Поделиться через

  • Статья

Вопросы защиты сервера мониторинга

Обновлено: 2009-04-30

В следующих разделах идет описание средств защиты, доступных в Сервер мониторинга.

Проверка подлинности

Сервер мониторинга использует проверку подлинности домена службами Microsoft IIS для проверки подлинности пользователя для доступа к приложению. Любой активный пользователь в доверенном домене имеет доступ к веб-службе, но без конкретных объектов или ролей на уровне сервера пользователь не имеет разрешения на создание или просмотр каких-либо метаданных на сервере.

Сервер мониторинга оснащен заранее составленным набором ролей в репозитории базы данных. Авторизация основана на сравнении пользователя, групп, к которым принадлежит пользователь и ролей сервера мониторинга, назначенных пользователю.

Безопасность приложений

Сервер мониторинга предоставляет несколько ролей, определяющих разрешения на администрирование или создание элементов панели мониторинга. В Конструктор панели мониторинга этим ролям назначаются пользователи и группы из службы каталогов Active Directory.

В дополнение к основным ролям в системе имеются роли элемента панели мониторинга "Редактор" и "Читатель", которые применяются к отдельным элементам на сервере. Эти элементы панели мониторинга включают отчеты, показатели и само определение панели мониторинга.

Делегирование безопасности Kerberos

Олицетворение позволяет веб-приложению или веб-службе вместо использования идентификатора процесса работать от имени идентификатора из другой сущности для доступа к локальным ресурсам. Делегирование позволяет веб-приложению или веб-службе использовать маркер олицетворения для доступа к ресурсам удаленной сети.

Сценарии, которые требуют использование делегирования, часто называют сценариями "двойного прыжка". Делегирование работает на основе встроенной проверки подлинности Windows и протокола Kerberos. Сервер мониторинга требует делегирования, если свойство Bpm.ServerConnectionPerUser имеет значение True в файле Web.config, а также если на удаленных компьютерах установлены службы и веб-узлы, которые зарегистрированы как источники данных. Параметр Bpm.ServerConnectionPerUser заставляет Сервер мониторинга предпринимать попытки использовать идентификатор пользователя, прошедшего проверку подлинности, при обмене данными с внешними источниками данных, такими как службы аналитики.

Сведения о настройке делегирования Kerberos см. в руководстве по развертыванию сервера PerformancePoint Server 2007.