Los usuarios tienen a su alcance diversas formas de obtener datos de los origénes. En escenarios en los que se conectan directamente se aplica la seguridad a nivel de dato, pero ¿que pasa cuando el escenario crece? Y si implementamos servicios SharePoint como capa de visualización de datos.... seguro que muchos se nos viene a la mente la palabra Kerberos. Durante esta sesión vamos a enfrentarnos al reto de configurarlo para realizar análisis en PerformancePoint services sin perder la seguridad sobre los datos
Adaptive Query Processing: Mejoras en el motor de consulta de SQL Server 2017...
Soluciones BI con delegación Kerberos | SolidQ Summit 2012
1. BI200004
Soluciones BI con delegación
Kerberos
Miguel Egea Victor M. Sánchez García
Mentor BI Data Platform Architect
MVP SQL, MAP 2012 MAP 2012, MCITP en SQL 2008 BI
megea@solidq.com vsanchez@solidq.com
@megea @atharky
2. Objetivos
Conocer distintos escenarios de identificación sobre orígenes de datos
en Soluciones de BI
Configuración de delegación con Kerberos para Analysis Services
Acceder a orígenes de datos desde servicios SharePoint 2010 con
delegación de credenciales del usuario
Sí, es posible.
3. Agenda
Escenarios de acceso a datos e identificación
Una píldora sobre autenticación en Windows
Configurando Análisis Services para permitir delegación
Configurando PerformancePoint Services para delegación
Monitorizando conexiones a orígenes de datos
4. Soluciones BI con delegación Kerberos
Escenarios de acceso a datos
Identificación
5. Escenarios de acceso a datos
Aplicaciones cliente conectadas a orígenes de datos
Excel
PowerPivot
Reporting modo nativo
Management Studio
Visio
Herramientas de terceros
Clientes utilizando servicios que acceden a orígenes de
datos
PerformancePoint Services
Excel Services
Visio Services
SQL Server PowerPivot para SharePoint 2010
SQL Server Reporting Services para SharePoint 2010
6. Escenarios de Accesos a datos
Cliente <–> Servidor
Escenario 1
Usuarios con aplicaciones Analisis
cliente conectadas al Services
origen de datos
Usuario Servidor 1
Escenario 2 SharePoint
2010
Usuarios conectándose a
un servidor con SharePoint
utilizando un origen de Analisis
datos en la misma máquina Services
Usuario Servidor 1
7. Escenarios de Accesos a datos
Escenario multi-capa (multi-tier)
Escenario 3
SharePoint 2010 en server 1
Origen de datos en server 2
SharePoint 2010 Analysis Services
Usuario Servidor 1 Servidor 2
(o Granja)
8. Escenarios de Accesos a datos
Identificación directa
Escenarios 1 y 2…..
Usuarios identificados Orígenes de datos
9. Escenarios de Accesos a datos
Identificación con doble salto (double-hop)
Escenario 3…..
Usuarios
identificados Orígenes de datos
Servicios intermedios
PerformancePoint
Services
PowerPivot
Excel Services
10. Soluciones BI con delegación Kerberos
Una píldora sobre autenticación en
Windows
11. Protocolos de autenticación
(Wndows Authentication)
NTLM Kerberos
Ventajas Desventajas Ventajas Desventajas
No soporta Soporta Protocolo
Ninguna algoritmos por defecto Disminuye Requiere
doble salto Protocolo
configuració Vulnerable de desde el tráfico de configuració
de propietario
n adicional encriptación Windows Red n adicional
servidores
complejos 2000
Incompatibl
Valida Obsoleto Soporta
e con Genera más No soporta
utilizando (legado de Permite Código autenticació
encriptación tráfico de direcciones
direcciones Lan delegación abierto n mutua
AES o SHA- red IP
IP Manager) (Client/Server)
256
12. Kerberos
¿Tiene usted su ticket?
Authentication Server
(AS), que verifica la
identidad y proporciona el
ticket (TGT) correspondiente
si efectivamente la
autenticación tuvo éxito.
Ticket Granting Server
(TGS), que emite el ticket
cuando se realiza una
petición de conexión.
13. Kerberos
¿Cómo funciona la delegación?
4. Petición y respuesta de
delgación Kerberos para el
Ticket para el Server 2
5. Conecta al server 2
utilizando las
3. Conecta utilizando credenciales del cliente
credenciales de cliente al que tiene el server 1
server 1
14. Kerberos
Services Principal Names
Service Principal Names (SPN)
Identifican los servicios
MSSQLSvc, MSOLAPSvc, MSOLAPDisco, HTTP
Los User Principal Names identifican los usuarios.
Para registrar un SPN la combinación de SPN y UPN debe ser
única.
Setspn –S <SPN>/<ServerName> <UPN> || <hostname>
16. Soluciones BI con delegación Kerberos
Configurando Analysis Services para
autenticación Kerberos
17. Requisitos de configuración de Kerberos para
Analysis Services
El servidor SSAS debe estar unido al dominio
SM-SPSQL2012.sqldemo.com
El servicio debe ejecutarse con una cuenta de dominio
sqldemosqlasservice
Establecer un puerto fijo y permitir la comunicación en el
firewall (2383)
Registrar SPN para la cuenta del servicio
setspn –s MSOLAPSvc.3/<FQDN>:instance sqldemosqlasservice
En instancias con nombre el servicio SQL Browser debe
configurarse
Ejecutar el servicio con una cuenta de dominio
Registrar los SPN para la cuenta de SQL Browser
setspn –s MSOLAPDisco.3/<FQDN>:instance sqldemosqlservice
21. Delegación con PerforformancePoint Services
Requisitos configuración
Administración
Active Directory Analysis Server
SharePoint 2010
Crear cuentas necesarias
(SSAS, HTTP, PPS) Crear aplicación web con
autenticación negociada
Registrar SPNs HTTP, SP
y MSOLAPSvc y Registrar cuentas
MSOLAPDisco administrada por Iniciar servicio Analysis
SharePoint Services con cuenta de
Autorizar delegación dominio
entre máquinas
Iniciar Claims to
Autorizar delegación Windows Token
entre cuentas
22. Delegación en PerformancePoint Services: Checklist
Tener instalado un SharePoint 2010
Configurar delegación para Analysis Services
Configurar delegación para la cuenta de SQL content dbs
Crear en el servidor DNS un Host(A) para la IP de la aplicación web
Crear una cuenta de dominio para el pool de la aplicación web
(sqldemospsummit_webpool)
Crear una cuenta para el pool de PerformancePoint Services
(sqldemospsummit_ppspool)
Registrar las cuentas anteriores para que sean administradas por SharePoint
Registrar el SPN HTTP en la cuenta del pool de la aplicación web con el Host (A)
setspn –s HTTP/<hostname>:port sqldemospsummit_webpool
setspn –s HTTP/<FQDN>:port sqldemospsummit_webpool
Cambiar la configuración de seguridad de IIS desde SharePoint para la
aplicación web
Reiniciar IIS
23. Delegación en PerformancePoint Services: Checklist
Registrar un SPN ficticio para la cuenta del pool de PerformancePoint Services
setspn –s SP/<hostname>:port sqldemospsummit_ppspool
Asociar los SPN de la cuenta que ejecuta Analysis Services para
delegación en la cuenta de PerformancePoint Services
Crear un nuevo servicio de aplicación PPS con la cuenta configurada
Asociar el nuevo proxy de PPS a la aplicación web
Purgar tickets!
25. Referencias
Referencias
SharePoint 2010 Kerberos Guide
http://www.microsoft.com/en-us/download/details.aspx?id=23176
KB sobre instancias SQL y AS con nombre y kerberos
http://support.microsoft.com/kb/950599/
Kerberos Extensions
http://technet.microsoft.com/en-us/library/cc738207(v=ws.10)
Kerberos in SQL Server
http://support.microsoft.com/kb/319723
Klist.exe
http://www.microsoft.com/downloads/details.aspx?FamilyID=1581e6e7-7e64-
4a2d-8aba-73e909d2a7dc&DisplayLang=en
KerbTray.exe
http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-
49f6-85be-e866af8e7a88&DisplayLang=en
26. Si quieres disfrutar de las mejores sesiones de
nuestros mentores de España y Latino América,
ésta es tu oportunidad.
http://summit.solidq.com/madrid/
Síguenos: