Compartir a través de

Configurar Analysis Services y Delegación limitada de Kerberos (KCD)

  • Artículo

Se aplica a: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

La delegación limitada de Kerberos (KCD) es un protocolo de autenticación que se puede configurar con la autenticación de Windows para delegar las credenciales de cliente de servicio a servicio en todo el entorno. KCD requiere una infraestructura adicional, por ejemplo, un controlador de dominio y una configuración adicional del entorno. KCD es un requisito en algunos escenarios que implican SQL Server Analysis Services y datos de PowerPivot con SharePoint 2016. En SharePoint 2016, Excel Services se ha trasladado de la granja de SharePoint a un nuevo servidor independiente, Office Online Server. Puesto que Office Online Server es independiente, se hace más necesaria una forma de delegar las credenciales de cliente en los escenarios típicos de dos saltos.

Información general

KCD permite a una cuenta suplantar a otra con el fin de proporcionar acceso a los recursos. La cuenta de suplantación corresponde a una cuenta de servicio asignada a una aplicación web o a la cuenta de equipo de un servidor web, mientras que la cuenta suplantada es una cuenta de usuario que requiere acceso a los recursos. KCD trabaja en el nivel de servicio, de modo que la cuenta de suplantación puede conceder acceso a unos servicios concretos de un servidor y denegárselo a la vez a otros servicios del mismo servidor o a servicios en otros servidores.

En las secciones de este tema se revisan escenarios comunes con SQL Server Analysis Services y Power Pivot donde se requiere KCD, así como una implementación de servidor de ejemplo con un resumen general de lo que necesita instalar y configurar. Vea la sección Más información y contenido de la comunidad para obtener vínculos a información más detallada sobre las tecnologías implicadas, como controladores de dominio y KCD.

Escenario 1: libro como origen de datos (WDS).

vea 1 consulte 1 Office Online Server abre un libro de Excel y vea 2 ver 2 detecta una conexión de datos a otro libro. Office Online Server envía una solicitud al servicio redirector de Power Pivot; consulte 3 abrir el segundo libro y los datos, consulte 4

En este escenario, las credenciales de usuario deben delegarse desde el Office Online Server al servicio redirector de Power Pivot de SharePoint en SharePoint.

libro como libro de origen de

Un modelo tabular de Analysis Services vea 1 vínculos a un libro de Excel que contiene un modelo de PowerPivot. En este escenario, cuando SQL Server Analysis Services carga el modelo tabular, SQL Server Analysis Services detecta el vínculo al libro. Al procesar el modelo, SQL Server Analysis Services envía una solicitud de consulta a SharePoint para cargar el libro. En este escenario, no es necesario delegar las credenciales de cliente de Analysis Services a SharePoint, pero una aplicación cliente puede sobrescribir la información del origen de datos en un enlace temporal. Si la solicitud de enlace fuera de línea especifica suplantar al usuario actual, se deben delegar las credenciales de usuario, lo que requiere que KCD se configure entre SQL Server Analysis Services y SharePoint.

office Online Server

Ejemplo de implementación de KCD con Office Online Server y Analysis Services

En esta sección se describe una implementación de ejemplo con cuatro equipos. En las siguientes secciones se resumen los pasos clave de instalación y configuración para cada equipo. Antes de iniciar las implementaciones, se recomienda que los equipos estén actualizados con las aplicaciones de revisiones del sistema operativo. Además, el usuario debe conocer los nombres de los equipos porque son necesarios en algunos pasos de la configuración.

  • Controlador de dominio

  • Motor de base de datos de SQL Server y Analysis Services en modo PowerPivot. La instancia del motor de base de datos se utilizará para las bases de datos de contenido de SharePoint.

  • SharePoint Server 2016

  • Office Online Server

controlador de dominio

Controlador de dominio

A continuación se muestra un resumen de lo que se debe instalar para el controlador de dominio (DC).

  • Rol: Active Directory Domain Services.

  • Rol: servidor DNS.

  • Característica: características de .NET Framework 3.5/.NET Framework 3.5.

  • Característica: Herramientas de administración remota del servidor/Herramientas de administración de roles.

  • Configure Active Directory para crear un nuevo bosque y unir los equipos al dominio. Antes de intentar agregar otros equipos al dominio privado, deberá configurar los DNS de los equipos cliente en la dirección IP del controlador de dominio. En la máquina del controlador de dominio, ejecute ipconfig /all para obtener las direcciones IPv4 e IPv6 para el paso siguiente.

  • Se recomienda configurar las ambas direcciones IPv4 e IPv6. Puede hacerlo en el panel de control de Windows:

    1. Haga clic en Centro de redes y recursos compartidos.

    2. Haga clic en la conexión Ethernet.

    3. Haga clic en Propiedades.

    4. Haga clic en Protocolo de Internet versión 6 (TCP/IPv6).

    5. Haga clic en Propiedades.

    6. Haga clic en Usar las siguientes direcciones de servidor DNS.

    7. Escriba la dirección IP mediante el comando "ipconfig".

    8. Haga clic en el botón Avanzadas , en la pestaña DNS y compruebe que los sufijos DNS sean correctos.

    9. Haga clic en Anexar estos sufijos DNS.

    10. Repita los pasos para la dirección IPv4.

    Nota: Puede unir equipos al dominio desde el Panel de control de Windows, en la configuración del sistema. Para obtener más información, vea How To Join Windows Server 2012 to a Domain(Cómo unir Windows Server 2012 a un dominio).

servidor ssas en el servidor ssas del modo powerpivot

Motor de base de datos de SQL Server 2016 y Analysis Services en modo PowerPivot

A continuación se muestra un resumen de lo que se va a instalar en el equipo de SQL Server.

nota En el asistente de configuración de SQL Server 2017, SQL Server Analysis Services en modo Power Pivot se instala como parte del flujo de trabajo de selección de características.

  1. Ejecute el asistente de configuración de SQL Server 2017 y, en la página de selección de características, haga clic en el motor de base de datos, SQL Server Analysis Services y en las herramientas de administración. En una configuración posterior para el asistente para la instalación, puede especificar el modo PowerPivot para SQL Server Analysis Services.

  2. Por ejemplo, configure una instancia con nombre de "POWERPIVOT".

  3. En la página Configuración de Analysis Services, configure el servidor de Analysis Services para el modo Power Pivot y agregue el nombre de equipo de Office Online Server a la lista de administradores de servidores de Analysis Services. Para obtener más información, consulte Install Analysis Services in Power Pivot Mode.

  4. Tenga en cuenta que, de forma predeterminada, el tipo de objeto "Computer" no se incluye en la búsqueda. Haga clic en hacer clic en objetos para agregar la cuenta de equipo para agregar el objeto Computers.

    agregar cuentas de equipo como administradores de ssas

  5. Cree los nombres de entidad de seguridad de servicio (SPN) para la instancia de Analysis Services.

    Comandos útiles de SPN:

    • Indicar el SPN de un nombre de cuenta específico que ejecuta el servicio en cuestión: SetSPN -l <account-name>

    • Establecer un SPN de un nombre de cuenta que ejecuta el servicio en cuestión: SetSPN -a <SPN> <account-name>

    • Eliminar un SPN de un nombre de cuenta específico que ejecuta el servicio en cuestión: SetSPN -D <SPN> <account-name>

    • Buscar SPN duplicados: SetSPN -X

    El formato del SPN para la instancia de PowerPivot será el siguiente:

    MSSQLSvc.3/\<Fully Qualified Domain Name (FQDN)>:POWERPIVOT  
MSSQLSvc.3/<NetBIOS Name>:POWERPIVOT

    Donde los nombres FQDN y NetBIOS son el nombre del equipo en el que reside la instancia. Estos SPN se colocarán en la cuenta de dominio que se utiliza para la cuenta de servicio. Si utiliza el servicio de red, el sistema local o el identificador de servicio, deberá colocar el SPN en la cuenta de equipo de dominio. Si utiliza una cuenta de usuario de dominio, deberá colocar el SPN en dicha cuenta.

  6. Cree el SPN para el servicio SQL Browser en el equipo de Analysis Services.

    Más información

  7. Configure las opciones de la delegación restringida en la cuenta de servicio de Analysis Services para cualquier origen externo desde el que realice las actualizaciones, como archivos de SQL Server o Excel. En la cuenta de servicio de Analysis Services, debe asegurarse de establecer las opciones siguientes.

    Nota: Si no ve la pestaña de delegación de la cuenta, en Usuarios y equipos de Active Directory, significa que en dicha cuenta no hay ningún SPN. Puede agregar un SPN falso para que aparezca como my/spn.

    Confiar en este usuario para la delegación solo a los servicios especificados y Usar cualquier protocolo de autenticación.

    Esto se conoce como delegación restringida y es necesaria porque el token de Windows se originará a partir de una Notificación del servicio de token de Windows (C2WTS), que requiere delegación restringida con transición de protocolo.

    Analysis Services: Delegación restringida

    También deberá agregar los servicios para los que aplicará la delegación. Esto variará en función de su entorno.

Office Online Server

  1. Instalación de Office Online Server

  2. Configure Office Online Server para conectarse al servidor SQL Server Analysis Services. Tenga en cuenta que la cuenta de equipo de Office Online Server debe ser administrador en el servidor SQL Server Analysis Services. Esto se completó en una sección anterior de este tema, instalando el servidor SQL Server Analysis Services.

    1. En Office Online Server, abra una ventana de PowerShell con privilegios administrativos y ejecute el siguiente comando.

    2. New-OfficeWebAppsExcelBIServer -ServerId <AS instance name>

    3. Ejemplo: New-OfficeWebAppsExcelBIServer -ServerId "MTGQLSERVER-13\POWERPIVOT"

  3. Configure Active Directory para permitir que la cuenta de equipo de Office Online Server pueda suplantar a usuarios para la cuenta de servicio de SharePoint. Por lo tanto, establezca la propiedad de delegación en la entidad de seguridad que ejecute el grupo de aplicaciones de los servicios web de SharePoint, en Office Online Server. Los comandos de PowerShell de esta sección requieren los objetos de Active Directory (AD) PowerShell.

    1. Obtener la identidad de Active Directory de Office Online Server

      $computer1 = Get-ADComputer -Identity [ComputerName]

      Para buscar el nombre de esta entidad de seguridad, vaya a Administrador de tareas/Detalles/Nombre de usuario de w3wp.exe. Por ejemplo, "svcSharePoint"

      Set-ADUser svcSharePoint -PrincipalsAllowedToDelegateToAccount $computer1

    2. Para comprobar que la propiedad se haya establecido correctamente, haga lo siguiente:

    3. Get-ADUser svcSharePoint -Properties PrincipalsAllowedToDelegateToAccount

  4. Configure las opciones de la delegación restringida en la cuenta de Office Online Server para la instancia de Power Pivot de Analysis Services. Debe ser la cuenta del equipo en el que se ejecuta Office Online Server. En la cuenta de Office Online Service, debe asegurarse de establecer las opciones siguientes.

    Nota: Si no ve la pestaña de delegación de la cuenta, en Usuarios y equipos de Active Directory, significa que en dicha cuenta no hay ningún SPN. Puede agregar un SPN falso para que aparezca como my/spn.

    Confiar en este usuario para la delegación solo a los servicios especificados y Usar cualquier protocolo de autenticación.

    Esto se conoce como delegación restringida y es necesaria porque el token de Windows se originará a partir de una Notificación del servicio de token de Windows (C2WTS), que requiere delegación restringida con transición de protocolo. A continuación, deberá permitir la delegación en los SPN de MSOLAPSvc.3 y MSOLAPDisco.3 creados anteriormente.

  5. Configurar Notificaciones del servicio de token de Windows (C2WTS) Esto es necesario para el escenario 1. Para obtener más información, vea Información general sobre Claims to Windows Token Service (c2WTS).

  6. Configure las opciones de la delegación restringida en la cuenta de servicio de C2WTS. La configuración debe corresponderse con la establecida en el paso 4.

sharepoint server

SharePoint Server 2016

A continuación se muestra un resumen de la instalación de SharePoint Server.

  1. Ejecutar el instalador de requisitos previos de SharePoint

  2. Ejecute la instalación de SharePoint y seleccione el rol de instalación Granja de servidor único .

  3. Ejecute el complemento de PowerPivot para SharePoint (spPowerPivot16.msi). Para obtener más información, vea Instalar o desinstalar el complemento power Pivot para SharePoint (SharePoint 2016)

  4. Ejecute el Asistente para configuración de PowerPivot. Vea Herramientas de configuración de Power Pivot.

  5. Conecte SharePoint al Office Online Server. (Configure_xlwac_on_SPO.ps1)

  6. Configure los proveedores de autenticación de SharePoint para Kerberos. Esto es necesario para el escenario 1. Para obtener más información, vea Planear la autenticación Kerberos en SharePoint 2013.

Consulte también

Microsoft® Kerberos Configuration Manager para SQL Server®