Configurer l’accès HTTP à Analysis Services sur IIS 8.0Configure HTTP Access to Analysis Services on IIS 8.0

S’APPLIQUE À :ouiSQL Server Analysis ServicesnonAzure Analysis ServicesAPPLIES TO:yesSQL Server Analysis ServicesnoAzure Analysis ServicesCet article explique comment configurer un point de terminaison HTTP pour accéder à une instance Analysis Services. This article explains how to set up an HTTP endpoint for accessing an Analysis Services instance. Vous pouvez activer l'accès HTTP en configurant MSMDPUMP.dll, une extension ISAPI qui s'exécute dans Internet Information Services (IIS) et qui pompe des données entre des applications clientes et un serveur Analysis Services.You can enable HTTP access by configuring MSMDPUMP.dll, an ISAPI extension that runs in Internet Information Services (IIS) and pumps data to and from client applications and an Analysis Services server. Cette approche constitue une alternative à la connexion à Analysis Services lorsque votre solution de décisionnel nécessite les capacités suivantes :This approach provides an alternative means for connecting to Analysis Services when your BI solution calls for the following capabilities:

  • Un accès client via une connexion Internet ou extranet, avec des restrictions au niveau des ports à activerClient access is over Internet or extranet connections, with restrictions on which ports can be enabled.

  • Connexions clientes provenant de domaines non approuvés du même réseau.Client connections are from non-trusted domains in the same network.

  • Une application cliente qui s'exécute dans un environnement réseau qui permet des connexions HTTP mais pas TCP/IP.Client application runs in a network environment that allows HTTP but not TCP/IP connections.

  • Des applications clientes qui ne peuvent pas utiliser les bibliothèques clientes Analysis Services (par exemple, une application Java s'exécutant sur un serveur UNIX).Client applications cannot use the Analysis Services client libraries (for example, a Java application running on a UNIX server). Si vous ne pouvez pas utiliser les bibliothèques clientes Analysis Services pour accéder aux données, vous pouvez utiliser SOAP et XML/A sur une connexion HTTP directe à une instance Analysis Services.If you cannot use the Analysis Services client libraries for data access, you can use SOAP and XML/A over a direct HTTP connection to an Analysis Services instance.

  • Des méthodes d'authentification autres que la sécurité intégrée de Windows sont requises.Authentication methods other than Windows integrated security are required. En particulier, vous pouvez utiliser des connexions anonymes et l'authentification de base lorsque vous configurez Analysis Services en vue de l'accès HTTP.Specifically, you can use Anonymous connections and Basic authentication when configuring Analysis Services for HTTP access. Les authentifications Digest, ASP.NET et par formulaires ne sont pas prises en charge.Digest, Forms, and ASP.NET authentication are not supported. L'une des principales raisons d'activer l'accès HTTP est pour répondre à une spécification de l'authentification de base.A requirement of Basic authentication is one of the primary reasons for enabling HTTP access. Pour en savoir plus, consultez Authentification et délégation d'identité Microsoft BI.To learn more, see Microsoft BI Authentication and Identity Delegation.

    Vous pouvez configurer l'accès HTTP pour toutes les versions ou éditions prises en charge d'Analysis Services s'exécutant en mode tabulaire ou multidimensionnel.You can configure HTTP access for any supported version or edition of Analysis Services, running either tabular mode or multidimensional mode. Les cubes locaux sont une exception.Local cubes are an exception. Vous ne pouvez pas vous connecter à un cube local via un point de terminaison HTTP.You cannot connect to a local cube via an HTTP endpoint.

    La configuration de l'accès HTTP intervient après l'installation.Setting up HTTP access is a post-installation task. Analysis Services doit être installé avant de pouvoir être configuré pour l'accès HTTP.Analysis Services must be installed before you can configure it for HTTP access. En tant qu'administrateur Analysis Services, vous devez accorder des autorisations aux comptes Windows pour l'accès HTTP.As the Analysis Services administrator, you will need to grant permissions to Windows accounts before HTTP access is possible. Par ailleurs, il est recommandé de valider votre installation pour vous assurer qu'elle est complètement opérationnelle avant de continuer la configuration du serveur.Additionally, it is a best practice to validate your installation first, ensuring that it is fully operational before configuring the server any further. Une fois l'accès HTTP configuré, vous pouvez utiliser le point de terminaison HTTP et le nom de réseau habituel du serveur sur TCP/IP.After HTTP access is configured, you can use both the HTTP endpoint and the regular network name of the server over TCP/IP. La configuration d'un accès HTTP n'empêche pas l'utilisation d'autres approches pour accéder aux données.Setting up HTTP access does not invalidate other approaches for data access.

    Pendant la configuration de MSMDPUMP, n'oubliez pas de prendre en compte les deux connexions suivantes : client à IIS, IIS à SSAS.As you move forward with MSMDPUMP configuration, remember there are two connections to consider: client-to-IIS, IIS-to-SSAS. Les instructions fournies dans cet article concerne la connexion IIS à SSAS.The instructions in this article are about IIS-to-SSAS. Votre application cliente peut nécessiter une configuration supplémentaire pour la connexion à IIS.Your client application might require additional configuration before it can connect to IIS. Cet article n'aborde pas la configuration des liaisons ni ne vous aide à déterminer s'il faut utiliser le protocole SSLDecisions such as whether to use SSL, or how to configure bindings, are out of scope for this article. Pour plus d’informations sur IIS, voir Serveur web (IIS) .See Web Server (IIS) for more information about IIS.

    Cette rubrique comprend les sections suivantes :This topic includes the following sections:

  • Vue d'ensembleOverview

  • Conditions préalablesPrerequisites

  • Copier le fichier MSMDPUMP.dll dans un dossier du serveur WebCopy the MSMDPUMP.dll to a folder on the Web server

  • Créer un pool d'applications et un répertoire virtuel dans IISCreate an application pool and virtual directory in IIS

  • Configurer l'authentification IIS et ajouter l'extensionConfigure IIS authentication and add the extension

  • Modifier le fichier MSMDPUMP.INI pour définir le serveur cibleEdit the MSMDPUMP.INI file to set the target server

  • Tester votre configurationTest your configuration

Vue d'ensembleOverview

MSMDPUMP est une extension ISAPI qui se charge dans IIS et fournit une redirection vers une instance Analysis Services locale ou distante.MSMDPUMP is an ISAPI extension that loads into IIS and provides redirection to a local or remote Analysis Services instance. En configurant cette extension ISAPI, vous créez un point de terminaison HTTP à une instance Analysis Services.By configuring this ISAPI extension, you create an HTTP endpoint to an Analysis Services instance.

Vous devez créer et configurer un répertoire virtuel pour chaque point de terminaison HTTP.You must create and configure one virtual directory for each HTTP endpoint. Chaque point de terminaison a besoin de son propre groupe de fichiers MSMDPUMP, pour chaque instance Analysis Services à laquelle vous souhaitez vous connecter.Each endpoint will need its own set of MSMDPUMP files, for each Analysis Services instance you want to connect to. Un fichier de configuration de ce groupe de fichiers spécifie le nom de l'instance d'Analysis Services utilisée pour chaque point de terminaison HTTP.A configuration file in this file set specifies the name of the Analysis Services instance used for each HTTP endpoint.

Dans IIS, MSMDPUMP se connecte à Analysis Services à l'aide du fournisseur OLE DB Analysis Services via une connexion TCP/IP.On IIS, MSMDPUMP connects to Analysis Services using the Analysis Services OLE DB provider over TCP/IP. Bien que l'origine des demandes du client puisse se trouver en dehors de l'approbation de domaine, Analysis Services et IIS doivent être dans le même domaine ou dans des domaines approuvés afin que la connexion aboutisse.Although client requests can originate outside of domain trust, both Analysis Services and IIS must be in the same domain or in trusted domains in order for the native connection to succeed.

Lorsque MSMDPUMP se connecte à Analysis Services, il le fait sous une identité d'utilisateur Windows.When MSMDPUMP connects to Analysis Services, it does so under a Windows user identity. Ce compte peut être un compte anonyme si vous avez configuré le répertoire virtuel de façon à autoriser les connexions anonymes, ou bien il peut s'agir d'un compte d'utilisateur Windows.This account will either be the Anonymous account if you configured the virtual directory for anonymous connections, or a Windows user account. Ce compte doit avoir des autorisations d'accès aux données nécessaires sur le serveur et la base de données Analysis Services.The account must have the appropriate data access rights on the Analysis Services server and database.

Diagramme montrant les connexions entre les composantsDiagram showing connections between components

Le tableau suivant comprend d'autres éléments à prendre en compte lorsque vous activez l'accès HTTP dans différents scénarios.The following table lists additional considerations when you enable HTTP access for different scenarios.

ScénarioScenario ConfigurationConfiguration
IIS et Analysis Services sur le même ordinateurIIS and Analysis Services on the same computer Il s'agit de la configuration la plus simple car elle vous permet d'utiliser la configuration par défaut (lorsque le nom du serveur est localhost), le fournisseur OLE DB Analysis Services local et la sécurité intégrée de Windows avec NTLM.This is the simplest configuration because it allows you to use the default configuration (where the server name is localhost), the local Analysis Services OLE DB provider, and Windows integrated security with NTLM. Si le client se trouve également dans le même domaine, l'authentification est transparente pour l'utilisateur et ne nécessite aucune action supplémentaire de votre part.Assuming that the client is also in the same domain, authentication is transparent to the user, with no additional work on your part.
IIS et Analysis Services sur des ordinateurs différentsIIS and Analysis Services on different computers Pour cette topologie, vous devez installer le fournisseur OLE DB Analysis Services sur le serveur Web.For this topology, you must install the Analysis Services OLE DB provider on the web server. Vous devez également modifier le fichier msmdpump.ini pour qu'il spécifie l'emplacement de l'instance Analysis Services sur l'ordinateur distant.You must also edit the msmdpump.ini file to specify the location of Analysis Services instance on the remote computer.

Cette topologie ajoute une étape d'authentification double saut, dans laquelle les informations d'identification doivent passer du client vers le serveur Web, jusqu'au serveur principal Analysis Services.This topology adds a double-hop authentication step, where credentials must flow from the client to the web server, and on to the backend Analysis Services server. Si vous utilisez des informations d'identification Windows et NTLM, vous obtiendrez une erreur car NTLM ne permet pas la délégation d'informations d'identification client à un autre serveur.If you are using Windows credentials and NTLM, you will get an error because NTLM does not allow delegation of client credentials to a second server. La solution habituelle consiste à utiliser l'authentification de base avec le protocole SSL. Cela nécessite, cependant, que les utilisateurs fournissent un nom d'utilisateur et un mot de passe pour accéder au répertoire virtuel MSMDPUMP.The most common solution is to use Basic authentication with Secure Sockets Layer (SSL), but this will require users to provide a user name and password when accessing the MSMDPUMP virtual directory. Une approche plus simple consiste à activer Kerberos et à configurer une délégation contrainte Analysis Services pour que les utilisateurs puissent accéder à Analysis Services facilement.A more straightforward approach might be to enable Kerberos and configure Analysis Services constrained delegation so that users can access Analysis Services in a transparent manner. Pour plus d'informations, consultez Configure Analysis Services for Kerberos constrained delegation .See Configure Analysis Services for Kerberos constrained delegation for details.

Réfléchissez aux ports à débloquer dans le Pare-feu Windows.Consider which ports to unblock in Windows Firewall. Vous devrez débloquer les ports sur les deux serveurs pour permettre l'accès à l'application Web sur IIS et à Analysis Services sur un serveur distant.You will need to unblock ports on both servers to allow access to the web application on IIS, and to Analysis Services on a remote server.
Les connexions client proviennent d'un domaine non approuvé ou d'une connexion extranetClient connections are from a non-trusted domain or an extranet connection Les connexions client provenant d'un domaine non approuvé nécessitent davantage de restrictions d'authentification.Client connections from a non-trusted domain introduce further restrictions on authentication. Par défaut, Analysis Services utilise l'authentification intégrée de Windows, qui nécessite que les utilisateurs se trouvent dans le même domaine que le serveur.By default, Analysis Services uses Windows integrated authentication, which requires users to be on the same domain as the server. Si vos utilisateurs extranet se connectent à IIS depuis un domaine extérieur, ils obtiendront une erreur de connexion si le serveur est configuré pour utiliser les paramètres par défaut.If you have Extranet users who connect to IIS from outside the domain, those users will get a connection error if the server is configured to use the default settings.

L'une des solutions de contournement consiste à demander aux utilisateurs extranet de se connecter via une connexion VPN à l'aide d'informations d'identification de domaine.Workarounds include having Extranet users connect through a VPN using domain credentials. Cependant, une meilleure approche serait d'activer l'authentification de base et le protocole SSL sur votre site Web IIS.However, a better approach might be to enable Basic authentication and SSL on your IIS web site.

Conditions préalablesPrerequisites

Les instructions de cet article supposent qu'IIS est déjà configuré et qu'Analysis Services est déjà installé.The instructions in this article assume IIS is already configured and that Analysis Services is already installed. Windows Server 2012 est fourni avec IIS 8.x comme rôle serveur activable sur le système.Windows Server 2012 ships with IIS 8.x as a server role that you can enable on the system.

Configuration supplémentaire dans IIS 8.0Extra configuration in IIS 8.0

La configuration d'IIS 8.0 par défaut ne contient pas certains composants nécessaires pour l'accès HTTP à Analysis Services.The default configuration of IIS 8.0 is missing components that are necessary for HTTP access to Analysis Services. Ces composants, situés dans les zones des fonctionnalités Sécurité et Développement d’applications du rôle Serveur web (IIS) , sont les suivants :These components, found in the Security and Application Development feature areas of the Web Server (IIS) role, include the following:

  • Sécurité | Authentification Windowsou Authentification de base, et d’autres fonctionnalités de sécurité requises pour votre scénario d’accès aux données.Security | Windows Authentication, or Basic Authentication, and any other security features required for your data access scenario.

  • Développement d’applications | CGIApplication Development | CGI

  • Développement d’applications | Extensions ISAPIApplication Development | ISAPI Extensions

    Pour vérifier ou ajouter ces composants, voir Gestionnaire de serveur | Gérer | Ajouter des rôles et fonctionnalités.To verify or add these components, use Server Manager | Manage | Add Roles and Features. Parcourez l'Assistant jusqu'à Rôles serveur.Step through the wizard until you get to Server Roles. Faites défiler vers le bas pour accéder à Serveur web (IIS).Scroll down to find Web Server (IIS).

  1. Ouvrez Serveur Web | Sécurité , puis choisissez les méthodes d’authentification.Open Web Server | Security and choose the authentication methods.

  2. Ouvrez Serveur Web | Développement d’applications , puis choisissez CGI et Extensions ISAPI.Open Web Server | Application Development and choose CGI and ISAPI Extensions.

    Les fonctions ISAPI et CGI dans le rôle de serveur WebISAPI and CGI features in Web Server Role

    Quand IIS se trouve sur un serveur distantWhen IIS is on a remote server

    Une connexion à distance entre IIS et Analysis Services requiert l'installation du fournisseur OLE DB pour Analysis Services (MSOLAP) sur le serveur Windows qui exécute IIS.A remote connection between IIS and Analysis Services requires that you install the Analysis Services OLE DB provider (MSOLAP) on the Windows server running IIS.

  3. Accédez à la page de téléchargement de SQL Server 2014 Feature PackGo to the download page for SQL Server 2014 Feature Pack

  4. Cliquez sur le bouton rouge Télécharger.Click the red Download button.

  5. Faites défiler vers le bas pour trouver ENU\x64\SQL_AS_OLEDB.msiScroll down to find ENU\x64\SQL_AS_OLEDB.msi

  6. Suivez les instructions de l'Assistant pour effectuer l'installation.Follow the instructions in the wizard to complete the installation.

Note

N'oubliez pas de débloquer les ports dans le Pare-feu Windows, afin de permettre les connexions client au serveur distant Analysis Services.Remember to unblock the ports in Windows Firewall to allow client connections to a remote Analysis Services server. Pour plus d’informations, consultez Configurer le pare-feu Windows pour autoriser l’accès à Analysis Services.For more information, see Configure the Windows Firewall to Allow Analysis Services Access.

Étape 1 : copier les fichiers MSMDPUMP.dll dans un dossier du serveur WebStep 1: Copy the MSMDPUMP files to a folder on the Web server

Chaque point de terminaison HTTP que vous créez doit posséder son propre groupe de fichiers MSMDPUMP.Each HTTP endpoint that you create must have its own set of MSMDPUMP files. Dans cette étape, vous copiez le fichier exécutable MSMDPUMP, le fichier de configuration et le dossier de ressources des dossiers de programme d'Analysis Services vers un nouveau dossier de répertoire virtuel que vous allez créer dans le système de fichiers de l'ordinateur exécutant IIS.In this step, you copy the MSMDPUMP executable, configuration file, and resource folder from the Analysis Services program folders to a new virtual directory folder that you will create on the file system of the computer running IIS.

Le lecteur doit être formaté à l'aide du système de fichier NTFS.The drive must be formatted for the NTFS file system. Le chemin d'accès au dossier que vous créez ne doit contenir aucun espace.The path to the folder that you create must not contain any spaces.

  1. Copiez les fichiers suivants, figurant dans <lecteur > : \Program Files\Microsoft SQL Server\< instance>\OLAP\bin\isapi : MSMDPUMP. DLL, MSMDPUMP. INI et un dossier de ressources.Copy the following files, found at <drive>:\Program Files\Microsoft SQL Server\<instance>\OLAP\bin\isapi: MSMDPUMP.DLL, MSMDPUMP.INI, and a Resources folder.

    Structure de dossiers de fichiers MSMDPUMPFolder structure of MSMDPUMP files

  2. Sur le serveur web, créez un nouveau dossier : <lecteur > : \inetpub\wwwroot\OLAPOn the web server, create a new folder: <drive>:\inetpub\wwwroot\OLAP

  3. Collez les fichiers que vous avez copiés précédemment dans ce nouveau dossier.Paste the files that you previously copied into this new folder.

  4. Vérifiez que le dossier \inetpub\wwwroot\OLAP présent sur votre serveur Web contient ce qui suit : un fichier MSMDPUMP.DLL, un fichier MSMDPUMP.INI et un dossier Resources.Verify that the \inetpub\wwwroot\OLAP folder on your web server contains the following: MSMDPUMP.DLL, MSMDPUMP.INI, and a Resources folder. La structure des dossiers doit ressembler à ceci :Your folder structure should look like this:

    • <lecteur > : \inetpub\wwwroot\OLAP\MSMDPUMP.dll<drive>:\inetpub\wwwroot\OLAP\MSMDPUMP.dll

    • <lecteur > : \inetpub\wwwroot\OLAP\MSMDPUMP.ini<drive>:\inetpub\wwwroot\OLAP\MSMDPUMP.ini

    • <lecteur > : \inetpub\wwwroot\OLAP\Resources<drive>:\inetpub\wwwroot\OLAP\Resources

Étape 2 : créer un pool d'applications et un répertoire virtuel dans IISStep 2: Create an application pool and virtual directory in IIS

Ensuite, créez un pool d’applications et un point de terminaison pour la pompe.Next, create an application pool and an endpoint to the pump.

Créer un pool d'applicationsCreate an application pool

  1. Démarrez le Gestionnaire des services Internet.Start IIS Manager.

  2. Ouvrez le dossier du serveur, cliquez avec le bouton droit sur Pools d’applications , puis cliquez sur Ajouter un pool d’applications.Open the server folder, right-click Application Pools and then click Add Application Pool. Créez un pool d'applications nommé OLAP, à l'aide du .NET Framework, avec le mode de pipeline géré défini sur Classique.Create an application pool named OLAP, using the .NET Framework, with Managed pipeline mode set to Classic.

    Boîte de dialogue capture d’écran de Pool d’applications ajouterScreenshot of Add Application Pool dialog

  3. Par défaut, IIS crée des pools d'applications avec l'identité de sécurité ApplicationPoolIdentity , qui fonctionne également pour l'accès HTTP à Analysis Services.By default, IIS creates application pools using ApplicationPoolIdentity as the security identity, which is a valid choice for HTTP access to Analysis Services. Si vous avez des raisons particulières de modifier l’identité, cliquez avec le bouton droit sur OLAP, puis sélectionnez Paramètres avancés.If you have specific reasons for changing the identity, right-click OLAP, and then select Advanced Settings. Sélectionnez ApplicationPoolIdentity.Select ApplicationPoolIdentity. Cliquez sur le bouton Modifier correspondant à cette propriété pour remplacer le compte intégré par le compte personnalisé que vous souhaitez utiliser.Click the Change button for this property to replace the built-in account with the custom account you want to use.

    Page de propriétés de capture d’écran de paramètres avancésScreenshot of Advanced Settings property page

  4. Par défaut, sur les systèmes d’exploitation 64 bits, IIS attribue la valeur false à la propriété Activer les applications 32 bits.By default, on a 64-bit operating system, IIS sets the Enable 32-bit Applications property to false. Si vous avez copié le fichier msmdpump.dll depuis une installation 64 bits d'Analysis Services, il s'agit du paramètre approprié pour l'extension MSMDPUMP sur un serveur IIS 64 bits.If you copied msmdpump.dll from a 64-bit installation of Analysis Services, this is the correct setting for the MSMDPUMP extension on a 64-bit IIS server. Si vous avez copié les fichiers binaires MSMDPUMP à partir d’une installation 32 bits, attribuez la valeur true.If you copied the MSMDPUMP binaries from a 32-bit installation, set it to true. Vérifiez que cette propriété est définie correctement dans Paramètres avancés .Check this property now in Advanced Settings to ensure it is set correctly.

Créer une applicationCreate an application

  1. Dans le Gestionnaire IIS, ouvrez Sites, puis Site Web par défaut.In IIS Manager, open Sites, open Default Web Site. Un dossier Olapdoit s'afficher.You should see a folder named Olap. Il s'agit d'une référence au dossier OLAP que vous avez créé sous \inetpub\wwwroot.This is a reference to the OLAP folder you created under \inetpub\wwwroot.

    Dossier OLAP avant convertie en une applicationOLAP folder before converted to an app

  2. Cliquez avec le bouton droit sur le dossier, puis choisissez Convertir en application.Right-click the folder and choose Convert to Application.

  3. Dans Ajouter une application, entrez OLAP en tant qu'alias.In Add Application, enter OLAP for the alias. Cliquez sur Sélectionner pour choisir le pool d'applications OLAP.Click Select to choose the OLAP application pool. Le chemin d'accès physique doit être défini sur C:\inetpub\wwwroot\OLAPPhysical Path should be set to C:\inetpub\wwwroot\OLAP

    Paramètres pour la conversion d’applicationSettings for converting application

  4. Cliquez sur OK.Click OK. Actualisez le site web. Le dossier OLAP est désormais une application sous le site web par défaut.Refresh the web site and notice that the OLAP folder is now an application under the default web site. Le chemin d'accès virtuel au fichier MSMDPUMP est désormais établi.The virtual path to the MSMDPUMP file is now established.

    Dossier OLAP après la conversion en applicationOLAP folder after conversion to an application

Note

Les versions antérieures de ces instructions incluaient les étapes de création d'un répertoire virtuel.Previous versions of these instructions included steps for creating a virtual directory. Cette étape n'est plus nécessaire.That step is no longer necessary.

Étape 3 : configurer l'authentification IIS et ajouter l'extensionStep 3: Configure IIS authentication and add the extension

Dans cette étape, vous allez plus loin dans la configuration du répertoire virtuel SSAS que vous venez de créer.In this step, you further configure the SSAS virtual directory you just created. Vous allez spécifier une méthode d'authentification, puis ajouter un mappage de scripts.You will specify an authentication method and then add a script map. Les méthodes d'authentification prises en charge pour Analysis Services via HTTP sont les suivantes :Supported authentication methods for Analysis Services over HTTP include:

  • Authentification Windows (Kerberos ou NTLM)Windows authentication (Kerberos or NTLM)

  • Authentification de baseBasic authentication

  • Authentification anonymeAnonymous authentication

    L'authentification Windows est considérée comme la plus sécurisée ; elle exploite l'infrastructure existante pour les réseaux qui utilisent Active Directory.Windows authentication is considered the most secure, and leverages existing infrastructure for networks that use Active Directory. Pour utiliser l'authentification Windows de manière efficace, tous les navigateurs, les applications clientes et les applications serveur doivent la prendre en charge.To use Windows authentication effectively, all browsers, client applications, and server applications must support it. Il s'agit du mode le plus sécurisé et recommandé, mais il requiert qu'IIS soit en mesure d'accéder à un contrôleur de domaine Windows qui peut authentifier l'identité de l'utilisateur qui demande une connexion.This is the most secure and recommended mode, but it requires that IIS be able to access a Windows domain controller that can authenticate the identity of the user requesting a connection.

    Pour les topologies qui placent Analysis Services et IIS sur des ordinateurs différents, vous devez résoudre les problèmes de double saut qui surviennent lorsqu'une identité d'utilisateur doit être déléguée à un autre service sur un ordinateur distant, généralement en activant Analysis Services pour la délégation contrainte Kerberos.For topologies that put Analysis Services and IIS on different computers, you will need to address double-hop issues that arise when a user identity needs to be delegated to a second service on a remote machine, typically by enabling Analysis Services for Kerberos constrained delegation. Pour plus d'informations, consultez Configure Analysis Services for Kerberos constrained delegation.For more information, see Configure Analysis Services for Kerberos constrained delegation.

    L’authentification de base est utilisée en présence d’identités Windows, mais les connexions d’utilisateur proviennent de domaines non approuvés, ce qui interdit l’utilisation de connexions déléguées ou empruntées.Basic authentication is used when you have Windows identities, but user connections are from non-trusted domains, prohibiting the use of delegated or impersonated connections. L'authentification de base vous permet de spécifier une identité d'utilisateur et un mot de passe dans la chaîne de connexion.Basic authentication lets you specify a user identity and password on a connection string. Au lieu d'utiliser le contexte de sécurité de l'utilisateur actuel, les informations d'identification dans la chaîne de connexion sont utilisées pour la connexion à Analysis Services.Instead of using the security context of the current user, credentials on the connection string are used to connect to Analysis Services. Comme Analysis Services prend uniquement en charge l'authentification Windows, les informations d'identification qui lui sont transmises doivent correspondre à un utilisateur ou à un groupe Windows qui est membre du domaine dans lequel Analysis Services est hébergé.Because Analysis Services supports only Windows authentication, any credentials passed to it must be a Windows user or group that is a member of the domain in which Analysis Services is hosted.

    L'authentification anonyme est souvent utilisée au cours du test initial car sa simplicité de configuration vous permet de valider rapidement une connectivité HTTP à Analysis Services.Anonymous authentication is often used during initial testing because its ease of configuration helps you to quickly validate HTTP connectivity to Analysis Services. En seulement quelques étapes, vous pouvez affecter un compte d'utilisateur unique comme identité, accorder ces autorisations de compte dans Analysis Services, utiliser le compte pour vérifier l'accès aux données dans une application cliente, puis désactiver l'authentification anonyme lorsque le test est terminé.In just a few steps, you can assign a unique user account as the identity, grant that account permissions in Analysis Services, use the account to verify data access in a client application, and then disable Anonymous authentication when testing is complete.

    Vous pouvez également utiliser l’authentification anonyme dans un environnement de production si les utilisateurs n’ont pas de comptes d’utilisateur Windows, mais il convient de respecter les meilleurs pratiques en verrouillant les autorisations sur le système hôte, comme expliqué dans Activer l’authentification anonyme (IIS 7).You can also use Anonymous authentication in a production environment if your users do not have Windows user accounts, but follow best practices by locking down permissions on the host system, as called out in this article: Enable Anonymous Authentication (IIS 7). Assurez-vous que l'authentification est définie sur le répertoire virtuel, et non sur le site Web parent, afin de limiter encore davantage le niveau d'accès du compte.Be sure that authentication is set on the virtual directory, and not on the parent web site, to further reduce the level of account access.

    Si l'authentification anonyme est activée, toute connexion utilisateur au point de terminaison HTTP est autorisée à se connecter en tant qu'utilisateur anonyme.When Anonymous is enabled, any user connection to the HTTP endpoint is allowed to connect as the anonymous user. Vous ne serez pas en mesure d'auditer les connexions utilisateur individuelles, ni d'utiliser l'identité de l'utilisateur pour sélectionner les données d'un modèle.You won’t be able to audit individual user connections, nor use the user identity to select data from a model. Comme vous pouvez le voir, l'utilisation de l'option Anonyme a une incidence globale, depuis la conception du modèle jusqu'à l'actualisation des données et à leur accès.As you can see, using Anonymous impacts everything from model design, to data refresh and access. Toutefois, si les utilisateurs n'ont pas de connexion d'utilisateur Windows pour démarrer, l'utilisation du compte anonyme peut être la seule option.However, if users do not have a Windows user login to start with, using the Anonymous account might be your only option.

Définir le type d'authentification et ajouter un mappage de scriptsSet the authentication type and add a script map

  1. Dans le Gestionnaire des services Internet, ouvrez Sites, ouvrez le Site Web par défaut, puis sélectionnez le répertoire virtuel OLAP .In IIS Manager, open Sites, open Default Web Site, and then select the OLAP virtual directory.

  2. Double-cliquez sur Authentification dans la section IIS de la page principale.Double-click Authentication in the IIS section of the main page.

    Page principale de la capture d’écran du Gestionnaire des services InternetScreenshot of IIS Manager main page

  3. Cochez la case Authentification Windows si vous utilisez la sécurité intégrée de Windows.Enable Windows Authentication if you are using Windows integrated security.

    Paramètres d’authentification de la capture d’écran de répertoire virtuelScreenshot of Vdir Authentication settings

  4. Vous pouvez aussi activer la case à cocher Authentification de base si vos applications clientes et serveur ne se trouvent pas dans le même domaine.Alternatively, enable Basic Authentication if your client and server applications are in different domains. Ce mode requiert que l'utilisateur entre un nom d'utilisateur et un mot de passe.This mode requires the user to enter a user name and password. Le nom d'utilisateur et le mot de passe sont transmis sur la connexion HTTP à IIS.The user name and password are transmitted over the HTTP connection to IIS. IIS essaiera d'emprunter l'identité de l'utilisateur avec les informations d'identification fournies lors de la connexion à MSMDPUMP, mais les informations d'identification ne seront pas déléguées à Analysis Services.IIS will try to impersonate the user using the provided credentials when connecting to MSMDPUMP, but the credentials will not be delegated to Analysis Services. Au lieu de cela, vous devez transmettre un nom d'utilisateur et un mot de passe valides sur une connexion, comme indiqué à l'étape 6 de ce document.Instead, you will need to pass a valid user name and password on a connection, as described in Step 6 in this document.

    Important

    Notez qu'il est impératif de sécuriser le canal de communication lorsqu'on crée un système où les mots de passe sont transmis.Please note that it is imperative for anyone building a system where the password is transmitted to have ways of securing the communication channel. IIS fournit un ensemble d'outils qui vous aident à sécuriser le canal.IIS provides a set of tools that help you secure the channel. Pour plus d'informations, consultez Procédure de configuration de SSL sur IIS 7.For more information, see How to Set Up SSL on IIS 7.

  5. Désactivez Authentification anonyme si vous utilisez l'authentification de base ou Windows.Disable Anonymous Authentication if you are using Windows or Basic authentication. Si vous activez l'authentification anonyme, IIS l'utilisera toujours en premier, même si d'autres méthodes d'authentification sont activées.When Anonymous authentication is enabled, IIS will always use it first, even if other authentication methods are enabled.

    Sous Authentification anonyme, la pompe (msmdpump.dll) s'exécute en tant que compte d'utilisateur que vous avez généré pour l'utilisateur anonyme.Under Anonymous authentication, the pump (msmdpump.dll) runs as the user account you established for anonymous user. Il n'existe aucune distinction entre l'utilisateur qui se connecte à IIS et celui qui se connecte à Analysis Services.There is no distinction between the user connecting to IIS and the user connecting to Analysis Services. Par défaut, IIS utilise le compte IUSR, mais vous pouvez modifier ce comportement pour qu'il utilise un compte d'utilisateur de domaine détenteur d'autorisations réseau.By default, IIS uses the IUSR account, but you can change it to a domain user account that has network permissions. Vous aurez besoin de cette fonction si IIS et Analysis Services se trouvent sur des ordinateurs différents.You’ll need this capability if IIS and Analysis Services are on different computers.

    Pour savoir comment configurer les informations d'identification de l'authentification anonyme, consultez Authentification anonyme.For instructions on how to configure credentials for Anonymous authentication, see Anonymous Authentication.

    Important

    L'authentification anonyme se rencontre principalement dans des environnements extrêmement contrôlés, où l'accès des utilisateurs est tantôt accordé, tantôt refusé sur la base de listes de contrôle d'accès dans le système de fichiers.Anonymous authentication is most likely found in an extremely controlled environment, where users are given or denied access by way of access control lists in the file system. Pour connaître les meilleures pratiques, voir Activer l’authentification anonyme (IIS 7).For best practices, see Enable Anonymous Authentication (IIS 7).

  6. Cliquez sur le répertoire virtuel OLAP pour ouvrir la page principale.Click the OLAP virtual directory to open the main page. Double-cliquez sur Mappages de gestionnaires.Double-click Handler Mappings.

    Icône de fonctionnalité de mappage de gestionnairesHandler Mapping feature icon

  7. Cliquez avec le bouton droit n’importe où dans la page, puis sélectionnez Ajouter un mappage de scripts.Right-click anywhere on the page and then select Add Script Map. Dans la boîte de dialogue Ajouter un mappage de scripts, spécifiez *.dll comme chemin d’accès à la demande, spécifiez c:\inetpub\wwwroot\OLAP\msmdpump.dll comme fichier exécutable, puis entrez OLAP comme nom.In the Add Script Map dialog box, specify *.dll as the request path, specify c:\inetpub\wwwroot\OLAP\msmdpump.dll as the executable, and type OLAP as the name. Gardez toutes les restrictions par défaut associées à ce mappage de scripts.Keep all of the default restrictions associated with this script map.

    Boîte de dialogue capture d’écran de mappage de scripts ajouterScreenshot of Add Script Map dialog box

  8. Une invite vous demande si vous souhaitez autoriser l'extension ISAPI, cliquez sur Oui.When prompted to allow the ISAPI extension, click Yes.

    Capture d’écran de confirmation pour ajouter l’extension ISAPIScreenshot of confirmation to add ISAPI extension

Étape 4 : modifier le fichier MSMDPUMP.INI pour définir le serveur cibleStep 4: Edit the MSMDPUMP.INI file to set the target server

Le fichier MSMDPUMP.INI spécifie l'instance Analysis Services à laquelle le fichier MSMDPUMP.DLL se connecte.The MSMDPUMP.INI file specifies the Analysis Services instance that MSMDPUMP.DLL connects to. Cette instance peut être locale ou distante, installée comme instance par défaut ou nommée.This instance can be local or remote, installed as the default or as a named instance.

Ouvrez le fichier msmdpump.ini situé dans le dossier C:\inetpub\wwwroot\OLAP et observez le contenu de ce fichier.Open the msmdpump.ini file located in folder C:\inetpub\wwwroot\OLAP and take a look at the contents of this file. Il devrait ressembler à ce qui suit :It should look like the following:

<ConfigurationSettings>  
<ServerName>localhost</ServerName>  
<SessionTimeout>3600</SessionTimeout>  
<ConnectionPoolSize>100</ConnectionPoolSize>  
</ConfigurationSettings>  

Si l'instance Analysis Services pour laquelle vous configurez l'accès HTTP se trouve sur l'ordinateur local et si elle est installée comme instance par défaut, il n'y a aucune raison de modifier ce paramètre.If the Analysis Services instance for which you are configuring HTTP access is located on the local computer and installed as a default instance, there is no reason to change this setting. Sinon, vous devez spécifier le nom du serveur (par exemple, <NomServeur > ADWRKS-SRV01 < /servername >).Otherwise, you must specify the server name (for example, <ServerName>ADWRKS-SRV01</ServerName>). Pour un serveur qui est installé comme instance nommée, veillez à ajouter le nom d’instance (par exemple, <NomServeur > ADWRKS-SRV01\Tabular < /servername >).For a server that is installed as a named instance, be sure to append the instance name (for example, <ServerName>ADWRKS-SRV01\Tabular</ServerName>).

Par défaut, Analysis Services écoute le port TCP/IP 2383.By default, Analysis Services listens on TCP/IP port 2383. Si vous avez installé Analysis Services en tant que l’instance par défaut, vous n’avez pas besoin de spécifier de port dans <nom_serveur >, car Analysis Services sait comment écouter le port 2383 automatiquement.If you installed Analysis Services as the default instance, you do not need to specify any port in <ServerName> because Analysis Services knows how to listen on port 2383 automatically. Cependant, vous devrez autoriser les connexions entrantes pour ce port dans le Pare-feu Windows.However, you do need to allow inbound connections to that port in Windows Firewall. Pour plus d’informations, consultez Configurer le pare-feu Windows pour autoriser l’accès à Analysis Services.For more information, see Configure the Windows Firewall to Allow Analysis Services Access.

Si vous configuré un jeu nommé ou instance d’Analysis Services à l’écoute sur un port fixe par défaut, vous devez ajouter le numéro de port pour le nom du serveur (par exemple, <NomServeur > AW-SRV01:55555 < /servername >) et vous devez autoriser les connexions entrantes dans le pare-feu Windows à ce port.If you configured a named or default instance of Analysis Services to listen on a fixed port, you must add the port number to the server name (for example, <ServerName>AW-SRV01:55555</ServerName>) and you must allow inbound connections in Windows Firewall to that port.

Étape 5 : octroyer des autorisations d'accès aux donnéesStep 5: Grant data access permissions

Comme indiqué précédemment, vous devez accorder des autorisations sur l'instance Analysis Services.As previously noted, you will need to grant permissions on the Analysis Services instance. Chaque objet de base de données aura des rôles correspondant à un niveau spécifique d'autorisations (lecture ou lecture/écriture), et chaque rôle comportera des membres comprenant des identités d'utilisateur Windows.Each database object will have roles that provide a given level of permissions (read or read/write), and each role will have members consisting of Windows user identities.

Pour définir des autorisations, vous pouvez utiliser SQL Server Management Studio.To set permissions, you can use SQL Server Management Studio. Dans le dossier Base de données | Rôles , vous pouvez créer des rôles, spécifier des autorisations de base de données, affecter une appartenance à des comptes de groupe ou d’utilisateur Windows, puis accorder des autorisations en lecture ou en écriture sur des objets spécifiques.Under the Database | Roles folder, you can create roles, specify database permissions, assign membership to Windows user or group accounts, and then grant read or write permissions on specific objects. En général, les autorisations de lecture sur un cube sont suffisantes pour les connexions clientes qui utilisent, mais ne mettent pas à jour, les données du modèle.Typically, Read permissions on a cube are sufficient for client connections that use, but do not update, model data.

L'attribution de rôle varie selon la façon dont vous avez configuré l'authentification.Role assignment varies depending on how you configured authentication.

AnonymeAnonymous Ajoutez à la liste des membres le compte spécifié dans Modifier les informations d'identification pour l'authentification anonyme dans IIS.Add to the Membership list the account specified in Edit Anonymous Authentication Credentials in IIS. Pour plus d'informations, consultez Authentification anonyme,For more information, see Anonymous Authentication,
Authentification WindowsWindows authentication Ajoutez à la liste des membres les comptes de groupe ou d'utilisateur Windows demandant des données Analysis Services via l'emprunt d'identité ou la délégation.Add to the Membership list the Windows user or group accounts requesting Analysis Services data via impersonation or delegation.

En supposant que la délégation contrainte Kerberos est utilisée, seuls les comptes d'utilisateur et de groupe Windows qui demandent l'accès ont besoin d'autorisations.Assuming Kerberos constrained delegation is used, the only accounts that need permissions are the Windows user and group accounts requesting access. Aucune autorisation n'est nécessaire pour l'identité du pool d'applications.No permissions are necessary for the application pool identity.
Authentification de baseBasic authentication Ajoutez à la liste des membres les comptes de groupe ou d'utilisateur Windows qui seront transmis à la chaîne de connexion.Add to the Membership list the Windows user or group accounts that will be passed on the connection string.

Par ailleurs, si vous transmettez les informations d'identification via EffectiveUserName dans la chaîne de connexion, l'identité du pool d'applications doit avoir des droits d'administrateur sur l'instance Analysis Services.In addition, if you are passing credentials via EffectiveUserName on the connection string, then the application pool identity must have administrator rights on the Analysis Services instance. Dans SSMS, cliquez sur l’instance | Propriétés | Sécurité | Ajouter.In SSMS, right-click the instance | Properties | Security | Add. Entrez l'identité du pool d'applications.Enter the application pool identity. Si vous avez utilisé l’identité par défaut, le compte est spécifié en tant que IIS AppPool\DefaultAppPool.If you used the built-in default identity, the account is specified as IIS AppPool\DefaultAppPool.

Montre comment entrer le compte AppPoolIdentityShows how to enter the AppPoolIdentity account

Pour plus d’informations sur la définition des autorisations, voir Autorisation de l’accès à des objets et des opérations (Analysis Services).For more information about setting permissions, see Authorizing access to objects and operations (Analysis Services).

Étape 6 : tester votre configurationStep 6: Test your configuration

La syntaxe de la chaîne de connexion de MSMDPUMP est l'URL du fichier MSMDPUMP.dll.The connection string syntax for MSMDPUMP is the URL to the MSMDPUMP.dll file.

Si l’application web écoute un port fixe, ajoutez le numéro de port pour le nom du serveur ou l’adresse IP (par exemple, http://my-web-srv01:8080/OLAP/msmdpump.dll ou http://123.456.789.012:8080/OLAP/msmdpump.dll.If the web application is listening on a fixed port, append the port number to the server name or IP address (for example, http://my-web-srv01:8080/OLAP/msmdpump.dll or http://123.456.789.012:8080/OLAP/msmdpump.dll.

Pour tester rapidement la connexion, ouvrez une connexion à l’aide d’Internet Explorer, de Microsoft Excel ou de SQL Server Management Studio.To quickly test the connection, you can open a connection using Internet Explorer, Microsoft Excel, or SQL Server Management Studio.

Dépanner des connexions à l’aide d’Internet ExplorerTroubleshoot connections using Internet Explorer

Une demande de connexion qui se termine avec cette erreur peut vous donne pas peu informatif : « une connexion ne peut pas être apportée à '<nom du serveur > », ou Analysis Services n’est pas en cours d’exécution sur le serveur ».A connection request that terminates with this error might not give you much to go on: "Either a connection cannot be made to '<server name>', or Analysis Service is not running on the server".

Pour en savoir plus sur cette erreur, procédez comme suit :To get a more informative error, do the following:

  1. Dans Internet Explorer > Options Internet > Avancées, désactivez la case à cocher Afficher des messages d’erreur HTTP simplifiés.In Internet Explorer > Internet Options > Advanced, clear the checkbox for Show Friendly HTTP messages.

  2. Réessayer la connexion (par exemple, http://my-web-srv01:8080/OLAP/msmdpump.dll)Retry the connection (for example, http://my-web-srv01:8080/OLAP/msmdpump.dll)

    Si vous voyez une ERREUR XML qui s’affiche dans la fenêtre du navigateur, MSMDPUMP n’en est pas la cause. Vous pouvez alors vous intéresser au certificat.If you see an ERROR XML displayed in the browser window, you can eliminate MSMDPUMP as the potential cause and shift your focus to the certificate.

    Tester les connexions à l'aide de SQL Server Management StudioTest connections using SQL Server Management Studio

  3. Dans la boîte de dialogue Se connecter au serveur de Management Studio, sélectionnez Analysis Services comme type de serveur.In Management Studio, in the Connect to Server dialog box, select Analysis Services as the server type. Dans la zone Nom du serveur, entrez l'adresse HTTP de l'extension msmdpump : http://my-web-srv01/OLAP/msmdpump.dll.In Server name, enter the HTTP address of the msmdpump extension: http://my-web-srv01/OLAP/msmdpump.dll.

    L'Explorateur d'objets affiche la connexion HTTP :Object Explorer displays the HTTP connection:

    Connexion HTTP qui apparaît dans SSMSHTTP connection shown in SSMS

  4. L'authentification doit correspondre à l'authentification Windows, et la personne utilisant Management Studio doit être un administrateur Analysis Services.Authentication must be Windows authentication, and the person using Management Studio must be an Analysis Services administrator. Un administrateur peut accorder davantage d'autorisations afin d'activer l'accès pour d'autres utilisateurs.An administrator can grant further permissions to enable access by other users.

    Tester les connexions à l'aide d'ExcelTest connections using Excel

  5. Sous l'onglet Données dans Excel, dans Données externes, cliquez sur À partir d'autres sources, puis choisissez sur À partir d'Analysis Services pour démarrer l'Assistant Connexion de données.On the Data tab in Excel, in Get External Data, click From Other Sources, and then choose From Analysis Services to start the Data Connection wizard.

  6. Dans la zone Nom du serveur, entrez l'adresse HTTP de l'extension msmdpump : http://my-web-srv01/OLAP/msmdpump.dll.In Server name, enter the HTTP address of the msmdpump extension: http://my-web-srv01/OLAP/msmdpump.dll.

  7. Pour Références de connexion, choisissez Utiliser l'authentification Windows si vous utilisez la sécurité intégrée Windows ou l'authentification NTLM ou anonyme.For Log on credentials, choose Use Windows Authentication if you are using Windows integrated security or NTLM, or Anonymous user.

    Pour l'authentification de base, choisissez Utiliser le nom d'utilisateur et le mot de passe suivants, puis spécifiez les informations d'identification utilisées pour la connexion.For Basic authentication, choose Use the following User Name and Password, and then specify the credentials used to sign on. Les informations d'identification que vous fournissez sont transmises dans la chaîne de connexion à Analysis Services.The credentials you provide will be passed on the connection string to Analysis Services.

    Tester les connexions à l'aide d'AMOTest connections using AMO

    Vous pouvez tester l'accès HTTP par programme à l'aide d'AMO, en remplaçant l'URL du point de terminaison par le nom du serveur.You can test HTTP access programmatically using AMO, substituting the URL of the endpoint for the server name. Pour plus d’informations, voir la question du forum (Procédure de synchronisation des bases de données SSAS 2008 R2 via HTTPS sur les limites de domaine/forêt et de pare-feu).For details, see Forum Post (How to sync SSAS 2008 R2 databases via HTTPS across domain/forest and firewall boundaries).

    Exemple de chaîne de connexion illustrant la syntaxe de l'accès HTTP(S) à l'aide de l'authentification de base :An example connection string illustrating the syntax for HTTP(S) access using Basic authentication:

    Data Source=https://<servername>/olap/msmdpump.dll; Initial Catalog=AdventureWorksDW2012; Integrated Security=Basic; User ID=XXXX; Password=XXXXX;

    Pour plus d'informations sur la configuration de la connexion par programme, consultez Establishing Secure Connections in ADOMD.NET.For more information about setting up the connection programmatically, see Establishing Secure Connections in ADOMD.NET.

    Dans la dernière étape, veillez à effectuer des tests plus rigoureux à l'aide d'un ordinateur client s'exécutant dans l'environnement réseau duquel proviennent les connexions.As a final step, be sure to follow-up with more rigorous testing by using a client computer that runs in the network environment from which the connections will originate.

Voir aussiSee Also

Publication de forum (accès http à l'aide de msmdpump et de l'authentification de base) Forum post (http access using msmdpump and basic authentication)
Configurer le pare-feu Windows pour autoriser l’accès à Analysis Services Configure the Windows Firewall to Allow Analysis Services Access
Autorisation de l’accès à des objets et des opérations (Analysis Services) Authorizing access to objects and operations (Analysis Services)
Méthodes d’authentification IIS IIS Authentication Methods
Comment faire pour configurer SSL sur IIS 7How to Set Up SSL on IIS 7