Condividi tramite

Configurare Analysis Services per la delega vincolata Kerberos

  • Articolo

Si applica a: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

La delega vincolata Kerberos è un protocollo di autenticazione che è possibile configurare con l'autenticazione di Windows per delegare le credenziali client da servizio a servizio in tutto l'ambiente. La delega vincolata Kerberos richiede un'infrastruttura aggiuntiva, ad esempio un controller di dominio, e un'ulteriore configurazione dell'ambiente. KCD è un requisito in alcuni scenari che coinvolgono SQL Server Analysis Services e dati powerpivot con SharePoint 2016. In SharePoint 2016 Excel Services si trova all'esterno della farm di SharePoint, in un nuovo server separato, Office Online Server. Visto che Office Online Server è un server separato, è ancora più importante trovare una soluzione per delegare le credenziali client negli scenari tipici a due hop.

Panoramica

La delega vincolata Kerberos consente a un account di rappresentare un altro account allo scopo di fornire accesso alle risorse. L'account rappresentante sarebbe un account di servizio assegnato a un'applicazione Web o l'account computer di un server Web, mentre l'account che viene rappresentato sarebbe un account utente che richiede l'accesso alle risorse. La delega vincolata Kerberos opera a livello di servizio, affinché l'account rappresentante possa consentire l'accesso a determinati servizi in un server, negandolo ad altri servizi nello stesso server o in altri server.

Le sezioni di questo argomento esaminano gli scenari comuni con SQL Server Analysis Services e Power Pivot in cui è necessaria la configurazione del codice KCD, nonché una distribuzione del server di esempio con un riepilogo generale degli elementi da installare e configurare. Nella sezione Altre informazioni e contenuto della community sono disponibili collegamenti a informazioni più dettagliate sulle tecnologie coinvolte, ad esempio i controller di dominio e la delega vincolata Kerberos.

Scenario 1: Cartella di lavoro come origine dati (WDS).

vedere Office Online Server apre una cartella di lavoro di Excel e vedere 2 vedere 2 rileva una connessione dati a un'altra cartella di lavoro. Office Online Server invia una richiesta al servizio reindirizzamento Power Pivot vedere 3 vedere per aprire la seconda cartella di lavoro e i dati vedere 4.

In questo scenario, le credenziali utente devono essere delegate dal Office Online Server al servizio reindirizzamento PowerPivot di SharePoint in SharePoint.

cartella di lavoro come cartella di lavoro di origine dati come origine dati

Un modello tabulare di Analysis Services vedere 1 vedere 1 collegamenti a una cartella di lavoro di Excel contenente un modello Power Pivot. In questo scenario, quando SQL Server Analysis Services carica il modello tabulare, SQL Server Analysis Services rileva il collegamento alla cartella di lavoro. Quando si elabora il modello, SQL Server Analysis Services invia una richiesta di query a SharePoint per caricare la cartella di lavoro. In questo scenario non è necessaria la delega delle credenziali client da Analysis Services a SharePoint, ma un'applicazione client può sovrascrivere le informazioni dell'origine dati in un'associazione out-of-line. Se la richiesta di associazione out-of-line specifica di rappresentare l'utente corrente, è necessario delegare le credenziali utente, che richiede la configurazione di KCD tra SQL Server Analysis Services e SharePoint.

server online office

Esempio di distribuzione della delega vincolata Kerberos con Office Online Server e Analysis Services

Questa sezione descrive un esempio di distribuzione che usa quattro computer. Nelle sezioni seguenti sono riepilogati i passaggi di installazione e configurazione principali per ogni computer. Prima di iniziare le distribuzioni, è consigliabile che nei computer siano state applicate le patch più recenti per il sistema operativo ed è opportuno conoscere i nomi dei computer perché sono necessari in alcuni passaggi di configurazione.

  • Controller di dominio

  • Motore di database di SQL Server e Analysis Services in modalità Power Pivot. L'istanza del motore di database verrà usata per i database del contenuto di SharePoint.

  • SharePoint server 2016

  • Office Online Server

controller di dominio del controller di dominio

Controller di dominio

Di seguito è riportato un riepilogo di ciò che occorre installare per il controller di dominio.

  • Ruolo: Servizi di dominio Active Directory.

  • Ruolo: server DNS

  • Funzionalità: funzionalità di .NET Framework 3.5/.NET Framework 3.5

  • Funzionalità: Strumenti di amministrazione remota del server/Strumenti di amministrazione ruoli

  • Configurare Active Directory per creare una nuova foresta e aggiungere i computer al dominio. Prima di tentare di aggiungere altri computer al dominio privato, è necessario configurare i DNS dei computer client sull'indirizzo IP del controller di dominio. Nel computer controller di dominio eseguire ipconfig /all per ottenere gli indirizzi IPv4 e IPv6 per il passaggio successivo.

  • È consigliabile configurare indirizzi sia IPv4 che IPv6. A questo scopo si può usare il Pannello di controllo di Windows:

    1. Fare clic su Centro connessioni di rete e condivisione

    2. Fare clic sulla connessione Ethernet

    3. Fare clic su Proprietà

    4. Fare clic su Protocollo Internet versione 6 (TCP/IPv6)

    5. Fare clic su Proprietà

    6. Fare clic su Utilizza i seguenti indirizzi server DNS

    7. Digitare l'indirizzo IP dal comando ipconfig.

    8. Fare clic sul pulsante Avanzate , selezionare la scheda DNS e verificare che i suffissi DNS siano corretti.

    9. Fare clic su Aggiungi questi suffissi DNS.

    10. Ripetere la procedura per IPv4.

    Nota: è possibile aggiungere computer al dominio dal Pannello di controllo di Windows, in Impostazioni di sistema. Per altre informazioni, vedere How To Join Windows Server 2012 to a Domain(Come aggiungere Windows Server 2012 a un dominio).

Server ssas in modalità powerpivot ssas

Motore di database di SQL Server 2016 e Analysis Services in modalità Power Pivot.

Di seguito è riportato un riepilogo di cosa installare nel computer SQL Server.

nota nota Nella procedura guidata di installazione SQL Server 2017 SQL Server Analysis Services in modalità Power Pivot viene installato come parte del flusso di lavoro di selezione delle funzionalità.

  1. Eseguire la configurazione guidata SQL Server 2017 e dalla pagina di selezione delle funzionalità fare clic sul motore di database, SQL Server Analysis Services e sugli strumenti di gestione. In una configurazione successiva per la procedura guidata di installazione è possibile specificare la modalità Power Pivot per SQL Server Analysis Services.

  2. Ad esempio, configurare un'istanza denominata di "POWERPIVOT".

  3. Nella pagina Configurazione di Analysis Services configurare il server Analysis Services per la modalità PowerPivot e aggiungere il nome computer di Office Online Server all'elenco di amministratori del server Analysis Services. Per altre informazioni, vedere Install Analysis Services in Power Pivot Mode.

  4. Nota, per impostazione predefinita il tipo di oggetto "Computer" non è incluso nella ricerca. Fare clic su oggetti per aggiungere l'account computer l'oggetto Computers.

    aggiungere account computer come amministratori di ssas aggiungere

  5. Creare i nomi dell'entità servizio (SPN) per l'istanza di Analysis Services.

    Ecco alcuni comandi SPN utili:

    • Elencare il nome SPN per un nome account specifico che esegue il servizio di interesse: SetSPN -l <account-name>

    • Impostare un nome SPN per un nome account che esegue il servizio di interesse: SetSPN -a <SPN> <account-name>

    • Eliminare un nome SPN da un nome account specifico che esegue il servizio di interesse: SetSPN -D <SPN> <account-name>

    • Cercare nomi SPN duplicati: SetSPN -X

    Il nome SPN per l'istanza di PowerPivot sarà nel formato:

    MSSQLSvc.3/\<Fully Qualified Domain Name (FQDN)>:POWERPIVOT  
MSSQLSvc.3/<NetBIOS Name>:POWERPIVOT

    Dove il nome di dominio completo e i nomi NetBIOS corrispondono al nome del computer in cui risiede l'istanza. Questi nomi SPN verranno posizionati nell'account di dominio usato per l'account del servizio. Se si usa Servizio di rete, Sistema locale o ID servizio, è opportuno inserire il nome SPN nell'account computer di dominio. Se si usa un account utente di dominio, inserire il nome SPN in tale account.

  6. Creare il nome SPN per il servizio SQL Browser nel computer di Analysis Services.

    Scopri di più

  7. Configurare le impostazioni della delega vincolata nell'account del servizio Analysis Services per qualsiasi origine esterna da cui si eseguirà l'aggiornamento, ad esempio SQL Server o file di Excel. Nell'account del servizio Analysis Services, è necessario assicurarsi che sia impostato quanto segue.

    Nota: se in Utenti e computer di Active Directory non è presente la scheda Delega per l'account, significa che non esiste alcun nome SPN nell'account. È possibile aggiungere un nome SPN fittizio per far sì che venga visualizzato come my/spn.

    Utente attendibile per la delega solo ai servizi specificati e Utilizza un qualsiasi protocollo di autenticazione.

    Questa operazione è detta delega vincolata ed è necessaria perché il token di Windows avrà origine da Attestazioni per il servizio token Windows (C2WTS) che richiede la delega vincolata con transizione di protocollo.

    Analysis Services - Delega vincolata

    Occorrerà anche aggiungere i servizi a cui si delegherà. Questo aspetto varia in base all'ambiente.

Office Online Server

  1. Installare Office Online Server

  2. Configurare Office Online Server per connettersi al server SQL Server Analysis Services. Nota, l'account computer Office Online Server deve essere un amministratore nel server SQL Server Analysis Services. Questa operazione è stata completata in una sezione precedente di questo argomento, installando il server di SQL Server Analysis Services.

    1. In Office Online Server aprire una finestra di PowerShell con privilegi amministrativi ed eseguire il comando seguente

    2. New-OfficeWebAppsExcelBIServer -ServerId <AS instance name>

    3. Esempio: New-OfficeWebAppsExcelBIServer -ServerId "MTGQLSERVER-13\POWERPIVOT"

  3. Configurare Active Directory per consentire all'account computer di Office Online Server di rappresentare gli utenti nell'account del servizio SharePoint. Quindi, impostare la proprietà di delega sull'entità che esegue il pool di applicazioni per i servizi Web di SharePoint, in Office Online Server: i comandi di PowerShell in questa sezione richiedono gli oggetti PowerShell di Active Directory (AD).

    1. Ottenere l'identità Active Directory di Office Online Server

      $computer1 = Get-ADComputer -Identity [ComputerName]

      il nome di questa entità si trova in Gestione attività/Dettagli/nome utente di w3wp.exe. Ad esempio "svcSharePoint"

      Set-ADUser svcSharePoint -PrincipalsAllowedToDelegateToAccount $computer1

    2. Per verificare che la proprietà sia stata impostata correttamente

    3. Get-ADUser svcSharePoint -Properties PrincipalsAllowedToDelegateToAccount

  4. Configurare le impostazioni della delega vincolata dell'account di Office Online Server sull'istanza di Analysis Services Power Pivot. Deve essere l'account del computer con cui viene eseguito Office Online Server. Nell'account di Office Online Server, è necessario assicurarsi che sia impostato quanto segue.

    Nota: se in Utenti e computer di Active Directory non è presente la scheda Delega per l'account, significa che non esiste alcun nome SPN nell'account. È possibile aggiungere un nome SPN fittizio per far sì che venga visualizzato come my/spn.

    Utente attendibile per la delega solo ai servizi specificati e Utilizza un qualsiasi protocollo di autenticazione.

    Questa operazione è detta delega vincolata ed è necessaria perché il token di Windows avrà origine da Attestazioni per il servizio token Windows (C2WTS) che richiede la delega vincolata con transizione di protocollo. Sarà quindi necessario consentire la delega ai nomi SPN MSOLAPSvc.3 e MSOLAPDisco.3 creati in precedenza.

  5. Configurare Attestazioni per il servizio token Windows (C2WTS) Necessario per lo scenario 1. Per altre informazioni, vedere Cenni preliminari su Claims to Windows Token Service (c2WTS).

  6. Configurare le impostazioni della delega vincolata nell'account del servizio C2WTS. Le impostazioni devono corrispondere a quanto configurato nel passaggio 4.

SharePoint Server

SharePoint Server 2016

Di seguito è riportato un riepilogo dell'installazione di SharePoint Server.

  1. Installare il programma di installazione dei prerequisiti di SharePoint

  2. Eseguire l'installazione di SharePoint e selezionare l'impostazione ruolo Single Server Farm (Server farm singola).

  3. Eseguire il componente aggiuntivo PowerPivot per SharePoint (spPowerPivot16.msi). Per altre informazioni, vedere Installare o disinstallare il componente aggiuntivo PowerPivot per SharePoint (SharePoint 2016)

  4. Eseguire la Configurazione guidata PowerPivot. Vedere Strumenti di configurazione di Power Pivot.

  5. Connettere SharePoint al Office Online Server. (Configure_xlwac_on_SPO.ps1)

  6. Configurare i provider di autenticazione SharePoint per Kerberos. Necessario per lo scenario 1. Per altre informazioni, vedere Pianificare l'autenticazione Kerberos in SharePoint 2013.

Vedi anche

Microsoft® Kerberos Configuration Manager per Microsoft SQL Server®