Учетные записи пула приложения сервера мониторинга
Обновлено: 2009-04-30
Процесс приложения сервера мониторинга выполняется в качестве учетной записи, которая указана конфигурацией идентификатора пула приложений.
В дополнение к встроенным системным учетным записям, учетным записям локальной и сетевой служб, можно задать локальную или сетевую учетную запись. Для данной учетной записи требуется доступ к базе данных приложения и к любым необходимым источникам данных. Если сервер настроен на подключение с проверкой подлинности каждого пользователя, то есть, для проверки подлинности используются учетные данные отдельного конечного пользователя, то для учетной записи пула приложения нужен доступ только к базе данных приложения. Однако у всех пользователей должны быть права доступа к любым источникам данных.
Когда это возможно, Сервер мониторинга следует запускать с учетной записью домена, имеющей низкие привилегии. Идентификатор не должен иметь доступ к ресурсам, которые не требуются приложению.
Идентификатор пула приложения сервера мониторинга работает под учетной записью, заданной Диспетчер конфигурации сервера мониторинга. Идентификатор пула приложения, под которым работает узел SharePoint, должен быть настроен с той же учетной записью. Однако Диспетчер конфигурации сервера мониторинга не изменяет текущий параметр, каким бы он ни был — пользователь должен сделать это вручную. Рекомендуется использовать в качестве идентификатора пула приложения учетную запись домена. Учетная запись домена должна быть назначена группе IIS_WPG на компьютере с Сервер мониторинга.
Диспетчер конфигурации сервера мониторинга поддерживает задание учетной записи домена, которое является рекомендуемым развертыванием. Диспетчер конфигурации сервера мониторинга также поддерживает задание встроенной учетной записи. Диспетчер конфигурации сервера мониторинга автоматически назначает выбранной учетной записи права доступа к метаданным, хранящимся в базе данных приложения. По умолчанию этой учетной записи должны быть вручную назначены права доступа к каждому источнику данных, который планируется использовать.
Проверка подлинности источника данных
Источники данных сервера мониторинга часто требуют проверки подлинности приложения для доступа к данным. По умолчанию сервер мониторинга всегда использует идентификатор пула приложения для подключения к любому источнику данных. Единственное исключение составляют источники данных, которые позволяют администраторам указать строку соединения, содержащую учетные данные для доступа. В Конструктор панели мониторинга мастер создания источника данных служб аналитики SQL Server 2005 Analysis Services дает возможность указать набор ролей, чтобы обезопасить подключение к службам аналитики.
Прохождение проверки подлинности в качестве отдельного пользователя может не предоставить достаточного контроля над доступом к бизнес-данным организации. Для обеспечения лучшего управления доступом в Сервер мониторинга имеются два варианта.
Первый вариант заключается в использовании пользовательских данных в строке соединения служб аналитики. Сервер мониторинга имеет возможность указать имя домена и имя пользователя учетной записи, которая проходит проверку подлинности на сервере в качестве пользовательских данных строки соединения. Затем можно настроить службы аналитики так, чтобы ограничить доступ в соответствии со строкой, содержащей имя пользователя, предоставляемое Сервер мониторинга.
Второй вариант заключается во включении поддержки Сервер мониторинга делегирования Kerberos путем включением свойства Bpm.ServerConnectionPerUser в файле Web.config. Делегирование предоставляет маркер олицетворения прошедшего проверку подлинности пользователя любому зарегистрированному источнику данных. При использовании делегирования Kerberos каждому пользователю требуется доступ к источнику данных. Такой доступ к источнику данных для каждого пользователя должен быть зарегистрирован в Сервер мониторинга и в службе, к которой пользователи будут подключаться. Преимущество такого подхода заключается в возможности использования моделей безопасности приложения, которые доступны для каждого зарегистрированного источника данных.
Аналитические отчеты и безопасность источника данных
Поддержка навигации в отчетах служб аналитики предоставляет пользователям возможность получения более полного представления о деятельности предприятия, чем может передать статический отчет. Безопасность уровня отчета для обладателей ролей редактора и читателя позволяет использовать соответствующие данные совместно с определенным набором пользователей. Разрешения ролей редактора и читателя для аналитических отчетов не предотвращают просмотр пользователями данных за пределами того, что позволяет предполагаемое представление. В этом случае, безопасность источника данных является единственным способом ограничения доступа к данным куба. Как только пользователь получает доступ к источнику данных, ссылающемуся на OLAP-куб служб аналитики, он может просматривать все данные в кубе, пока не будет ограничен доступ в службах аналитики. По умолчанию Сервер мониторинга подключается как отдельный пользователь для всех источников данных.
Строки соединения с источником данных
Сервер мониторинга предоставляет пользователям возможность указывать собственные строки соединения для многих из поддерживаемых типов источников данных. Если указывается набор учетных данных как часть строки соединения, необходимо помнить, что эти учетные данные не будут зашифрованы и могут храниться непосредственно в рабочей области любого, кто имеет доступ к источнику данных.
.gif "Внимание!") Внимание! |
|---|
Рекомендуется не вводить учетные данные как часть строки соединения. |
Развертывание продуктов и технологий SharePoint
Рекомендуется, чтобы учетные записи идентификатора пула приложения сервера мониторинга и веб-узлов сервера мониторинга совпадали. Это гарантирует, что при использовании конфигурации по умолчанию, отчеты и показатели выполняются в контексте одного пользователя. Если используется свойство Bpm.ServerConnectionPerUser, по-прежнему рекомендуется упростить конфигурацию Kerberos. Обратите внимание, что процесса, работающий с развернутыми продуктами и технологиями SharePoint, будет иметь доступ к метаданным базы данных сервера мониторинга. Убедитесь, что развертывание ограничивает круг тех, кто может опубликовать содержимое, так как такие пользователи могут иметь возможность доступа к данным сервера мониторинга.
Конфигурация IIS
Помимо настройки идентификатора пула приложения и файла Web.config необходимо также дополнительно защитить сервер мониторинга, включив SSL для всех соответствующих веб-узлов. Рекомендуется использовать только встроенную проверку подлинности Windows и порт по умолчанию.