Monitoring Server アプリケーション プール アカウント
更新 : 2009-04-30
Monitoring Server アプリケーション プロセスは、アプリケーション プールの ID 構成で指定されたアカウントとして実行されます。
組み込みの Local System、Local Service、Network Service の各アカウントに加えて、ローカルまたはネットワーク アカウントを指定できます。このアカウントには、アプリケーション データベースおよびすべての必要なデータ ソースへのアクセス権が必要です。サーバーが "ユーザー認証ごとの接続" 用に構成されている (つまり、個々のエンド ユーザーの資格情報が認証に使用される) 場合、アプリケーション プール アカウントにはアプリケーション データベースへのアクセス権のみが必要です。ただし、すべてのユーザーにすべてのデータ ソースへのアクセス許可を与える必要があります。
可能な限り、Monitoring Server は低い特権を持つドメイン アカウントを使用して実行する必要があります。アプリケーションで必要なリソース以外のリソースへのアクセス権をこの ID に与えないでください。
Monitoring Server アプリケーション プール ID は、Monitoring Server 構成マネージャで指定されたアカウントで実行されます。SharePoint サイトを実行するアプリケーション プール ID も、同じアカウントを使用して設定する必要があります。ただし、現在の設定内容がどうであれ Monitoring Server 構成マネージャでは変更されず、ユーザー自身が手動で変更する必要があります。ドメイン アカウントをアプリケーション プール ID として使用することをお勧めします。そのドメイン アカウントを、Monitoring Server がインストールされているコンピュータ上の IIS_WPG グループのみに割り当てる必要があります。
Monitoring Server 構成マネージャでは、推奨される展開であるドメイン アカウントの指定をサポートします。また、Monitoring Server 構成マネージャでは、組み込みアカウントの指定もサポートしています。Monitoring Server 構成マネージャでは、アプリケーション データベースに格納されているメタデータへのアクセス権を選択したアカウントに自動的に割り当てます。既定では、使用を計画している各データ ソースへのアクセス許可をこのアカウントに手動で割り当てる必要があります。
データ ソースの認証
多くの場合、Monitoring Server データ ソース内のデータにアクセスするには、Monitoring Server の認証が必要になります。既定では、Monitoring Server は常にアプリケーション プール ID を使用してデータ ソースに接続します。唯一の例外は、アクセス資格情報を含む接続文字列の指定を管理者に許可するデータ ソースです。ダッシュボード デザイナでは、SQL Server 2005 Analysis Services データ ソース作成用のウィザードを使用して、Analysis Services への接続をセキュリティで保護するためのロールのセットを指定できます。
単一のユーザーとしてデータ ソースへの認証を行うと、組織のビジネス データへのアクセスを十分に制御できない場合があります。Monitoring Server には、アクセス制御を強化するための 2 つのオプションが用意されています。
最初のオプションは、Analysis Services 接続文字列で CustomData フィールドを使用する方法です。Monitoring Server では、サーバーへの認証を行うアカウントのドメイン名とユーザー名を接続文字列の CustomData として指定できます。そのうえで、Monitoring Server が提供するユーザー名を含む文字列に基づいてアクセスを制限するように Analysis Services を構成できます。
2 番目のオプションは、Web.config ファイルで Bpm.ServerConnectionPerUser プロパティを有効にし、Monitoring Server による Kerberos 委任のサポートを有効にする方法です。委任では、現在認証されているユーザーから登録済みの任意のデータ ソースへ、偽装トークンが提供されます。Kerberos 委任を使用する場合は、各ユーザーにデータ ソースへのアクセスが必要です。Monitoring Server およびユーザーの接続先となるサービスの両方に、このユーザーごとのデータ ソース アクセスを登録する必要があります。この手法の利点は、登録されている各データ ソースで利用可能なアプリケーション セキュリティ モデルを使用できることです。
分析レポートとデータ ソース セキュリティ
Analysis Services レポートのナビゲーション機能を使えば、ユーザーは、静的レポートからだけではわからない、ビジネスに関する内容を把握することができます。Editor ロールと Reader ロールのメンバに対するレポート レベルのセキュリティでは、関連するデータを特定の人々と共有することがユーザーに許可されています。分析レポートに対する Editor ロールや Reader ロールのアクセス許可では、該当するビューで許可される内容以上のデータをユーザーが表示することは禁止されていません。この場合、データ ソースに対するセキュリティがキューブ データへのアクセスを制限する唯一の方法です。Analysis Services の OLAP キューブを参照するデータ ソースにアクセスしてしまえば、Analysis Services でアクセスが制限されていない限り、ユーザーはそのキューブ内のすべてのデータを表示できます。既定では、Monitoring Server はすべてのデータ ソースに対して単一のユーザーとして接続します。
データ ソース接続文字列
Monitoring Server では、サポートされている多くのデータ ソースの種類について、ユーザー独自の接続文字列を指定する機能を提供します。接続文字列の一部として資格情報のセットを指定する場合は、これらの資格情報はが暗号化されず、データ ソースにアクセスできるすべてのユーザーのワークスペースに直接格納できる点に注意してください。
.gif "注意") 注意 : |
|---|
接続文字列の一部として資格情報を指定しないことをお勧めします。 |
SharePoint 製品とテクノロジの展開
Monitoring Server アプリケーション プールの ID アカウントを Monitoring Server Web サイトと同じにすることをお勧めします。これにより、既定の構成を使用している場合、レポートとスコアカードが同じユーザー コンテキストで実行されます。Bpm.ServerConnectionPerUser プロパティを使用する場合でも、Kerberos の構成を簡略化することをお勧めします。SharePoint 製品とテクノロジを実行しているプロセスには、Monitoring Server のメタデータ リポジトリへのアクセスが許可される点に注意してください。コンテンツを発行できるユーザーには Monitoring Server データへのアクセスも許可される可能性があるため、コンテンツの発行は特定のユーザーに制限する必要があります。
IIS の構成
アプリケーション プール ID と Web.config ファイルの構成に加えて、関連するすべての Web サイトの SSL を有効にすることにより、Monitoring Server のセキュリティをさらに強化する必要があります。統合 Windows 認証以外の認証および既定以外のポートの使用はお勧めしません。統合 Windows 認証と既定のポートを使用することをお勧めします。