Freigeben über

Konfigurieren von Analysis Services für eingeschränkte Kerberos-Delegierung

Beim Konfigurieren von Analysis Services für die Kerberos-Authentifizierung sind Sie höchstwahrscheinlich daran interessiert, eines oder beide der folgenden Ergebnisse zu erzielen: Wenn Analysis Services beim Abfragen von Daten eine Benutzeridentität imitieren muss; oder wenn Analysis Services eine Benutzeridentität an einen Dienst auf unterer Ebene delegieren soll. Jedes Szenario erfordert geringfügig unterschiedliche Konfigurationsanforderungen. Beide Szenarien erfordern eine Überprüfung, um sicherzustellen, dass die Konfiguration ordnungsgemäß ausgeführt wurde.

Tipp

Microsoft Kerberos Configuration Manager for SQL Server ist ein Diagnosetool zur Behebung Kerberos-bezogener Probleme mit der Verbindung mit SQL Server. Weitere Informationen finden Sie unter Microsoft Kerberos-Konfigurations-Manager für SQL Server.

Dieses Thema enthält die folgenden Abschnitte:

Hinweis

Die Delegierung ist nicht erforderlich, wenn es sich bei der Verbindung mit Analysis Services um einen einzelnen Hop handelt, oder Ihre Lösung verwendet gespeicherte Anmeldeinformationen, die von SharePoint Secure Store Service oder Reporting Services bereitgestellt werden. Wenn es sich bei allen Verbindungen um direkte Verbindungen zwischen Excel und einer Analysis Services-Datenbank oder basierend auf gespeicherten Anmeldeinformationen handelt, können Sie Kerberos (oder NTLM) verwenden, ohne die eingeschränkte Delegierung konfigurieren zu müssen.

Die eingeschränkte Kerberos-Delegierung ist erforderlich, wenn die Benutzeridentität über mehrere Computerverbindungen hinweg übertragen werden muss (auch als "Double-Hop" bezeichnet). Wenn der Analysis Services-Datenzugriff von der Benutzeridentität abhängig ist und die Verbindungsanforderung von einem delegierenden Dienst stammt, verwenden Sie die Checkliste im nächsten Abschnitt, um sicherzustellen, dass Analysis Services die Identität des ursprünglichen Aufrufers annehmen kann. Weitere Informationen zu Analysis Services-Authentifizierungsflüssen finden Sie unter Microsoft BI Authentication and Identity Delegation.

Als bewährte Methode für die Sicherheit empfiehlt Microsoft immer eine eingeschränkte Delegierung gegenüber nicht eingeschränkter Delegierung. Eine uneingeschränkte Delegierung ist ein erhebliches Sicherheitsrisiko, da die Dienstidentität den Identitätswechsel eines anderen Benutzers auf jedem nachgeschalteten Computer, Dienst oder einer Anwendung ermöglicht (im Gegensatz zu den Diensten, die explizit durch eingeschränkte Delegierung definiert sind).

Zulassen, dass Analysis Services die Identität eines Benutzers identifizieren können

Damit höhergestellte Dienste wie Reporting Services, IIS oder SharePoint eine Benutzeridentität in Analysis Services verwenden können, müssen Sie die eingeschränkte Kerberos-Delegierung für diese Dienste konfigurieren. In diesem Szenario verwendet Analysis Services die Identität des aktuellen Benutzers, die vom delegierenden Dienst bereitgestellt wird, und liefert Ergebnisse basierend auf der Rollenmitgliedschaft dieser Benutzeridentität.

Aufgabe BESCHREIBUNG
Schritt 1: Überprüfen, ob Konten für die Delegierung geeignet sind Stellen Sie sicher, dass die Konten, die zum Ausführen der Dienste verwendet werden, über die richtigen Eigenschaften in Active Directory verfügen. Dienstkonten in Active Directory dürfen nicht als vertrauliche Konten gekennzeichnet oder ausdrücklich von Delegierungsszenarien ausgeschlossen werden. Weitere Informationen finden Sie unter Grundlegendes zu Benutzerkonten.

**Wichtig** Im Allgemeinen müssen alle Konten und Server derselben Active Directory-Domäne oder vertrauenswürdigen Domänen in derselben Gesamtstruktur angehören. Da Windows Server 2012 jedoch Delegation über Domänengrenzen hinweg unterstützt, können Sie Kerberos-eingeschränkte Delegierung über eine Domänengrenze konfigurieren, wenn die Domänenfunktionsebene Windows Server 2012 ist. Eine weitere Alternative besteht darin, Analysis Services für DEN HTTP-Zugriff zu konfigurieren und IIS-Authentifizierungsmethoden für die Clientverbindung zu verwenden. Weitere Informationen finden Sie unter Configure HTTP Access to Analysis Services on Internet Information Services (IIS) 8.0.
Schritt 2: Registrieren des SPN Bevor Sie die eingeschränkte Delegierung einrichten, müssen Sie einen Dienstprinzipnamen (Service Principle Name, SPN) für die Analysis Services-Instanz registrieren. Sie benötigen den Analysis Services SPN beim Konfigurieren der eingeschränkten Kerberos-Delegierung für Dienste der mittleren Ebene. Anweisungen finden Sie unter SPN-Registrierung für eine Analysis Services-Instanz .

Ein Dienstprinzipsprinzipname (Service Principle Name, SPN) gibt die eindeutige Identität eines Diensts in einer Domäne an, die für die Kerberos-Authentifizierung konfiguriert ist. Clientverbindungen mit integrierter Sicherheit fordern häufig einen SPN als Teil der SSPI-Authentifizierung an. Die Anforderung wird an einen Active Directory-Domänencontroller (DC) weitergeleitet, wobei dem KDC ein Ticket gewährt wird, wenn der vom Client vorgelegte SPN über eine entsprechende SPN-Registrierung in Active Directory verfügt.
Schritt 3: Konfigurieren der eingeschränkten Delegierung Nachdem Sie die Konten validiert und die SPNs für diese Konten registriert haben, besteht der nächste Schritt darin, erweiterte Dienste wie IIS, Reporting Services oder SharePoint-Webdienste für eingeschränkte Delegierung zu konfigurieren, wobei der Analysis Services SPN als der spezifische Dienst angegeben wird, für den die Delegierung zulässig ist.

Dienste, die in SharePoint ausgeführt werden, z. B. Excel Services oder Reporting Services im SharePoint-Modus, hosten häufig Arbeitsmappen und Berichte, die multidimensionale oder tabellarische Daten von Analysis Services nutzen. Das Konfigurieren der eingeschränkten Delegierung für diese Dienste ist eine häufige Konfigurationsaufgabe und erforderlich für die Unterstützung der Datenaktualisierung aus Excel Services. Die folgenden Links enthalten Anweisungen für SharePoint-Dienste sowie andere Dienste, die wahrscheinlich eine nachgelagerte Datenverbindungsanforderung für Analysis Services-Daten darstellen:

Identitätsdelegierung für Excel Services (SharePoint Server 2010) oder Konfigurieren von Excel Services in SharePoint Server 2010 für die Kerberos-Authentifizierung

Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)

Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)

Informationen zu IIS 7.0 finden Sie unter Konfigurieren der Windows-Authentifizierung (IIS 7.0) oder zum Konfigurieren von SQL Server 2008 Analysis Services und SQL Server 2005 Analysis Services für die Verwendung der Kerberos-Authentifizierung.
Schritt 4: Testen von Verbindungen Stellen Sie beim Testen eine Verbindung von Remotecomputern unter verschiedenen Identitäten her, und fragen Sie Analysis Services mithilfe der gleichen Anwendungen wie Geschäftsbenutzer ab. Sie können sql Server Profiler verwenden, um die Verbindung zu überwachen. Die Benutzeridentität sollte auf der Anforderung angezeigt werden. Weitere Informationen finden Sie unter Test für nachgeahmte oder übertragene Identität in diesem Abschnitt.

Konfigurieren Sie Analysis Services für vertrauenswürdige Delegierung

Das Konfigurieren von Analysis Services für eingeschränkte Kerberos-Delegierung ermöglicht es dem Dienst, eine Clientidentität auf einem Dienst auf down-Level-Ebene zu imitieren, z. B. das relationale Datenbankmodul, sodass Daten abgefragt werden können, als ob der Client direkt verbunden war.

Delegierungsszenarien für Analysis Services sind auf tabellarische Modelle beschränkt, die für den DirectQuery Modus konfiguriert sind. Dies ist das einzige Szenario, in dem Analysis Services delegierte Anmeldeinformationen an einen anderen Dienst übergeben kann. In allen anderen Szenarien, z. B. SharePoint-Szenarien, die im vorherigen Abschnitt erwähnt wurden, befindet sich Analysis Services am empfangenden Ende der Delegierungskette. Weitere Informationen zu DirectQuery finden Sie unter DirectQuery Mode (SSAS Tabular).

Hinweis

Ein häufiges Missverständnis besteht darin, dass ROLAP-Speicher, Verarbeitungsvorgänge oder Der Zugriff auf Remotepartitionen irgendwie Anforderungen für eingeschränkte Delegierungen einführen. Das ist nicht der Fall. Alle diese Vorgänge werden direkt vom Dienstkonto (auch als Verarbeitungskonto bezeichnet) im eigenen Auftrag ausgeführt. Die Delegierung ist für diese Vorgänge in Analysis Services nicht erforderlich, da Berechtigungen für solche Vorgänge direkt dem Dienstkonto gewährt werden (z. B. erteilen db_datareader Berechtigungen für die relationale Datenbank, damit der Dienst Daten verarbeiten kann). Weitere Informationen zu Servervorgängen und -berechtigungen finden Sie unter Konfigurieren von Dienstkonten (Analysis Services).For more information about server operations and permissions, see Configure Service Accounts (Analysis Services).

In diesem Abschnitt wird erklärt, wie man Analysis Services für eine vertrauenswürdige Delegierung einrichtet. Nachdem Sie diese Aufgabe abgeschlossen haben, kann Analysis Services delegierte Anmeldeinformationen an SQL Server übergeben, wobei der DirectQuery-Modus unterstützt wird, der in tabellarischen Lösungen verwendet wird.

Bevor Sie beginnen:

Wenn beide Voraussetzungen erfüllt sind, fahren Sie mit den folgenden Schritten fort. Beachten Sie, dass Sie ein Domänenadministrator sein müssen, um die eingeschränkte Delegierung einzurichten.

  1. Suchen Sie in Active Directory-Benutzern und -Computern das Dienstkonto, unter dem Analysis Services ausgeführt wird. Klicken Sie mit der rechten Maustaste auf das Dienstkonto, und wählen Sie "Eigenschaften" aus.

    Zur Veranschaulichung verwenden die folgenden Screenshots OlapSvc und SQLSvc, um Analysis Services bzw. SQL Server darzustellen.

    OlapSvc ist das Konto, das für die eingeschränkte Delegierung in SQLSvc konfiguriert wird. Wenn Sie diese Aufgabe abschließen, verfügt OlapSvc über die Berechtigung, delegierte Anmeldeinformationen für ein Dienstticket an SQLSvc zu übergeben, wobei beim Anfordern von Daten der ursprüngliche Aufrufer imitiert wird.

  2. Wählen Sie auf der Registerkarte " Delegierung" die Option "Diesem Benutzer vertrauen" aus, um nur bestimmte Dienste zu delegierungieren, gefolgt von "Nur Kerberos verwenden". Klicken Sie auf "Hinzufügen" , um anzugeben, welcher Dienst Analysis Services die Anmeldeinformationen delegieren darf.

    Die Registerkarte "Delegierung" wird nur angezeigt, wenn das Benutzerkonto (OlapSvc) einem Dienst (Analysis Services) zugewiesen ist und der Dienst einen SPN für ihn registriert hat. Für die SPN-Registrierung muss der Dienst ausgeführt werden.

    SSAS_Kerberos_1_AccountProperties

  3. Klicken Sie auf der Seite "Dienste hinzufügen" auf "Benutzer oder Computer".

    SSAS_Kerberos_2_

  4. Geben Sie auf der Seite "Benutzer oder Computer auswählen" das Konto ein, das zum Ausführen der SQL Server-Instanz verwendet wird, die Daten für Tabellarische Modelldatenbanken von Analysis Services bereitstellt. Klicken Sie auf 'OK ', um das Dienstkonto zu akzeptieren.

    Wenn Sie das gewünschte Konto nicht auswählen können, überprüfen Sie, ob SQL Server ausgeführt wird und ein SPN für dieses Konto registriert ist. Weitere Informationen zu SPNs für das Datenbankmodul finden Sie unter Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.

    SSAS_Kerberos_3_SelectUsers

  5. Die SQL Server-Instanz sollte jetzt in Add Services angezeigt werden. Jeder Dienst, der auch dieses Konto verwendet, wird auch in der Liste angezeigt. Wählen Sie die SQL Server-Instanz aus, die Sie verwenden möchten. Klicken Sie auf "OK" , um die Instanz zu akzeptieren.

    SSAS_Kerberos_4_

  6. Die Eigenschaftenseite des Analysis Services-Dienstkontos sollte nun dem folgenden Screenshot ähneln. Klicken Sie auf OK, um Ihre Änderungen zu speichern.

    SSAS_Kerberos_5_Finished

  7. Testen Sie die erfolgreiche Delegierung, indem Sie eine Verbindung von einem Remoteclientcomputer unter einer anderen Identität herstellen und das tabellarische Modell abfragen. Die Benutzeridentität sollte in der Anforderung in SQL Server Profiler angezeigt werden.

Test für nachgeahmte oder delegierte Identität

Verwenden Sie SQL Server Profiler, um die Identität des Benutzers zu überwachen, der Daten abfragt.

  1. Starten Sie den SQL Server Profiler auf der Analysis Services-Instanz und beginnen Sie dann eine neue Ablaufverfolgung.

  2. Überprüfen Sie in der Ereignisauswahl, ob Audit Login und Audit Logout im Abschnitt "Sicherheitsüberwachung" aktiviert sind.

  3. Stellen Sie eine Verbindung mit Analysis Services über einen Anwendungsdienst (z. B. SharePoint oder Reporting Services) von einem Remoteclientcomputer her. Das Überwachungsanmeldungsereignis zeigt die Identität des Benutzers an, der eine Verbindung mit Analysis Services herstellt.

Gründliche Tests erfordern die Verwendung von Netzwerküberwachungstools, die Kerberos-Anforderungen und -Antworten im Netzwerk erfassen können. Das Hilfsprogramm "Netzwerkmonitor" (netmon.exe), das nach Kerberos gefiltert ist, kann für diese Aufgabe verwendet werden. Weitere Informationen zur Verwendung von Netmon 3.4 und anderen Tools zum Testen der Kerberos-Authentifizierung finden Sie unter Configuring Kerberos authentication: Core configuration (SharePoint Server 2010).

Darüber hinaus finden Sie im Dialogfeld "Verwirrendstes Dialogfeld" in Active Directory eine ausführliche Beschreibung der einzelnen Optionen auf der Registerkarte "Delegierung" des Eigenschaftendialogfelds des Active Directory-Objekts. In diesem Artikel wird auch erläutert, wie LDP zum Testen und Interpretieren von Testergebnissen verwendet wird.

Siehe auch

Microsoft BI-Authentifizierung und Identitätsdelegierung
Gegenseitige Authentifizierung mithilfe von Kerberos
Herstellen einer Verbindung mit Analysis Services
SPN-Registrierung für eine Analysis Services-Instanz
Eigenschaften der Verbindungszeichenfolge (Analysis Services)

  • Last updated on