Configurare Analysis Services per la delega vincolata Kerberos
Si applica a:
SQL Server Analysis Services
Azure Analysis Services
Power BI Premium
La delega vincolata Kerberos è un protocollo di autenticazione che è possibile configurare con l'autenticazione di Windows per delegare le credenziali client da servizio a servizio in tutto l'ambiente. La delega vincolata Kerberos richiede un'infrastruttura aggiuntiva, ad esempio un controller di dominio, e un'ulteriore configurazione dell'ambiente. La delega vincolata Kerberos è un requisito in alcuni scenari che coinvolgono dati di Analysis Services e Power Pivot in SharePoint 2016. In SharePoint 2016 Excel Services si trova all'esterno della farm di SharePoint, in un nuovo server separato, Office Online Server. Visto che Office Online Server è un server separato, è ancora più importante trovare una soluzione per delegare le credenziali client negli scenari tipici a due hop.
Panoramica
La delega vincolata Kerberos consente a un account di rappresentare un altro account allo scopo di fornire accesso alle risorse. L'account rappresentante sarebbe un account di servizio assegnato a un'applicazione Web o l'account computer di un server Web, mentre l'account che viene rappresentato sarebbe un account utente che richiede l'accesso alle risorse. La delega vincolata Kerberos opera a livello di servizio, affinché l'account rappresentante possa consentire l'accesso a determinati servizi in un server, negandolo ad altri servizi nello stesso server o in altri server.
Le sezioni in questo argomento illustrano scenari comuni in Analysis Services e Power Pivot in cui è richiesta la delega vincolata Kerberos. È anche illustrata una distribuzione server di esempio con un riepilogo generale di ciò che è necessario installare e configurare. Nella sezione Altre informazioni e contenuto della community sono disponibili collegamenti a informazioni più dettagliate sulle tecnologie coinvolte, ad esempio i controller di dominio e la delega vincolata Kerberos.
Scenario 1: Cartella di lavoro come origine dati (WDS).
apre una Excel di lavoro e vedere
rileva una connessione dati a un'altra cartella di lavoro. Office Online Server invia una richiesta al servizio Redirector vedere 3 per aprire la seconda cartella di lavoro e i dati Power Pivot
. 
In questo scenario le credenziali utente devono essere delegate da Office Online Server al servizio Redirector di Power Pivot in SharePoint.

Scenario 2: Modello tabulare di Analysis Services collegato a una cartella di lavoro di Excel
Per Analysis Services modello
collegamento a una cartella di Excel che contiene un Power Pivot esistente. In questo scenario, quando Analysis Services carica il modello tabulare, Analysis Services rileva il collegamento alla cartella di lavoro. Durante l'elaborazione del modello, Analysis Services invia una richiesta di query a SharePoint per caricare la cartella di lavoro. In questo scenario non è necessaria la delega delle credenziali client da Analysis Services a SharePoint, ma un'applicazione client può sovrascrivere le informazioni dell'origine dati in un'associazione out-of-line. Se la richiesta di associazione out-of-line specifica la rappresentazione dell'utente corrente, è necessario delegare le credenziali utente. A questo scopo deve essere configurata la delega vincolata Kerberos tra Analysis Services e SharePoint.

Esempio di distribuzione della delega vincolata Kerberos con Office Online Server e Analysis Services
Questa sezione descrive un esempio di distribuzione che usa quattro computer. Nelle sezioni seguenti sono riepilogati i passaggi di installazione e configurazione principali per ogni computer. Prima di iniziare le distribuzioni, è consigliabile che nei computer siano state applicate le patch più recenti per il sistema operativo ed è opportuno conoscere i nomi dei computer perché sono necessari in alcuni passaggi di configurazione.
Controller di dominio
Motore di database di SQL Server e Analysis Services in modalità Power Pivot. L'istanza del motore di database verrà usata per i database del contenuto di SharePoint.
SharePoint server 2016
Office Online Server
![]()
Controller di dominio
Di seguito è riportato un riepilogo di ciò che occorre installare per il controller di dominio.
Ruolo: Servizi di dominio Active Directory.
Ruolo: server DNS
Funzionalità: funzionalità di .NET Framework 3.5/.NET Framework 3.5
Funzionalità: Strumenti di amministrazione remota del server/Strumenti di amministrazione ruoli
Configurare Active Directory per creare una nuova foresta e aggiungere i computer al dominio. Prima di tentare di aggiungere altri computer al dominio privato, è necessario configurare i DNS dei computer client sull'indirizzo IP del controller di dominio. Nel computer controller di dominio eseguire
ipconfig /allper ottenere gli indirizzi IPv4 e IPv6 per il passaggio successivo.È consigliabile configurare indirizzi sia IPv4 che IPv6. A questo scopo si può usare il Pannello di controllo di Windows:
Fare clic su Centro connessioni di rete e condivisione
Fare clic sulla connessione Ethernet
Fare clic su Proprietà
Fare clic su Protocollo Internet versione 6 (TCP/IPv6)
Fare clic su Proprietà
Fare clic su Utilizza i seguenti indirizzi server DNS
Digitare l'indirizzo IP dal comando ipconfig.
Fare clic sul pulsante Avanzate , selezionare la scheda DNS e verificare che i suffissi DNS siano corretti.
Fare clic su Aggiungi questi suffissi DNS.
Ripetere la procedura per IPv4.
Nota: è possibile aggiungere computer al dominio dal Pannello di controllo di Windows, in Impostazioni di sistema. Per altre informazioni, vedere How To Join Windows Server 2012 to a Domain(Come aggiungere Windows Server 2012 a un dominio).
![]()
Motore di database di SQL Server 2016 e Analysis Services in modalità Power Pivot.
Di seguito è riportato un riepilogo di ciò che occorre installare nel computer SQL Server .
SQL Server 2017 Nell'installazione guidata, Analysis Services in modalità Power Pivot viene installato come parte del flusso di lavoro di selezione delle funzionalità.
Eseguire l'Installazione guidata di SQL Server 2017 e quindi nella pagina Selezione funzionalità fare clic sul motore di database, Analysis Servicese sugli strumenti di gestione. In una configurazione successiva dell'Installazione guidata è possibile specificare la modalità Power Pivot per Analysis Services.
Ad esempio, configurare un'istanza denominata di "POWERPIVOT".
Nella pagina Configurazione di Analysis Services configurare il server Analysis Services per la modalità PowerPivot e aggiungere il nome computer di Office Online Server all'elenco di amministratori del server Analysis Services. Per altre informazioni, vedere Install Analysis Services in Power Pivot Mode.
Si noti che per impostazione predefinita il tipo di oggetto "Computer" non è incluso nella ricerca. Fare
per aggiungere l'oggetto Computer.
Creare i nomi dell'entità servizio (SPN) per l'istanza di Analysis Services.
Ecco alcuni comandi SPN utili:
Elencare il nome SPN per un nome account specifico che esegue il servizio di interesse:
SetSPN -l <account-name>Impostare un nome SPN per un nome account che esegue il servizio di interesse:
SetSPN -a <SPN> <account-name>Eliminare un nome SPN da un nome account specifico che esegue il servizio di interesse:
SetSPN -D <SPN> <account-name>Cercare nomi SPN duplicati:
SetSPN -X
Il nome SPN per l'istanza di PowerPivot sarà nel formato:
MSSQLSvc.3/\<Fully Qualified Domain Name (FQDN)>:POWERPIVOT MSSQLSvc.3/<NetBIOS Name>:POWERPIVOTDove il nome di dominio completo e i nomi NetBIOS corrispondono al nome del computer in cui risiede l'istanza. Questi nomi SPN verranno posizionati nell'account di dominio usato per l'account del servizio. Se si usa Servizio di rete, Sistema locale o ID servizio, è opportuno inserire il nome SPN nell'account computer di dominio. Se si usa un account utente di dominio, inserire il nome SPN in tale account.
Creare il nome SPN per il servizio SQL Browser nel computer di Analysis Services.
Configurare le impostazioni della delega vincolata nell'account del servizio Analysis Services per qualsiasi origine esterna da cui si eseguirà l'aggiornamento, ad esempio SQL Server o file di Excel. Nell'account del servizio Analysis Services, è necessario assicurarsi che sia impostato quanto segue.
Nota: se in Utenti e computer di Active Directory non è presente la scheda Delega per l'account, significa che non esiste alcun nome SPN nell'account. È possibile aggiungere un nome SPN fittizio per far sì che venga visualizzato come
my/spn.Utente attendibile per la delega solo ai servizi specificati e Utilizza un qualsiasi protocollo di autenticazione.
Questa operazione è detta delega vincolata ed è necessaria perché il token di Windows avrà origine da Attestazioni per il servizio token Windows (C2WTS) che richiede la delega vincolata con transizione di protocollo.

Occorrerà anche aggiungere i servizi a cui si delegherà. Questo aspetto varia in base all'ambiente.
Office Online Server
Installare Office Online Server
Configurare Office Online Server per la connessione al server Analysis Services . Si noti che l'account computer di Office Online Server deve essere un amministratore del server Analysis Services . Questa operazione è stata completata in una sezione precedente di questo argomento, con l'installazione del server Analysis Services .
In Office Online Server aprire una finestra di PowerShell con privilegi amministrativi ed eseguire il comando seguente
New-OfficeWebAppsExcelBIServer -ServerId <AS instance name>Esempio:
New-OfficeWebAppsExcelBIServer -ServerId "MTGQLSERVER-13\POWERPIVOT"
Configurare Active Directory per consentire all'account computer di Office Online Server di rappresentare gli utenti nell'account del servizio SharePoint. Quindi, impostare la proprietà di delega sull'entità che esegue il pool di applicazioni per i servizi Web di SharePoint, in Office Online Server: i comandi di PowerShell in questa sezione richiedono gli oggetti PowerShell di Active Directory (AD).
Ottenere l'identità Active Directory di Office Online Server
$computer1 = Get-ADComputer -Identity [ComputerName]il nome di questa entità si trova in Gestione attività/Dettagli/nome utente di w3wp.exe. ad esempio "svcSharePoint"
Set-ADUser svcSharePoint -PrincipalsAllowedToDelegateToAccount $computer1Per verificare che la proprietà sia stata impostata correttamente
-
Get-ADUser svcSharePoint -Properties PrincipalsAllowedToDelegateToAccount
Configurare le impostazioni della delega vincolata dell'account di Office Online Server sull'istanza di Analysis Services Power Pivot. Deve essere l'account del computer con cui viene eseguito Office Online Server. Nell'account di Office Online Server, è necessario assicurarsi che sia impostato quanto segue.
Nota: se in Utenti e computer di Active Directory non è presente la scheda Delega per l'account, significa che non esiste alcun nome SPN nell'account. È possibile aggiungere un nome SPN fittizio per far sì che venga visualizzato come
my/spn.Utente attendibile per la delega solo ai servizi specificati e Utilizza un qualsiasi protocollo di autenticazione.
Questa operazione è detta delega vincolata ed è necessaria perché il token di Windows avrà origine da Attestazioni per il servizio token Windows (C2WTS) che richiede la delega vincolata con transizione di protocollo. Sarà quindi necessario consentire la delega ai nomi SPN MSOLAPSvc.3 e MSOLAPDisco.3 creati in precedenza.
Configurare Attestazioni per il servizio token Windows (C2WTS) Necessario per lo scenario 1. Per altre informazioni, vedere Cenni preliminari su Claims to Windows Token Service (c2WTS).
Configurare le impostazioni della delega vincolata nell'account del servizio C2WTS. Le impostazioni devono corrispondere a quanto configurato nel passaggio 4.
![]()
SharePoint Server 2016
Di seguito è riportato un riepilogo dell'installazione di SharePoint Server.
Installare il programma di installazione dei prerequisiti di SharePoint
Eseguire l'installazione di SharePoint e selezionare l'impostazione ruolo Single Server Farm (Server farm singola).
Eseguire il componente aggiuntivo PowerPivot per SharePoint (spPowerPivot16.msi). Per altre informazioni, vedere Install or Uninstall the Power Pivot for SharePoint Add-in (SharePoint 2016)
Eseguire la Configurazione guidata PowerPivot. Vedere Strumenti di configurazione di Power Pivot.
Connessione SharePoint alla Office Online Server. (Configure_xlwac_on_SPO.ps1)
Configurare i provider di autenticazione SharePoint per Kerberos. Necessario per lo scenario 1. Per altre informazioni, vedere Pianificare l'autenticazione Kerberos in SharePoint 2013.
Vedere anche
Microsoft® Kerberos Configuration Manager per Microsoft SQL Server®