Monitoring Server セキュリティの考慮事項

Monitoring Server は、Microsoft インターネット インフォメーション サービス (IIS) のドメイン認証を利用して、アプリケーションへのユーザー アクセスを認証します。信頼されたドメイン内のアクティブなユーザーは、Web サービスにアクセスできますが、オブジェクト レベルまたはサーバー レベルの特定のロールが割り当てられていないと、サーバー上のメタデータを作成または表示できません。

Monitoring Server には、データベース リポジトリで定義済みの一連のロールが構成されています。承認は、ユーザー、ユーザーが属しているグループ、およびユーザーに割り当てられている Monitoring Server のロールを比較して行われます。

Monitoring Server には、ダッシュボードの要素を管理または作成するためのアクセス許可を定義する複数のロールが用意されています。ダッシュボード デザイナでは、Active Directory ディレクトリ サービスのユーザーとグループは、これらのロールに割り当てられます。

システムの基本的なロールに加えて、ダッシュボードの要素にも編集者と閲覧者というロールがあり、サーバー上の個別の要素に適用されます。このようなダッシュボード要素としては、レポート、スコアカード、およびダッシュボード自体の定義などがあります。

偽装を使用すると、Web アプリケーションまたは Web サービスが、プロセス ID としてではなく別のエンティティの ID になり代わって動作し、ローカル リソースにアクセスできるようになります。委任を使用すると、Web アプリケーションまたは Web サービスが偽装トークンを使用して、リモート ネットワーク リソースにアクセスできるようになります。

委任の使用を必要とするシナリオは、一般に、"ダブル ホップ" シナリオと呼ばれます。委任は、統合 Windows 認証と Kerberos プロトコルに基づいて動作します。Monitoring Server は、Web.config ファイルで Bpm.ServerConnectionPerUser プロパティが True に設定され、データ ソースとして登録されたサービスと Web サイトがリモート コンピュータにインストールされている場合に、委任を必要とします。Bpm.ServerConnectionPerUser 設定は、Analysis Services などの外部データ ソースとの通信時に、Monitoring Server が認証されたユーザーの ID を使用するよう試みることを強制します。

Kerberos 委任の構成については、『PerformancePoint Server 2007 展開ガイド』を参照してください。