Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Для подключений от клиентского приложения к экземпляру служб Analysis Services требуется проверка подлинности Windows (интегрированная). Вы можете предоставить удостоверение пользователя Windows с помощью любого из следующих методов:
NTLM
Kerberos (см. раздел "Настройка служб Analysis Services для ограниченного делегирования Kerberos")
EffectiveUserName в строке подключения
Базовый или анонимный (требуется настройка для доступа по протоколу HTTP)
Сохраненные учетные данные
Обратите внимание, что проверка подлинности утверждений не поддерживается. Маркер утверждений Windows нельзя использовать для доступа к службам Analysis Services. Клиентские библиотеки служб Analysis Services работают только с принципами безопасности Windows. Если решение бизнес-аналитики включает удостоверения на основе утверждений, вам потребуются виртуальные учетные записи Windows для каждого пользователя либо использовать сохраненные учетные данные для доступа к данным служб Microsoft Analysis Services.
Дополнительные сведения о потоках проверки подлинности бизнес-аналитики и служб Analysis Services см. в разделе Проверка подлинности и делегирование удостоверений Microsoft BI.
Общие сведения о альтернативных вариантах проверки подлинности
Для подключения к базе данных служб Analysis Services требуется идентификация пользователя или группы Windows и связанные разрешения. Учётная запись может быть универсальной, использующейся любым пользователем, которому нужно просмотреть отчет, но более вероятным сценарием является наличие учётной записи индивидуальных пользователей.
Часто табличная или многомерная модель будет иметь разные уровни доступа к данным, по объекту или в самом данных, на основе того, кто выполняет запрос. Для удовлетворения этого требования можно использовать проверку подлинности NTLM, Kerberos, EffectiveUserName или Обычную проверку подлинности. Все эти методы предлагают подход для передачи различных пользовательских данных с каждым подключением. Однако большинство из этих вариантов подвержены ограничению одного прыжка. Только Kerberos с делегированием позволяет исходной личности пользователя передаваться через несколько подключений к хранилищу данных на удаленном сервере.
NTLM
Для подключений, указывающих SSPI=Negotiate, NTLM — это подсистема проверки подлинности резервного копирования, используемая, если контроллер домена Kerberos недоступен. В NTLM любой пользователь или клиентское приложение может получить доступ к ресурсу сервера, если запрос является прямым подключением от клиента к серверу, пользователь, запрашивающий подключение, имеет разрешение на ресурс, а клиентские и серверные компьютеры находятся в одном домене.
В многоуровневых решениях ограничение одного перехода NTLM может быть значительным препятствием. Удостоверение пользователя, выполняющего запрос, может быть использовано на одном удаленном сервере, но не распространяется дальше. Если для текущей операции требуются службы, работающие на нескольких компьютерах, необходимо настроить ограниченное делегирование Kerberos для повторного использования маркера безопасности на внутренних серверах. Кроме того, можно использовать сохраненные учетные данные или базовую аутентификацию для передачи новых удостоверений через одноступенчатое подключение.
Аутентификация Kerberos и ограниченное делегирование Kerberos
Проверка подлинности Kerberos является основой интегрированной безопасности Windows в доменах Active Directory. Как и в случае с NTLM, олицетворение в Kerberos ограничено одним переходом, если вы не включите делегирование.
Для поддержки многопрыжковых подключений Kerberos предоставляет как ограниченное, так и неограниченное делегирование, но для большинства сценариев делегирование с ограничениями считается хорошей практикой обеспечения безопасности. Ограниченное делегирование позволяет службе передавать маркер безопасности удостоверения пользователя назначенной службе нижнего уровня на удаленном компьютере. Для многоуровневых приложений делегирование пользовательской идентификации от серверов приложений среднего уровня к серверным базам данных, таким как службы анализа Analysis Services, является обычным требованием. Например, табличная или многомерная модель, которая возвращает разные данные на основе удостоверения пользователя, потребует делегирования удостоверений из службы среднего уровня, чтобы избежать повторного ввода учетных данных пользователя или получения учетных данных безопасности другим способом.
Ограниченное делегирование требует дополнительной конфигурации в Active Directory, где службы при отправке и получении запроса явно авторизованы для делегирования. Несмотря на то, что при настройке службы есть затраты на конфигурацию, обновления паролей управляются независимо в Active Directory. Вам не нужно обновлять сведения о хранимой учетной записи в приложениях, как было бы, если бы вы использовали вариант хранимых учетных данных, описанный далее.
Дополнительные сведения о настройке служб Analysis Services для ограниченного делегирования см. в разделе "Настройка служб Analysis Services для ограниченного делегирования Kerberos".
Замечание
Windows Server 2012 поддерживает ограниченное делегирование между доменами. В отличие от этого, настройка ограниченного делегирования Kerberos в доменах на более низких функциональных уровнях, таких как Windows Server 2008 или 2008 R2, требует, чтобы клиентские и серверные компьютеры были членами одного домена.
EffectiveUserName
EffectiveUserName — это свойство строки подключения, используемое для передачи сведений об удостоверениях в службы Analysis Services. PowerPivot для SharePoint использует его для записи действий пользователей в журналах использования. Службы Excel Services и PerformancePoint Services могут использовать его для получения данных, которые используются рабочими книгами или информационными панелями в SharePoint. Его также можно использовать в пользовательских приложениях или сценариях, выполняющих операции с экземпляром служб Analysis Services.
Дополнительные сведения об использовании EffectiveUserName в SharePoint см. в статье Use Analysis Services EffectiveUserName in SharePoint Server 2010.
Обычная проверка подлинности и анонимный пользователь
Обычная проверка подлинности предоставляет еще четвертую альтернативу для подключения к внутреннему серверу в качестве конкретного пользователя. Используя базовую аутентификацию, имя пользователя и пароль Windows передаются через строку подключения, что влечет дополнительные требования к шифрованию данных для защиты чувствительной информации во время передачи. Важное преимущество использования базовой проверки подлинности заключается в том, что запрос проверки подлинности может пересекать границы домена.
Для анонимной проверки подлинности можно задать для анонимного удостоверения пользователя определенную учетную запись пользователя Windows (IUSR_GUEST по умолчанию) или удостоверение пула приложений. Учетная запись анонимного пользователя будет использоваться в подключении к услугам Analysis Services и должна иметь разрешения на доступ к данным в экземпляре услуг Analysis Services. При использовании этого подхода для подключения используется только удостоверение пользователя, связанное с анонимной учетной записью. Если приложению требуется дополнительное управление удостоверениями, вам потребуется выбрать один из других подходов или дополнить предоставленным вами решением для управления удостоверениями.
Базовая и анонимная аутентификация доступны только при настройке служб Analysis Services для доступа через HTTP с помощью IIS и msmdpump.dll для установления подключения. Дополнительные сведения см. в разделе "Настройка HTTP-доступа к службам Analysis Services" в IIS 8.0.
Сохраненные учетные данные
Большинство служб приложений среднего уровня включают функции хранения имени пользователя и пароля, которые впоследствии используются для получения данных из хранилища данных нижнего уровня, таких как службы Analysis Services или реляционный механизм SQL Server. Таким образом, сохраненные учетные данные предоставляют пятую альтернативу для получения данных. Ограничения, связанные с этим подходом, включают расходы на обслуживание, связанные с сохранением имен пользователей и паролей в актуальном состоянии, а также использование одного удостоверения в соединении. Если для решения требуется удостоверение личности исходного вызывающего абонента, сохраненные учетные данные не будут приемлемой альтернативой.
Дополнительные сведения о сохраненных учетных данных см. в статьях "Создание, изменение и удаление общих источников данных" (SSRS) и использование служб Excel со службой Secure Store в SharePoint Server 2013.
См. также
Использование олицетворения с безопасностью транспорта
Настройка HTTP-доступа к службам Analysis Services на Internet Information Services (IIS) 8.0
Настройка служб Analysis Services для ограниченного делегирования Kerberos
Регистрация SPN для экземпляра Analysis Services
Подключитесь к службам Analysis Services