Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As conexões de um aplicativo cliente para uma instância do Analysis Services exigem autenticação do Windows (integrada). Você pode fornecer uma identidade de usuário do Windows usando qualquer um dos seguintes métodos:
NTLM
Kerberos (consulte Configurar o Analysis Services para delegação restrita do Kerberos)
EffectiveUserName na string de conexão
Básico ou Anônimo (requer configuração para acesso HTTP)
Credenciais armazenadas
Observe que a autenticação de Declarações não tem suporte. Você não pode usar um token de Declarações do Windows para acessar o Analysis Services. As bibliotecas de clientes do Analysis Services só funcionam com princípios de segurança do Windows. Se sua solução de BI incluir identidades de declarações, você precisará de contas de sombra de identidade do Windows para cada usuário ou usará credenciais armazenadas para acessar dados do Analysis Services.
Para obter mais informações sobre fluxos de autenticação do BI e do Analysis Services, consulte Autenticação e Delegação de Identidade do Microsoft BI.
Noções básicas sobre suas alternativas de autenticação
Conectar-se a um banco de dados do Analysis Services requer uma identidade de usuário ou grupo do Windows e permissões associadas. A identidade pode ser um logon de finalidade geral usado por qualquer pessoa que precise exibir um relatório, mas um cenário mais provável inclui a identidade de usuários individuais.
Muitas vezes, um modelo tabular ou multidimensional terá diferentes níveis de acesso a dados, por objeto ou dentro dos próprios dados, com base em quem está fazendo a solicitação. Para atender a esse requisito, você pode usar a autenticação NTLM, Kerberos, EffectiveUserName ou Basic. Todas essas técnicas oferecem uma abordagem para transmitir diferentes identidades de usuário com cada conexão. No entanto, a maioria dessas opções está sujeita a uma limitação de salto único. Somente Kerberos com delegação permite que a identidade do usuário original flua entre várias conexões de computador para um armazenamento de dados de back-end em um servidor remoto.
NTLM
Para conexões que especificam SSPI=Negotiate, NTLM é o subsistema de autenticação de backup usado quando um controlador de domínio Kerberos não está disponível. No NTLM, qualquer usuário ou aplicativo cliente pode acessar um recurso de servidor, desde que a solicitação seja uma conexão direta de um cliente com o servidor, a pessoa que solicita a conexão tenha permissão para o recurso e os computadores cliente e servidor estejam no mesmo domínio.
Em soluções de várias camadas, a restrição de salto único do NLTM pode ser uma restrição importante. A identidade do usuário que faz a solicitação pode ser personificada em exatamente um servidor remoto, mas não se estende mais além deste. Se a operação atual exigir serviços em execução em vários computadores, você precisará configurar a delegação restrita do Kerberos para reutilizar o token de segurança em servidores de back-end. Como alternativa, você pode usar credenciais armazenadas ou autenticação básica para passar novas informações de identidade em uma conexão de salto único.
Autenticação Kerberos e Delegação Limitada Kerberos
A autenticação Kerberos é a base da segurança integrada do Windows em domínios do Active Directory. Assim como no NTLM, em Kerberos a representação é limitada a um único salto, a menos que você habilite a delegação.
Para dar suporte a conexões de múltiplas etapas, o Kerberos oferece delegação tanto restrita quanto irrestrita. No entanto, para a maioria dos cenários, a delegação restrita é considerada uma prática recomendada de segurança. A delegação restrita permite que um serviço passe o token de segurança da identidade do usuário para um serviço de nível inferior designado em um computador remoto. Para aplicativos de várias camadas, delegar uma identidade de usuário de um servidor de aplicativo de camada intermediária para um banco de dados de back-end, como o Analysis Services, é um requisito comum. Por exemplo, um modelo tabular ou multidimensional que retorna dados diferentes com base na identidade do usuário exigiria delegação de identidade de um serviço de camada intermediária para evitar que o usuário insira novamente as credenciais ou obter credenciais de segurança de alguma outra maneira.
A delegação restrita requer configuração adicional no Active Directory, em que os serviços no envio e recebimento da solicitação são explicitamente autorizados para delegação. Embora haja custos de configuração antecipadamente, depois que o serviço é configurado, as atualizações de senha são gerenciadas de forma independente no Active Directory. Você não precisa atualizar as informações da conta armazenada em aplicativos, como faria se estivesse usando a opção de credenciais armazenadas descrita mais adiante.
Para obter mais informações sobre como configurar o Analysis Services para delegação restrita, consulte Configurar a delegação restrita do Analysis Services para Kerberos.
Observação
O Windows Server 2012 dá suporte à delegação restrita entre domínios. Por outro lado, configurar a Delegação Restrita Kerberos em domínios em níveis funcionais mais baixos, como o Windows Server 2008 ou 2008 R2, requer que os computadores cliente e servidor sejam membros do mesmo domínio.
EffectiveUserName
EffectiveUserName é uma propriedade de cadeia de conexão usada para passar informações de identidade para o Analysis Services. O PowerPivot para SharePoint o usa para registrar a atividade do usuário nos logs de uso. Os Serviços do Excel e o PerformancePoint Services podem usá-los para recuperar dados usados por pastas de trabalho ou painéis no SharePoint. Ele também pode ser usado em aplicativos personalizados ou scripts que executam operações em uma instância do Analysis Services.
Para obter mais informações sobre como usar EffectiveUserName no SharePoint, consulte Use Analysis Services EffectiveUserName no SharePoint Server 2010.
Autenticação Básica e Usuário Anônimo
A autenticação básica fornece ainda uma quarta alternativa para se conectar a um servidor de back-end como um usuário específico. Usando a autenticação Básica, o nome de usuário e a senha do Windows são passados na cadeia de conexão, introduzindo requisitos adicionais de criptografia de fio para garantir que as informações confidenciais sejam protegidas durante o trânsito. Uma vantagem importante para o uso da autenticação básica é que a solicitação de autenticação pode cruzar limites de domínio.
Para autenticação anônima, você pode definir a identidade do usuário anônimo para uma conta de usuário específica do Windows (IUSR_GUEST por padrão) ou uma identidade do pool de aplicativos. A conta de usuário anônimo será usada na conexão do Analysis Services e deve ter permissões de acesso a dados na instância do Analysis Services. Quando você usa essa abordagem, somente a identidade do usuário associada à conta Anônima é usada na conexão. Se o aplicativo exigir um gerenciamento de identidade adicional, você precisará escolher uma das outras abordagens ou complementar com uma solução de gerenciamento de identidade fornecida.
O Basic e o Anonymous estão disponíveis somente quando você configura o Analysis Services para acesso HTTP, usando o IIS e o msmdpump.dll para estabelecer a conexão. Para obter mais informações, consulte Configurar o acesso HTTP ao Analysis Services no IIS (Serviços de Informações da Internet) 8.0.
Credenciais armazenadas
A maioria dos serviços de aplicativo de camada intermediária inclui funcionalidade para armazenar um nome de usuário e senha posteriormente usados para recuperar dados de um armazenamento de dados de nível inferior, como o Analysis Services ou o mecanismo relacional do SQL Server. Dessa forma, as credenciais armazenadas fornecem uma quinta alternativa para recuperar dados. As limitações com essa abordagem incluem a sobrecarga de manutenção associada à manutenção de nomes de usuário e senhas atualizadas e o uso de uma única identidade na conexão. Se a solução exigir a identidade do chamador original, as credenciais armazenadas não serão uma alternativa viável.
Para obter mais informações sobre credenciais armazenadas, consulte Criar, modificar e excluir fontes de dados compartilhadas (SSRS) e usar os Serviços do Excel com o Serviço de Repositório Seguro no SharePoint Server 2013.
Consulte Também
Usando Suplantação com Segurança de Transporte
Configurar o acesso HTTP ao Analysis Services no IIS (Serviços de Informações da Internet) 8.0
Configurar o Analysis Services para delegação restrita de Kerberos
Registro de SPN para uma instância do Analysis Services
Conectar-se ao Analysis Services