SlideShare uma empresa Scribd logo

Soluciones BI con delegación Kerberos | SolidQ Summit 2012

SolidQ
SolidQ

Los usuarios tienen a su alcance diversas formas de obtener datos de los origénes. En escenarios en los que se conectan directamente se aplica la seguridad a nivel de dato, pero ¿que pasa cuando el escenario crece? Y si implementamos servicios SharePoint como capa de visualización de datos.... seguro que muchos se nos viene a la mente la palabra Kerberos. Durante esta sesión vamos a enfrentarnos al reto de configurarlo para realizar análisis en PerformancePoint services sin perder la seguridad sobre los datos

1 de 26
Baixar para ler offline
BI200004 Soluciones BI con delegación Kerberos Miguel Egea Victor M. Sánchez García Mentor BI Data Platform Architect MVP SQL, MAP 2012 MAP 2012, MCITP en SQL 2008 BI megea@solidq.com vsanchez@solidq.com @megea @atharky
Objetivos  Conocer distintos escenarios de identificación sobre orígenes de datos en Soluciones de BI  Configuración de delegación con Kerberos para Analysis Services  Acceder a orígenes de datos desde servicios SharePoint 2010 con delegación de credenciales del usuario Sí, es posible.
Agenda  Escenarios de acceso a datos e identificación  Una píldora sobre autenticación en Windows  Configurando Análisis Services para permitir delegación  Configurando PerformancePoint Services para delegación  Monitorizando conexiones a orígenes de datos
Soluciones BI con delegación Kerberos Escenarios de acceso a datos Identificación
Escenarios de acceso a datos Aplicaciones cliente conectadas a orígenes de datos  Excel  PowerPivot  Reporting modo nativo  Management Studio  Visio  Herramientas de terceros Clientes utilizando servicios que acceden a orígenes de datos  PerformancePoint Services  Excel Services  Visio Services  SQL Server PowerPivot para SharePoint 2010  SQL Server Reporting Services para SharePoint 2010
Escenarios de Accesos a datos Cliente <–> Servidor Escenario 1  Usuarios con aplicaciones  Analisis cliente conectadas al Services origen de datos Usuario Servidor 1 Escenario 2  SharePoint 2010  Usuarios conectándose a un servidor con SharePoint utilizando un origen de  Analisis datos en la misma máquina Services Usuario Servidor 1
Escenarios de Accesos a datos Escenario multi-capa (multi-tier) Escenario 3  SharePoint 2010 en server 1  Origen de datos en server 2  SharePoint 2010  Analysis Services Usuario Servidor 1 Servidor 2 (o Granja)
Escenarios de Accesos a datos Identificación directa Escenarios 1 y 2….. Usuarios identificados Orígenes de datos
Escenarios de Accesos a datos Identificación con doble salto (double-hop) Escenario 3….. Usuarios identificados Orígenes de datos Servicios intermedios  PerformancePoint Services  PowerPivot  Excel Services
Soluciones BI con delegación Kerberos Una píldora sobre autenticación en Windows
Protocolos de autenticación (Wndows Authentication) NTLM Kerberos Ventajas Desventajas Ventajas Desventajas No soporta Soporta Protocolo Ninguna algoritmos por defecto Disminuye Requiere doble salto Protocolo configuració Vulnerable de desde el tráfico de configuració de propietario n adicional encriptación Windows Red n adicional servidores complejos 2000 Incompatibl Valida Obsoleto Soporta e con Genera más No soporta utilizando (legado de Permite Código autenticació encriptación tráfico de direcciones direcciones Lan delegación abierto n mutua AES o SHA- red IP IP Manager) (Client/Server) 256
Kerberos ¿Tiene usted su ticket?  Authentication Server (AS), que verifica la identidad y proporciona el ticket (TGT) correspondiente si efectivamente la autenticación tuvo éxito.  Ticket Granting Server (TGS), que emite el ticket cuando se realiza una petición de conexión.
Kerberos ¿Cómo funciona la delegación? 4. Petición y respuesta de delgación Kerberos para el Ticket para el Server 2 5. Conecta al server 2 utilizando las 3. Conecta utilizando credenciales del cliente credenciales de cliente al que tiene el server 1 server 1
Kerberos Services Principal Names  Service Principal Names (SPN)  Identifican los servicios  MSSQLSvc, MSOLAPSvc, MSOLAPDisco, HTTP  Los User Principal Names identifican los usuarios.  Para registrar un SPN la combinación de SPN y UPN debe ser única.  Setspn –S <SPN>/<ServerName> <UPN> || <hostname>
DEMO Doble salto con NTLM
Soluciones BI con delegación Kerberos Configurando Analysis Services para autenticación Kerberos
Requisitos de configuración de Kerberos para Analysis Services  El servidor SSAS debe estar unido al dominio SM-SPSQL2012.sqldemo.com  El servicio debe ejecutarse con una cuenta de dominio sqldemosqlasservice  Establecer un puerto fijo y permitir la comunicación en el firewall (2383)  Registrar SPN para la cuenta del servicio setspn –s MSOLAPSvc.3/<FQDN>:instance sqldemosqlasservice  En instancias con nombre el servicio SQL Browser debe configurarse  Ejecutar el servicio con una cuenta de dominio  Registrar los SPN para la cuenta de SQL Browser setspn –s MSOLAPDisco.3/<FQDN>:instance sqldemosqlservice
DEMO Configurar Analysis Services para autenticación con Kerberos
Soluciones BI con delegación Kerberos Configurando PerformancePoint Services para delegación
Seguridad en SharePoint 2010 Clients SharePoint Farm External System Classic (Windows Auth) Classic (Windows Auth) Claims Claims Claims Incoming Intra/Inter Farm Outgoing Authentication Authentication Authentiction
Delegación con PerforformancePoint Services Requisitos configuración Administración Active Directory Analysis Server SharePoint 2010 Crear cuentas necesarias (SSAS, HTTP, PPS) Crear aplicación web con autenticación negociada Registrar SPNs HTTP, SP y MSOLAPSvc y Registrar cuentas MSOLAPDisco administrada por Iniciar servicio Analysis SharePoint Services con cuenta de Autorizar delegación dominio entre máquinas Iniciar Claims to Autorizar delegación Windows Token entre cuentas
Delegación en PerformancePoint Services: Checklist  Tener instalado un SharePoint 2010   Configurar delegación para Analysis Services  Configurar delegación para la cuenta de SQL content dbs  Crear en el servidor DNS un Host(A) para la IP de la aplicación web  Crear una cuenta de dominio para el pool de la aplicación web (sqldemospsummit_webpool)  Crear una cuenta para el pool de PerformancePoint Services (sqldemospsummit_ppspool)  Registrar las cuentas anteriores para que sean administradas por SharePoint  Registrar el SPN HTTP en la cuenta del pool de la aplicación web con el Host (A) setspn –s HTTP/<hostname>:port sqldemospsummit_webpool setspn –s HTTP/<FQDN>:port sqldemospsummit_webpool  Cambiar la configuración de seguridad de IIS desde SharePoint para la aplicación web  Reiniciar IIS
Delegación en PerformancePoint Services: Checklist  Registrar un SPN ficticio para la cuenta del pool de PerformancePoint Services setspn –s SP/<hostname>:port sqldemospsummit_ppspool  Asociar los SPN de la cuenta que ejecuta Analysis Services para delegación en la cuenta de PerformancePoint Services  Crear un nuevo servicio de aplicación PPS con la cuenta configurada  Asociar el nuevo proxy de PPS a la aplicación web  Purgar tickets!
DEMO Configurar PerformancePoint Services para utilizar delegación a través de Kerberos
Referencias Referencias  SharePoint 2010 Kerberos Guide  http://www.microsoft.com/en-us/download/details.aspx?id=23176  KB sobre instancias SQL y AS con nombre y kerberos  http://support.microsoft.com/kb/950599/  Kerberos Extensions  http://technet.microsoft.com/en-us/library/cc738207(v=ws.10)  Kerberos in SQL Server  http://support.microsoft.com/kb/319723  Klist.exe  http://www.microsoft.com/downloads/details.aspx?FamilyID=1581e6e7-7e64- 4a2d-8aba-73e909d2a7dc&DisplayLang=en  KerbTray.exe  http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6- 49f6-85be-e866af8e7a88&DisplayLang=en
Si quieres disfrutar de las mejores sesiones de nuestros mentores de España y Latino América, ésta es tu oportunidad. http://summit.solidq.com/madrid/ Síguenos:

Recomendados

Integración entre Reporting Services (SSRS) y SharePoint 2010
Integración entre Reporting Services (SSRS) y SharePoint 2010Integración entre Reporting Services (SSRS) y SharePoint 2010
Integración entre Reporting Services (SSRS) y SharePoint 2010SolidQ
 
Configuración de Seguridad Integrada
Configuración de Seguridad IntegradaConfiguración de Seguridad Integrada
Configuración de Seguridad IntegradaSolidQ
 
CSA - SharePoint 2010 - Instalación y Configuración
CSA - SharePoint 2010 - Instalación y ConfiguraciónCSA - SharePoint 2010 - Instalación y Configuración
CSA - SharePoint 2010 - Instalación y ConfiguraciónComunidad SharePoint
 
Administracion Sharepoint 2010
Administracion Sharepoint 2010Administracion Sharepoint 2010
Administracion Sharepoint 2010Eva Ordoñez Perez
 
¿Es posible extender a SharePoint 2013? Probablemente en más de una forma…
¿Es posible extender a SharePoint 2013? Probablemente en más de una forma…¿Es posible extender a SharePoint 2013? Probablemente en más de una forma…
¿Es posible extender a SharePoint 2013? Probablemente en más de una forma…Fabian Imaz
 
SharePoint 2010 para IT Pros
SharePoint 2010 para IT ProsSharePoint 2010 para IT Pros
SharePoint 2010 para IT ProsHector Insua
 
Seguridad j1v2
Seguridad j1v2Seguridad j1v2
Seguridad j1v2Moisés Cid Deza
 
Exprimiendo SharePoint 2010
Exprimiendo SharePoint 2010Exprimiendo SharePoint 2010
Exprimiendo SharePoint 2010Juan Pablo
 

Recomendados

Integración entre Reporting Services (SSRS) y SharePoint 2010
Integración entre Reporting Services (SSRS) y SharePoint 2010Integración entre Reporting Services (SSRS) y SharePoint 2010
Integración entre Reporting Services (SSRS) y SharePoint 2010SolidQ
 
Configuración de Seguridad Integrada
Configuración de Seguridad IntegradaConfiguración de Seguridad Integrada
Configuración de Seguridad IntegradaSolidQ
 
CSA - SharePoint 2010 - Instalación y Configuración
CSA - SharePoint 2010 - Instalación y ConfiguraciónCSA - SharePoint 2010 - Instalación y Configuración
CSA - SharePoint 2010 - Instalación y ConfiguraciónComunidad SharePoint
 
Administracion Sharepoint 2010
Administracion Sharepoint 2010Administracion Sharepoint 2010
Administracion Sharepoint 2010Eva Ordoñez Perez
 
¿Es posible extender a SharePoint 2013? Probablemente en más de una forma…
¿Es posible extender a SharePoint 2013? Probablemente en más de una forma…¿Es posible extender a SharePoint 2013? Probablemente en más de una forma…
¿Es posible extender a SharePoint 2013? Probablemente en más de una forma…Fabian Imaz
 
SharePoint 2010 para IT Pros
SharePoint 2010 para IT ProsSharePoint 2010 para IT Pros
SharePoint 2010 para IT ProsHector Insua
 
Seguridad j1v2
Seguridad j1v2Seguridad j1v2
Seguridad j1v2Moisés Cid Deza
 
Exprimiendo SharePoint 2010
Exprimiendo SharePoint 2010Exprimiendo SharePoint 2010
Exprimiendo SharePoint 2010Juan Pablo
 
Private Cloud Administration - WAP
Private Cloud Administration - WAPPrivate Cloud Administration - WAP
Private Cloud Administration - WAPJohn Barreto Espinosa
 
Seguridad Windows Server 2008
Seguridad Windows Server 2008Seguridad Windows Server 2008
Seguridad Windows Server 2008Conferencias FIST
 
Sharepoint 2013 que hay de nuevo
Sharepoint 2013 que hay de nuevoSharepoint 2013 que hay de nuevo
Sharepoint 2013 que hay de nuevoDaniel Laco
 
Introducción a Azure App Service - MUG Buenos Aires
Introducción a Azure App Service - MUG Buenos AiresIntroducción a Azure App Service - MUG Buenos Aires
Introducción a Azure App Service - MUG Buenos AiresGuillermo Javier Bellmann
 
WorkShop SQL Azure
WorkShop SQL AzureWorkShop SQL Azure
WorkShop SQL AzureJohn Bulla
 
Sharepoint server 2010 - La nueva colaboración
Sharepoint server 2010 - La nueva colaboraciónSharepoint server 2010 - La nueva colaboración
Sharepoint server 2010 - La nueva colaboraciónAndrés Iturralde
 
Novedades en Desarrollo en SharePoint 2013
Novedades en Desarrollo en SharePoint 2013Novedades en Desarrollo en SharePoint 2013
Novedades en Desarrollo en SharePoint 2013Juan Carlos Gonzalez
 
Anatomía del Inicio de Sesión en Windows
Anatomía del Inicio de Sesión en WindowsAnatomía del Inicio de Sesión en Windows
Anatomía del Inicio de Sesión en WindowsJoaquin Herrero
 
Radius
RadiusRadius
RadiusMELGO2012
 
5 - SharePoint 2010 y Windows 2008 R2, por Hector Insua y Ruben Colomo
5 - SharePoint 2010 y Windows 2008 R2, por Hector Insua y Ruben Colomo5 - SharePoint 2010 y Windows 2008 R2, por Hector Insua y Ruben Colomo
5 - SharePoint 2010 y Windows 2008 R2, por Hector Insua y Ruben ColomoLuis Du Solier
 
SharePoint 2010 y Windows 2008 R2
SharePoint 2010 y Windows 2008 R2SharePoint 2010 y Windows 2008 R2
SharePoint 2010 y Windows 2008 R2Hector Insua
 
Construyendo APIs Seguras y Escalables
Construyendo APIs Seguras y Escalables Construyendo APIs Seguras y Escalables
Construyendo APIs Seguras y Escalables Amazon Web Services LATAM
 
Esto es todo sobre los servicios Desarrollo de Aplicaciones Personalizadas pa...
Esto es todo sobre los servicios Desarrollo de Aplicaciones Personalizadas pa...Esto es todo sobre los servicios Desarrollo de Aplicaciones Personalizadas pa...
Esto es todo sobre los servicios Desarrollo de Aplicaciones Personalizadas pa...Andrés Iturralde
 
Seguridad Windows Server 2008
Seguridad Windows Server 2008Seguridad Windows Server 2008
Seguridad Windows Server 2008Conferencias FIST
 
Actividad 05 implementación de servicios de infraestructura de red(1)
Actividad 05 implementación de servicios de infraestructura de red(1)Actividad 05 implementación de servicios de infraestructura de red(1)
Actividad 05 implementación de servicios de infraestructura de red(1)Diana Marcela Samboni
 
Ransomware: Estratégias de Mitigación
Ransomware: Estratégias de MitigaciónRansomware: Estratégias de Mitigación
Ransomware: Estratégias de MitigaciónAmazon Web Services LATAM
 
VSTS 2010
VSTS 2010VSTS 2010
VSTS 2010Jair Moreno
 
SharePoint 2010 Introducción para Desarrolladores
SharePoint 2010 Introducción para DesarrolladoresSharePoint 2010 Introducción para Desarrolladores
SharePoint 2010 Introducción para DesarrolladoresAndrés Iturralde
 
Windows Server 2008 & Windows 7
Windows Server 2008 & Windows 7Windows Server 2008 & Windows 7
Windows Server 2008 & Windows 7Chema Alonso
 
Implantacion de-exchange-con-thunderbird-con-davmail
Implantacion de-exchange-con-thunderbird-con-davmailImplantacion de-exchange-con-thunderbird-con-davmail
Implantacion de-exchange-con-thunderbird-con-davmailAndrés Gomis Gomis
 
SolidQ Summit 2018 - Qué necesita saber un DBA de Integration Services
SolidQ Summit 2018 - Qué necesita saber un DBA de Integration ServicesSolidQ Summit 2018 - Qué necesita saber un DBA de Integration Services
SolidQ Summit 2018 - Qué necesita saber un DBA de Integration ServicesSolidQ
 
SolidQ Summit 2018 - Seguridad a nivel datos. RLS
SolidQ Summit 2018 - Seguridad a nivel datos. RLSSolidQ Summit 2018 - Seguridad a nivel datos. RLS
SolidQ Summit 2018 - Seguridad a nivel datos. RLSSolidQ
 

Mais conteúdo relacionado

Semelhante a Soluciones BI con delegación Kerberos | SolidQ Summit 2012

Seguridad Windows Server 2008
Seguridad Windows Server 2008Seguridad Windows Server 2008
Seguridad Windows Server 2008Conferencias FIST
 
Sharepoint 2013 que hay de nuevo
Sharepoint 2013 que hay de nuevoSharepoint 2013 que hay de nuevo
Sharepoint 2013 que hay de nuevoDaniel Laco
 
Introducción a Azure App Service - MUG Buenos Aires
Introducción a Azure App Service - MUG Buenos AiresIntroducción a Azure App Service - MUG Buenos Aires
Introducción a Azure App Service - MUG Buenos AiresGuillermo Javier Bellmann
 
WorkShop SQL Azure
WorkShop SQL AzureWorkShop SQL Azure
WorkShop SQL AzureJohn Bulla
 
Sharepoint server 2010 - La nueva colaboración
Sharepoint server 2010 - La nueva colaboraciónSharepoint server 2010 - La nueva colaboración
Sharepoint server 2010 - La nueva colaboraciónAndrés Iturralde
 
Novedades en Desarrollo en SharePoint 2013
Novedades en Desarrollo en SharePoint 2013Novedades en Desarrollo en SharePoint 2013
Novedades en Desarrollo en SharePoint 2013Juan Carlos Gonzalez
 
Anatomía del Inicio de Sesión en Windows
Anatomía del Inicio de Sesión en WindowsAnatomía del Inicio de Sesión en Windows
Anatomía del Inicio de Sesión en WindowsJoaquin Herrero
 
5 - SharePoint 2010 y Windows 2008 R2, por Hector Insua y Ruben Colomo
5 - SharePoint 2010 y Windows 2008 R2, por Hector Insua y Ruben Colomo5 - SharePoint 2010 y Windows 2008 R2, por Hector Insua y Ruben Colomo
5 - SharePoint 2010 y Windows 2008 R2, por Hector Insua y Ruben ColomoLuis Du Solier
 
SharePoint 2010 y Windows 2008 R2
SharePoint 2010 y Windows 2008 R2SharePoint 2010 y Windows 2008 R2
SharePoint 2010 y Windows 2008 R2Hector Insua
 
Esto es todo sobre los servicios Desarrollo de Aplicaciones Personalizadas pa...
Esto es todo sobre los servicios Desarrollo de Aplicaciones Personalizadas pa...Esto es todo sobre los servicios Desarrollo de Aplicaciones Personalizadas pa...
Esto es todo sobre los servicios Desarrollo de Aplicaciones Personalizadas pa...Andrés Iturralde
 
Seguridad Windows Server 2008
Seguridad Windows Server 2008Seguridad Windows Server 2008
Seguridad Windows Server 2008Conferencias FIST
 
Actividad 05 implementación de servicios de infraestructura de red(1)
Actividad 05 implementación de servicios de infraestructura de red(1)Actividad 05 implementación de servicios de infraestructura de red(1)
Actividad 05 implementación de servicios de infraestructura de red(1)Diana Marcela Samboni
 
SharePoint 2010 Introducción para Desarrolladores
SharePoint 2010 Introducción para DesarrolladoresSharePoint 2010 Introducción para Desarrolladores
SharePoint 2010 Introducción para DesarrolladoresAndrés Iturralde
 
Windows Server 2008 & Windows 7
Windows Server 2008 & Windows 7Windows Server 2008 & Windows 7
Windows Server 2008 & Windows 7Chema Alonso
 
Implantacion de-exchange-con-thunderbird-con-davmail
Implantacion de-exchange-con-thunderbird-con-davmailImplantacion de-exchange-con-thunderbird-con-davmail
Implantacion de-exchange-con-thunderbird-con-davmailAndrés Gomis Gomis
 

Semelhante a Soluciones BI con delegación Kerberos | SolidQ Summit 2012 (20)

Private Cloud Administration - WAP
Private Cloud Administration - WAPPrivate Cloud Administration - WAP
Private Cloud Administration - WAP
 
Seguridad Windows Server 2008
Seguridad Windows Server 2008Seguridad Windows Server 2008
Seguridad Windows Server 2008
 
Sharepoint 2013 que hay de nuevo
Sharepoint 2013 que hay de nuevoSharepoint 2013 que hay de nuevo
Sharepoint 2013 que hay de nuevo
 
Introducción a Azure App Service - MUG Buenos Aires
Introducción a Azure App Service - MUG Buenos AiresIntroducción a Azure App Service - MUG Buenos Aires
Introducción a Azure App Service - MUG Buenos Aires
 
WorkShop SQL Azure
WorkShop SQL AzureWorkShop SQL Azure
WorkShop SQL Azure
 
Sharepoint server 2010 - La nueva colaboración
Sharepoint server 2010 - La nueva colaboraciónSharepoint server 2010 - La nueva colaboración
Sharepoint server 2010 - La nueva colaboración
 
Novedades en Desarrollo en SharePoint 2013
Novedades en Desarrollo en SharePoint 2013Novedades en Desarrollo en SharePoint 2013
Novedades en Desarrollo en SharePoint 2013
 
Anatomía del Inicio de Sesión en Windows
Anatomía del Inicio de Sesión en WindowsAnatomía del Inicio de Sesión en Windows
Anatomía del Inicio de Sesión en Windows
 
Radius
RadiusRadius
Radius
 
5 - SharePoint 2010 y Windows 2008 R2, por Hector Insua y Ruben Colomo
5 - SharePoint 2010 y Windows 2008 R2, por Hector Insua y Ruben Colomo5 - SharePoint 2010 y Windows 2008 R2, por Hector Insua y Ruben Colomo
5 - SharePoint 2010 y Windows 2008 R2, por Hector Insua y Ruben Colomo
 
SharePoint 2010 y Windows 2008 R2
SharePoint 2010 y Windows 2008 R2SharePoint 2010 y Windows 2008 R2
SharePoint 2010 y Windows 2008 R2
 
Construyendo APIs Seguras y Escalables
Construyendo APIs Seguras y Escalables Construyendo APIs Seguras y Escalables
Construyendo APIs Seguras y Escalables
 
Esto es todo sobre los servicios Desarrollo de Aplicaciones Personalizadas pa...
Esto es todo sobre los servicios Desarrollo de Aplicaciones Personalizadas pa...Esto es todo sobre los servicios Desarrollo de Aplicaciones Personalizadas pa...
Esto es todo sobre los servicios Desarrollo de Aplicaciones Personalizadas pa...
 
Seguridad Windows Server 2008
Seguridad Windows Server 2008Seguridad Windows Server 2008
Seguridad Windows Server 2008
 
Actividad 05 implementación de servicios de infraestructura de red(1)
Actividad 05 implementación de servicios de infraestructura de red(1)Actividad 05 implementación de servicios de infraestructura de red(1)
Actividad 05 implementación de servicios de infraestructura de red(1)
 
Ransomware: Estratégias de Mitigación
Ransomware: Estratégias de MitigaciónRansomware: Estratégias de Mitigación
Ransomware: Estratégias de Mitigación
 
VSTS 2010
VSTS 2010VSTS 2010
VSTS 2010
 
SharePoint 2010 Introducción para Desarrolladores
SharePoint 2010 Introducción para DesarrolladoresSharePoint 2010 Introducción para Desarrolladores
SharePoint 2010 Introducción para Desarrolladores
 
Windows Server 2008 & Windows 7
Windows Server 2008 & Windows 7Windows Server 2008 & Windows 7
Windows Server 2008 & Windows 7
 
Implantacion de-exchange-con-thunderbird-con-davmail
Implantacion de-exchange-con-thunderbird-con-davmailImplantacion de-exchange-con-thunderbird-con-davmail
Implantacion de-exchange-con-thunderbird-con-davmail
 

Mais de SolidQ

SolidQ Summit 2018 - Qué necesita saber un DBA de Integration Services
SolidQ Summit 2018 - Qué necesita saber un DBA de Integration ServicesSolidQ Summit 2018 - Qué necesita saber un DBA de Integration Services
SolidQ Summit 2018 - Qué necesita saber un DBA de Integration ServicesSolidQ
 
SolidQ Summit 2018 - Seguridad a nivel datos. RLS
SolidQ Summit 2018 - Seguridad a nivel datos. RLSSolidQ Summit 2018 - Seguridad a nivel datos. RLS
SolidQ Summit 2018 - Seguridad a nivel datos. RLSSolidQ
 
SolidQ Summit 2018 - Todo lo que un integrador de datos debería tener... y pa...
SolidQ Summit 2018 - Todo lo que un integrador de datos debería tener... y pa...SolidQ Summit 2018 - Todo lo que un integrador de datos debería tener... y pa...
SolidQ Summit 2018 - Todo lo que un integrador de datos debería tener... y pa...SolidQ
 
SolidQ Summit 2018 - ¿Dificultades gestionando relaciones muchos a muchos? De...
SolidQ Summit 2018 - ¿Dificultades gestionando relaciones muchos a muchos? De...SolidQ Summit 2018 - ¿Dificultades gestionando relaciones muchos a muchos? De...
SolidQ Summit 2018 - ¿Dificultades gestionando relaciones muchos a muchos? De...SolidQ
 
SolidQ Summit 2018 - Report Server: Nuevos mutantes
SolidQ Summit 2018 - Report Server: Nuevos mutantesSolidQ Summit 2018 - Report Server: Nuevos mutantes
SolidQ Summit 2018 - Report Server: Nuevos mutantesSolidQ
 
Cuando QueryStore no sirve, ¿qué opciones tenemos?
Cuando QueryStore no sirve, ¿qué opciones tenemos?Cuando QueryStore no sirve, ¿qué opciones tenemos?
Cuando QueryStore no sirve, ¿qué opciones tenemos?SolidQ
 
SQL Server 2017 en Linux
SQL Server 2017 en LinuxSQL Server 2017 en Linux
SQL Server 2017 en LinuxSolidQ
 
Columnstore en la vida real
Columnstore en la vida realColumnstore en la vida real
Columnstore en la vida realSolidQ
 
PowerApprízate
PowerApprízatePowerApprízate
PowerApprízateSolidQ
 
Jugando a ser rico: Machine Learning para predicción de stocks
Jugando a ser rico: Machine Learning para predicción de stocksJugando a ser rico: Machine Learning para predicción de stocks
Jugando a ser rico: Machine Learning para predicción de stocksSolidQ
 
Analizando tus Redes Sociales con Power BI
Analizando tus Redes Sociales con Power BIAnalizando tus Redes Sociales con Power BI
Analizando tus Redes Sociales con Power BISolidQ
 
Mantenimiento de SQL Server para Dummies
Mantenimiento de SQL Server para DummiesMantenimiento de SQL Server para Dummies
Mantenimiento de SQL Server para DummiesSolidQ
 
R en relacional
R en relacionalR en relacional
R en relacionalSolidQ
 
Cuando haces bot ya no hay stop!!
Cuando haces bot ya no hay stop!!Cuando haces bot ya no hay stop!!
Cuando haces bot ya no hay stop!!SolidQ
 
Arquitecturas lambda en Azure
Arquitecturas lambda en AzureArquitecturas lambda en Azure
Arquitecturas lambda en AzureSolidQ
 
Bot Framework: otra manera de acceder a tus datos - SolidQ Summit 2018
Bot Framework: otra manera de acceder a tus datos - SolidQ Summit 2018Bot Framework: otra manera de acceder a tus datos - SolidQ Summit 2018
Bot Framework: otra manera de acceder a tus datos - SolidQ Summit 2018SolidQ
 
BIE2E en Azure - SolidQ Summit 2018
BIE2E en Azure - SolidQ Summit 2018BIE2E en Azure - SolidQ Summit 2018
BIE2E en Azure - SolidQ Summit 2018SolidQ
 
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018SolidQ
 
Hilando fino en SSAS multidimensional - SolidQ Summit 2018
Hilando fino en SSAS multidimensional - SolidQ Summit 2018Hilando fino en SSAS multidimensional - SolidQ Summit 2018
Hilando fino en SSAS multidimensional - SolidQ Summit 2018SolidQ
 
Adaptive Query Processing: Mejoras en el motor de consulta de SQL Server 2017...
Adaptive Query Processing: Mejoras en el motor de consulta de SQL Server 2017...Adaptive Query Processing: Mejoras en el motor de consulta de SQL Server 2017...
Adaptive Query Processing: Mejoras en el motor de consulta de SQL Server 2017...SolidQ
 

Mais de SolidQ (20)

SolidQ Summit 2018 - Qué necesita saber un DBA de Integration Services
SolidQ Summit 2018 - Qué necesita saber un DBA de Integration ServicesSolidQ Summit 2018 - Qué necesita saber un DBA de Integration Services
SolidQ Summit 2018 - Qué necesita saber un DBA de Integration Services
 
SolidQ Summit 2018 - Seguridad a nivel datos. RLS
SolidQ Summit 2018 - Seguridad a nivel datos. RLSSolidQ Summit 2018 - Seguridad a nivel datos. RLS
SolidQ Summit 2018 - Seguridad a nivel datos. RLS
 
SolidQ Summit 2018 - Todo lo que un integrador de datos debería tener... y pa...
SolidQ Summit 2018 - Todo lo que un integrador de datos debería tener... y pa...SolidQ Summit 2018 - Todo lo que un integrador de datos debería tener... y pa...
SolidQ Summit 2018 - Todo lo que un integrador de datos debería tener... y pa...
 
SolidQ Summit 2018 - ¿Dificultades gestionando relaciones muchos a muchos? De...
SolidQ Summit 2018 - ¿Dificultades gestionando relaciones muchos a muchos? De...SolidQ Summit 2018 - ¿Dificultades gestionando relaciones muchos a muchos? De...
SolidQ Summit 2018 - ¿Dificultades gestionando relaciones muchos a muchos? De...
 
SolidQ Summit 2018 - Report Server: Nuevos mutantes
SolidQ Summit 2018 - Report Server: Nuevos mutantesSolidQ Summit 2018 - Report Server: Nuevos mutantes
SolidQ Summit 2018 - Report Server: Nuevos mutantes
 
Cuando QueryStore no sirve, ¿qué opciones tenemos?
Cuando QueryStore no sirve, ¿qué opciones tenemos?Cuando QueryStore no sirve, ¿qué opciones tenemos?
Cuando QueryStore no sirve, ¿qué opciones tenemos?
 
SQL Server 2017 en Linux
SQL Server 2017 en LinuxSQL Server 2017 en Linux
SQL Server 2017 en Linux
 
Columnstore en la vida real
Columnstore en la vida realColumnstore en la vida real
Columnstore en la vida real
 
PowerApprízate
PowerApprízatePowerApprízate
PowerApprízate
 
Jugando a ser rico: Machine Learning para predicción de stocks
Jugando a ser rico: Machine Learning para predicción de stocksJugando a ser rico: Machine Learning para predicción de stocks
Jugando a ser rico: Machine Learning para predicción de stocks
 
Analizando tus Redes Sociales con Power BI
Analizando tus Redes Sociales con Power BIAnalizando tus Redes Sociales con Power BI
Analizando tus Redes Sociales con Power BI
 
Mantenimiento de SQL Server para Dummies
Mantenimiento de SQL Server para DummiesMantenimiento de SQL Server para Dummies
Mantenimiento de SQL Server para Dummies
 
R en relacional
R en relacionalR en relacional
R en relacional
 
Cuando haces bot ya no hay stop!!
Cuando haces bot ya no hay stop!!Cuando haces bot ya no hay stop!!
Cuando haces bot ya no hay stop!!
 
Arquitecturas lambda en Azure
Arquitecturas lambda en AzureArquitecturas lambda en Azure
Arquitecturas lambda en Azure
 
Bot Framework: otra manera de acceder a tus datos - SolidQ Summit 2018
Bot Framework: otra manera de acceder a tus datos - SolidQ Summit 2018Bot Framework: otra manera de acceder a tus datos - SolidQ Summit 2018
Bot Framework: otra manera de acceder a tus datos - SolidQ Summit 2018
 
BIE2E en Azure - SolidQ Summit 2018
BIE2E en Azure - SolidQ Summit 2018BIE2E en Azure - SolidQ Summit 2018
BIE2E en Azure - SolidQ Summit 2018
 
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
 
Hilando fino en SSAS multidimensional - SolidQ Summit 2018
Hilando fino en SSAS multidimensional - SolidQ Summit 2018Hilando fino en SSAS multidimensional - SolidQ Summit 2018
Hilando fino en SSAS multidimensional - SolidQ Summit 2018
 
Adaptive Query Processing: Mejoras en el motor de consulta de SQL Server 2017...
Adaptive Query Processing: Mejoras en el motor de consulta de SQL Server 2017...Adaptive Query Processing: Mejoras en el motor de consulta de SQL Server 2017...
Adaptive Query Processing: Mejoras en el motor de consulta de SQL Server 2017...
 

Soluciones BI con delegación Kerberos | SolidQ Summit 2012

  • 1. BI200004 Soluciones BI con delegación Kerberos Miguel Egea Victor M. Sánchez García Mentor BI Data Platform Architect MVP SQL, MAP 2012 MAP 2012, MCITP en SQL 2008 BI megea@solidq.com vsanchez@solidq.com @megea @atharky
  • 2. Objetivos  Conocer distintos escenarios de identificación sobre orígenes de datos en Soluciones de BI  Configuración de delegación con Kerberos para Analysis Services  Acceder a orígenes de datos desde servicios SharePoint 2010 con delegación de credenciales del usuario Sí, es posible.
  • 3. Agenda  Escenarios de acceso a datos e identificación  Una píldora sobre autenticación en Windows  Configurando Análisis Services para permitir delegación  Configurando PerformancePoint Services para delegación  Monitorizando conexiones a orígenes de datos
  • 4. Soluciones BI con delegación Kerberos Escenarios de acceso a datos Identificación
  • 5. Escenarios de acceso a datos Aplicaciones cliente conectadas a orígenes de datos  Excel  PowerPivot  Reporting modo nativo  Management Studio  Visio  Herramientas de terceros Clientes utilizando servicios que acceden a orígenes de datos  PerformancePoint Services  Excel Services  Visio Services  SQL Server PowerPivot para SharePoint 2010  SQL Server Reporting Services para SharePoint 2010
  • 6. Escenarios de Accesos a datos Cliente <–> Servidor Escenario 1  Usuarios con aplicaciones  Analisis cliente conectadas al Services origen de datos Usuario Servidor 1 Escenario 2  SharePoint 2010  Usuarios conectándose a un servidor con SharePoint utilizando un origen de  Analisis datos en la misma máquina Services Usuario Servidor 1
  • 7. Escenarios de Accesos a datos Escenario multi-capa (multi-tier) Escenario 3  SharePoint 2010 en server 1  Origen de datos en server 2  SharePoint 2010  Analysis Services Usuario Servidor 1 Servidor 2 (o Granja)
  • 8. Escenarios de Accesos a datos Identificación directa Escenarios 1 y 2….. Usuarios identificados Orígenes de datos
  • 9. Escenarios de Accesos a datos Identificación con doble salto (double-hop) Escenario 3….. Usuarios identificados Orígenes de datos Servicios intermedios  PerformancePoint Services  PowerPivot  Excel Services
  • 10. Soluciones BI con delegación Kerberos Una píldora sobre autenticación en Windows
  • 11. Protocolos de autenticación (Wndows Authentication) NTLM Kerberos Ventajas Desventajas Ventajas Desventajas No soporta Soporta Protocolo Ninguna algoritmos por defecto Disminuye Requiere doble salto Protocolo configuració Vulnerable de desde el tráfico de configuració de propietario n adicional encriptación Windows Red n adicional servidores complejos 2000 Incompatibl Valida Obsoleto Soporta e con Genera más No soporta utilizando (legado de Permite Código autenticació encriptación tráfico de direcciones direcciones Lan delegación abierto n mutua AES o SHA- red IP IP Manager) (Client/Server) 256
  • 12. Kerberos ¿Tiene usted su ticket?  Authentication Server (AS), que verifica la identidad y proporciona el ticket (TGT) correspondiente si efectivamente la autenticación tuvo éxito.  Ticket Granting Server (TGS), que emite el ticket cuando se realiza una petición de conexión.
  • 13. Kerberos ¿Cómo funciona la delegación? 4. Petición y respuesta de delgación Kerberos para el Ticket para el Server 2 5. Conecta al server 2 utilizando las 3. Conecta utilizando credenciales del cliente credenciales de cliente al que tiene el server 1 server 1
  • 14. Kerberos Services Principal Names  Service Principal Names (SPN)  Identifican los servicios  MSSQLSvc, MSOLAPSvc, MSOLAPDisco, HTTP  Los User Principal Names identifican los usuarios.  Para registrar un SPN la combinación de SPN y UPN debe ser única.  Setspn –S <SPN>/<ServerName> <UPN> || <hostname>
  • 16. Soluciones BI con delegación Kerberos Configurando Analysis Services para autenticación Kerberos
  • 17. Requisitos de configuración de Kerberos para Analysis Services  El servidor SSAS debe estar unido al dominio SM-SPSQL2012.sqldemo.com  El servicio debe ejecutarse con una cuenta de dominio sqldemosqlasservice  Establecer un puerto fijo y permitir la comunicación en el firewall (2383)  Registrar SPN para la cuenta del servicio setspn –s MSOLAPSvc.3/<FQDN>:instance sqldemosqlasservice  En instancias con nombre el servicio SQL Browser debe configurarse  Ejecutar el servicio con una cuenta de dominio  Registrar los SPN para la cuenta de SQL Browser setspn –s MSOLAPDisco.3/<FQDN>:instance sqldemosqlservice
  • 18. DEMO Configurar Analysis Services para autenticación con Kerberos
  • 19. Soluciones BI con delegación Kerberos Configurando PerformancePoint Services para delegación
  • 20. Seguridad en SharePoint 2010 Clients SharePoint Farm External System Classic (Windows Auth) Classic (Windows Auth) Claims Claims Claims Incoming Intra/Inter Farm Outgoing Authentication Authentication Authentiction
  • 21. Delegación con PerforformancePoint Services Requisitos configuración Administración Active Directory Analysis Server SharePoint 2010 Crear cuentas necesarias (SSAS, HTTP, PPS) Crear aplicación web con autenticación negociada Registrar SPNs HTTP, SP y MSOLAPSvc y Registrar cuentas MSOLAPDisco administrada por Iniciar servicio Analysis SharePoint Services con cuenta de Autorizar delegación dominio entre máquinas Iniciar Claims to Autorizar delegación Windows Token entre cuentas
  • 22. Delegación en PerformancePoint Services: Checklist  Tener instalado un SharePoint 2010   Configurar delegación para Analysis Services  Configurar delegación para la cuenta de SQL content dbs  Crear en el servidor DNS un Host(A) para la IP de la aplicación web  Crear una cuenta de dominio para el pool de la aplicación web (sqldemospsummit_webpool)  Crear una cuenta para el pool de PerformancePoint Services (sqldemospsummit_ppspool)  Registrar las cuentas anteriores para que sean administradas por SharePoint  Registrar el SPN HTTP en la cuenta del pool de la aplicación web con el Host (A) setspn –s HTTP/<hostname>:port sqldemospsummit_webpool setspn –s HTTP/<FQDN>:port sqldemospsummit_webpool  Cambiar la configuración de seguridad de IIS desde SharePoint para la aplicación web  Reiniciar IIS
  • 23. Delegación en PerformancePoint Services: Checklist  Registrar un SPN ficticio para la cuenta del pool de PerformancePoint Services setspn –s SP/<hostname>:port sqldemospsummit_ppspool  Asociar los SPN de la cuenta que ejecuta Analysis Services para delegación en la cuenta de PerformancePoint Services  Crear un nuevo servicio de aplicación PPS con la cuenta configurada  Asociar el nuevo proxy de PPS a la aplicación web  Purgar tickets!
  • 24. DEMO Configurar PerformancePoint Services para utilizar delegación a través de Kerberos
  • 25. Referencias Referencias  SharePoint 2010 Kerberos Guide  http://www.microsoft.com/en-us/download/details.aspx?id=23176  KB sobre instancias SQL y AS con nombre y kerberos  http://support.microsoft.com/kb/950599/  Kerberos Extensions  http://technet.microsoft.com/en-us/library/cc738207(v=ws.10)  Kerberos in SQL Server  http://support.microsoft.com/kb/319723  Klist.exe  http://www.microsoft.com/downloads/details.aspx?FamilyID=1581e6e7-7e64- 4a2d-8aba-73e909d2a7dc&DisplayLang=en  KerbTray.exe  http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6- 49f6-85be-e866af8e7a88&DisplayLang=en
  • 26. Si quieres disfrutar de las mejores sesiones de nuestros mentores de España y Latino América, ésta es tu oportunidad. http://summit.solidq.com/madrid/ Síguenos: