Délégation d’identité pour PerformancePoint Services (SharePoint Server 2010)

 

S’applique à : PerformancePoint Services, SharePoint Server 2010

Dernière rubrique modifiée : 2016-11-30

Dans ce scénario, vous allez ajouter l’application de service PerformancePoint Services à l’environnement SharePoint Server et configurer la délégation Kerberos contrainte pour permettre au service d’extraire les données d’un cube Analysis Services externe et avoir la possibilité d’extraire les données de SQL Server.

Notes

Si vous installez sur Windows Server 2008, il vous faut peut-être installer le correctif suivant pour l’authentification Kerberos :
Une authentification Kerberos échoue avec le code d’erreur 0X80090302 ou 0x8009030f sur un ordinateur exécutant Windows Server 2008 ou Windows Vista lorsque l’algorithme AES est utilisé (https://support.microsoft.com/kb/969083/fr)

Dépendances du scénario

Pour réaliser ce scénario, vous devez avoir effectué les scénarios suivants :

• Scénario 1 : Configuration de base

• Scénario 2 : Authentification Kerberos pour SQL OLTP (facultatif)

• Scénario 3 : Authentification Kerberos pour SQL Server Analysis Services

Liste de contrôle de configuration

Zone de configuration	Description
Configuration Active Directory	Créer un compte de service PerformancePoint Services Créer un nom principal de service pour le compte de service exécutant le service PerformancePoint sur le serveur d’applications Vérifier le nom principal de service Analysis Services sur le compte de service SQL Server Analysis Services, vmlab\svcSQLAS (effectué dans le scénario 3) et (Facultatif) Vérifier le compte de service du moteur de base de données SQL Server, vmlab\svcSQL (effectué dans le scénario 2). Configurer la délégation Kerberos contrainte pour les demandes au Service d’émission de jetons Windows pour Analysis Services Configurer la délégation Kerberos contrainte pour le compte de service PerformancePoint Services pour Analysis Services
Configuration SharePoint Server	Démarrer le Service d’émission de jetons Revendications vers Windows sur les serveurs PerformancePoint Services Démarrer l’instance du service PerformancePoint Services sur le serveur PerformancePoint Services Créer l’application de service PerformancePoint Services et le proxy Vérifier l’identité de l’application PerformancePoint Accorder les autorisations du compte de service PerformancePoint Services sur la base de données de contenu de l’application Web Configurer l’emplacement de fichiers approuvé et les paramètres d’authentification de PerformancePoint Services
Vérifier la délégation contrainte de PerformancePoint Services	Créer une bibliothèque de documents pour héberger un tableau de bord de test Créer une source de données qui référence un cube SQL Server Analysis Services existant Créer une liste de contenu PerformancePoint approuvé Créer un tableau de bord PerformancePoint de test Publier un tableau de bord sur SharePoint Server

Détails de l’environnement du scénario

Chemins de délégation Kerberos contrainte

Dans ce scénario, nous allons configurer le compte de service PerformancePoint Services pour la délégation Kerberos contrainte au service SQL Server.

Notes

Dans ce scénario, nous allons configurer le Service d’émission de jetons Revendications vers Windows (C2WTS) de façon à utiliser un compte de service dédié. Si vous laissez C2WTS configuré pour utiliser Système local, vous devrez configurer la délégation contrainte sur le compte de l’ordinateur exécutant C2WTS et Excel Services.

Authentification logique SharePoint Server

L’authentification dans ce scénario commence par l’authentification du client avec Kerberos auprès du serveur Web frontal. SharePoint Server 2010 convertira le jeton d’authentification Windows en jeton de revendications en utilisant le service STS (Security Token Service) local. L’application de service PerformancePoint acceptera le jeton de revendications et le convertira en jeton Windows (Kerberos) en utilisant le Service d’émission de jetons Revendications vers Windows (C2WTS) local qui fait partie de Windows Identity Framework (WIF). L’application de service PerformancePoint utilisera ensuite le ticket Kerberos du client pour s’authentifier auprès de la source de données dorsale.

Instructions de configuration pas à pas

Configuration Active Directory

Créer un compte de service PerformancePoint Services

Il est recommandé que PerformancePoint Services s’exécute sous sa propre identité de domaine. Pour configurer l’application de service PerformancePoint, un compte Active Directory doit être créé et enregistré en tant que compte géré dans SharePoint Server 2010. Pour plus d’informations, voir Comptes gérés dans SharePoint 2010 (éventuellement en anglais). Dans cet exemple, le compte suivant est créé et enregistré ultérieurement dans le scénario :

Service SharePoint Server	Identité de pool d’applications IIS
PerformancePoint Services	vmlab\svcPPS

Créer un nom principal de service pour le compte de service exécutant le service PerformancePoint sur le serveur d’applications

Cette étape est nécessaire parce que le compte de service qui exécute le pool d’applications SharePoint est différent du compte PerformancePoint.

Le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory est généralement utilisé pour configurer la délégation Kerberos. Pour configurer les paramètres de délégation dans le composant logiciel enfichable, l’objet Active Directory configuré doit avoir un nom principal de service appliqué, sinon l’onglet Délégation de l’objet ne sera pas visible dans la boîte de dialogue des propriétés de l’objet. Bien que Visio Services ne requiert pas de nom principal de service pour fonctionner, nous allons en configurer un à cette fin.

Sur la ligne de commande, exécutez la commande suivante :

SETSPN -S SP/svcPPS

Notes

Le nom principal de service (SPN) n’est pas valide. Il est appliqué au compte de service spécifié pour révéler les options de délégation dans le complément Utilisateurs et ordinateurs AD. Il y a d’autres méthodes prises en charge pour spécifier les paramètres de délégation (spécifiquement l’attribut AD msDS-AllowedToDelegateTo) mais ce sujet n’est pas traité dans le présent document.

Vérifier le SPN Analysis Services sur le compte du service SQL Server Analysis Services, vmlab\svcSQLAS (effectué dans le scénario 3) ET (Facultatif) Vérifier le compte de service du moteur de base de données SQL Server, vmlab\svcSQL (effectué dans le scénario 2)

Vérifiez que le nom principal de service du compte de service SQL Server (vmlab\svcSQLAS) existe à l’aide de la commande SetSPN suivante :

SetSPN -L vmlab\svcSQLAS

Vous devez voir l’élément ci-après :

MSOLAPSvc.3/MySqlCluster

Vérifiez que le nom principal de service du compte de service Analysis Services (vmlab\svcSQL) existe à l’aide de la commande SetSPN suivante :

SetSPN -L vmlab\svcSQL

Vous devez voir l’élément ci-après :

MSSQLSVC/MySqlCluster

Configurer la délégation contrainte Kerberos du compte de service PerformancePoint Services vers le service SSAS et éventuellement pour le service SQL Server

Pour que PerformancePoint Services puisse déléguer l’identité du client, la délégation Kerberos contrainte doit être configurée. Vous devez également configurer la délégation contrainte avec transition du protocole pour la conversion du jeton de revendications en jeton Windows via le service WIF C2WTS.

Chaque serveur qui exécute PerformancePoint Services doit être approuvé pour déléguer les informations d’identification à chaque service dorsal auprès duquel PerformancePoint s’authentifiera. De plus, le compte du service PerformancePoint Services doit être configuré pour permettre la délégation aux mêmes services dorsaux. Notez également que HTTP/Portal et HTTP/Portal.vmlab.local sont configurés pour déléguer de sorte à inclure une liste SharePoint sous forme de source de données optionnelle pour votre tableau de bord PerformancePoint.

Dans notre exemple, les chemins de délégation suivants sont définis :

Type principal	Nom principal
Utilisateur	Vmlab\svcC2WTS
Utilisateur	Vmlab\svcPPS

Pour configurer la délégation contrainte

1. Ouvrez les propriétés de l’objet Active Directory dans Utilisateurs et ordinateurs Active Directory.

2. Accédez à l’onglet Délégation.

3. Sélectionnez N’approuver cet ordinateur que pour la délégation aux services spécifiés.

4. Sélectionnez Utiliser tout protocole d’authentification.

5. Cliquez sur le bouton Ajouter pour sélectionner le principal de service.

6. Sélectionnez Utilisateurs et ordinateurs.

7. Sélectionnez le compte de service exécutant le service auquel déléguer.

   Notes

   Le compte de service sélectionné doit avoir un nom principal de service appliqué. Dans notre exemple, le nom principal de service de ce compte a été configuré dans un scénario précédent.

8. Cliquez sur OK.

9. Sélectionnez les noms principaux de service auxquels déléguer, puis cliquez sur OK.

10. Vous devez maintenant voir les noms principaux de service sélectionnés dans la liste Ce compte peut présenter des informations d’identification déléguées à ces services.

11. Répétez ces étapes pour chaque chemin de délégation défini au début de cette section.

Configuration SharePoint Server

Configurer et démarrer le Service d’émission de jetons Revendications vers Windows sur les serveurs PerformancePoint Services

Le Service d’émission de jetons Revendications vers Windows (C2WTS) est un composant de Windows Identity Foundation (WIF) responsable de la conversion des jetons de revendications d’utilisateur en jetons Windows. PerformancePoint Services utilise C2WTS pour convertir le jeton de revendications d’utilisateur en jeton Windows lorsque le service doit déléguer les informations d’identification à un système dorsal qui utilise l’authentification Windows. WIF est déployé avec SharePoint Server 2010 et C2WTS peut être démarré à partir de l’Administration centrale.

Chaque serveur d’applications PerformancePoint Services doit exécuter C2WTS localement. C2WTS n’ouvre aucun port et n’est pas accessible par un appelant distant. Par ailleurs, le fichier de configuration du service C2WTS doit être configuré de sorte à spécifiquement approuver l’identité du client appelant local.

Il est recommandé d’exécuter le Service d’émission de jetons Revendications vers Windows en utilisant un compte de service dédié et non en tant que Système local (configuration par défaut). Ce compte de service requiert des autorisations locales spéciales sur chaque serveur où le service s’exécute, alors assurez-vous de configurer ces autorisations chaque fois que vous démarrez le service sur un serveur. Idéalement, configurez les autorisations du compte de service sur le serveur local avant de démarrer le service, mais si vous les configurez après, vous pouvez redémarrer le service à partir de la console de gestion des services Windows (services.msc).

Pour démarrer le Service d’émission de jetons Revendications vers Windows

1. Créez un compte de service dans Active Directory sous lequel exécuter le service. Dans cet exemple, nous avons créé vmlab\svcC2WTS.

2. Ajoutez un nom principal de service (SPN) arbitraire au compte de service pour exposer les options de délégation pour ce compte dans Utilisateurs et ordinateurs Active Directory. Le SPN peut être d’un format quelconque car pour s’authentifier auprès du Service d’émission de jetons Revendications vers Windows nous n’utilisons pas l’authentification Kerberos. Il est recommandé de ne pas utiliser un nom principal de service HTTP pour éviter de créer potentiellement des noms principaux de service dupliqués dans votre environnement. Dans notre exemple, nous avons enregistré SP/C2WTS sur vmlab\svcC2WTS à l’aide de la commande suivante :

   SetSPN -S SP/C2WTS vmlab\svcC2WTS
   

3. Configurez la délégation Kerberos contrainte sur le compte de service C2WTS. Dans ce scénario, nous déléguons les informations d’identification au service SQL Server qui s’exécute sous le nom principal de service MSOLAPsvc.3/MySqlCluster.vmlab.local.

4. Ensuite, configurez les autorisations de serveur local requises par C2WTS. Vous devez configurer ces autorisations sur chaque serveur où C2WTS s’exécute. Dans notre exemple, il s’agit de VMSP10APP01. Connectez-vous au serveur et octroyez à C2WTS les autorisations suivantes :

   1. Ajoutez le compte de service au groupe Administrateurs local.

   2. Dans la stratégie de sécurité locale (secpol.msc), sous l’attribution des droits utilisateur, octroyez au compte de service les autorisations suivantes :

      1. Agir en tant que partie du système d’exploitation

      2. Emprunter l’identité d’un client après l’authentification

      3. Ouvrir une session en tant que service

5. Ouvrez l’Administration centrale.

6. Dans la section Sécurité, sous Configurer les comptes de service gérés, enregistrez le compte de service C2WTS en tant que compte géré.

7. Sous Services, sélectionnez Gérer les services sur le serveur.

8. Dans la zone de sélection du serveur au coin supérieur droit, sélectionnez le(s) serveur(s) exécutant PerformancePoint Services. Dans cet exemple, il s’agit de VMSP10APP01.

9. Recherchez le Service d’émission de jetons Revendications vers Windows et démarrez-le.

10. Accédez à Gérer les comptes de service dans la section Sécurité. Remplacez l’identité de C2WTS par le nouveau compte géré.

    Notes

    Si C2WTS s’exécutait déjà avant la configuration du compte de service dédié, ou si vous devez changer les autorisations du compte de service alors que C2WTS s’exécute, vous devez redémarrer C2WTS à partir de la console des services.

    D’autre part, si vous rencontrez des problèmes avec C2WTS après le redémarrage du service, il est peut-être nécessaire de réinitialiser les pools d’applications IIS qui communiquent avec C2WTS.

Ajouter les dépendances de démarrage au service WIF C2WTS

Il existe un problème connu avec C2WTS qui risque de ne pas démarrer automatiquement au redémarrage du système. Pour contourner ce problème, configurez une dépendance de service pour les Services de chiffrement :

1. Ouvrez la fenêtre d’invite de commandes.

2. Tapez : sc config c2wts depend= CryptSvc

3. Recherchez le Service d’émission de jetons Revendications vers Windows dans la console des services.

4. Ouvrez les propriétés du service.

5. Consultez l’onglet Dépendances. Assurez-vous que les Services de chiffrement figurent dans la liste :

6. Cliquez sur OK.

Démarrer l’instance du service PerformancePoint Services sur le serveur PerformancePoint Services

Avant de créer une application de service PerformancePoint Services, démarrez le service PerformancePoint Services sur les serveurs désignés de la batterie de serveurs. Pour en savoir plus sur la configuration de PerformancePoint Services, voir Gestion des services de PerformancePoint.

1. Ouvrez l’Administration centrale.

2. Sous Services, sélectionnez Gérer les services sur le serveur.

3. Dans la zone de sélection du serveur au coin supérieur droit, sélectionnez le(s) serveur(s) exécutant PerformancePoint Services. Dans cet exemple, il s’agit de VMSP10APP01.

4. Démarrez le service PerformancePoint Services.

Créer l’application de service et le proxy PerformancePoint Services

Ensuite, configurez une application de service et un proxy d’application PerformancePoint Services pour permettre aux applications Web de consommer PerformancePoint Services :

1. Ouvrez l’Administration centrale.

2. Sélectionnez Gérer les applications de service sous Gestion des applications.

3. Sélectionnez Nouveau, puis cliquez sur Application PerformancePoint Services.

4. Configurez la nouvelle application de service. Assurez-vous de sélectionner le compte de service correct ou créez un nouveau compte géré si vous n’avez pas effectué cette étape précédemment.

Notes

La configuration du compte de service autonome est facultative dans ce scénario et ne sert que si vous comptez également tester l’authentification NTLM.

Vous pouvez créer et enregistrer un nouveau compte de service pour un pool d’applications existant dédié à PerformancePoint Services avant cette étape ou au moment de la création du nouveau service PerformancePoint Services. Pour associer le compte de service à un pool d’applications existant dédié à PerformancePoint ou vérifier un compte existant, procédez comme suit.

1. Accédez à l’Administration centrale de SharePoint. Recherchez Configurer les comptes gérés dans la section Sécurité.

2. Sélectionnez la zone de liste déroulante et sélectionnez le pool d’applications.

3. Sélectionnez le compte Active Directory.

Accorder les autorisations du compte de service PerformancePoint Services sur la base de données de contenu de l’application Web

Lors de la configuration des applications Web Office SharePoint Server 2010, autoriser le compte de service de l’application Web à accéder aux bases de données de contenu est une étape requise. Dans cet exemple, nous allons accorder au compte PerformancePoint Services l’accès à la base de données de contenu de l’application Web de portail en utilisant Windows PowerShell.

Exécutez la commande suivante à partir de SharePoint 2010 Management Shell :

$w = Get-SPWebApplication -Identity http://portal

$w.GrantAccessToProcessIdentity("vmlab\svcPPS")

Configurer l’emplacement de fichiers approuvé et les paramètres d’authentification de PerformancePoint Services

Une fois l’application PerformancePoint Services créée, vous devez configurer les propriétés de la nouvelle application de service pour spécifier un emplacement d’hébergement approuvé et les paramètres d’authentification.

1. Ouvrez l’Administration centrale.

2. Sélectionnez Gérer les applications de service sous Gestion des applications.

3. Cliquez sur le lien de la nouvelle application de service PerformancePoint Services et cliquez sur le bouton Gérer du Ruban.

4. Dans l’écran de gestion de PerformancePoint Services, cliquez sur Emplacements de source de données approuvés.

5. Sélectionnez l’option Seulement des emplacements spécifiques et cliquez sur Ajouter un emplacement source de données approuvé.

6. Tapez l’URL de l’emplacement, sélectionnez l’option Collection de sites (et sous-arborescence), puis cliquez sur OK.

7. Sélectionnez l’option Seulement des emplacements spécifiques et cliquez sur Ajouter un emplacement source de données approuvé.

8. Tapez l’URL de l’emplacement, sélectionnez l’option Site (et sous-arborescence), puis cliquez sur OK.

Vérifier la délégation contrainte du service PerformancePoint

Créer un tableau de bord PerformancePoint de test avec une connexion de données SQL Server AS

Ensuite, ouvrez PerformancePoint Dashboard Designer et créez une connexion de données Analysis Services.

1. Ouvrez PerformancePoint Dashboard Designer et cliquez avec le bouton droit sur la source de données pour créer une connexion.

2. Sélectionnez Analysis Services.

3. Spécifiez le serveur, la base de données et le cube et sélectionnez Par identité d’utilisateur.

4. Cliquez sur Tester la source de données pour tester la connexion.

5. Créez un rapport et un tableau de bord.

6. Vérifiez que vous avez une connexion de données en faisant glisser des mesures et des dimensions du volet détails vers le concepteur de rapports.

7. Vous pouvez inclure votre rapport dans le tableau de bord.

   Sélectionnez Rapports, puis faites glisser Mon rapport sur la page Contenu du tableau de bord.

8.  

Publier le tableau de bord sur SharePoint Server

La dernière étape de validation de l’application PerformancePoint Services consiste à publier le tableau de bord et à tester l’actualisation et l’affichage des données Analysis Services. Pour cela, procédez comme suit :

1. Sélectionnez le bouton icône de fichier brillant.

2. Cliquez sur Déployer dans la sélection.

3. Sélectionnez une page maître de publication.

4. Cliquez sur le bouton Actualiser de votre navigateur.

   Si la connexion de données s’actualise, vous avez correctement configuré la délégation Kerberos pour PerformancePoint Services.