Planning Server の Kerberos 認証および委任

更新 : 2009-04-09

偽装では、Web アプリケーションまたはサービスがプロセス ID ではなく呼び出し元 ID になりかわって動作し、ローカル リソースにアクセスできるようになります。委任では、Web アプリケーションまたはサービスが偽装トークンを使用し、リモート ネットワーク リソースにアクセスできるようになります。

委任は、統合 Windows 認証と Kerberos プロトコルに基づいて動作します。Monitoring Server と Planning Server のどちらにも、委任の使用を必要とする構成があります。異なるコンピュータに置かれたクライアントとフロントエンド Web サーバーを使用する Planning 管理コンソールの展開では、サービスが認証されたユーザーの資格情報をフロントエンド サービスに渡すことができる必要があります。Monitoring Server は、Web.config ファイルの Bpm.ServerConnectionPerUser プロパティが true に設定され、データ ソースとして登録されたサービスと Web サイトがリモート コンピュータ上で設定されている場合に、委任を必要とします。Bpm.ServerConnectionPerUser 設定は、Analysis Services などの外部データ ソースとの通信時に、Monitoring Server が認証されたユーザーの ID を使用するよう試みることを強制します。

Web サイト上で委任を構成する場合、ドメイン ユーザー アカウント、ドメインのサービス プリンシパル名 (SPN)、およびクライアントと中間層サーバーに対する変更が必要になります。このセクションでは、委任を使用して Planning Server を実行するために必要な変更について記載します。制約付き委任、異なるアプリケーション プール ID によりセットアップ時の手順が変更されるしくみなど、いくつかの構成オプションについて説明しています。制約付き委任は、Windows Server 2003 ドメイン機能レベルでのみ使用可能です。

重要 :
Kerberos 認証を正常に機能させるには、他の PerformancePoint Server サービスとは異なるコンピュータに Planning プロセス サービスをインストールする必要があります。

このセクションのトピックでは、既定の Planning Server の展開の以下の PerformancePoint Server Web サイトを参照します。

• 管理サービスとフロントエンド Web サーバー

詳細については、「Troubleshooting Kerberos Delegation」(https://go.microsoft.com/fwlink/?LinkId=99662) を参照してください。