规划服务器的 Kerberos 身份验证和委派

更新： 2009-04-09

模拟使得 Web 应用程序或服务能够以调用方的标识身份访问本地资源，而不是使用进程标识。委派使得 Web 应用程序或服务能够使用模拟标记访问远程网络资源。

委派在集成的 Windows 身份验证和 Kerberos 协议的基础上进行操作。监控服务器 和 规划服务器都有需要使用委派的配置。在客户端和前端 Web 服务器位于不同计算机上的 规划管理控制台部署中，要求该服务能够将得到授权的用户的凭据传递到前端服务。如果 Bpm.ServerConnectionPerUser 属性在 Web.config 文件中设置为 true，且被注册为数据源的服务和网站都设置在远程计算机上，则 监控服务器 需要委派。Bpm.ServerConnectionPerUser 设置强制要求 监控服务器 在与 Analysis Services 之类的外部数据源通信时尝试使用得到授权的用户的标识。

在网站上配置委派需要更改域用户帐户、该域上的服务主体名称 (SPN) 以及相应的客户端和中间层服务器。此部分概述了要让使用委派的规划服务器正常工作所需的更改。介绍了一些配置选项，包括约束委派以及不同的应用程序池标识如何才能更改设置中的步骤。约束委派仅在 Windows Server 2003 域功能级别可用。

重要：
为了让 Kerberos 身份验证正常发挥作用，必须将 规划流程服务安装在与其余 PerformancePoint Server 服务不同的单独的计算机上。

此部分中的主题引用规划服务器默认部署的以下 PerformancePoint Server 网站。

• 管理服务和前端 Web 服务器

有关详细信息，请参阅 Troubleshooting Kerberos Delegation（网址为 https://go.microsoft.com/fwlink/?LinkId=99662，该链接指向英文页面）。