Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Ao configurar o Analysis Services para autenticação Kerberos, você provavelmente está interessado em alcançar um ou ambos os seguintes resultados: ter o Analysis Services representando uma identidade de usuário ao consultar dados; ou fazer com que o Analysis Services delegar uma identidade de usuário a um serviço de nível inferior. Cada cenário exige requisitos de configuração ligeiramente diferentes. Ambos os cenários exigem verificação para garantir que a configuração foi feita corretamente.
Dica
Microsoft Kerberos Configuration Manager for SQL Server é uma ferramenta de diagnóstico que ajuda a solucionar problemas de Kerberos relativos à conectividade com SQL Server. Para obter mais informações, consulte Microsoft Kerberos Configuration Manager for SQL Server.
Este tópico contém as seguintes seções:
Observação
A delegação não será necessária se a conexão com o Analysis Services for um único salto ou sua solução usar as credenciais armazenadas fornecidas pelo Serviço de Repositório Seguro do SharePoint ou pelo Reporting Services. Se todas as conexões forem conexões diretas do Excel com um banco de dados do Analysis Services ou com base em credenciais armazenadas, você poderá usar Kerberos (ou NTLM) sem precisar configurar a delegação restrita.
A delegação restrita de Kerberos é necessária se a identidade do usuário precisar passar por múltiplas conexões de computador (conhecidas como "salto duplo"). Quando o acesso a dados do Analysis Services depender da identidade do usuário e a solicitação de conexão for de um serviço de delegação, use a lista de verificação na próxima seção para garantir que o Analysis Services seja capaz de representar o chamador original. Para obter mais informações sobre fluxos de autenticação do Analysis Services, consulte Autenticação e Delegação de Identidade do Microsoft BI.
Como prática recomendada de segurança, a Microsoft sempre recomenda delegação restrita sobre delegação não restrita. A delegação não restrita é um grande risco de segurança porque permite que a identidade do serviço represente outro usuário em qualquer computador downstream, serviço ou aplicativo (em vez de apenas esses serviços explicitamente definidos por meio de delegação restrita).
Permitir que o Analysis Services represente uma identidade de usuário
Para permitir que serviços de nível superior, como Reporting Services, IIS ou SharePoint, representem uma identidade de usuário no Analysis Services, você deve configurar a delegação restrita kerberos para esses serviços. Nesse cenário, o Analysis Services representa o usuário atual usando a identidade fornecida pelo serviço de delegação, retornando resultados com base na associação de função dessa identidade de usuário.
| Tarefa | Descrição |
|---|---|
| Etapa 1: verificar se as contas são adequadas para delegação | Verifique se as contas usadas para executar os serviços têm as propriedades corretas no Active Directory. As contas de serviço no Active Directory não devem ser marcadas como contas confidenciais ou excluídas especificamente de cenários de delegação. Para obter mais informações, consulte Noções básicas sobre contas de usuário. **Importante** Em geral, todas as contas e servidores devem pertencer ao mesmo domínio do Active Directory ou a domínios confiáveis na mesma floresta. No entanto, como o Windows Server 2012 dá suporte à delegação entre limites de domínio, você pode configurar a delegação restrita kerberos em um limite de domínio se o nível funcional do domínio for o Windows Server 2012. Outra alternativa é configurar o Analysis Services para acesso HTTP e usar métodos de autenticação do IIS na conexão do cliente. Para obter mais informações, consulte Configurar o acesso HTTP ao Analysis Services no IIS (Serviços de Informações da Internet) 8.0. |
| Etapa 2: Registre o SPN | Antes de configurar a delegação restrita, você deve registrar um SPN (Nome do Princípio do Serviço) para a instância do Analysis Services. Você precisará do SPN do Analysis Services ao configurar a delegação restrita Kerberos para os serviços da camada intermediária. Consulte o registro SPN de uma instância do Analysis Services para obter instruções. Um SPN (Nome do Princípio de Serviço) especifica a identidade exclusiva de um serviço em um domínio configurado para autenticação Kerberos. As conexões de cliente que usam a segurança integrada geralmente solicitam um SPN como parte da autenticação SSPI. A solicitação é encaminhada para um Controlador de Domínio do Active Directory (DC), e o KDC concede um tíquete se o SPN apresentado pelo cliente tiver um registro SPN correspondente no Active Directory. |
| Etapa 3: Configurar a delegação restrita | Depois de validar as contas que você deseja usar e registrar SPNs para essas contas, sua próxima etapa é configurar serviços de nível superior, como IIS, Reporting Services ou Serviços Web do SharePoint para delegação restrita, especificando o SPN do Analysis Services como o serviço específico para o qual a delegação é permitida. Serviços executados no SharePoint, como Serviços do Excel ou Reporting Services no modo do SharePoint, geralmente hospedam pastas de trabalho e relatórios que consomem dados multidimensionais ou tabulares do Analysis Services. Configurar a delegação restrita para esses serviços é uma tarefa de configuração comum e necessária para dar suporte à atualização de dados dos Serviços do Excel. Os links a seguir fornecem instruções para os serviços do SharePoint, bem como outros serviços que provavelmente apresentarão uma solicitação de conexão de dados downstream para dados do Analysis Services: Delegação de identidade para Serviços do Excel (SharePoint Server 2010) ou Como configurar os Serviços do Excel no SharePoint Server 2010 para autenticação Kerberos Delegação de identidade para o PerformancePoint Services (SharePoint Server 2010) Delegação de identidade para o SQL Server Reporting Services (SharePoint Server 2010) Para iIS 7.0, consulte Configurar a Autenticação do Windows (IIS 7.0) ou Como configurar o SQL Server 2008 Analysis Services e o SQL Server 2005 Analysis Services para usar a autenticação Kerberos. |
| Etapa 4: Testar conexões | Ao testar, conecte-se a partir de computadores remotos, em identidades diferentes e consulte o Analysis Services usando os mesmos aplicativos que os usuários empresariais. Você pode usar o SQL Server Profiler para monitorar a conexão. Você deve ver a identidade do usuário na solicitação. Para obter mais informações, consulte Teste para identidade representada ou delegada nesta seção. |
Configurar os Serviços de Análise para delegação confiável
Configurar a delegação restrita do Analysis Services para Kerberos permite que o serviço represente uma identidade de cliente em um serviço de nível inferior, como o mecanismo de banco de dados relacional, para que os dados possam ser consultados como se o cliente estivesse conectado diretamente.
Os cenários de delegação do Analysis Services são limitados a modelos tabulares configurados para o modo DirectQuery. Esse é o único cenário em que o Analysis Services pode passar credenciais delegadas para outro serviço. Em todos os outros cenários, como cenários do SharePoint mencionados na seção anterior, o Analysis Services está no final do recebimento da cadeia de delegação. Para obter mais informações sobre o DirectQuery, consulte o Modo DirectQuery (SSAS Tabular).
Observação
Um equívoco comum é que o armazenamento ROLAP, as operações de processamento ou o acesso a partições remotas de alguma forma introduzem requisitos para delegação restrita. Esse não é o caso. Todas essas operações são executadas diretamente pela conta de serviço (também conhecida como conta de processamento), em seu próprio nome. A delegação não é necessária para essas operações no Analysis Services, considerando que as permissões para essas operações são concedidas diretamente à conta de serviço (por exemplo, conceder permissões db_datareader no banco de dados relacional para que o serviço possa processar dados). Para obter mais informações sobre as operações e permissões do servidor, consulte Configurar contas de serviço (Analysis Services).
Esta seção explica como configurar o Analysis Services para delegação confiável. Depois de concluir essa tarefa, o Analysis Services poderá passar credenciais delegadas para o SQL Server, em suporte ao modo DirectQuery usado em soluções tabulares.
Antes de começar:
Verifique se o Analysis Services foi iniciado.
Verifique se o SPN registrado para o Analysis Services é válido. Para obter instruções, consulte o registro de SPN para uma instância do Analysis Services
Quando ambos os pré-requisitos forem atendidos, continue com as etapas a seguir. Observe que você deve ser um administrador de domínio para configurar a delegação restrita.
Em Usuários e Computadores do Active Directory, localize a conta de serviço na qual o Analysis Services é executado. Clique com o botão direito do mouse na conta de serviço e escolha Propriedades.
Para fins ilustrativos, as capturas de tela a seguir usam OlapSvc e SQLSvc para representar o Analysis Services e o SQL Server, respectivamente.
O olapSvc é a conta que será configurada para delegação restrita ao SQLSvc. Quando você concluir essa tarefa, o OlapSvc terá permissão para passar credenciais delegadas em um tíquete de serviço para o SQLSvc, representando o chamador original ao solicitar dados.
Na guia Delegação, selecione Confiar neste usuário somente para delegação aos serviços especificados, seguido de Usar apenas Kerberos. Clique em Adicionar para especificar qual serviço o Analysis Services tem permissão para delegar credenciais.
A guia Delegação aparece somente quando a conta de usuário (OlapSvc) é atribuída a um serviço (Analysis Services) e o serviço tem um SPN registrado para ele. O registro de SPN requer que o serviço esteja em execução.
Na página Adicionar Serviços, clique em Usuários ou Computadores.
Na página Selecionar Usuários ou Computador, insira a conta usada para executar a instância do SQL Server que fornece dados para bancos de dados de modelo de tabela do Analysis Services. Clique em OK para aceitar a conta de serviço.
Se você não puder selecionar a conta desejada, verifique se o SQL Server está em execução e se tem um SPN registrado para essa conta. Para obter mais informações sobre Nomes de Entidade de Serviço (SPNs) para o mecanismo de banco de dados, consulte Registrar um nome de entidade de serviço para conexões Kerberos.
A instância do SQL Server agora deve aparecer em Adicionar Serviços. Qualquer serviço que também use essa conta também aparecerá na lista. Escolha a instância do SQL Server que você deseja usar. Clique em OK para aceitar a instância.
A página de propriedades da conta de serviço do Analysis Services agora deve ser semelhante à captura de tela a seguir. Clique em OK para salvar suas alterações.
Teste a delegação bem-sucedida conectando-se a partir de um computador cliente remoto, em uma identidade diferente e consultando o modelo de tabela. Você deve ver a identidade do usuário na solicitação no SQL Server Profiler.
Testar a identidade representada ou delegada
Use o SQL Server Profiler para monitorar a identidade do usuário que está consultando dados.
Inicie o SQL Server Profiler na instância do Analysis Services e inicie um novo rastreamento.
Na Seleção de Eventos, verifique se
Audit LogineAudit Logoutestão marcados na seção Auditoria de Segurança.Conecte-se ao Analysis Services por meio de um serviço de aplicativo (como SharePoint ou Reporting Services) de um computador cliente remoto. O evento de Logon de Auditoria mostrará a identidade do usuário que está se conectando ao Analysis Services.
O teste completo exigirá o uso de ferramentas de monitoramento de rede que podem capturar solicitações e respostas Kerberos na rede. O utilitário monitor de rede (netmon.exe), filtrado para Kerberos, pode ser usado para essa tarefa. Para obter mais informações sobre como usar o Netmon 3.4 e outras ferramentas para testar a autenticação Kerberos, consulte Configurando a autenticação Kerberos: configuração principal (SharePoint Server 2010).
Além disso, consulte a caixa de diálogo Mais Confusa no Active Directory para obter uma descrição completa de cada opção na guia Delegação da caixa de diálogo de propriedade do objeto Active Directory. Este artigo também explica como usar o LDP para testar e interpretar os resultados do teste.
Consulte Também
Autenticação e Delegação de Identidade do Microsoft BI
Autenticação mútua usando Kerberos
Conectar-se ao Analysis Services
Registro de SPN para uma instância do Analysis Services
Propriedades da string de conexão (Serviços de Análise)