Delega dell'identità per PowerPivot per SharePoint 2010 (SharePoint Server 2010)
Si applica a: Excel Services, SharePoint Server 2010
Ultima modifica dell'argomento: 2016-11-30
La topologia di farm descritta in Topologia di farm e ambiente non richiede l'autenticazione Kerberos per il funzionamento di PowerPivot per Microsoft SharePoint 2010. Il servizio di sistema PowerPivot è in grado di riconoscere le attestazioni e utilizza Attestazioni per il servizio token Windows per ricreare l'identità Windows del client utilizzando il token delle attestazioni del client per la connessione al motore Vertipaq di Analysis Services eseguito nel server applicazioni.
Quando viene caricata in SharePoint Server, una cartella di lavoro di PowerPivot include già i dati di PowerPivot in essa utilizzati. Quando l'utente apre la cartella di lavoro di PowerPivot in Excel Web Access e interagisce con il filtro dei dati, il servizio di sistema PowerPivot carica i dati della cartella di lavoro direttamente nel motore di Analysis Services. Non viene effettuato alcun accesso alla connessione dati incorporata nella cartella di lavoro.
Quando si avvia l'esecuzione di un processo di aggiornamento dei dati per una cartella di lavoro di PowerPivot, il servizio di sistema PowerPivot esegue un accesso a Windows utilizzando le credenziali archiviate nel servizio di archiviazione sicura di SharePoint Server. Poiché l'identità di Windows viene creata nel server applicazioni, la connessione dal motore Vertipaq di Analysis Services PowerPivot (nello stesso computer VMSP10APP01) a MySQLCluster è il primo hop NTLM.
Nota
Se si esegue l'installazione in Windows Server 2008, potrebbe essere necessario installare l'hotfix seguente per l'autenticazione Kerberos:
Un'autenticazione Kerberos ha esito negativo con codice errore 0X80090302 oppure 0x8009030f in un computer in cui è in esecuzione Windows Server 2008 o Windows Vista quando viene utilizzato l'algoritmo AES (https://support.microsoft.com/kb/969083/it)
Scenari che richiedono l'autenticazione Kerberos
Come è possibile osservare nella descrizione precedente, nelle situazioni più comuni in cui si utilizza PowerPivot non è necessaria l'autenticazione Kerberos. Esistono tuttavia alcuni insoliti casi limite in cui è necessario invece utilizzare l'autenticazione Kerberos. Se ad esempio nella cartella di lavoro di PowerPivot è contenuta una connessione dati a un'istanza di SQL Server collegata a un'altra istanza di SQL Server in un computer separato, sarà necessario configurare l'autenticazione Kerberos con la delega dell'identità per garantire il funzionamento dell'aggiornamento dei dati. Se ad esempio MySQLCluster è collegato a un'altra istanza di SQL Server remota, il collegamento da MySQLCluster al server remoto collegato rappresenterà il secondo hop. In questo caso NTLM non è più adeguato. Sarà necessario configurare la delega Kerberos per una corretta elaborazione dell'aggiornamento dei dati.
Pur non rientrando nell'ambito degli scenari definiti in questo documento, i passaggi principali per la configurazione della delega dell'identità per PowerPivot sono i seguenti:
Cambiare l'account del servizio di Windows Attestazioni per il servizio token Windows con un account di dominio, ad esempio VMLAB\svcC2WTS. La configurazione di Attestazioni per il servizio token Windows è un argomento esteso che viene ampiamente coperto negli altri scenari di questo documento:
Configurare e avviare Attestazioni per il servizio token Windows nei server di Excel Services
Configurare e avviare Attestazioni per il servizio token Windows nei server di Servizio grafica di Visio
Configurare e avviare Attestazioni per il servizio token Windows nei server di PerformancePoint Services
Configurare la delega dall'account VMLAB\svcSQL all'SPN per l'istanza collegata di SQL Server Elenco di controllo della configurazione
Area di configurazione | Descrizione |
---|---|
Installazione di PowerPivot |
Installare SQL Server PowerPivot per SharePoint nel server applicazioni |
Dipendenze dello scenario
Gli scenari relativi all'autenticazione Kerberos seguenti non sono effettivamente necessari per PowerPivot per SharePoint. Se completati, consentono tuttavia di velocizzare il processo di installazione di PowerPivot per SharePoint, poiché i componenti stessi sono prerequisiti di PowerPivot per SharePoint.
Scenario 1: Configurazione di base
Scenario 2: Autenticazione Kerberos per SQL OLTP
(Facoltativo) Scenario 3: Autenticazione Kerberos per SQL Analysis Services
Scenario 5: Delega dell'identità per Excel Services
Istruzioni per la configurazione
Installare PowerPivot per SharePoint nel server applicazioni (vmsp10app01). Per istruzioni dettagliate, vedere Procedura: Installazione di PowerPivot per SharePoint in una farm di SharePoint a tre livelli in MSDN Library online. Se sono stati già eseguiti gli scenari correlati in questo documento, è possibile ignorare le sezioni indicate nell'articolo MSDN già trattate dalle dipendenze degli scenari.
Importante
Il pool di applicazioni per l'applicazione del servizio SQL Server PowerPivot deve essere eseguito utilizzando l'account di dominio dell'amministratore della farm di SharePoint Server. In nessun altro contesto utente il servizio di sistema PowerPivot è in grado di recuperare le credenziali dell'account di servizio automatico dal servizio di archiviazione sicura.