Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como configurar um ponto de extremidade HTTP para acessar uma instância do Analysis Services. Você pode habilitar o acesso HTTP configurando MSMDPUMP.dll, uma extensão ISAPI que é executada no IIS (Serviços de Informações da Internet) e bombeia dados de e para aplicativos cliente e um servidor do Analysis Services. Essa abordagem fornece um meio alternativo para se conectar ao Analysis Services quando sua solução de BI exige os seguintes recursos:
O acesso ao cliente é por meio de conexões de Internet ou extranet, com restrições nas quais as portas podem ser habilitadas.
As conexões de cliente são de domínios não confiáveis na mesma rede.
O aplicativo cliente é executado em um ambiente de rede que permite conexões HTTP, mas não TCP/IP.
Os aplicativos cliente não podem usar as bibliotecas de clientes do Analysis Services (por exemplo, um aplicativo Java em execução em um servidor UNIX). Se você não puder usar as bibliotecas de clientes do Analysis Services para acesso a dados, poderá usar SOAP e XML/A em uma conexão HTTP direta com uma instância do Analysis Services.
Métodos de autenticação diferentes da segurança integrada do Windows são necessários. Especificamente, você pode usar conexões anônimas e autenticação básica ao configurar o Analysis Services para acesso HTTP. Não há suporte para digest, formulários e autenticação ASP.NET. Um requisito de autenticação básica é um dos principais motivos para habilitar o acesso HTTP. Para saber mais, confira Autenticação e Delegação de Identidade do Microsoft BI.
Você pode configurar o acesso HTTP para qualquer versão ou edição com suporte do Analysis Services, executando o modo tabular ou o modo multidimensional. Cubos locais são uma exceção. Você não pode se conectar a um cubo local por meio de um ponto de extremidade HTTP.
Configurar o acesso HTTP é uma tarefa pós-instalação. O Analysis Services deve ser instalado antes de configurá-lo para acesso HTTP. Como administrador do Analysis Services, você precisará conceder permissões a contas do Windows antes que o acesso HTTP seja possível. Além disso, é uma prática recomendada validar sua instalação primeiro, garantindo que ela esteja totalmente operacional antes de configurar o servidor. Depois que o acesso HTTP for configurado, você poderá usar o endpoint HTTP e o nome normal de rede do servidor por TCP/IP. Configurar o acesso HTTP não invalida outras abordagens para acesso a dados.
À medida que você avança com a configuração do MSMDPUMP, lembre-se de que há duas conexões a serem consideradas: cliente para IIS, IIS-to-SSAS. As instruções neste artigo são sobre o IIS-to-SSAS. Seu aplicativo cliente pode exigir configuração adicional antes de se conectar ao IIS. Decisões como usar o SSL ou como configurar associações estão fora do escopo deste artigo. Consulte o Servidor Web (IIS) para obter mais informações sobre o IIS.
Este tópico inclui as seções a seguir:
Visão geral
MSMDPUMP é uma extensão ISAPI que é carregada no IIS e fornece redirecionamento para uma instância local ou remota do Analysis Services. Ao configurar essa extensão do ISAPI, você cria um ponto de extremidade HTTP para uma instância do serviço Analysis Services.
Você deve criar e configurar um diretório virtual para cada ponto de extremidade HTTP. Cada ponto de extremidade precisará de seu próprio conjunto de arquivos MSMDPUMP para cada instância do Analysis Services à qual você deseja se conectar. Um arquivo de configuração neste conjunto de arquivos especifica o nome da instância do Analysis Services usada para cada ponto de extremidade HTTP.
No IIS, o MSMDPUMP conecta-se ao Analysis Services usando o provedor OLE DB do Analysis Services por TCP/IP. Embora as solicitações de cliente possam se originar fora da confiança do domínio, o Analysis Services e o IIS devem estar no mesmo domínio ou em domínios confiáveis para que a conexão nativa seja bem-sucedida.
Quando o MSMDPUMP se conecta ao Analysis Services, ele faz isso em uma identidade de usuário do Windows. Essa conta será a conta Anônima se você tiver configurado o diretório virtual para conexões anônimas ou uma conta de usuário do Windows. A conta deve ter os direitos de acesso aos dados apropriados no servidor e no banco de dados do Analysis Services.
A tabela a seguir lista considerações adicionais ao habilitar o acesso HTTP para cenários diferentes.
| Cenário | Configuração |
|---|---|
| IIS e Analysis Services no mesmo computador | Essa é a configuração mais simples porque permite que você use a configuração padrão (em que o nome do servidor é localhost), o provedor OLE DB do Analysis Services local e a segurança integrada do Windows com o NTLM. Supondo que o cliente também esteja no mesmo domínio, a autenticação é transparente para o usuário, sem nenhum trabalho adicional de sua parte. |
| IIS e Analysis Services em computadores diferentes | Para essa topologia, você deve instalar o provedor OLE DB do Analysis Services no servidor Web. Você também deve editar o arquivo msmdpump.ini para especificar o local da instância do Analysis Services no computador remoto. Essa topologia adiciona uma etapa de autenticação de duplo salto, na qual as credenciais devem fluir do cliente para o servidor web e seguir para o servidor de backend do Analysis Services. Se você estiver usando credenciais do Windows e NTLM, receberá um erro porque o NTLM não permite a delegação de credenciais do cliente para um segundo servidor. A solução mais comum é usar a autenticação Básica com SSL (Secure Sockets Layer), mas isso exigirá que os usuários forneçam um nome de usuário e senha ao acessar o diretório virtual MSMDPUMP. Uma abordagem mais simples pode ser habilitar o Kerberos e configurar a delegação restrita do Analysis Services para que os usuários possam acessar o Analysis Services de maneira transparente. Consulte Configurar os serviços de análise para delegação restrita do Kerberos para obter detalhes. Considere quais portas desbloquear no Firewall do Windows. Você precisará desbloquear portas em ambos os servidores para permitir o acesso ao aplicativo Web no IIS e ao Analysis Services em um servidor remoto. |
| As conexões de cliente são de um domínio não confiável ou de uma conexão extranet | As conexões de cliente de um domínio não confiável introduzem mais restrições à autenticação. Por padrão, o Analysis Services usa a autenticação integrada do Windows, que exige que os usuários estejam no mesmo domínio que o servidor. Se você tiver usuários da Extranet que se conectam ao IIS de fora do domínio, esses usuários receberão um erro de conexão se o servidor estiver configurado para usar as configurações padrão. As soluções alternativas incluem fazer com que os usuários da Extranet se conectem por meio de uma VPN usando credenciais de domínio. No entanto, uma abordagem melhor pode ser habilitar a autenticação básica e o SSL em seu site do IIS. |
Pré-requisitos
As instruções neste artigo pressupõem que o IIS já está configurado e que o Analysis Services já está instalado. O Windows Server 2012 é fornecido com o IIS 8.x como uma função de servidor que você pode habilitar no sistema.
Configuração extra no IIS 8.0
A configuração padrão do IIS 8.0 carece de componentes necessários para acesso HTTP aos Serviços de Análise. Esses componentes, encontrados nas áreas de recursos segurança e desenvolvimento de aplicativos da função servidor Web (IIS), incluem o seguinte:
Segurança | Autenticação do Windows ou Autenticação Básica e quaisquer outros recursos de segurança necessários para o cenário de acesso a dados.
Desenvolvimento de | aplicativosCGI
Desenvolvimento de | aplicativosExtensões ISAPI
Para verificar ou adicionar esses componentes, use o Gerenciador de Servidores | Para Gerenciar | Adicionar Funções e Recursos. Percorra o assistente até chegar às Funções de Servidor. Role para baixo para localizar o Servidor Web (IIS).
Abra Servidor Web | Segurança e escolha os métodos de autenticação.
Abra o Servidor Web | Desenvolvimento de Aplicativos e escolha Extensões CGI e ISAPI.
a
Quando o IIS está em um servidor remoto
Uma conexão remota entre o IIS e o Analysis Services requer que você instale o MSOLAP (provedor OLE DB) do Analysis Services no servidor Windows que executa o IIS.
Ir para a página de download do Feature Pack do SQL Server 2014
Clique no botão Baixar vermelho.
Role para baixo para encontrar\x64\SQL_AS_OLEDB.msi de ENU
Siga as instruções no assistente para concluir a instalação.
Observação
Lembre-se de desbloquear as portas no Firewall do Windows para permitir conexões de cliente com um servidor remoto do Analysis Services. Para obter mais informações, consulte Configurar o Firewall do Windows para permitir o acesso ao Analysis Services.
Etapa 1: copiar os arquivos MSMDPUMP para uma pasta no servidor Web
Cada ponto de extremidade HTTP que você criar deve ter seu próprio conjunto de arquivos MSMDPUMP. Nesta etapa, você copia o executável MSMDPUMP, o arquivo de configuração e a pasta de recursos das pastas do programa Analysis Services para uma nova pasta de diretório virtual que você criará no sistema de arquivos do computador que executa o IIS.
A unidade deve ser formatada para o sistema de arquivos NTFS. O caminho para a pasta que você cria não deve conter espaços.
Copie os seguintes arquivos, encontrados em <drive>:\Arquivos de Programas\Microsoft SQL Server\<instance>\OLAP\bin\isapi: MSMDPUMP.DLL, MSMDPUMP. INI e uma pasta Recursos.
No servidor Web, crie uma nova pasta: <drive>:\inetpub\wwwroot\OLAP
Cole os arquivos copiados anteriormente nessa nova pasta.
Verifique se a pasta \inetpub\wwwroot\OLAP no servidor Web contém o seguinte: MSMDPUMP.DLL, MSMDPUMP. INI e uma pasta Recursos. Sua estrutura de pastas deve ter esta aparência:
<unidade>:\inetpub\wwwroot\OLAP\MSMDPUMP.dll
<unidade de disco>:\inetpub\wwwroot\OLAP\MSMDPUMP.ini
<drive>:\inetpub\wwwroot\OLAP\Resources
Etapa 2: Criar um pool de aplicativos e um diretório virtual no IIS
Em seguida, crie um pool de aplicativos e um ponto de extremidade para a bomba.
Criar um pool de aplicativos
Inicie o Gerenciador do IIS.
Abra a pasta do servidor, clique com o botão direito do mouse em Pools de Aplicativos e clique em Adicionar Pool de Aplicativos. Crie um pool de aplicativos chamado OLAP, usando o .NET Framework, com o modo de pipeline gerenciado definido como Clássico.
Por padrão, o IIS cria pools de aplicativos usando ApplicationPoolIdentity como a identidade de segurança, que é uma opção válida para acesso HTTP ao Analysis Services. Se você tiver motivos específicos para alterar a identidade, clique com o botão direito do mouse em OLAP e selecione Configurações Avançadas. Selecione ApplicationPoolIdentity. Clique no botão Alterar dessa propriedade para substituir a conta interna pela conta personalizada que você deseja usar.
Por padrão, em um sistema operacional de 64 bits, o IIS define a propriedade Habilitar Aplicativos de 32 bits como false. Se você copiou msmdpump.dll de uma instalação de 64 bits do Analysis Services, essa é a configuração correta para a extensão MSMDPUMP em um servidor IIS de 64 bits. Se você copiou os binários MSMDPUMP de uma instalação de 32 bits, defina-o como true. Verifique esta propriedade agora em Configurações Avançadas para garantir que ela esteja definida corretamente.
Criar um aplicativo
No Gerenciador do IIS, abra Sites, abra o Site Padrão. Você deve ver uma pasta chamada Olap. Essa é uma referência à pasta OLAP que você criou em \inetpub\wwwroot.
Clique com o botão direito do mouse na pasta e escolha Converter em Aplicativo.
Em Adicionar Aplicativo, insira OLAP para o alias. Clique em Selecionar para escolher o pool de aplicativos OLAP. O caminho físico deve ser definido como C:\inetpub\wwwroot\OLAP
Clique em OK. Atualize o site e observe que a pasta OLAP agora é um aplicativo no site padrão. O caminho virtual para o arquivo MSMDPUMP agora está estabelecido.
Observação
As versões anteriores dessas instruções incluíam etapas para criar um diretório virtual. Essa etapa não é mais necessária.
Etapa 3: Configurar a autenticação do IIS e adicionar a extensão
Nesta etapa, você configurará ainda mais o diretório virtual do SSAS que acabou de criar. Você especificará um método de autenticação e, em seguida, adicionará um mapa de script. Os métodos de autenticação com suporte para o Analysis Services por HTTP incluem:
Autenticação do Windows (Kerberos ou NTLM)
Autenticação básica
Autenticação anônima
A autenticação do Windows é considerada a mais segura e aproveita a infraestrutura existente para redes que usam o Active Directory. Para usar a autenticação do Windows com eficiência, todos os navegadores, aplicativos cliente e aplicativos de servidor devem dar suporte a ela. Esse é o modo mais seguro e recomendado, mas requer que o IIS seja capaz de acessar um controlador de domínio do Windows que possa autenticar a identidade do usuário que solicita uma conexão.
Para topologias que colocam o Analysis Services e o IIS em computadores diferentes, você precisará resolver problemas de salto duplo que surgem quando uma identidade de usuário precisa ser delegada a um segundo serviço em um computador remoto, normalmente habilitando a delegação restrita do Analysis Services para Kerberos. Consulte Configurar o Analysis Services para delegação restrita pelo Kerberos para obter mais informações.
A autenticação básica é usada quando você tem identidades do Windows, mas as conexões de usuário são de domínios não confiáveis, proibindo o uso de conexões delegadas ou representadas. A autenticação básica permite especificar uma identidade de usuário e senha em uma cadeia de conexão. Em vez de usar o contexto de segurança do usuário atual, as credenciais na cadeia de conexão são usadas para se conectar ao Analysis Services. Como o Analysis Services dá suporte apenas à autenticação do Windows, todas as credenciais passadas para ele devem ser um usuário ou grupo do Windows que seja membro do domínio no qual o Analysis Services está hospedado.
A autenticação anônima geralmente é usada durante o teste inicial porque sua facilidade de configuração ajuda você a validar rapidamente a conectividade HTTP com o Analysis Services. Em apenas algumas etapas, você pode atribuir uma conta de usuário exclusiva como a identidade, conceder a essa conta permissões no Analysis Services, usar a conta para verificar o acesso a dados em um aplicativo cliente e desabilitar a autenticação anônima quando o teste for concluído.
Você também pode usar a autenticação anônima em um ambiente de produção se os usuários não tiverem contas de usuário do Windows, mas seguir as práticas recomendadas bloqueando as permissões no sistema host, conforme indicado neste artigo: Habilitar Autenticação Anônima (IIS 7). Certifique-se de que a autenticação esteja definida no diretório virtual e não no site pai, para reduzir ainda mais o nível de acesso à conta.
Quando o modo anônimo está habilitado, qualquer conexão de usuário com o ponto de extremidade HTTP está autorizada a se conectar como o usuário anônimo. Você não poderá auditar conexões de usuário individuais nem usar a identidade do usuário para selecionar dados de um modelo. Como você pode ver, o uso anônimo afeta tudo, desde o design do modelo até a atualização e o acesso a dados. No entanto, se os usuários não tiverem um logon de usuário do Windows para começar, usar a conta Anônima poderá ser sua única opção.
Definir o tipo de autenticação e adicionar um mapa de script
No Gerenciador do IIS, abra Sites, abra o Site Padrão e selecione o diretório virtual OLAP .
Clique duas vezes em Autenticação na seção IIS da página principal.
Habilite a Autenticação do Windows se você estiver usando a segurança integrada do Windows.
Como alternativa, habilite a Autenticação Básica se os aplicativos cliente e servidor estiverem em domínios diferentes. Esse modo exige que o usuário insira um nome de usuário e uma senha. O nome de usuário e a senha são transmitidos pela conexão HTTP para o IIS. O IIS tentará representar o usuário usando as credenciais fornecidas ao se conectar ao MSMDPUMP, mas as credenciais não serão delegadas ao Analysis Services. Em vez disso, você precisará passar um nome de usuário e uma senha válidos em uma conexão, conforme descrito na Etapa 6 deste documento.
Importante
Observe que é fundamental que qualquer pessoa que crie um sistema em que a senha seja transmitida tenha maneiras de proteger o canal de comunicação. O IIS fornece um conjunto de ferramentas que ajudam você a proteger o canal. Para obter mais informações, consulte Como configurar o SSL no IIS 7.
Desabilite a Autenticação Anônima se você estiver usando a autenticação do Windows ou basic. Quando a autenticação anônima estiver habilitada, o IIS sempre a usará primeiro, mesmo se outros métodos de autenticação estiverem habilitados.
Em Autenticação Anônima, a bomba (msmdpump.dll) é executada como a conta de usuário que você estabeleceu para um usuário anônimo. Não há distinção entre o usuário que se conecta ao IIS e o usuário que se conecta ao Analysis Services. Por padrão, o IIS usa a conta IUSR, mas você pode alterá-la para uma conta de usuário de domínio que tenha permissões de rede. Você precisará dessa funcionalidade se o IIS e o Analysis Services estiverem em computadores diferentes.
Para obter instruções sobre como configurar credenciais para autenticação anônima, consulte Autenticação Anônima.
Importante
A autenticação anônima provavelmente é encontrada em um ambiente extremamente controlado, em que os usuários recebem ou negam acesso por meio de listas de controle de acesso no sistema de arquivos. Para obter as práticas recomendadas, consulte Habilitar Autenticação Anônima (IIS 7).
Clique no diretório virtual OLAP para abrir a página principal. Clique duas vezes em Mapeamentos do Manipulador.
Clique com o botão direito do mouse em qualquer lugar da página e selecione Adicionar Mapa de Script. Na caixa de diálogo Adicionar Mapa do Script, especifique *.dll como o caminho da solicitação, especifique c:\inetpub\wwwroot\OLAP\msmdpump.dll como executável e digite OLAP como o nome. Mantenha todas as restrições padrão associadas a este mapa de script.
Quando solicitado a permitir a extensão ISAPI, clique em Sim.
Etapa 4: Editar o MSMDPUMP. Arquivo INI para definir o servidor de destino
O arquivo MSMDPUMP.INI especifica a instância do Analysis Services à qual MSMDPUMP.DLL se conecta. Essa instância pode ser local ou remota, instalada como padrão ou como uma instância nomeada.
Abra o arquivo msmdpump.ini localizado na pasta C:\inetpub\wwwroot\OLAP e dê uma olhada no conteúdo desse arquivo. Deveria ficar parecido com o seguinte:
<ConfigurationSettings>
<ServerName>localhost</ServerName>
<SessionTimeout>3600</SessionTimeout>
<ConnectionPoolSize>100</ConnectionPoolSize>
</ConfigurationSettings>
Se a instância do Analysis Services para a qual você está configurando o acesso HTTP estiver localizada no computador local e instalada como uma instância padrão, não haverá motivo para alterar essa configuração. Caso contrário, você deve especificar o nome do servidor (por exemplo, ServerName>ADWRKS-SRV01</ServerName>). < Para um servidor instalado como uma instância nomeada, acrescente o nome da instância (por exemplo, ServerName>ADWRKS-SRV01\Tabular</ServerName>). <
Por padrão, o Analysis Services escuta na porta TCP/IP 2383. Se você instalou o Analysis Services como a instância padrão, não será necessário especificar nenhuma porta no <ServerName> porque o Analysis Services sabe escutar automaticamente na porta 2383. No entanto, você precisa permitir conexões de entrada para essa porta no Firewall do Windows. Para obter mais informações, consulte Configurar o Firewall do Windows para permitir o acesso ao Analysis Services.
Se você configurou uma instância nomeada ou padrão do Analysis Services para escutar em uma porta fixa, deverá adicionar o número da porta ao nome do servidor (por exemplo, <ServerName>AW-SRV01:55555</ServerName>) e deverá permitir conexões de entrada no Firewall do Windows para essa porta.
Etapa 5: Conceder permissões de acesso a dados
Como observado anteriormente, você precisará conceder permissões na instância do Analysis Services. Cada objeto de banco de dados terá funções que fornecem um determinado nível de permissões (leitura ou leitura/gravação) e cada função terá membros que consistem em identidades de usuário do Windows.
Para definir permissões, você pode usar o SQL Server Management Studio. Na pastaFunções de Banco de Dados | , você pode criar funções, especificar permissões de banco de dados, atribuir associação a contas de usuário ou grupo do Windows e conceder permissões de leitura ou gravação em objetos específicos. Normalmente, as permissões de leitura em um cubo são suficientes para conexões de cliente que usam, mas não atualizam, dados de modelo.
A atribuição de função varia dependendo de como você configurou a autenticação.
| Anônimo | Adicione à lista de membros a conta especificada em Editar Credenciais de Autenticação Anônima no IIS. Para obter mais informações, consulte Autenticação Anônima, |
| Autenticação do Windows | Adicione à lista de associações as contas de usuário ou grupo do Windows que solicitam dados do Analysis Services por meio de representação ou delegação. Supondo que a delegação restrita do Kerberos seja usada, as únicas contas que precisam de permissões são as contas de usuário e de grupo do Windows que solicitam acesso. Nenhuma permissão é necessária para a identidade do pool de aplicativos. |
| Autenticação básica | Adicione à lista de associações as contas de usuário ou grupo do Windows que serão passadas na cadeia de conexão. Além disso, se você estiver passando credenciais por meio EffectiveUserName da cadeia de conexão, a identidade do pool de aplicativos deverá ter direitos de administrador na instância do Analysis Services. No SSMS, clique com o botão direito do mouse na instância | Propriedades | Segurança | Adicionar. Insira a identidade do pool de aplicativos. Se você usou a identidade padrão interna, a conta será especificada como IIS AppPool\DefaultAppPool. |
Para obter mais informações sobre como definir permissões, consulte Autorizando o acesso a objetos e operações (Analysis Services).
Etapa 6: Testar sua configuração
A sintaxe da string de conexão para MSMDPUMP é a URL para o arquivo MSMDPUMP.dll.
Se o aplicativo Web estiver escutando em uma porta fixa, acrescente o número da porta ao nome do servidor ou ao endereço IP, por exemplo, http://my-web-srv01:8080/OLAP/msmdpump.dll ou http://123.456.789.012:8080/OLAP/msmdpump.dll.
Para testar rapidamente a conexão, você pode abrir uma conexão usando o Microsoft Excel ou o SQL Server Management Studio
Testar conexões usando o SQL Server Management Studio
No Management Studio, na caixa de diálogo Conectar ao Servidor, selecione Analysis Services como o tipo de servidor. No nome do servidor, insira o endereço HTTP da extensão msmdpump:
http://my-web-srv01/OLAP/msmdpump.dll.O Pesquisador de Objetos exibe a conexão HTTP:
A autenticação deve ser a autenticação do Windows e a pessoa que usa o Management Studio deve ser um administrador do Analysis Services. Um administrador pode conceder mais permissões para habilitar o acesso de outros usuários.
Testar conexões usando o Excel
Na guia Dados no Excel, em Obter Dados Externos, clique em De Outras Fontes e, em seguida, escolha Do Analysis Services para iniciar o assistente de Conexão de Dados.
No nome do servidor, insira o endereço HTTP da extensão msmdpump:
http://my-web-srv01/OLAP/msmdpump.dll.Para credenciais de logon, escolha Usar a Autenticação do Windows se você estiver usando a segurança integrada do Windows ou o NTLM ou o usuário anônimo.
Para autenticação básica, escolha Usar o nome de usuário e a senha a seguir e especifique as credenciais usadas para entrar. As credenciais fornecidas serão passadas na cadeia de conexão para o Analysis Services.
Testar conexões usando AMO
Você pode testar o acesso HTTP programaticamente usando AMO, substituindo a URL do endpoint pelo nome do servidor. Para obter detalhes, consulte Postagem no Fórum (Como sincronizar bancos de dados SSAS 2008 R2 via HTTPS entre domínios/florestas e limites de firewall).
Um exemplo de cadeia de conexão ilustrando a sintaxe para acesso HTTP(S) usando a autenticação Básica:
Data Source=https://<servername>/olap/msmdpump.dll; Initial Catalog=AdventureWorksDW2012; Integrated Security=Basic; User ID=XXXX; Password=XXXXX;
Para obter mais informações sobre como configurar a conexão programaticamente, consulte Estabelecendo conexões seguras em ADOMD.NET.
Como etapa final, lembre-se de acompanhar testes mais rigorosos usando um computador cliente que é executado no ambiente de rede do qual as conexões serão originadas.
Consulte Também
Postagem do fórum (acesso http usando msmdpump e autenticação básica)
Configurar o Firewall do Windows para permitir o acesso ao Analysis Services
Autorizando o acesso a objetos e operações (Analysis Services)
Métodos de autenticação do IIS
Como Configurar o SSL no IIS 7