Configurare Analysis Services e la Delegazione Vincolata Kerberos

Si applica a: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

La delega vincolata Kerberos (KCD) è un protocollo di autenticazione che è possibile configurare con l'autenticazione di Windows per delegare le credenziali client dal servizio al servizio in tutto l'ambiente. KCD richiede un'infrastruttura aggiuntiva, ad esempio un controller di dominio e una configurazione aggiuntiva dell'ambiente. KCD è un requisito in alcuni scenari che coinvolgono dati di SQL Server Analysis Services e Power Pivot con SharePoint 2016. In SharePoint 2016 Excel Services è stato spostato all'esterno della farm di SharePoint in un server separato e nuovo, Office Online Server. Poiché Office Online Server è separato, c'è una maggiore necessità di delegare le credenziali client nei tipici scenari di due hop.

Overview

KCD consente a un account di rappresentare un altro account allo scopo di fornire l'accesso alle risorse. L'account di rappresentazione sarebbe un account del servizio assegnato a un'applicazione Web o all'account computer di un server Web mentre l'account rappresentato sarebbe un account utente che richiede l'accesso alle risorse. KCD opera a livello di servizio, in modo che i servizi selezionati su un server possano essere concessi dall'account di impersonificazione, mentre ad altri servizi sullo stesso server o su altri server viene negato l'accesso.

Le sezioni di questo argomento esaminano gli scenari comuni con SQL Server Analysis Services e Power Pivot dove è richiesta la delega vincolata Kerberos (KCD). Viene inoltre presentato un esempio di distribuzione del server con un riepilogo dettagliato degli elementi da installare e configurare. Vedere la sezione Altre informazioni e contenuto della community per i collegamenti a informazioni più dettagliate sulle tecnologie coinvolte, ad esempio Controller di dominio e KCD.

Scenario 1: Cartella di lavoro come origine dati (WDS).

see 1 Office Online Server apre una cartella di lavoro di Excel e see 2 individua una connessione dati a un'altra cartella di lavoro. Office Online Server invia una richiesta al servizio di reindirizzamento PowerPivot vedere 3 vedere 3 per aprire la seconda cartella di lavoro e i dati vedere 4.

In questo scenario, le credenziali utente devono essere delegate da Office Online Server al servizio di reindirizzamento PowerPivot di SharePoint in SharePoint.

cartella di lavoro come origine dati

Un modello tabulare di Analysis Services vedere 1 è collegato a una cartella di lavoro di Excel che contiene un modello Power Pivot. In questo scenario, quando SQL Server Analysis Services carica il modello tabulare, SQL Server Analysis Services rileva il collegamento alla cartella di lavoro. Durante l'elaborazione del modello, SQL Server Analysis Services invia una richiesta di query a SharePoint per caricare la cartella di lavoro. In questo scenario non è necessario delegare le credenziali client da Analysis Services a SharePoint, ma un'applicazione client può sovrascrivere le informazioni sull'origine dati in un'associazione out-of-line. Se la richiesta di associazione out-of-line specifica di impersonare l'utente corrente, è necessario delegare le credenziali utente, per cui KCD deve essere configurato tra SQL Server Analysis Services e SharePoint.

Office Online Server

Distribuzione di esempio di KCD (Delega Vincolata Kerberos) con Office Online Server e Analysis Services

Questa sezione descrive una distribuzione di esempio che usa quattro computer. Le sezioni seguenti riepilogano i passaggi principali di installazione e configurazione per ogni computer. Prima di iniziare le distribuzioni, è consigliabile che i computer siano aggiornati con l'applicazione di patch al sistema operativo e si conoscono i nomi dei computer perché sono necessari in alcuni dei passaggi di configurazione.

  • Controller di dominio

  • Motore del database SQL Server e dei servizi di analisi in modalità Power Pivot. L'istanza del motore di database verrà utilizzata per i database del contenuto di SharePoint.

  • SharePoint Server 2016

  • Server di Office Online

controller di dominio

Controller di dominio

Di seguito è riportato un riepilogo degli elementi da installare per il controller di dominio (DC).

  • Ruolo: Servizi di dominio Active Directory.

  • Ruolo: DNS Server

  • Funzionalità: Funzionalità di .NET Framework 3.5 / .NET Framework 3.5

  • Caratteristica: Strumenti di amministrazione remota del server/Strumenti di amministrazione dei ruoli

  • Configurare Active Directory per creare una nuova foresta e aggiungere i computer al dominio. Prima di provare ad aggiungere altri computer al dominio privato, è necessario configurare il DNS dei computer client con l'indirizzo IP del controller di dominio. Sulla macchina DC, eseguire ipconfig /all per ottenere gli indirizzi IPv4 e IPv6 per il passo successivo.

  • È consigliabile configurare indirizzi IPv4 e IPv6. È possibile eseguire questa operazione nel pannello di controllo di Windows:

    1. Fare clic su Centro connessioni di rete e condivisione

    2. Fare clic sulla connessione Ethernet

    3. Fare clic su Proprietà

    4. Fare clic su Protocollo Internet versione 6 (TCP/IPv6)

    5. Fare clic su Proprietà

    6. Fare clic su Usa gli indirizzi server DNS seguenti

    7. Digitare l'indirizzo IP dal comando ipconfig.

    8. Fare clic sul pulsante Avanzate , fare clic sulla scheda DNS e verificare che i suffissi DNS siano corretti.

    9. Fare clic su Accoda questi suffissi DNS.

    10. Ripetere i passaggi per IPv4.

    Nota: è possibile aggiungere computer al dominio dal pannello di controllo di Windows, nelle impostazioni di sistema. Per altre informazioni, vedere Come aggiungere Windows Server 2012 a un dominio.

Server SSAS in modalità PowerPivot

Motore di database di SQL Server 2016 e Analysis Services in modalità Power Pivot

Di seguito è riportato un riepilogo degli elementi da installare nel computer SQL Server.

nota nota Nell'installazione guidata di SQL Server 2017, SQL Server Analysis Services in modalità Power Pivot viene installato come parte del flusso di lavoro di selezione delle funzionalità.

  1. Eseguire l'installazione guidata di SQL Server 2017 e nella pagina di selezione delle funzionalità fare clic sul motore di database, SQL Server Analysis Services e sugli strumenti di gestione. In un'installazione successiva per l'installazione guidata è possibile specificare la modalità Power Pivot per SQL Server Analysis Services.

  2. Per la configurazione dell'istanza di , configurare un'istanza denominata di "POWERPIVOT".

  3. Nella pagina Configurazione di Analysis Services configurare il server Analysis Services per la modalità Power Pivot e aggiungere il nome computer di Office Online Server all'elenco di amministratori del server Analysis Services. Per ulteriori informazioni, vedere installare Analysis Services in modalità di Power Pivot.

  4. Nota, per impostazione predefinita il tipo di oggetto "Computer" non è incluso nella ricerca. Fare clic su oggetto per aggiungere l'account del computer per aggiungere l'oggetto Computers.

    aggiungere account computer come amministratori di SSAS

  5. Creare i nomi dell'entità servizio (SPN) per l'istanza di Analysis Services.

    Di seguito sono riportati i comandi SPN utili:

    • Elencare l'SPN per un nome di account specifico che esegue il servizio d'interesse: SetSPN -l <account-name>

    • Impostare un SPN per un nome di account che gestisce il servizio di interesse: SetSPN -a <SPN> <account-name>

    • Eliminare un SPN da un nome di account specifico che esegue il servizio interessato: SetSPN -D <SPN> <account-name>

    • Cercare nomi SPN duplicati: SetSPN -X

    Il nome SPN per l'istanza di PowerPivot sarà sotto forma di:

    MSSQLSvc.3/\<Fully Qualified Domain Name (FQDN)>:POWERPIVOT  
MSSQLSvc.3/<NetBIOS Name>:POWERPIVOT

    Dove i nomi FQDN e NetBIOS sono il nome del computer in cui risiede l'istanza. Questi SPN verranno inseriti nell'Account del Dominio utilizzato per l'account di servizio. Se utilizzi il Servizio di rete, il Sistema locale o l'ID Servizio, dovresti inserire il nome SPN nell'account del computer di dominio. Se si usa un account utente di dominio, il nome SPN verrà inserito in tale account.

  6. Creare l'SPN per il servizio SQL Browser sul computer di Analysis Services.

    Ulteriori informazioni

  7. Configurare le impostazioni di delega vincolata nell'account del servizio Analysis Services per qualsiasi origine esterna da cui verrà eseguito l'aggiornamento, ad esempio SQL Server o file di Excel. Nell'account del servizio Analysis Services verificare che siano impostati gli elementi seguenti.

    Nota: Se non viene visualizzata la scheda di delega per l'account, in Utenti e computer di Active Directory, è perché non è presente alcun SPN in tale account. È possibile aggiungere un SPN falso per visualizzarlo come my/spn.

    Considerare attendibile l'utente per la delega solo ai servizi specificati e Usare qualsiasi protocollo di autenticazione.

    Questa operazione è nota come delega vincolata ed è necessaria perché il token di Windows avrà origine da un'attestazione a Servizi token Windows (C2WTS) che richiede la delega vincolata con la transizione del protocollo.

    Servizi di Analisi - delega vincolata

    Sarà anche necessario aggiungere i servizi a cui si eseguirà la delega. Questo varierà in base al tuo ambiente.

Server di Office Online

  1. Installare Office Online Server

  2. Configurare Office Online Server per la connessione al server SQL Server Analysis Services. Si noti che l'account computer di Office Online Server deve essere un amministratore del server SQL Server Analysis Services. Questa operazione è stata completata in una sezione precedente di questo argomento, installando il server SQL Server Analysis Services.

    1. In Office Online Server aprire una finestra di PowerShell con privilegi amministrativi ed eseguire il comando seguente

    2. New-OfficeWebAppsExcelBIServer -ServerId <AS instance name>

    3. Esempio: New-OfficeWebAppsExcelBIServer -ServerId "MTGQLSERVER-13\POWERPIVOT"

  3. Configurare Active Directory per consentire all'account computer di Office Online Server di rappresentare gli utenti nell'account del servizio SharePoint. Impostare quindi la proprietà di delega sull'entità che esegue il pool di applicazioni per SharePoint Web Services, nel server Office Online: i comandi di PowerShell in questa sezione richiedono gli oggetti PowerShell di Active Directory (AD).

    1. Recuperare l'identità Active Directory del Server Office Online

      $computer1 = Get-ADComputer -Identity [ComputerName]

      trovare questo nome principale esaminando Gestione attività / Dettagli / nome utente di w3wp.exe. Ad esempio"svcSharePoint"

      Set-ADUser svcSharePoint -PrincipalsAllowedToDelegateToAccount $computer1

    2. Per verificare che la proprietà sia stata impostata correttamente

    3. Get-ADUser svcSharePoint -Properties PrincipalsAllowedToDelegateToAccount

  4. Configurare le impostazioni di delega vincolata nell'account di Office Online Server per l'istanza di Power Pivot di Analysis Services. Deve trattarsi dell'account del computer in cui è in esecuzione Office Online Server. Nell'account del servizio Office Online verificare che siano impostati gli elementi seguenti.

    Nota: Se non viene visualizzata la scheda di delega per l'account, in Utenti e computer di Active Directory, è perché non è presente alcun SPN in tale account. È possibile aggiungere un SPN falso per visualizzarlo come my/spn.

    Considerare attendibile l'utente per la delega solo ai servizi specificati e Usare qualsiasi protocollo di autenticazione.

    Questa operazione è nota come delega vincolata ed è necessaria perché il token di Windows avrà origine da un'attestazione a Servizi token Windows (C2WTS) che richiede la delega vincolata con la transizione del protocollo. Sarà quindi necessario consentire la delega ai nomi SPN MSOLAPSvc.3 e MSOLAPDisco.3 creati in precedenza.

  5. Configurare le attestazioni per il servizio token di Windows (C2WTS) Questo è necessario per lo scenario 1. Per ulteriori informazioni, vedere Panoramica sulle attestazioni per il servizio token Windows (c2WTS).

  6. Configurare le impostazioni di delega vincolata nell'account del servizio C2WTS. Le impostazioni devono corrispondere a quanto fatto nel passaggio 4.

SharePoint Server

SharePoint Server 2016

Di seguito è riportato un riepilogo dell'installazione di SharePoint Server.

  1. Eseguire il programma di installazione dei prerequisiti di SharePoint

  2. Eseguire e installare SharePoint e selezionare il ruolo di installazione della farm a server singolo .

  3. Eseguire il componente aggiuntivo PowerPivot per SharePoint (spPowerPivot16.msi). Per altre informazioni, vedere Installare o disinstallare il componente aggiuntivo PowerPivot per SharePoint (SharePoint 2016)

  4. Eseguire la configurazione guidata di PowerPivot. Vedere Strumenti di configurazione di PowerPivot.

  5. Connettere SharePoint al Office Online Server. (Configure_xlwac_on_SPO.ps1)

  6. Configurare i provider di autenticazione di SharePoint per Kerberos. Questa operazione è necessaria per lo scenario 1. Per altre informazioni, vedere Pianificare l'autenticazione Kerberos in SharePoint 2013.

Vedere anche

Microsoft® Kerberos Configuration Manager per SQL Server®

  • Last updated on