Configurar o Analysis Services para delegação restrita de Kerberos
Ao configurar o Analysis Services para autenticação Kerberos, você pode obter um ou os dois seguintes resultados: O Analysis Services representa uma identidade de usuário durante a consulta de dados ou o Analysis Services delega uma identidade de usuário a um serviço de nível inferior. Cada cenário tem requisitos de configuração ligeiramente diferentes. Nos dois cenários, é necessário que a verificação assegure que a configuração foi feita corretamente.
.gif "Dica") Dica |
|---|
O MicrosoftKerberos Configuration Manager for SQL Server é uma ferramenta de diagnóstico que ajuda a solucionar problemas de Kerberos relativos à conectividade com SQL Server. Para obter mais informações, consulte Microsoft Kerberos Configuration Manager for SQL Server. |
Este tópico contém as seguintes seções:
Permitir que o Analysis Services represente uma identidade de usuário
Configurar o Analysis Services para delegação confiável
Testar a identidade representada ou delegada
| Observação |
|---|
A delegação não será necessária se a conexão ao Analysis Services for um único salto, ou se sua solução usar credenciais armazenadas fornecidas pelo Serviço de Repositório Seguro do SharePoint ou pelo Reporting Services. Se todas as conexões forem conexões diretas do Excel para um banco de dados do Analysis Services ou se elas se basearem em credenciais armazenadas, você poderá usar o Kerberos (ou NTLM) sem precisar configurar a delegação restrita. A delegação restrita do Kerberos é necessária se a identidade do usuário precisa fluir em várias conexões do computador (conhecido como “salto duplo "). Quando o acesso a dados do Analysis Services for contingente na identidade de usuário, e a solicitação de conexão for proveniente de um serviço de delegação, use a lista de verificação da próxima seção para garantir que o Analysis Services possa representar o chamador original. Para obter mais informações sobre os fluxos de autenticação do Analysis Services, consulte Autenticação do Microsoft BI e delegação da identidade. Como uma prática recomendada de segurança, a Microsoft sugere sempre a delegação restrita em vez da delegação irrestrita. A delegação irrestrita é um grande risco de segurança, pois permite que a identidade do serviço represente outro usuário em qualquer computador, serviço ou aplicativo downstream (em vez de apenas os serviços definidos explicitamente por meio da delegação restrita). |
Permitir que o Analysis Services represente uma identidade de usuário
Para permitir que os serviços de nível superior, como o Reporting Services, o IIS ou o SharePoint, representem uma identidade de usuário no Analysis Services, você deve configurar a delegação restrita de Kerberos para esses serviços. Nesse cenário, o Analysis Services representa o usuário atual que usa a identidade fornecida pelo serviço de delegação, retornando resultados com base na associação de função dessa identidade de usuário.
Tarefa |
Descrição |
||
|---|---|---|---|
Etapa 1: Verifique se as contas são adequadas para delegação |
Verifique se as contas usadas para executar os serviços têm as propriedades corretas no Active Directory. As contas de serviço do Active Directory não devem ser marcadas como contas confidenciais nem serem especificamente excluídas dos cenários de delegação. Para obter mais informações, consulte Noções básicas sobre contas de usuário.
|
||
Etapa 2: Registre o SPN |
Antes de configurar a delegação restrita, você deve registrar um SPN (Nome da Entidade de Serviço) para a instância do Analysis Services. Você precisará do SPN do Analysis Services ao configurar a delegação restrita do Kerberos para serviços de camada intermediária. Consulte Registro de SPN de uma instância do Analysis Services para obter instruções. Um nome de entidade de serviço (SPN) especifica a identidade exclusiva de um serviço em um domínio configurado para autenticação Kerberos. As conexões de cliente que usam a segurança integrada requerem geralmente um SPN como parte da autenticação SSPI. A solicitação é encaminhada para um controlador de domínio do Active Directory, com o KDC concedendo um tíquete se o SPN apresentado pelo cliente tiver um registro SPN correspondente no Active Directory. |
||
Etapa 3: Configure a delegação restrita |
Após a validação das contas que você deseja usar e do registro de SPNs para essas contas, a próxima etapa será configurar os serviços de nível superior, como o IIS, o Reporting Services ou os serviços Web do SharePoint para a delegação restrita, especificando o SPN do Analysis Services como o serviço específico para o qual a delegação é permitida. Os serviços executados no SharePoint, como os Serviços do Excel ou o Reporting Services no modo do SharePoint, geralmente hospedam pastas de trabalho e relatórios que consomem dados multidimensionais ou de tabela do Analysis Services. Configurar a delegação restrita para esses serviços é uma tarefa de configuração comum, necessária para dar suporte à atualização de dados dos Serviços do Excel. Os links a seguir oferecem instruções para serviços do SharePoint, além de outros serviços que provavelmente apresentem uma solicitação de conexão de dados downstream para dados do Analysis Services:
|
||
Etapa 4: Testar conexões |
Ao testar, conecte-se de computadores remotos, em identidades diferentes, e consulte o Analysis Services usando os mesmos aplicativos que usuários empresariais. Você pode usar o SQL Server Profiler para monitorar a conexão. Você verá a identidade do usuário na solicitação. Para obter mais informações, consulte Testar a identidade representada ou delegada nesta seção. |
.gif "Observação importante")
ImportanteConfigurar o Analysis Services para delegação confiável
A configuração do Analysis Services para delegação restrita de Kerberos permite que o serviço represente uma identidade de cliente em um serviço de nível inferior, como o mecanismo de banco de dados relacional, de modo que os dados possam ser consultados como se o cliente tivesse sido conectado diretamente.
Os cenários de delegação do Analysis Services limitam-se a modelos de tabela configurados para o modo DirectQuery. Esse é o único cenário em que o Analysis Services pode transmitir credenciais delegadas para outro serviço. Em todos os outros cenários, como os cenários do SharePoint mencionados na seção anterior, o Analysis Services está na extremidade de recebimento da cadeia de delegação. Para obter mais informações sobre o DirectQuery, consulte Modo DirectQuery (SSAS tabular).
| Observação |
|---|
Um equívoco comum é o de que o armazenamento ROLAP, operações de processamento ou o acesso a partições remotas de alguma forma cria requisitos para delegação restrita. Esse não é o caso. Todas essas operações são executadas diretamente pela conta de serviço (também conhecida como a conta de processamento), em seu próprio nome. A delegação não é obrigatória para essas operações no Analysis Services, pois as permissões para elas são concedidas diretamente para a conta de serviço (por exemplo, concedendo permissões db_datareader no banco de dados relacional para que o serviço possa processar os dados). Para obter mais informações sobre operações e permissões, consulte Configurar contas de serviço (Analysis Services). |
Esta seção explica como configurar o Analysis Services para delegação confiável. Quando concluir essa tarefa, o Analysis Services poderá passar credenciais delegadas para o SQL Server, em suporte ao modo DirectQuery usado em soluções de tabelas.
Antes de iniciar:
Verifique se o Analysis Services foi iniciado.
Verifique se o SPN registrado para o Analysis Services é válido. Para obter instruções, consulte Registro de SPN de uma instância do Analysis Services.
Quando esse dois pré-requisitos forem atendidos, continue com as etapas a seguir. Observe que você deve ser um administrador de domínio para configurar a delegação restrita.
Em Usuários e Computadores de Active Directory, localize a conta de serviço na qual o Analysis Services é executado. Clique com o botão direito do mouse na conta de serviço e escolha Propriedades.
Para fins ilustrativos, as seguintes captura de tela usam OlapSvc e SQLSvc para representar o Analysis Services e o SQL Server, respectivamente.
OlapSvc é a conta que será configurada para a delegação restrita ao SQLSvc. Quando você concluir essa tarefa, o OlapSvc terá permissão para passar credenciais delegadas em um tíquete de serviço para o SQLSvc, representando o chamador original ao solicitar dados.
Na guia delegação, selecione Confiar neste usuário para delegação apenas aos serviços especificados, seguido por Usar apenas Kerberos. Clique em Adicionar para especificar qual serviço do Analysis Services tem permissão para delegar credenciais.
A guia delegação só aparece quando a conta de usuário (OlapSvc) é atribuída a um serviço (Analysis Services) e o serviço tem um SPN registrado para ele. O registro de SPN requer que o serviço esteja em execução.
.gif "Página propriedades da conta no Active Directory")
Na página Adicionar Serviços, clique em Usuários ou Computadores.
.gif "Página de adição de serviços no Active Directory")
Na página Selecionar Usuários ou Computador, insira a conta usada para executar a instância do SQL Server que fornece dados aos bancos de dados modelo de tabela do Analysis Services. Clique em OK para aceitar a conta de serviço.
Se você não puder selecionar a conta desejada, verifique se o SQL Server está em execução e tem um SPN registrado para essa conta. Para obter mais informações sobre os SPNs do mecanismo de banco de dados, consulte Registrar um nome de entidade de serviço para conexões de Kerberos.
.gif "Selecionar usuários ou computadores no Active Directory")
Agora, a instância do SQL Server deve aparecer em Adicionar Serviços. Qualquer serviço que também esteja usando essa conta também aparecerá na lista. Escolha a instância do SQL Server que você deseja usar. Clique em OK para aceitar a instância.
.gif "Adicionar Serviços no Active Directory")
Agora, a página de propriedades da conta de serviço do Analysis Services deve ser semelhante à captura de tela a seguir. Clique em OK para salvar as alterações.
.gif "Página de propriedades da conta, preenchida")
Verifique se a delegação foi feita com êxito conectando-se a partir de um computador cliente remoto, em uma identidade diferente, e consulte o modelo de tabela. Você verá a identidade do usuário na solicitação no SQL Server Profiler.
Testar a identidade representada ou delegada
Use o SQL Server Profiler para monitorar a identidade do usuário que está consultando dados.
Inicie o SQL Server Profiler na instância do Analysis Services e, em seguida, inicie um novo rastreamento.
Em Seleção de Eventos, verifique se Audit Login e Audit Logout foram verificados na seção Auditoria de Segurança.
Conecte-se ao Analysis Services por meio de um serviço de aplicativo (como o SharePoint ou o Reporting Services) em um computador cliente remoto. O evento Logon da Auditoria mostrará a identidade do usuário que está se conectando ao Analysis Services.
Os testes completos requerem o uso de ferramentas de monitoramento de rede que podem capturar solicitações e respostas de Kerberos na rede. O utilitário Monitor de Rede (netmon.exe), filtrado para Kerberos, pode ser usado nessa tarefa. Para obter mais informações sobre como usar o Netmon 3.4 e outras ferramentas para testar a autenticação do Kerberos, consulte Configurando a autenticação Kerberos: configuração principal (SharePoint Server 2010).
Além disso, consulte A caixa de diálogo mais confusa no Active Directory para obter uma descrição completa de cada opção na guia Delegação da caixa de diálogo de propriedades do objeto do Active Directory. Este artigo também explica como usar o LDP para testar e interpretar os resultados dos testes.
Consulte também
Conceitos
Registro de SPN de uma instância do Analysis Services
Propriedades de cadeia de conexão (Analysis Services)