SPN MSOLAPSvc.3 et MSOLAPDisco.3 que nous avons créés ci-dessus.

  5. Configurez le Service d’émission de jetons Revendications vers Windows (C2WTS) Ceci est nécessaire pour le scénario 1. Pour plus d’informations, consultez Vue d’ensemble des revendications au service d’émission de jeton Windows (c2WTS).

  6. Configurez les paramètres de délégation contrainte sur le compte de service C2WTS. Les paramètres doivent correspondre à ce que vous avez fait à l’étape 4.

sharepoint server

Serveur SharePoint 2016

Voici un résumé de l’installation de SharePoint Server.

  1. Exécutez le programme d’installation des composants préalables pour SharePoint.

  2. Exécutez l’installation de SharePoint et sélectionnez le rôle d’installation Batterie de serveurs unique .

  3. Exécutez le complément PowerPivot pour SharePoint (spPowerPivot16.msi). Pour plus d’informations, consultez Installer ou désinstaller le complément Power Pivot pour SharePoint (SharePoint 2016)

  4. Exécutez l’Assistant Configuration PowerPivot. Consultez Outils de configuration de Power Pivot.

  5. Connectez SharePoint au Office Online Server. (Configure_xlwac_on_SPO.ps1)

  6. Configurez les fournisseurs d’authentification SharePoint pour Kerberos. Ceci est nécessaire pour le scénario 1. Pour plus d’informations, consultez Planifier l’authentification Kerberos dans SharePoint 2013.

Voir aussi

Microsoft® Kerberos Configuration Manager for SQL Server® (en anglais)