Monitoring Server 的 Kerberos 身份验证和委派

更新: 2009-04-09

监控服务器 的 Kerberos 身份验证和委派包括以下概念:模拟、委派和配置。

“模拟”使得 Web 应用程序或服务能够以调用方的标识身份访问本地资源,而不是使用进程标识。“委派”使得 Web 应用程序或服务能够使用模拟标记访问远程网络资源。需要使用委派的应用场景通常称为“双跳”**应用场景。

委派在集成的 Windows 身份验证和 Kerberos 协议的基础上进行操作。监控服务器 和 规划服务器都有需要使用委派的配置。在客户端和前端 Web 服务器位于不同计算机上的 PerformancePoint 规划管理控制台部署中,要求该服务能够将得到授权的用户的凭据传递到前端服务。如果 Bpm.ServerConnectionPerUser 属性在 Web.config 文件中设置为 True,且被注册为数据源的服务和网站都设置在远程计算机上,则 监控服务器 需要委派。Bpm.ServerConnectionPerUser 设置强制要求 监控服务器 在与 Microsoft SQL Server Analysis Services 之类的外部数据源通信时尝试使用得到授权的用户的标识。

在网站上配置委派需要更改域用户帐户、该域上的服务主体名称 (SPN) 以及相应的客户端和中间层服务器。此部分中的文章概述了要让使用委派的 监控服务器 正常工作所需的更改。根据环境,介绍了一些不同的配置选项,包括约束委派以及不同的应用程序池标识如何才能更改设置中的步骤。约束委派仅在 Windows Server 2003 域功能级别可用。

文档引用了 监控服务器 默认部署的以下 Microsoft Office PerformancePoint Server 2007 网站:

  • PPSWebService

  • PPSMonitoringPreview

  • SharePoint 逻辑单一网站

有关详细信息,请参阅 Troubleshooting Kerberos Delegation(网址为 http://go.microsoft.com/fwlink/?LinkId=99662,该链接指向英文页面)。

注意注意:

必须安装 Office SharePoint Server 2007 或 Windows SharePoint Services,才能成功安装和使用 Monitoring Server。在 PerformancePoint Server 文档中,我们统一使用“Windows SharePoint Services”和“SharePoint Services”这两个术语来分别指代 Office SharePoint Server 2007 和 Windows SharePoint Services 3.0。

另请参阅