Planejar a segurança dos Serviços PerformancePoint (SharePoint Server 2010)

Artigo
03/07/2017

Aplica-se a: SharePoint Server 2010 Enterprise

Tópico modificado em: 2017-01-18

No Serviços PerformancePoint no Microsoft SharePoint Server 2010, os objetos armazenados em listas e bibliotecas de documentos são protegidos pelo modelo de segurança do Microsoft SharePoint Server 2010. Além desse modelo, o Serviços do PerformancePoint adiciona recursos de produto adicionais ao framework básico do SharePoint Server 2010 para assegurar que as origens de dados e o conteúdo de painel estejam seguros e protegidos contra acesso não autorizado. Apesar do Serviços do PerformancePoint ter uma dependência no modelo de segurança do SharePoint Server 2010, ainda há considerações especiais de segurança a serem feitas, planejadas e gerenciadas. Todas as configurações de segurança baseadas em serviços são gerenciadas no site da Administração Central do SharePoint Server para facilitar o gerenciamento de recursos compartilhados e do acesso dos usuários.

Este artigo discute áreas a serem planejadas em termos de autenticação, autorização e autenticação de fontes de dados.

Autenticação

No Serviços do PerformancePoint, é possível escolher entre três métodos de autenticação de origem de dados diferentes.

Por identidade do usuário: a própria conta de cada um dos usuário é usada para acessar todas as fontes de dados. Esse método requer delegação do Kerberos. Um administrador de domínio deve configurar a delegação Kerberos entre o Serviços do PerformancePoint e as origens de dados.

Observação

Fontes de dados externas precisam residir no mesmo domínio do farm do SharePoint Server 2010. Se elas não residirem no mesmo domínio, a autenticação das fontes de dados falhará. Para obter mais informações, consulte Considerações de planejamento para serviços que acessam fontes de dados externas em “Planejamento da Arquitetura de Serviços”.
Conta de serviço sem supervisão: uma única conta de usuário compartilhada é usada para acessar todas as fontes de dados. Trata-se de uma conta de domínio com privilégios baixos armazenada no Serviço de Repositório Seguro. Ao estabelecer a sua conta de serviço sem supervisão, determine primeiro se ela possui o devido acesso às fontes de dados que serão necessárias no Painel.
Dados Personalizados: fornece a capacidade para que os SQL Server Analysis Services incluam o nome de usuário autenticado atual como um parâmetro no campo de dados personalizados em uma cadeia de conexão de Analysis Services. A opção de dados personalizados é apenas usada para fontes de dados do Analysis Services e pode ser usada com base em servidores do Analysis Services 2006 e 2008.

Locais Confiáveis.

No Serviços do PerformancePoint, as conexões de origens de dados estão contidas em bibliotecas de documentos e os conteúdos de dados (KPIs, filtros, scorecards, etc.) estão contidos em listas de documentos. Para proteger o conteúdo e impedir que os usuários executem consultas com base em fontes de dados se os objetos nessas consultas não forem confiáveis, as listas e as bibliotecas devem ser estabelecidas como locais "confiáveis". O administrador do farm tem a opção de definir todos os locais do farm como “confiáveis” ou de identificar locais específicos nos quais confiar. Devido à capacidade de definir facilmente o local no farm a ser protegido, o administrador do farm não precisa proteger o farm interno.

Locais confiáveis proporcionam um camada adicional de segurança que impede a execução de consultas de fontes de dados ou de qualquer objeto que seja dependente de uma fonte de dados que não se encontre em um local confiável. A biblioteca de documentos ou qualquer objeto pai até o nível do aplicativo Web pode ser definido como confiável. Nos Serviços do PerformancePoint, a configuração das definições de locais confiáveis é gerenciada centralmente pela Administração Central. A configuração também pode ser gerenciada com o uso de cmdlets do Windows PowerShell 2,0. Durante o planejamento de segurança dos Serviços do PerformancePoint, considere se deseja ou precisa assegurar seu aplicativo Web inteiro ou se deseja gerenciar mais de perto o local dos dados seguros.

Por exemplo: locais dentro de um farm que são marcados independentemente como "confiáveis" possuem a seguinte hierarquia SharePoint Server 2010 para conteúdos de dados ou origens de dados:

Desative o uso de Locais Confiáveis para fontes de dados e/ou conteúdos do farm inteiro.
Confie em listas e/ou bibliotecas de documentos no aplicativo Web.
Confie em listas e/ou bibliotecas de documentos em um conjunto de sites, incluindo sites filhos.
Confie em listas e/ou bibliotecas de documentos em um site.
Confie em uma lista individual e/ou em uma biblioteca de documentos no farm.

Ao verificar se um local é confiável, o servidor verificará se a propriedade Locais Confiáveis está habilitada. Em caso positivo, o servidor verificará a lista de locais confiáveis, começando com o conjunto de sites e prosseguindo para cada nível inferior da hierarquia a fim de verificar se o conteúdo é confiável.

Itens que não usam uma fonte de dados não precisam estar em um local confiável para serem renderizados. Isso inclui páginas da Web, KPIs estáticos, painéis e ícones de indicadores.

Observação

Locais de fontes de dados confiáveis não podem ser definidos em uma lista, e locais de conteúdo confiáveis não podem ser definidos em uma biblioteca de documentos.

Bibliotecas de conteúdo de dados confiável

Bibliotecas de conteúdo de dados confiáveis são bibliotecas de documentos do SharePoint Server 2010 que contém arquivos (.ppsdc) de conexão de dados do Serviços do PerformancePoint. Os arquivos .ppsdc são usados para gerenciar centralmente conexões com fontes de dados, incluindo bancos de dados do SQL Server, cubos OLAP, bancos de dados relacionais e planilhas dos Serviços do Excel.

As origens de dados são definidas no Dashboard Designer e armazenadas em uma biblioteca de conexão de dados confiável em SharePoint Server 2010. Uma biblioteca de conexão de dados confiável é uma biblioteca de documento que você marcou como sendo segura. Ela restringe o uso de arquivos de origem de dados, mas ainda permitem que eles sejam lidos. Uma biblioteca de documentos é criada por padrão durante o provisionamento do Serviços do PerformancePoint, no entanto. Os administradores podem gerenciar conexões de dados no servidor, criando mais de uma biblioteca de conexões de dados. Se um usuário atualizar a conexão de fontes de dados na biblioteca de documentos, as informações serão compartilhadas e atualizadas quando um arquivo de espaço de trabalho for aberto no Dashboard Designer.

Listas Confiáveis para Conteúdo de Painel

Relatórios, scorecards, KPIs e filtros são necessários para serem armazenados em uma lista confiável do SharePoint Server 2010. Essa lista, ou qualquer objeto pai até o nível do conjunto de sites, pode ser definida como confiável durante a configuração inicial ou mais tarde através da Administração Central.

Segurança da drigem de dados

No Serviços do PerformancePoint a configuração de segurança para origens de dados está armazenada em cada origem de dados. A configuração que determina se o servidor utiliza o usuário atualmente autenticado, a conta de usuário sem supervisão ou a conta de usuário sem supervisão usando dados personalizados é definida em cada fonte de dados individual.

O Serviço de Repositório Seguro e contas de serviço sem supervisão

O Serviço de Armazenamento Seguro do SharePoint Server 2010 fornece a capacidade de armazenar com segurança dados como credenciais e associá-los para uma identidade específica ou grupo de identidades. O Serviço de Repositório Seguro está presente em todos os farms do SharePoint Server 2010.

No Serviços do PerformancePoint, cada origem de dados pode ser configurada para usar as credenciais de usuário autenticadas atualmente ou a “Conta de Serviço sem Supervisão”. Esta última consiste em um conjunto de credenciais de domínio que são representadas na ocasião da conexão com uma fonte de dados. O servidor usa a conta de serviço sem supervisão no lugar da conta gerenciada para consultas de origem de dados para evitar que o processo do Serviços do PerformancePoint de acessar o banco de dados de conteúdo durante a execução de consulta.

O Serviços do PerformancePoint armazena e recupera credenciais de conta de serviço sem supervisão no Serviço de Repositório Seguro. Como o servidor precisa ter o nome de usuário e a senha para que possa representar o usuário, a senha para a conta sem supervisão é armazenada no Serviço de Repositório Seguro. O nome de usuário é armazenado no banco de dados do Serviços do PerformancePoint para que seja acessível e possa ser exibido na página de configurações.

Ao criar a sua conta de serviço sem supervisão, verifique se ela tem o devido acesso às fontes de dados que serão necessárias.

É importante compreender que as credenciais da conta de serviço sem supervisão não são armazenadas em cache globalmente. Em vez disso, elas apenas são recuperadas do Serviço de Repositório Seguro quando são necessárias. Se você abrir um arquivo de espaço de trabalho no Dashboard Designer com uma fonte de dados que se conecte usando a opção de serviço sem supervisão, e as credenciais ainda não estiverem armazenadas em cache para essa conexão, a senha da conta de serviço sem supervisão será recuperada do Serviço de Repositório Seguro e usará a fonte de dados de destino.

Autenticação baseada em declarações

A autenticação baseada em declarações no SharePoint Server 2010 oferece suporte a diversos provedores de autenticação em um único aplicativo Web e é usada para transmitir a identidade dos usuários entre os servidores Web front-end e os servidores de aplicativos. O Serviços do PerformancePoint oferece suporte a diversos provedores de autenticação somente quando você vê o conteúdo do painel por meio de um navegador da Web. Não há suporte para o Dashboard Designer quando você acessa diretamente uma URL de qualquer aplicativo Web usando diversos provedores de autenticação. Para usar o Dashboard Designer nessa configuração, é necessário estender o aplicativo Web para configurar o acesso à nova URL que está restrita ao provedor de autenticação do Windows.