Bagikan melalui


Mengonfigurasi Analysis Services untuk delegasi yang dibatasi Kerberos

Berlaku untuk: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

Saat mengonfigurasi Analysis Services untuk autentikasi Kerberos, Kemungkinan besar Anda tertarik untuk mencapai salah satu atau kedua hasil berikut: meminta Analysis Services meniru identitas pengguna saat mengkueri data; atau meminta Analysis Services mendelegasikan identitas pengguna ke layanan tingkat bawah. Setiap skenario memanggil persyaratan konfigurasi yang sedikit berbeda. Kedua skenario memerlukan verifikasi untuk memastikan konfigurasi dilakukan dengan benar.

Tip

Microsoft Kerberos Configuration Manager untuk SQL Server adalah alat diagnostik yang membantu memecahkan masalah konektivitas terkait Kerberos dengan SQL Server. Untuk informasi selengkapnya, lihat Configuration Manager Microsoft Kerberos untuk SQL Server.

Topik ini berisi bagian berikut:

Catatan

Delegasi tidak diperlukan jika koneksi ke Analysis Services adalah lompatan tunggal, atau solusi Anda menggunakan kredensial tersimpan yang disediakan oleh Layanan Penyimpanan Aman SharePoint atau Layanan Pelaporan. Jika semua koneksi adalah koneksi langsung dari Excel ke database Analysis Services, atau berdasarkan kredensial yang disimpan, Anda dapat menggunakan Kerberos (atau NTLM) tanpa harus mengonfigurasi delegasi yang dibatasi.

Delegasi yang dibatasi Kerberos diperlukan jika identitas pengguna harus mengalir melalui beberapa koneksi komputer (dikenal sebagai "double-hop"). Ketika akses data Analysis Services kontingen pada identitas pengguna, dan permintaan koneksi berasal dari layanan yang mendelegasikan, gunakan daftar periksa di bagian berikutnya untuk memastikan bahwa Analysis Services dapat meniru pemanggil asli. Untuk informasi selengkapnya tentang alur autentikasi Analysis Services, lihat Autentikasi Microsoft BI dan Delegasi Identitas.

Sebagai praktik terbaik keamanan, Microsoft selalu merekomendasikan delegasi yang dibatasi daripada delegasi yang tidak dibatasi. Delegasi yang tidak dibatasi adalah risiko keamanan utama karena memungkinkan identitas layanan untuk meniru pengguna lain pada komputer, layanan, atau aplikasi hilir apa pun (dibandingkan dengan hanya layanan tersebut yang secara eksplisit ditentukan melalui delegasi yang dibatasi).

Mengizinkan Analysis Services untuk meniru identitas pengguna

Untuk mengizinkan layanan tingkat atas seperti Reporting Services, IIS, atau SharePoint untuk meniru identitas pengguna di Analysis Services, Anda harus mengonfigurasi delegasi yang dibatasi Kerberos untuk layanan tersebut. Dalam skenario ini, Analysis Services meniru pengguna saat ini menggunakan identitas yang disediakan oleh layanan pendelegasian, mengembalikan hasil berdasarkan keanggotaan peran identitas pengguna tersebut.

Tugas Deskripsi
Langkah 1: Verifikasi bahwa akun cocok untuk delegasi Pastikan bahwa akun yang digunakan untuk menjalankan layanan memiliki properti yang benar di Direktori Aktif. Akun layanan di Direktori Aktif tidak boleh ditandai sebagai akun sensitif, atau secara khusus dikecualikan dari skenario delegasi. Untuk informasi selengkapnya, lihat Memahami Akun Pengguna.

Catatan: Umumnya, semua akun dan server harus milik domain Direktori Aktif yang sama atau ke domain tepercaya di forest yang sama. Namun, karena Windows Server 2012 mendukung delegasi di seluruh batas domain, Anda dapat mengonfigurasi delegasi yang dibatasi Kerberos di seluruh batas domain jika tingkat fungsional domain adalah Windows Server 2012. Alternatif lain adalah mengonfigurasi Analysis Services untuk akses HTTP dan menggunakan metode autentikasi IIS pada koneksi klien. Untuk informasi selengkapnya, lihat Mengonfigurasi Akses HTTP ke Analysis Services di Internet Information Services (IIS) 8.0.
Langkah 2: Daftarkan SPN Sebelum menyiapkan delegasi yang dibatasi, Anda harus mendaftarkan Nama Prinsipal Layanan (SPN) untuk instans Analysis Services. Anda akan memerlukan SPN Analysis Services saat mengonfigurasi delegasi yang dibatasi Kerberos untuk layanan tingkat menengah. Lihat Pendaftaran SPN untuk instans Analysis Services untuk instruksi.

Nama Perwakilan Layanan (SPN) menentukan identitas unik layanan dalam domain yang dikonfigurasi untuk autentikasi Kerberos. Koneksi klien yang menggunakan keamanan terintegrasi sering meminta SPN sebagai bagian dari autentikasi SSPI. Permintaan diteruskan ke Active Directory Domain Controller (DC), dengan KDC memberikan tiket jika SPN yang disajikan oleh klien memiliki pendaftaran SPN yang cocok di Direktori Aktif.
Langkah 3: Mengonfigurasi delegasi yang dibatasi Setelah memvalidasi akun yang ingin Anda gunakan dan mendaftarkan SPN untuk akun tersebut, langkah Anda selanjutnya adalah mengonfigurasi layanan tingkat atas, seperti IIS, Reporting Services, atau layanan web SharePoint untuk delegasi yang dibatasi, menentukan SPN Analysis Services sebagai layanan khusus yang delegasinya diizinkan.

Layanan yang berjalan di SharePoint, seperti Excel Services atau Reporting Services dalam mode SharePoint, sering menghosting buku kerja dan laporan yang menggunakan data multididensi atau tabular Analysis Services. Mengonfigurasi delegasi yang dibatasi untuk layanan ini adalah tugas konfigurasi umum, dan diperlukan untuk mendukung refresh data dari Excel Services. Tautan berikut ini menyediakan instruksi untuk layanan SharePoint, serta layanan lain yang mungkin menyajikan permintaan koneksi data hilir untuk data Analysis Services:

Delegasi identitas untuk Excel Services (SharePoint Server 2010) atau Cara mengonfigurasi Excel Services di SharePoint Server 2010 untuk autentikasi Kerberos

Delegasi identitas untuk Layanan PerformancePoint (SharePoint Server 2010)

Delegasi identitas untuk SQL Server Reporting Services (SharePoint Server 2010)

Untuk IIS 7.0 lihat Mengonfigurasi Autentikasi Windows (IIS 7.0) atau Cara mengonfigurasi SQL Server 2008 Analysis Services dan SQL Server 2005 Analysis Services untuk menggunakan autentikasi Kerberos.
Langkah 4: Uji koneksi Saat menguji, sambungkan dari komputer jarak jauh, di bawah identitas yang berbeda, dan Layanan Analisis kueri menggunakan aplikasi yang sama dengan pengguna bisnis. Anda dapat menggunakan SQL Server Profiler untuk memantau koneksi. Anda akan melihat identitas pengguna pada permintaan. Untuk informasi selengkapnya, lihat Menguji identitas yang ditiru atau didelegasikan di bagian ini.

Mengonfigurasi Analysis Services untuk delegasi tepercaya

Mengonfigurasi Analysis Services untuk delegasi yang dibatasi Kerberos memungkinkan layanan untuk meniru identitas klien pada layanan tingkat bawah, seperti mesin database relasional, sehingga data dapat dikueri seolah-olah klien terhubung langsung.

Skenario delegasi untuk Analysis Services terbatas pada model tabular yang dikonfigurasi untuk mode DirectQuery . Ini adalah satu-satunya skenario di mana Analysis Services dapat meneruskan kredensial yang didelegasikan ke layanan lain. Dalam semua skenario lain, seperti skenario SharePoint yang disebutkan di bagian sebelumnya, Analysis Services berada di akhir penerimaan rantai delegasi. Untuk informasi selengkapnya tentang DirectQuery, lihat Mode DirectQuery.

Catatan

Kesalahpahaman umum adalah bahwa penyimpanan ROLAP, operasi pemrosesan, atau akses ke partisi jarak jauh entah bagaimana memperkenalkan persyaratan untuk delegasi yang dibatasi. Ini bukan masalahnya. Semua operasi ini dijalankan langsung oleh akun layanan (juga disebut sebagai akun pemrosesan), atas nama sendiri. Delegasi tidak diperlukan untuk operasi ini di Analysis Services, mengingat bahwa izin untuk operasi tersebut diberikan langsung ke akun layanan (misalnya, memberikan izin db_datareader pada database relasional sehingga layanan dapat memproses data). Untuk informasi selengkapnya tentang operasi dan izin server, lihat Mengonfigurasi Akun Layanan (Analysis Services).

Bagian ini menjelaskan cara menyiapkan Analysis Services untuk delegasi tepercaya. Setelah Anda menyelesaikan tugas ini, Analysis Services akan dapat meneruskan kredensial yang didelegasikan ke SQL Server, untuk mendukung mode DirectQuery yang digunakan dalam solusi Tabular.

Sebelum memulai:

Ketika kedua prasyarat terpenuhi, lanjutkan dengan langkah-langkah berikut. Perhatikan bahwa Anda harus menjadi administrator domain untuk menyiapkan delegasi yang dibatasi.

  1. Di Pengguna dan Komputer Direktori Aktif, temukan akun layanan tempat Analysis Services berjalan. Klik kanan akun layanan dan pilih Properti.

    Untuk tujuan ilustrasi, cuplikan layar berikut menggunakan OlapSvc dan SQLSvc untuk mewakili Analysis Services dan SQL Server.

    OlapSvc adalah akun yang akan dikonfigurasi untuk delegasi yang dibatasi ke SQLSvc. Ketika Anda menyelesaikan tugas ini, OlapSvc akan memiliki izin untuk meneruskan kredensial yang didelegasikan pada tiket layanan ke SQLSvc, meniru pemanggil asli saat meminta data.

  2. Pada tab Delegasi, pilih Percayai pengguna ini untuk delegasi ke layanan tertentu saja, diikuti dengan Gunakan Kerberos saja. Klik Tambahkan untuk menentukan layanan Analysis Services mana yang diizinkan untuk mendelegasikan kredensial.

    Tab Delegasi hanya muncul ketika akun pengguna (OlapSvc) ditetapkan ke layanan (Analysis Services), dan layanan memiliki SPN yang terdaftar untuk itu. Pendaftaran SPN mengharuskan layanan berjalan.

    SSAS_Kerberos_1_AccountProperties SSAS_Kerberos_1_AccountProperties

  3. Pada halaman Tambahkan Layanan, klik Pengguna atau Komputer.

    SSAS_Kerberos_2_

  4. Pada halaman Pilih Pengguna atau Komputer, masukkan akun yang digunakan untuk menjalankan instans SQL Server yang menyediakan data ke database model tabular Analysis Services. Klik OK untuk menerima akun layanan.

    Jika Anda tidak dapat memilih akun yang Anda inginkan, verifikasi bahwa SQL Server sedang berjalan dan memiliki SPN yang terdaftar untuk akun tersebut. Untuk informasi selengkapnya tentang SPN untuk mesin database, lihat Mendaftarkan Nama Perwakilan Layanan untuk Koneksi Kerberos.

    SSAS_Kerberos_3_SelectUsers SSAS_Kerberos_3_SelectUsers

  5. Instans SQL Server sekarang akan muncul di Tambahkan Layanan. Layanan apa pun yang juga menggunakan akun tersebut juga akan muncul dalam daftar. Pilih instans SQL Server yang ingin Anda gunakan. Klik OK untuk menerima instans.

    SSAS_Kerberos_4_

  6. Halaman properti akun layanan Analysis Services sekarang akan terlihat mirip dengan cuplikan layar berikut. Klik OK untuk menyimpan perubahan.

    SSAS_Kerberos_5_Finished SSAS_Kerberos_5_Finished

  7. Uji delegasi yang berhasil dengan menyambungkan dari komputer klien jarak jauh, di bawah identitas yang berbeda, dan kueri model tabular. Anda akan melihat identitas pengguna pada permintaan di SQL Server Profiler.

Uji identitas yang ditiru atau didelegasikan

Gunakan SQL Server Profiler untuk memantau identitas pengguna yang mengkueri data.

  1. Mulai SQL Server Profiler pada instans Analysis Services lalu mulai jejak baru.

  2. Di Pemilihan Peristiwa, verifikasi bahwa Login Audit dan Log Keluar Audit dicentang di bagian Audit Keamanan.

  3. Sambungkan ke Analysis Services melalui layanan aplikasi (seperti SharePoint atau Reporting Services) dari komputer klien jarak jauh. Peristiwa Login Audit akan menampilkan identitas pengguna yang terhubung ke Analysis Services.

Pengujian menyeluruh akan memerlukan penggunaan alat pemantauan jaringan yang dapat menangkap permintaan dan respons Kerberos di jaringan. Utilitas Monitor Jaringan (netmon.exe), yang difilter untuk Kerberos, dapat digunakan untuk tugas ini. Untuk informasi selengkapnya tentang menggunakan Netmon 3.4 dan alat lain untuk menguji autentikasi Kerberos, lihat Mengonfigurasi autentikasi Kerberos: Konfigurasi inti (SharePoint Server 2010).

Lihat juga

Autentikasi Microsoft BI dan Delegasi Identitas
Autentikasi Timbal Balik Menggunakan Kerberos
Pendaftaran SPN untuk instans Analysis Services
Properti String Koneksi (Analysis Services)