Comptes de pool d'applications Monitoring Server
Mise à jour : 2009-04-30
Le processus d'application Monitoring Server est exécuté en tant que compte spécifié par la configuration de l'identité du pool d'applications.
Outre les comptes intégrés Système, Service local et Service réseau, un compte local ou réseau peut être spécifié. Ce compte nécessite l'accès à la base de données d'application et à toutes les sources de données requises. Si le serveur est configuré pour une authentification « connexion par utilisateur », où les informations d'identification de l'utilisateur final individuel sont utilisées pour l'authentification, alors le compte du pool d'applications a besoin uniquement d'un accès à la base de données d'application. Toutefois, tous les utilisateurs doivent disposer d'une autorisation d'accès aux sources de données.
Dans la mesure du possible, Monitoring Server doit être exécuté avec un compte de domaine à privilèges faibles. L'identité ne doit pas avoir accès aux ressources autres que celles nécessaires à l'application.
L'identité du pool d'applications de Monitoring Server est exécutée sous le compte spécifié par le Gestionnaire de configuration Monitoring Server. L'identité du pool d'applications sous lequel est exécuté le site SharePoint doit être configuré avec le même compte. Toutefois, le Gestionnaire de configuration Monitoring Server ne change pas quel que soit le paramètre actuel, et c'est à l'utilisateur de modifier ce paramètre manuellement. Il est recommandé d'utiliser un compte de domaine en tant qu'identité du pool d'applications. Le compte de domaine doit être affecté uniquement au groupe IIS_WPG sur l'ordinateur où est installé Monitoring Server.
Le Gestionnaire de configuration Monitoring Server prend en charge la spécification d'un compte de domaine, qui constitue le déploiement recommandé. Le Gestionnaire de configuration Monitoring Server prend également en charge la spécification d'un compte intégré. Le Gestionnaire de configuration Monitoring Server affecte automatiquement au compte sélectionné un accès aux métadonnées stockées dans la base de données d'application. Par défaut, ce compte doit être affecté manuellement d'autorisations d'accès à chacune des sources de données que vous prévoyez d'utiliser.
Authentification de source de données
Les sources de données de Monitoring Server imposeront souvent à Monitoring Server de s'authentifier afin qu'il puisse accéder aux données. Par défaut, Monitoring Server utilise toujours l'identité du pool d'applications pour se connecter une source de données. La seule exception concerne les sources de données qui permettent aux administrateurs de spécifier une chaîne de connexion contenant des informations d'identification d'accès. Dans Dashboard Designer, l'Assistant de création d'une source de données SQL Server 2005 Analysis Services permet de spécifier un ensemble de rôles sur lequel sécuriser la connexion à Analysis Services.
Il se peut que l'authentification à des sources de données en tant qu'utilisateur unique n'assure pas un contrôle suffisant pour l'accès aux données d'entreprise d'une organisation. Deux options sont disponibles dans Monitoring Server afin de permettre un meilleur contrôle d'accès.
La première option consiste à utiliser le champ CustomData sur une chaîne de connexion Analysis Services. Monitoring Server peut spécifier les noms de domaine et d'utilisateur du compte qui s'authentifie au serveur en tant que CustomData de la chaîne de connexion. Ensuite, Analysis Services peut être configuré pour limiter l'accès en fonction de la chaîne contenant le nom d'utilisateur fourni par Monitoring Server.
La seconde option consiste à activer la prise en charge de la délégation Kerberos par Monitoring Server en activant la propriété Bpm.ServerConnectionPerUser dans le fichier web.config. La délégation fournit un jeton d'emprunt d'identité de l'utilisateur actuellement authentifié aux sources de données inscrites. Avec la délégation Kerberos, chacun de vos utilisateurs a besoin d'un accès à la source de données. Cet accès à la source de données par utilisateur doit être enregistré avec Monitoring Server et le service auquel les utilisateurs se connecteront. L'avantage de cette approche est que vous pouvez utiliser les modèles de sécurité d'application disponibles pour chaque source de données inscrite.
Rapports analytiques et sécurité des sources de données
La prise en charge de la navigation dans les rapports Analysis Services permet aux utilisateurs de mieux cerner leur entreprise, au-delà ce que peut transmettre un rapport statique. La sécurité au niveau du rapport pour les membres des rôles Éditeur et Lecteur permet aux utilisateurs de partager des données pertinentes avec un ensemble particulier de personnes. Les autorisations de rôle Éditeur ou Lecteur sur un rapport analytique n'empêchent pas les utilisateurs d'afficher des données dépassant le cadre prévu de la vue. Dans ce cas, la sécurité sur la source de données est le seul moyen de limiter l'accès aux données de cube. Une fois qu'un utilisateur a accès à une source de données faisant référence à un cube OLAP Analysis Services, il peut voir la totalité des données de ce cube, sauf si l'accès à ce dernier est limité dans Analysis Services. Par défaut, Monitoring Server se connecte en tant qu'utilisateur unique pour toutes les sources de données.
Chaînes de connexion de source de données
Monitoring Server permet aux utilisateurs de spécifier leurs propres chaînes de connexion pour de nombreux types de source de données pris en charge. Si vous choisissez de spécifier un ensemble d'informations d'identification dans le cadre de la chaîne de connexion, vous devez être conscient que ces informations d'identification ne seront pas cryptées et peuvent être stockées directement dans l'espace de travail des personnes ayant accès à la source de données.
.gif "Attention") Attention : |
|---|
Il est recommandé de ne pas fournir d'informations d'identification dans le cadre d'une chaîne de connexion. |
Déploiements de produits et technologies SharePoint
Il est recommandé de faire correspondre le compte d'identité du pool d'applications Monitoring Server aux sites Web Monitoring Server. Ainsi, si vous utilisez la configuration par défaut, vos rapports et cartes de performance sont exécutés dans le même contexte utilisateur. Si vous choisissez d'utiliser la propriété Bpm.ServerConnectionPerUser, il est encore conseillé de simplifier la configuration de Kerberos. Notez que le processus exécutant votre déploiement de produits et technologies SharePoint aura accès au référentiel de métadonnées de Monitoring Server. Assurez-vous que votre déploiement limite les utilisateurs susceptibles de publier du contenu ou d'accéder aux données de Monitoring Server.
Configuration IIS
Outre la configuration de l'identité du pool d'applications et du fichier web.config, vous devez sécuriser Monitoring Server encore davantage par l'activation de SSL pour tous les sites Web concernés. Il n'est pas conseillé d'utiliser une autre authentification que l'authentification intégrée Windows et d'utiliser un port autre que celui par défaut. Il est recommandé d'utiliser l'authentification intégrée Windows et un port par défaut.