共用方式為

  • 發行項

規劃伺服器安全性

更新日期: 2009-04-30

規劃伺服器伺服器必須嚴格遵守 Microsoft 的「安全開發生命週期 (Security Development Lifecycle,SDL)」,由基礎開始建構。其已通過多項定義完善的檢查點、安全性程式碼檢閱及最終安全性檢查。在設計、預設狀況值及部署各方面都很安全。

驗證

規劃伺服器有效運用 Windows 整合式驗證。若要通過驗證,使用者必須是:

  • 有效的 PerformancePoint Server 使用者

  • 有效的網域使用者

授權

規劃伺服器會使用角色型的安全性模型進行授權。其利用角色保護中繼資料、資料及回寫,並啟用工作流程動作。這兩個角色類型分別是系統管理角色和商務角色。

規劃伺服器系統管理角色

規劃伺服器包括四個預先定義的系統管理角色,每個角色皆支援區隔組織內的責任:

  • 全域管理員

  • 製造模型者

  • 資料管理員

  • 使用者系統管理員

每個角色都可讓其成員在特定範圍內執行一組特定工作。這些角色是在規劃管理主控台中設定。在角色型的安全性中,模型網站與模型子網站之間沒有繼承關係。系統管理角色可授與適當的權限給組織中的人員。您在規劃商務模組工具中執行工作的能力,取決於系統管理角色中的成員資格。

附註附註:

如需有關管理角色的詳細資訊,請參閱規劃商務模組工具線上說明之<安全性與角色>。

規劃伺服器商務角色

商務角色是針對使用 PerformancePoint Excel 增益集中之實際商業資料的使用者所定義。商務角色是由「資料管理員」角色或「製作模型者」角色成員在規劃商務模組工具中建立和設定。建立商務角色之後,「使用者系統管理員」角色成員即會將使用者加入商務角色。當模型網站部署完成後,商務角色會轉譯成維度安全性,並持續對應到 SQL Server 2005 Analysis Services 伺服器上的 Cube。對 Microsoft Office Excel 使用者而言,商務角色會控制使用者可檢視及可寫入的工作表區域。

回寫受到商務角色及週期/工作分派內容之保護。週期內容決定時段的開始與結束時間以及案例。結合週期與商務角色,即可建立允許使用者輸入資料的「寫入區域」。

如需有關商務角色的完整資訊,請參閱規劃商務模組工具線上說明主題<關於使用者定義的商務角色>。

工作流程的預先定義功能性角色

工作流程的預先定義功能性角色為「參與者」、「檢閱者」及「核准者」。

唯有指派給這些功能性角色的使用者或角色,才可啟用特定的工作流程動作,如送出、檢閱及核准。

通訊安全性

規劃伺服器原就支援 Kerberos 及安全通訊端層 (SSL),是用戶端與規劃 Web 服務之間的安全通訊通道。

規劃伺服器的 Kerberos 委派

模擬允許 Web 應用程式或服務以呼叫者的識別行動。這可讓 Web 應用程式或服務以非原有的識別存取本機資源。

委派可讓 Web 應用程式或服務利用模擬語彙基元存取遠端網路資源。需要使用委派的情況一般稱為「雙躍點」案例。委派是以整合式 Windows 驗證和 Kerberos 通訊協定為基礎。監控伺服器和規劃伺服器都有需要使用委派的組態選項。

若要將規劃管理主控台與用戶端 (Internet Explorer) 及規劃 Web 服務部署在不同的電腦上,規劃遠端管理服務必須能夠向規劃 Web 服務遞交已驗證之使用者的認證。

如需有關設定規劃伺服器及監控伺服器 Kerberos 委派的詳細資訊,請參閱《PerformancePoint Server 2007 部署指南》。

安全通訊端層 (SSL) 安全性

PerformancePoint Server 建議具有 Internet Information Services (IIS) 的 HTTP 通訊使用 SSL 安全性。每個 IIS 網站皆必須安裝 SSL 憑證才能啟用此安全性。

如需有關 SSL、如何設定憑證伺服器,或使用具有 PerformancePoint Server 之現有憑證伺服器的詳細資訊,請參閱下列位置的<在伺服器上設定 SSL>:https://www.microsoft.com/windows/windows2000/en/advanced/iis/htm/core/iisslsc.htm.

如需有關在規劃伺服器及監控伺服器上安裝與設定 SSL 的詳細資訊,請參閱《PerformancePoint Server 2007 部署指南》。

SQL Server 安全性

PerformancePoint 規劃元件僅透過規劃預先定義的預存程序存取資料庫。所有預存程序皆須經過安全性程式碼檢查,以確定有無 SQL 插入及其他安全性威脅。規劃伺服器安裝程式會建立兩個預先定義的 SQL Server 使用者:一是執行計算規則的低權限使用者,一是可進行其他各項存取的受信任服務識別帳戶。根據預設,商務使用者沒有資料庫的直接 SQL Server 存取權。

Analysis Services 安全性

當模型網站部署完成後,商務角色會轉譯成維度安全性,並持續對應到 Analysis Services 伺服器上的 Cube。即使您嘗試直接存取 Analysis Services Cube,資料仍會如同透過規劃伺服器存取資料般的方式受到保護。

原生 SQL 及 MDX 安全性

規劃伺服器提供一項功能,稱之為「安全使用規則的原生 SQL 及 MDX」。此功能意在讓使用者擁有最大的靈活性,但又可避免使用者在 SQL Server 上濫用權限。為應用程式選取此功能的核取方塊,以全域管理員的身分啟用原生 SQL/MDX 規則。然後在安全性程式碼檢查之後,以手動方式將規則標示為 [作用中]。這會另行建立結構描述,以容納此功能所產生的資料庫物件。此外還會在 SQL Server 中建立執行這些規則的低權限使用者帳戶,以確保資料庫物件得以安全地執行。

如需有關安全使用 PerformancePoint 運算式語言 (PEL) 及原生 SQL 及 MDX 的資訊,請參閱《PerformancePoint Server 2007 部署指南》。

重要事項重要事項:

亦請參閱 Internet Information Services 安全性文件,以避免任何可能有礙規劃伺服器或監控伺服器正確運作的拒絕服務攻擊。