Partager via

  • Article

Considérations relatives à la sécurité de Monitoring Server

Mise à jour : 2009-04-30

Les sections suivantes décrivent les fonctionnalités de sécurité disponibles dans Monitoring Server.

Authentification

Monitoring Server s'appuie sur l'authentification de domaine de Microsoft Internet Information Services (IIS) pour authentifier l'accès utilisateur à l'application. Tout utilisateur actif d'un domaine approuvé a accès au service Web, mais sans des rôles spécifiques au niveau de l'objet ou du serveur, l'utilisateur n'est pas autorisé à créer ou à consulter les métadonnées sur le serveur.

Monitoring Server est configuré avec un ensemble prédéfini de rôles dans le référentiel de bases de données. L'autorisation est basée sur une comparaison entre l'utilisateur, les groupes auxquels l'utilisateur appartient et les rôles Monitoring Server qui lui sont attribués.

Sécurité des applications

Monitoring Server fournit plusieurs rôles qui définissent les autorisations pour administrer ou créer des éléments de tableau de bord. Dans Dashboard Designer, les utilisateurs et les groupes du service d'annuaire Active Directory sont affectés à ces rôles.

Outre les rôles de base sur le système, il existe les rôles d'élément de tableau de bord Éditeur et Lecteur, qui s'appliquent aux éléments individuels sur le serveur. Ces éléments de tableau de bord incluent les rapports, les cartes de performance et la définition du tableau de bord lui-même.

Sécurité de délégation Kerberos

L'emprunt d'identité permet à une application Web ou un service Web d'agir pour le compte de l'identité d'une autre entité afin d'accéder aux ressources locales, plutôt qu'en tant qu'identité du processus. La délégation permet à une application Web ou un service Web d'utiliser le jeton d'emprunt d'identité pour accéder aux ressources réseau distantes.

Les scénarios qui imposent l'utilisation de la délégation sont généralement appelés scénarios double saut. La délégation fonctionne en fonction de l'authentification intégrée Windows et du protocole Kerberos. Monitoring Server nécessite la délégation si la propriété Bpm.ServerConnectionPerUser est définie sur True dans le fichier web.config et si les services et sites Web inscrits en tant que sources de données sont installés sur les ordinateurs distants. Le paramètre Bpm.ServerConnectionPerUser force Monitoring Server à essayer d'utiliser l'identité de l'utilisateur authentifié lors de la communication avec des sources données externes, telles qu'Analysis Services.

Pour plus d'informations sur la configuration de la délégation Kerberos, voir le Guide de déploiement PerformancePoint Server 2007.