Delegação de identidades para Serviços PerformancePoint (SharePoint Server 2010)

 

Aplica-se a: PerformancePoint Services, SharePoint Server 2010

Tópico modificado em: 2016-11-30

Neste cenário, você adicionará o aplicativo de serviço Serviços PerformancePoint ao ambiente do SharePoint Server e configurará a delegação restrita de Kerberos para permitir que esse serviço obtenha dados de um cubo externo do Analysis Services e tenha a opção de extrair dados do SQL Server.

Observação

Se a instalação estiver sendo feita no Windows Server 2008, talvez seja necessário instalar o seguinte hotfix para a autenticação Kerberos:
Uma autenticação Kerberos falha com o código de erro 0X80090302 ou 0x8009030f em um computador que está executando o Windows Server 2008 ou Windows Vista quando o algoritmo AES é usado (https://support.microsoft.com/kb/969083/pt-br)

Dependências do cenário

Para concluir este cenário, é necessário ter concluído o seguinte:

• Cenário 1: Configuração principal

• Cenário 2: Autenticação Kerberos para SQL OLTP

• Cenário 3: Autenticação Kerberos para SQL Server Analysis Services

Lista de verificação para configuração

Área de configuração	Descrição
Configuração do Active Directory	Criar a conta de serviço dos Serviços PerformancePoint Criar um SPN para a conta de serviço que executa o Serviço PerformancePoint no Servidor de Aplicativos Verificar o SPN do Analysis Services na conta de serviço do SQL Server Analysis Services, vmlab\svcSQLAS (executado no Cenário 3) e (Opcional) verificar a conta de serviço do mecanismo de banco de dados do SQL Server, vmlab\svcSQL (executado no Cenário 2). Configurar a delegação restrita de Kerberos ao Analysis Services para a conta de serviço do Serviço de Declarações de Token para Windows Configurar a delegação restrita de Kerberos para o PerformancePoint Conta de serviço de Serviços para o Analysis Services
Configuração do SharePoint Server	Iniciar o Serviço de Tokens de Declarações para Tokens do Windows em servidores de Serviços PerformancePoint Iniciar a instância de serviço dos Serviços PerformancePoint no servidor de Serviços PerformancePoint Criar o aplicativo e o proxy de serviço dos Serviços PerformancePoint Verificar a identidade no aplicativo PerformancePoint Conceder permissões à conta de serviço dos Serviços PerformancePoint no banco de dados de conteúdo do aplicativo Web Configurar um local de arquivos confiáveis e definir configurações de autenticação dos Serviços PerformancePoint
Verificar a delegação restrita do Serviços PerformancePoint	Criar uma biblioteca de documentos para hospedar um painel de teste Criar uma fonte de dados que faça referência a um cubo existente do SQL Server Analysis Services Criar uma lista de conteúdo confiável do PerformancePoint Criar um painel de teste do PerformancePoint Publicar o painel no SharePoint Server

Detalhes do ambiente do cenário

Caminhos para a delegação restrita Kerberos

Neste cenário, iremos configurar a conta de serviço dos Serviços PerformancePoint para a delegação restrita Kerberos ao serviço do SQL Server.

Observação

Também iremos configurar o C2WTS (Serviço de Tokens de Declarações para Tokens do Windows) para usar uma conta de serviço dedicada. Se você deixar o C2WTS configurado para usar Sistema Local, será necessário configurar a delegação restrita na conta de computador referente ao computador que executa o C2WTS e os Serviços do Excel.

Autenticação lógica do SharePoint Server

O processo de autenticação neste cenário começa com a autenticação Kerberos do cliente no front-end da Web. O SharePoint Server 2010 converterá o token de autenticação do Windows em um token de declarações usando o STS (Serviço de Token de Segurança) local. O aplicativo de Serviços PerformancePoint aceitará o token de declarações e o converterá em um token do Windows (Kerberos) usando o C2WTS (Serviço de Tokens de Declarações para Tokens do Windows), que faz parte do WIF (Windows Identity Framework). Em seguida, o aplicativo de Serviços PerformancePoint usará o tíquete Kerberos do cliente para se autenticar na Fonte de Dados back-end.

Instruções de configuração passo a passo

Configuração do Active Directory

Criar a conta de serviço dos Serviços PerformancePoint

Como prática recomendada, os Serviços PerformancePoint devem ser executados com a sua própria identidade de domínio. Para configurar o Aplicativo de Serviços PerformancePoint, é necessário criar uma conta do Active Directory e registrá-la como uma conta gerenciada no SharePoint Server 2010. Para obter mais informações, consulte o artigo sobre contas gerenciadas no SharePoint 2010. Neste exemplo, a seguinte conta será criada e registrada mais adiante neste cenário:

Serviço do SharePoint Server	Identidade do Pool de Aplicativos do IIS
Serviços PerformancePoint	vmlab\svcPPS

Criar um SPN para a Conta de Serviço que executa o Serviço PerformancePoint no Servidor de Aplicativos

Essa etapa é necessária porque a Conta de Serviço que está executando o Pool de Aplicativos do SharePoint é diferente da conta do PerformancePoint.

O snap-in do MMC Usuários e Computadores do Active Directory é geralmente utilizado para configurar a delegação Kerberos. Para definir as configurações de delegação nesse snap-in, o objeto do Active Directory que está sendo configurado deve ter um SPN (nome de entidade de serviço) aplicado; caso contrário, a guia Delegação não ficará visível na caixa de diálogo de propriedades desse objeto. Embora os Serviços do Visio não exijam um SPN para poderem funcionar, iremos configurar um para essa finalidade.

Na linha de comando, execute o seguinte comando:

SETSPN -S SP/svcPPS

Observação

O SPN não é válido. Ele é aplicado à conta de serviço especificada para revelar as opções de delegação no suplemento de usuários e computadores do AD. Existem outras maneiras com suporte para especificar as configurações de delegação (especificamente o atributo do AD msDS-AllowedToDelegateTo), mas esse tópico não será discutido neste documento.

Verificar o SPN do Analysis Services na conta de serviço do SQL Server Analysis Services, vmlab\svcSQLAS (executado no Cenário 3) E (Opcional) Verificar a conta de serviço do mecanismo de banco de dados do SQL Server, vmlab\svcSQL (executado no Cenário 2)

Verifique a existência do SPN para a conta de serviço do SQL Server (vmlab\svcSQLAS) com o seguinte comando SetSPN:

SetSPN -L vmlab\svcSQLAS

Você verá o seguinte:

MSOLAPSvc.3/MySqlCluster

Verifique a existência do SPN para a conta de serviço do Analysis Services (vmlab\svcSQL) com o seguinte comando SetSPN:

SetSPN -L vmlab\svcSQL

Você verá o seguinte:

MSSQLSVC/MySqlCluster

Configure a delegação restrita de Kerberos a partir da conta de serviço dos Serviços PerformancePoint para o Serviço do SSAS e, opcionalmente, para o serviço do SQL Server

Para permitir que os serviços PerformancePoint deleguem a identidade do cliente, a delegação restrita de Kerberos precisa estar configurada. Você também precisa configurar essa delegação restrita com transição de protocolo para a conversão do token de declarações em um token do Windows via C2WTS do WIF.

Cada servidor que executa os serviços PerformancePoint deve ser confiável para delegar credenciais a cada serviço de back-end no qual o PerformancePoint se autenticará. Além disso, a conta de serviço dos Serviços PerformancePoint também deve ser configurada para permitir a delegação aos mesmos serviços de back-end. Observe também que HTTP/Portal e HTTP/Portal.vmlab.local estão configurados para delegação, o que inclui uma lista do SharePoint como fonte de dados opcional para o seu painel do PerformancePoint.

No nosso exemplo, os seguintes caminhos de delegação estão definidos:

Tipo de Entidade de Segurança	Nome da Entidade de Segurança
Usuário	Vmlab\svcC2WTS
Usuário	Vmlab\svcPPS

Para configurar a delegação restrita

1. Abra as propriedades do Objeto do Active Directory em Usuários e Computadores do Active Directory.

2. Navegue até a guia Delegação.

3. Selecione Confiar neste computador para delegação apenas aos serviços especificados.

4. Selecione Usar qualquer protocolo de autenticação.

5. Clique no botão Adicionar para selecionar a entidade de serviço.

6. Selecione Usuários e Computadores.

7. Selecione a conta de serviço que executa o serviço ao qual você deseja fazer a delegação.

   Observação

   A conta de serviço selecionada deve ter um SPN aplicado. No nosso exemplo, o SPN da conta foi configurado em um cenário anterior.

8. Clique em OK.

9. Selecione os SPNs aos quais você deseja delegar e clique em OK.

10. Agora, você verá os SPNs selecionados na lista Serviços aos quais esta conta pode apresentar credenciais delegadas.

11. Repita essas etapas para cada caminho de delegação definido no início desta seção.

Configuração do SharePoint Server

Configurar e iniciar o Serviço de Tokens de Declarações para Tokens do Windows em servidores dos Serviços PerformancePoint

O C2WTS (Serviço de Tokens de Declarações para Tokens do Windows) é um componente do WIF (Windows Identity Foundation) responsável por converter tokens de declarações de usuários em tokens do Windows. Os Serviços PerformancePoint usam o C2WTS para converter o token de declarações do usuário em um token do Windows quando os serviços precisam delegar credenciais a um sistema back-end que utiliza a autenticação do Windows. O WIF é implantado com o SharePoint Server 2010, e o C2WTS pode ser iniciado na Administração Central.

Cada servidor de Aplicativo de Serviços PerformancePoint deve executar o C2WTS localmente. O C2WTS não abre portas e não pode ser acessado por um chamador remoto. Além disso, o arquivo de configuração de serviço do C2WTS deve ser configurado para confiar especificamente na identidade do cliente de chamada local.

Como prática recomendada, você deve executar o C2WTS usando uma conta de serviço dedicada, e não como Sistema Local (a configuração padrão). A conta de serviço C2WTS requer permissões locais especiais em cada servidor no qual o serviço é executado. Por isso, lembre-se de configurar essas permissões sempre que o serviço for iniciado em um servidor. O ideal é configurar as permissões da conta de serviço no servidor local antes de iniciar o C2WTS. Porém, se essas permissões forem configuradas depois, você poderá reiniciar o C2WTS no console de gerenciamento de serviços do Windows (services.msc).

Para iniciar o C2WTS

1. Crie uma conta de serviço no Active Directory na qual executar o serviço. Neste exemplo, criamos vmlab\svcC2WTS.

2. Adicione um SPN (Nome de Entidade de Serviço) arbitrário à conta de serviço para expor as opções de delegação dessa conta em Usuários e Computadores do Active Directory. O SPN pode ter qualquer formato, pois a autenticação no C2WTS não é feita com o uso da autenticação Kerberos. Convém não usar um SPN HTTP, para evitar a possível criação de SPNs duplicados no seu ambiente. No nosso exemplo, registramos SP/C2WTS em vmlab\svcC2WTS usando o seguinte comando:

   SetSPN -S SP/C2WTS vmlab\svcC2WTS
   

3. Configure a delegação restrita Kerberos na conta de serviço do C2WTS. Neste cenário, delegamos credenciais ao serviço do SQL Server em execução com o nome de entidade de serviço MSOLAPsvc.3/MySqlCluster.vmlab.local.

4. Em seguida, configure as permissões necessárias do servidor local que são exigidas pelo C2WTS. Será necessário configurar essas permissões em cada servidor no qual o C2WTS é executado. No nosso exemplo, o servidor é VMSP10APP01. Faça logon nesse servidor e conceda as seguintes permissões ao C2WTS:

   1. Adicione a conta de serviço aos Grupos de Administradores locais.

   2. Em Diretiva de Segurança Local (secpol.msc), sob Atribuição de Direitos de Usuário, conceda as seguintes permissões à conta de serviço:

      1. Atuar como parte do sistema operacional

      2. Representar um cliente após autenticação

      3. Fazer logon como um serviço

5. Abra Administração Central.

6. Na seção Segurança, em Configurar Contas de Serviço Gerenciadas, registre a conta de serviço do C2WTS como uma conta gerenciada.

7. Em Serviços, selecione Gerenciar serviços no servidor.

8. Na caixa de seleção de servidor localizada no canto superior direito, selecione o(s) servidor(es) que executam Serviços PerformancePoint. Neste exemplo, o servidor é VMSP10APP01.

9. Localize a opção Declarações para Serviço de Token do Windows e inicie o serviço.

10. Acesse Contas de Serviço Gerenciadas na seção Segurança. Altere a identidade do C2WTS para a nova conta gerenciada.

    Observação

    Se o C2WTS já estava sendo executado antes da configuração da conta de serviço dedicada, ou se você precisar alterar as permissões da conta de serviço após a execução do C2WTS, será necessário reiniciar o C2WTS a partir do console de serviços.

    Além disso, em caso de problemas com o C2WTS após a reinicialização do serviço, talvez também seja necessário redefinir os pools de aplicativos do IIS que se comunicam com o C2WTS.

Adicionar dependências de Inicialização ao serviço C2WTS do WIF

Há um problema conhecido com o C2WTS no qual é possível que ele não seja inicializado com êxito automaticamente na ocasião da reinicialização do sistema. Uma solução alternativa para esse problema é configurar uma dependência de serviço para Serviços Criptográficos:

1. Abra a janela de prompt de comando.

2. Digite: sc config c2wts depend= CryptSvc

3. Localize o Serviço de Tokens de Declarações para Tokens do Windows no console de serviços.

4. Abra as propriedades do serviço.

5. Consulte a guia Dependências. Verifique se a opção Serviços Criptográficos está listada:

6. Clique em OK.

Iniciar a instância de serviço dos Serviços PerformancePoint no servidor dos Serviços PerformancePoint

Antes de criar um aplicativo de serviço de Serviços PerformancePoint, inicie os Serviços PerformancePoint nos servidores designados do Farm. Para saber mais sobre a configuração dos Serviços PerformancePoint, consulte Gerenciamento dos Serviços PerformancePoint.

1. Abra Administração Central.

2. Em Serviços, selecione Gerenciar serviços no servidor.

3. Na caixa de seleção de servidor localizada no canto superior direito, selecione o(s) servidor(es) que executam Serviços PerformancePoint. Neste exemplo, o servidor é VMSP10APP01.

4. Inicie o serviço Serviço PerformancePoint.

Criar o aplicativo e o proxy de serviço dos Serviços PerformancePoint

Em seguida, configure um novo aplicativo de serviço de Serviços PerformancePoint e um proxy de aplicativo para permitir que aplicativos Web consumam Serviços PerformancePoint:

1. Abra Administração Central.

2. Selecione Gerenciar Aplicativos de Serviço em Gerenciamento de Aplicativos.

3. Selecione Novo e depois clique em Aplicativo de Serviços PerformancePoint.

4. Configure o novo aplicativo de serviço. Selecione a conta de serviço correta ou crie uma nova conta gerenciada se não tiver executado essa etapa anteriormente.

Observação

A configuração da Conta de Serviços Autônoma é opcional neste cenário e só será usada se você também quiser testar a autenticação NTLM.

É possível criar e registrar uma nova conta de serviço para um pool de aplicativos existente dedicado a Serviços PerformancePoint antes dessa etapa ou ao criar o novo Serviço PerformancePoint. Para associar essa conta de serviço a um pool de aplicativos existente dedicado ao PerformancePoint ou para verificar uma conta existente, execute os procedimentos descritos a seguir.

1. Navegue até a Administração Central do SharePoint. Localize Configurar contas gerenciadas na seção Segurança.

2. Selecione a caixa suspensa e escolha o pool de aplicativos.

3. Selecione a conta do Active Directory.

Conceder permissões à conta de serviço dos Serviços PerformancePoint no banco de dados de conteúdo do aplicativo Web

Uma etapa obrigatória na configuração do Office Web Applications para o SharePoint Server 2010 é permitir que a conta de serviço do aplicativo Web acesse os bancos de dados de conteúdo para um determinado aplicativo Web. Neste exemplo, concederemos acesso para a conta de Serviços PerformancePoint ao banco de dados de conteúdo do aplicativo Web de "portal" via Windows PowerShell.

Execute o comando a seguir no Shell de Gerenciamento do SharePoint 2010:

$w = Get-SPWebApplication -Identity http://portal

$w.GrantAccessToProcessIdentity("vmlab\svcPPS")

Configurar um local de arquivos confiáveis e definir configurações de autenticação dos Serviços PerformancePoint

Terminada a criação do aplicativo de Serviços PerformancePoint, é necessário configurar as propriedades no novo aplicativo de serviço para especificar um local de host confiável e configurações de autenticação.

1. Abra Administração Central.

2. Selecione Gerenciar Aplicativos de Serviço em Gerenciamento de Aplicativos.

3. Clique no link do novo Aplicativo de Serviço, Serviços PerformancePoint, e clique no botão Gerenciar na faixa de opções.

4. Na tela de gerenciamento de serviços PerformancePoint, clique em Locais de Fonte de Dados Confiáveis.

5. Selecione a opção Apenas locais específicos e clique em Adicionar Local da Fonte de Dados Confiável.

6. Digite a URL do local, selecione a opção Conjunto de Sites (e subárvore) e clique em OK.

7. Selecione a opção Apenas locais específicos e clique em Adicionar Local da Fonte de Dados Confiável.

8. Digite a URL do local, selecione a opção Site (e subárvore) e clique em OK.

Verificar a delegação restrita de Serviços PerformancePoint

Criar um painel de teste do PerformancePoint com uma conexão de dados do SQL Server AS

Em seguida, abra o PerformancePoint Dashboard Designer e crie uma conexão de dados do Analysis Services.

1. Abra o PerformancePoint Dashboard Designer e clique com o botão direito do mouse na fonte de dados para criar uma conexão.

2. Selecione Analysis Services.

3. Especifique o servidor, o banco de dados e o cubo e selecione Identidade Por Usuário.

4. Clique em Testar Fonte de Dados para testar a conexão.

5. Crie um relatório e um painel.

6. Verifique se você possui uma conexão de dados arrastando medidas e dimensões do painel de detalhes até o designer de relatórios.

7. Seu relatório pode ser incluído no painel.

   Selecione Relatórios e arraste Meu Relatório até a página Conteúdo do Painel.

8.  

Publicar o painel no SharePoint Server

A última etapa para validar o aplicativo de Serviços PerformancePoint é publicar o painel e testar o processo de atualização e visualização de dados do Analysis Services. Para fazer isso:

1. Selecione o ícone de botão de arquivo brilhante.

2. Clique em Implantar na seleção de arquivos.

3. Selecione uma Página Mestra na qual você deseja publicar.

4. Clique no botão Atualizar do navegador.

   Se a conexão de dados for atualizada, significa que você configurou com êxito a delegação Kerberos para Serviços PerformancePoint.