PerformancePoint Services 的身分識別委派 (SharePoint Server 2010)
適用版本: PerformancePoint Services, SharePoint Server 2010
上次修改主題的時間: 2016-11-30
在此案例中,您會將 PerformancePoint Services 服務應用程式新增至 SharePoint Server 環境,以及設定 Kerberos 限制委派允許服務從外部 Analysis Services Cube 提取資料,而且可以選擇從 SQL Server 取出資料。
注意
如果您是安裝在 Windows Server 2008,則可能必須安裝下列 Hotfix 以進行 Kerberos 驗證:
使用 AES 演算法時,在執行 Windows Server 2008 或 Windows Vista 的電腦上,Kerberos 會驗證失敗,且錯誤碼為 0X80090302 或 0x8009030f (https://support.microsoft.com/kb/969083/zh-tw)
案例相依性
若要完成此案例,您需要已完成下列項目:
案例 1:核心設定
案例 2:SQL OLTP 的 Kerberos 驗證 (選用)
設定檢查清單
| 設定區域 | 描述 |
|---|---|
Active Directory 設定 |
建立 PerformancePoint Services 服務帳戶 在應用程式伺服器上,建立執行 PerformancePoint Service 之服務帳戶的 SPN 驗證 SQL Server Analysis Services 服務帳戶 (vmlab\svcSQLAS) 上的 Analysis Services SPN (在案例 3 中執行) 及 (選用) 驗證 SQL Server 資料庫引擎服務帳戶 (vmlab\svcSQL) (在案例 2 中執行)。 為 Analysis Services 的對 Windows Token 服務的宣告之服務帳戶設定 Kerberos 限制委派 設定 PerformancePoint 的 Kerberos 限制委派 Analysis Services 的 Services 服務帳戶 |
SharePoint Server 設定 |
在 PerformancePoint Services 伺服器上啟動對 Windows Token 服務的宣告 在 PerformancePoint Services 伺服器上啟動 PerformancePoint Services 服務執行個體 建立 PerformancePoint Services 服務應用程式和 Proxy 檢查 PerformancePoint 應用程式上的身分識別 授與 Web 應用程式內容資料庫上的 PerformancePoint Services 服務帳戶權限 設定 PerformancePoint Services 信任的檔案位置和驗證設定 |
驗證 PerformancePoint Service 限制委派 |
建立文件庫以裝載測試儀表板 建立會參照現有 SQL Server Analysis Services Cube 的資料來源 建立信任的 PerformancePoint 內容清單 建立測試 PerformancePoint 儀表板 發佈儀表板至 SharePoint Server |
案例環境詳細資料
Kerberos 限制委派路徑
.jpg "驗證程序圖表")
在此案例中,會設定 PerformancePoint Services 服務帳戶,以進行 SQL Server 服務的 Kerberos 限制委派。
注意
在此案例中,我們會將「對 Windows Token 服務的宣告」(C2WTS) 設定成使用專用服務帳戶。如果您還是將 C2WTS 設定成使用 [本機系統],則需要對執行 C2WTS 和 Excel Services 之電腦的電腦帳戶設定限制委派。
SharePoint Server 邏輯驗證
.jpg "驗證流程圖表")
在此案例中,驗證是從 Web 前端中使用 Kerberos 驗證進行的用戶端驗證開始。SharePoint Server 2010 會使用本機 Security Token Service (STS) 將 Windows 驗證 Token 轉換為宣告 Token。PerformancePoint Service 應用程式會接受宣告 Token,並使用本機「對 Windows Token 服務的宣告」(C2WTS) (屬於 Windows Identity Framework (WIF) 的一部分) 將它轉換為 Windows Token (Kerberos)。PerformancePoint Service 應用程式接著會使用用戶端的 Kerberos 票證來驗證後端資料來源。
逐步式設定指示
Active Directory 設定
建立 PerformancePoint Services 服務帳戶
最佳作法是 PerformancePoint Services 使用它自己的網域身分識別來執行。若要設定 PerformancePoint Service 應用程式,必須建立 Active Directory 帳戶並登錄為 SharePoint Server 2010 中的受管理帳戶。如需詳細資訊,請參閱 SharePoint 2010 中的受管理帳戶 (可能為英文網頁)。在此範例中,會於這個案例後面建立並登錄下列帳戶:
| SharePoint Server 服務 | IIS 應用程式集區身分識別 |
|---|---|
PerformancePoint Services |
vmlab\svcPPS |
在應用程式伺服器上,建立執行 PerformancePoint Service 之服務帳戶的 SPN
因為執行 SharePoint 應用程式集區的服務帳戶與 PerformancePoint 帳戶不同,所以這是必要步驟。
[Active Directory 使用者和電腦] MMC 嵌入式管理單元一般是用來設定 Kerberos 委派。若要在嵌入式管理單元內設定委派設定,則所設定的 Active Directory 物件必須要套用服務主要名稱;否則,在物件的屬性對話方塊中,將看不到物件的 [委派] 索引標籤。雖然 Visio Services 不需要 SPN 就能運作,但是我們會為此用途設定一個 SPN。
在命令列上執行下列命令:
SETSPN -S SP/svcPPS
注意
SPN 不是有效的 SPN。它是套用至指定的服務帳戶,以顯示 AD 使用者和電腦增益集中的委派選項。還有其他支援指定委派設定的方法 (尤其是 msDS-AllowedToDelegateTo AD 屬性),但本主題並不會涵蓋在此文件中。
驗證 SQL Server Analysis Services 服務帳戶 (vmlab\svcSQLAS) 的 Analysis Services SPN (在案例 3 中執行) 以及 (選用) 驗證 SQL Server 資料庫引擎服務帳戶 (vmlab\svcSQL) (在案例 2 中執行)
使用下列 SetSPN 命令,驗證 SQL Server 服務帳戶 (vmlab\svcSQLAS) 的 SPN 是否存在:
SetSPN -L vmlab\svcSQLAS
您應該會看到下列項目:
MSOLAPSvc.3/MySqlCluster
使用下列 SetSPN 命令,確認 Analysis Services 服務帳戶 (vmlab\svcSQL) 的 SPN 是否存在:
SetSPN -L vmlab\svcSQL
您應該會看到下列項目:
MSSQLSVC/MySqlCluster
將 Kerberos 限制委派從 PerformancePoint Services 服務帳戶設定成 SSAS Service,以及選擇性地針對 SQL Server 服務進行設定
若要允許 PerformancePoint Services 委派用戶端的身分識別,則必須設定 Kerberos 限制委派。您也必須使用通訊協定轉換來設定限制委派,以透過 WIF C2WTS 將宣告 Token 轉換為 Windows Token。
每部執行 PerformancePoint Services 的伺服器都必須受到信任,才能將認證委派給每個用來驗證之 PerformancePoint 的後端服務。此外,也必須將 PerformancePoint Services 服務帳戶設定成允許委派給相同後端服務。也請注意,HTTP/Portal 和 HTTP/Portal.vmlab.local 是設定成委派以包括 SharePoint 清單,做為 PerformancePoint 儀表板的選用資料來源。
在範例中已定義下列委派路徑:
| 主要類型 | 主要名稱 |
|---|---|
使用者 |
Vmlab\svcC2WTS |
使用者 |
Vmlab\svcPPS |
設定限制委派
在 [Active Directory 使用者和電腦] 中,開啟 Active Directory 物件的屬性。
導覽至 [委派] 索引標籤。
選取 [信任這台電腦,但只委派指定的服務]。
選取 [使用任何驗證通訊協定]。
按一下 [新增] 按鈕以選取服務主要。
選取 [使用者及電腦]。
選取執行想要委派服務的服務帳戶。
注意
選取的服務帳戶必須要套用 SPN。在範例中,此帳戶的 SPN 已設定於前一個案例中。
按一下 [確定]。
選取想要委派的 SPN,然後按一下 [確定]。
您現在應該會在 [這個帳戶可以呈送委派認證的服務] 清單中看到選取的 SPN。
請針對在本節開始所定義的每個委派路徑,重複這些步驟。
SharePoint Server 設定
在 PerformancePoint Services 伺服器上設定和啟動對 Windows Token 服務的宣告
「對 Windows Token 服務的宣告」(C2WTS) 是負責將使用者宣告 Token 轉換為 Windows Token 的 Windows Identity Foundation (WIF) 元件。服務需要將認證委派給使用 Windows 驗證的後端系統時,PerformancePoint Services 會使用 C2WTS 將使用者的宣告 Token 轉換為 Windows Token。WIF 是與 SharePoint Server 2010 一起部署,而且可以從管理中心啟動 C2WTS。
每部 PerformancePoint Services 應用程式伺服器都必須在本機執行 C2WTS。C2WTS 不會開啟任何連接埠,而且遠端呼叫者無法存取 C2WTS。甚至,必須特別將 C2WTS 服務設定檔設定成信任本機呼叫用戶端身分識別。
最佳作法是使用專用服務帳戶來執行 C2WTS,而不是以 [本機系統] 身分 (預設設定)。C2WTS 服務帳戶需要每部執行此服務之伺服器的特殊本機權限,以每次在伺服器上啟動服務時設定這些權限。最好是您先設定服務帳戶在本機伺服器上的權限,再啟動 C2WTS;若沒有,您也可以從 Windows [服務] 管理主控台 (services.msc) 重新啟動 C2WTS。
啟動 C2WTS
在 Active Directory 中建立用來執行服務的服務帳戶。在此範例中,我們已建立 vmlab\svcC2WTS。
將任意服務主要名稱 (SPN) 新增至服務帳戶,以在 [Active Directory 使用者和電腦] 中公開此帳戶的委派選項。因為我們不是使用 Kerberos 驗證來驗證 C2WTS,所以 SPN 可以是任何格式。建議不要使用 HTTP SPN,避免在環境中建立重複 SPN 的可能性。在範例中,我們使用下列命令將 SP/C2WTS 登錄為 vmlab\svcC2WTS:
SetSPN -S SP/C2WTS vmlab\svcC2WTS設定 C2WTS Services 帳戶的 Kerberos 限制委派。在此案例中,我們將認證委派給使用 MSOLAPsvc.3/MySqlCluster.vmlab.local 服務主要名稱執行的 SQL Server 服務。
接下來,設定 C2WTS 所需要的必要本機伺服器權限。您必須在每部執行 C2WTS 的伺服器上設定這些權限。在範例中,這是 VMSP10APP01。請登入伺服器,並將下列權限授與 C2WTS:
新增服務帳戶至本機 Administrators 群組。
在使用者權限指派的本機安全性原則 (secpol.msc) 中,將下列權限授與服務帳戶:
當成作業系統的一部分
在驗證後模擬用戶端
以服務方式登入
開啟管理中心。
在 [安全性] 區段的 [設定受管理服務帳戶] 下,將 C2WTS 服務帳戶登錄為受管理帳戶。
在服務下,選取 [管理伺服器上的服務]。
在伺服器選取方塊的右上角,選取執行 PerformancePoint Services 的伺服器。在此範例中,為 VMSP10APP01。
找到並啟動 [對 Windows Token 服務的宣告]。
移至 [安全性] 區段中的 [管理服務帳戶]。請將 C2WTS 的身分識別變更為新的受管理帳戶。
注意
如果在設定專用服務帳戶之前已執行 C2WTS,或是您需要在執行 C2WTS 之後變更服務帳戶的權限,則必須從 [服務] 主控台重新啟動 C2WTS。
此外,如果您在重新啟動服務之後 C2WTS 發生問題,則也可能需要重設與 C2WTS 進行通訊的 IIS 應用程式集區。
將啟動相依性新增至 WIF C2WTS 服務
C2WTS 發生已知問題,可能無法在系統重新開機時順利自動啟動。此問題的解決方法是設定 Cryptographic Services 服務的服務相依性:
開啟命令提示字元視窗。
輸入:sc config c2wts depend= CryptSvc
在 [服務] 主控台中找到 [對 Windows Token 服務的宣告]。
開啟此服務的屬性。
核取 [相依性] 索引標籤。請確定已列出 [Cryptographic Services]:
按一下 [確定]。
在 PerformancePoint Services 伺服器上啟動 PerformancePoint Services 服務執行個體
建立 PerformancePoint Services 服務應用程式之前,在指定的伺服器陣列伺服器上啟動 PerformancePoint Services 伺服器服務。若要深入了解 PerformancePoint Services 設定,請參閱<PerformancePoint Services 管理>。
開啟管理中心。
在服務下,選取 [管理伺服器上的服務]。
在伺服器選取方塊的右上角,選取執行 PerformancePoint Services 的伺服器。在此範例中,為 VMSP10APP01。
啟動 [PerformancePoint Service] 服務。
建立 PerformancePoint Services 服務應用程式和 Proxy
接下來,設定新 PerformancePoint Services 服務應用程式和應用程式 Proxy,允許 Web 應用程式使用 PerformancePoint Services:
開啟管理中心。
選取 [應用程式管理] 下的 [管理服務應用程式]。
選取 [新增],然後按一下 [PerformancePoint Services 應用程式]。
設定新服務應用程式。如果之前未執行過此步驟,請確認您選取正確的服務帳戶或建立新受管理帳戶。
注意
在此案例中,設定自動服務帳戶是選用作業,而且也只會在想要測試 NTLM 驗證時使用。
您可以在此步驟之前或建立新 PerformancePoint Service 時,為 PerformancePoint Services 專用的現有應用程式集區建立以及登錄新服務帳戶。若要建立服務帳戶與 PerformancePoint 專用之現有應用程式集區的關聯性,或是驗證現有帳戶,請執行下列動作。
導覽至 SharePoint 管理中心。找到 [安全性] 區段中的 [設定受管理帳戶]。
選取下拉式方塊,並選取應用程式集區。
選取 Active Directory 帳戶。
授與 Web 應用程式內容資料庫上的 PerformancePoint Services 服務帳戶權限
設定 SharePoint Server 2010 Office Web 應用程式的必要步驟,允許 Web 應用程式的服務帳戶存取指定之 Web 應用程式的內容資料庫。在此範例中,我們會使用 Windows PowerShell 將「入口網站」Web 應用程式之內容資料庫的存取權授與 PerformancePoint Services 帳戶。
從 SharePoint 2010 管理命令介面執行下列命令:
$w = Get-SPWebApplication -Identity http://portal
$w.GrantAccessToProcessIdentity("vmlab\svcPPS")
設定 PerformancePoint Services 信任的檔案位置和驗證設定
建立 PerformancePoint Services 應用程式之後,您必須設定新服務應用程式的屬性,以指定信任的主機位置和驗證設定。
開啟管理中心。
選取 [應用程式管理] 下的 [管理服務應用程式]。
按一下新服務應用程式 [PerformancePoint Services] 的連結,並按一下功能區中的 [管理] 按鈕。
在 [PerformancePoint Services 管理] 畫面中,按一下 [受信任資料來源位置]。
選取 [只有特定位置] 選項,並按一下 [加入受信任資料來源位置]。
輸入位置的 URL,並選取 [網站集合 (和樹狀子目錄)] 選項,然後按一下 [確定]。
選取 [只有特定位置] 選項,並按一下 [加入受信任資料來源位置]。
輸入位置的 URL,並選取 [網站 (和樹狀子目錄)] 選項,然後按一下 [確定]。
確認 PerformancePoint Service 限制委派
建立具有 SQL Server AS 資料連線的測試 PerformancePoint 儀表板
接下來,開啟 PerformancePoint 儀表板設計工具,並建立 Analysis Services 資料連線。
開啟 PerformancePoint 儀表板設計工具,並在要建立連線的資料來源上按一下滑鼠右鍵。
選取 [Analysis Services]。
指定伺服器、資料庫和 Cube,並選取 [每個使用者的識別]。
按一下 [測試資料來源] 測試連線。
建立報表和儀表板。
將量值和維度從詳細資料頁面拖曳至報表設計師,確定您具有資料連線。
您的報表可以併入儀表板中。
選取 [報表],然後將 [我的報表] 拖曳至 [儀表板內容] 頁面。
發佈儀表板至 SharePoint Server
驗證 PerformancePoint Services 應用程式的最後一個步驟是發佈儀表板,以及測試重新整理和檢視 Analysis Services 資料。若要執行此作業:
選取明亮檔案按鈕圖示。
按一下檔案選取中的 [部署]。
選取想要發佈至其中的主版頁面。
按一下瀏覽器中的 [重新整理] 按鈕。
如果重新整理資料連線,則已成功設定 PerformancePoint Services 的 Kerberos 委派。