Bagikan melalui

Metodologi autentikasi yang didukung oleh Analysis Services

  • Artikel

Berlaku untuk: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

Koneksi dari aplikasi klien ke instans Analysis Services memerlukan autentikasi Windows (terintegrasi). Anda dapat memberikan identitas pengguna Windows menggunakan salah satu metode berikut:

Perhatikan bahwa autentikasi Klaim tidak didukung. Anda tidak dapat menggunakan token Klaim Windows untuk mengakses Analysis Services. Pustaka klien Analysis Services hanya berfungsi dengan prinsip keamanan Windows. Jika solusi BI Anda menyertakan identitas klaim, Anda memerlukan akun bayangan identitas Windows untuk setiap pengguna, atau menggunakan kredensial tersimpan untuk mengakses data Analysis Services.

Untuk informasi selengkapnya tentang alur autentikasi BI dan Analysis Services, lihat Autentikasi Microsoft BI dan Delegasi Identitas.

Memahami alternatif autentikasi Anda

Menyambungkan ke database Analysis Services memerlukan identitas pengguna atau grup Windows dan izin terkait. Identitas mungkin merupakan login tujuan umum yang digunakan oleh siapa pun yang perlu melihat laporan, tetapi skenario yang lebih mungkin mencakup identitas pengguna individu.

Seringkali, model tabular atau multidmensional akan memiliki tingkat akses data yang berbeda, berdasarkan objek atau dalam data itu sendiri, berdasarkan siapa yang membuat permintaan. Untuk memenuhi persyaratan ini, Anda dapat menggunakan NTLM, Kerberos, EffectiveUserName, atau autentikasi Dasar. Semua teknik ini menawarkan pendekatan untuk meneruskan identitas pengguna yang berbeda dengan setiap koneksi. Namun, sebagian besar pilihan ini tunduk pada batasan hop tunggal. Hanya Kerberos dengan delegasi yang memungkinkan identitas pengguna asli mengalir di beberapa koneksi komputer ke penyimpanan data backend di server jarak jauh.

NTLM

Untuk koneksi yang menentukan SSPI=Negotiate, NTLM adalah subsistem autentikasi cadangan yang digunakan saat pengendali domain Kerberos tidak tersedia. Di bawah NTLM, setiap aplikasi pengguna atau klien dapat mengakses sumber daya server selama permintaan adalah koneksi langsung dari klien ke server, orang yang meminta koneksi memiliki izin ke sumber daya, dan komputer klien dan server berada di domain yang sama.

Dalam solusi multi-tingkat, pembatasan hop tunggal NLTM dapat menjadi batasan utama. Identitas pengguna yang membuat permintaan dapat ditiru di tepat satu server jarak jauh, tetapi tidak melakukan perjalanan lebih lanjut. Jika operasi saat ini memerlukan layanan yang berjalan di beberapa komputer, Anda harus mengonfigurasi delegasi yang dibatasi Kerberos untuk menggunakan kembali token keamanan pada server backend. Atau, Anda dapat menggunakan kredensial tersimpan atau Autentikasi dasar untuk meneruskan informasi identitas baru melalui satu koneksi hop.

Autentikasi Kerberos dan Delegasi yang Dibatasi Kerberos

Autentikasi Kerberos adalah dasar keamanan terintegrasi Windows di domain Direktori Aktif. Seperti halnya NTLM, peniruan di bawah Kerberos terbatas pada satu hop kecuali Anda mengaktifkan delegasi.

Untuk mendukung koneksi multi-hop, Kerberos menyediakan delegasi yang dibatasi dan tidak dibatasi, tetapi untuk sebagian besar skenario, delegasi yang dibatasi dianggap sebagai praktik terbaik keamanan. Delegasi yang dibatasi memungkinkan layanan untuk meneruskan token keamanan identitas pengguna ke layanan tingkat bawah yang ditunjuk pada komputer jarak jauh. Untuk aplikasi multi-tingkat, mendelegasikan identitas pengguna dari server aplikasi tingkat menengah ke database backend seperti Analysis Services adalah persyaratan umum. Misalnya, model tabular atau multidmensional yang mengembalikan data yang berbeda berdasarkan identitas pengguna akan memerlukan delegasi identitas dari layanan tingkat menengah untuk menghindari pengguna memasukkan kembali kredensial, atau mendapatkan kredensial keamanan dengan cara lain.

Delegasi yang dibatasi memerlukan konfigurasi tambahan di Direktori Aktif, di mana layanan pada akhir pengiriman dan penerimaan permintaan secara eksplisit diizinkan untuk delegasi. Meskipun ada biaya konfigurasi di muka, setelah layanan dikonfigurasi, pembaruan kata sandi dikelola secara independen di Direktori Aktif. Anda tidak perlu memperbarui informasi akun tersimpan dalam aplikasi, seperti yang Anda lakukan jika menggunakan opsi kredensial tersimpan yang dijelaskan lebih lanjut.

Untuk informasi selengkapnya tentang mengonfigurasi Analysis Services untuk delegasi yang dibatasi, lihat Mengonfigurasi Analysis Services untuk delegasi yang dibatasi Kerberos.

Catatan

Windows Server 2012 mendukung delegasi yang dibatasi di seluruh domain. Sebaliknya, mengonfigurasi delegasi yang dibatasi Kerberos dalam domain pada tingkat fungsional yang lebih rendah, seperti Windows Server 2008 atau 2008 R2, mengharuskan komputer klien dan server menjadi anggota domain yang sama.

EffectiveUserName

EffectiveUserName adalah properti string koneksi yang digunakan untuk meneruskan informasi identitas ke Analysis Services. Power Pivot untuk SharePoint menggunakannya untuk merekam aktivitas pengguna dalam log penggunaan. Excel Services dan Layanan PerformancePoint bisa menggunakannya untuk mengambil data yang digunakan oleh buku kerja atau dasbor di SharePoint. Ini juga dapat digunakan dalam aplikasi kustom atau skrip yang melakukan operasi pada instans Analysis Services.

Untuk informasi selengkapnya tentang menggunakan EffectiveUserName di SharePoint, lihat Menggunakan Analysis Services EffectiveUserName di SharePoint Server 2010.

Autentikasi Dasar dan Pengguna Anonim

Autentikasi dasar menyediakan alternatif keempat untuk menyambungkan ke server backend sebagai pengguna tertentu. Menggunakan autentikasi Dasar, nama pengguna dan kata sandi Windows diteruskan pada string koneksi, memperkenalkan persyaratan enkripsi kawat tambahan untuk memastikan informasi sensitif dilindungi saat transit. Keuntungan penting untuk menggunakan autentikasi Dasar adalah permintaan autentikasi dapat melintasi batas domain.

Untuk autentikasi Anonim, Anda dapat mengatur identitas pengguna anonim ke akun pengguna Windows tertentu (IUSR_GUEST secara default) atau identitas kumpulan aplikasi. Akun pengguna anonim akan digunakan pada koneksi Analysis Services, dan harus memiliki izin akses data pada instans Analysis Services. Saat Anda menggunakan pendekatan ini, hanya identitas pengguna yang terkait dengan akun Anonim yang digunakan pada koneksi. Jika aplikasi Anda memerlukan manajemen identitas tambahan, Anda harus memilih salah satu pendekatan lain, atau melengkapi dengan solusi manajemen identitas yang Anda berikan.

Dasar dan Anonim hanya tersedia saat Anda mengonfigurasi Analysis Services untuk akses HTTP, menggunakan IIS dan msmdpump.dll untuk membuat koneksi. Untuk informasi selengkapnya, lihat Mengonfigurasi Akses HTTP ke Analysis Services di Internet Information Services (IIS) 8.0.

Kredensial Tersimpan

Sebagian besar layanan aplikasi tingkat menengah mencakup fungsionalitas untuk menyimpan nama pengguna dan kata sandi yang kemudian digunakan untuk mengambil data dari penyimpanan data tingkat bawah, seperti Analysis Services atau mesin relasional SQL Server. Dengan demikian, kredensial yang disimpan menyediakan alternatif kelima untuk mengambil data. Batasan dengan pendekatan ini termasuk overhead pemeliharaan yang terkait dengan menjaga nama pengguna dan kata sandi tetap terbarui, dan penggunaan satu identitas pada koneksi. Jika solusi Anda memerlukan identitas pemanggil asli, kredensial yang disimpan tidak akan menjadi alternatif yang layak.

Untuk informasi selengkapnya tentang kredensial tersimpan, lihat Membuat, Memodifikasi, dan Menghapus Sumber Data Bersama (SSRS) dan Menggunakan Excel Services dengan Layanan Penyimpanan Aman di SharePoint Server 2013.

Lihat juga

Menggunakan Peniruan Identitas dengan Keamanan Transportasi
Mengonfigurasi Akses HTTP ke Analysis Services di Internet Information Services (IIS) 8.0
Mengonfigurasi Analysis Services untuk delegasi yang dibatasi Kerberos
Pendaftaran SPN untuk instans Analysis Services