Planifier la sécurité de PerformancePoint Services (SharePoint Server 2010)
S’applique à : SharePoint Server 2010 Enterprise
Dernière rubrique modifiée : 2017-01-18
Dans PerformancePoint Services dans Microsoft SharePoint Server 2010, les objets stockés dans les listes et les bibliothèques de documents sont sécurisés par le modèle de sécurité de Microsoft SharePoint Server 2010. En haut de ce modèle, PerformancePoint Services ajoute des fonctionnalités de produit à l’infrastructure SharePoint Server 2010 de base afin que les sources de données et le contenu des tableaux de bord soient sécurisés et protégés contre les accès non garantis. Même si PerformancePoint Services a un lien de dépendance avec le modèle de sécurité SharePoint Server 2010, vous devez tenir compte de certains points spécifiques liés à la sécurité qui donneront lieu à des opérations de planification et de gestion. Afin que soit simplifiée la gestion des ressources partagées et de l’accès utilisateur, tous les paramètres de sécurité basés sur les services sont gérés dans le site Web Administration centrale de SharePoint Server.
Cet article aborde des domaines qui devront faire l’objet de planification en termes d’authentification (telle que celle des sources de données) et d’autorisation.
Authentification
Dans PerformancePoint Services, vous avez le choix entre trois méthodes authentification des sources de données.
Identité par utilisateur : le compte de chaque utilisateur permet d’accéder à toutes les sources de données. Cette méthode requiert la délégation Kerberos. Un administrateur de domaine doit configurer la délégation Kerberos entre PerformancePoint Services et les sources de données.
Notes
Les sources de données externes doivent résider dans le même domaine que la batterie de serveurs SharePoint Server 2010. Si ce n’est pas le cas, l’authentification aux sources de données externes échoue. Pour plus d’informations, voir Considérations relatives à la planification pour les services qui accèdent à des sources de données externes dans « Planification de l’architecture des services ».
Compte de service autonome : un compte d’utilisateur partagé unique permet d’accéder à toutes les sources de données. Il s’agit d’un compte de domaine à faibles privilèges stocké dans le service Banque d’informations sécurisé. Lorsque vous définissez votre compte de service autonome, déterminez d’abord s’il dispose de l’accès approprié aux sources de données qui seront requises dans le tableau de bord.
Données personnalisées : cette méthode permet à SQL Server Analysis Services d’inclure dans une chaîne de connexion Analysis Services le nom d’utilisateur actuellement authentifié en tant que paramètre dans le champ de données personnalisées. L’option de données personnalisées concerne uniquement les sources de données Analysis Services et est utilisable par rapport aux serveurs Analysis Services 2006 et 2008.
Emplacements approuvés
Dans PerformancePoint Services, les connexions aux sources de données sont stockées dans des bibliothèques de documents, tandis que le contenu des données (indicateurs de performance clés, filtres, cartes de performance, etc.) se trouve dans des listes de documents. Pour que le contenu soit sécurisé et que les utilisateurs ne puissent pas exécuter de requêtes sur les sources de données si les objets dans les requêtes ne sont pas approuvés, les listes et les bibliothèques doivent être définies en tant qu’emplacements « approuvés ». L’administrateur de la batterie de serveurs peut définir tous les emplacements au sein de la batterie de serveurs en tant qu’emplacements approuvés ou opter pour l’approbation d’emplacements spécifiques. Étant donné qu’il est facile de définir l’emplacement à sécuriser dans la batterie de serveurs, l’administrateur de batterie n’est pas tenu de sécuriser la batterie de serveurs entière.
Les emplacements approuvés constituent une couche de sécurité supplémentaire qui limite l’exécution de requêtes portant sur des sources de données ou sur tout objet dépendant d’une source de données ne se trouvant pas dans un emplacement approuvé. La bibliothèque de documents ou tout objet parent jusqu’à l’application Web peuvent être définis comme étant approuvés. Dans PerformancePoint Services, la configuration des paramètres d’emplacements approuvés est gérée de façon centralisée par le biais de l’Administration centrale. La configuration peut également être gérée à l’aide d’applets de commande Windows PowerShell 2,0. Lorsque vous planifiez la sécurité de PerformancePoint Services, déterminez s’il est souhaitable ou nécessaire de sécuriser la totalité de l’application Web ou de gérer plus étroitement l’emplacement des données sécurisées.
Par exemple, dans une batterie de serveurs, les emplacements qui sont indépendamment marqués comme étant « approuvés » présentent la hiérarchie SharePoint Server 2010 suivante pour le contenu des données ou pour les sources de données :
Désactiver l’utilisation des emplacements approuvés pour les sources de données et/ou le contenu pour la batterie de serveurs entière.
Approuver les listes et/ou les bibliothèques de documents dans l’application Web.
Approuver les listes et/ou les bibliothèques de documents dans une collection de sites, y compris tous les sites enfants.
Approuver les listes et/ou les bibliothèques de documents dans un site.
Approuver une liste et/ou une bibliothèque de documents spécifique dans la batterie de serveurs.
Lorsqu’il vérifie si un emplacement est approuvé, le serveur détermine si la propriété Emplacements approuvés est activée. Si tel est le cas, il contrôle la liste des emplacements approuvés depuis la collection de sites vers chaque niveau inférieur de la hiérarchie pour vérifier que le contenu est approuvé.
Il n’est pas nécessaire que les éléments qui n’utilisent pas une source de données se trouvent dans un emplacement approuvé pour être restitués. Ce sont notamment les pages Web, les indicateurs de performance clés statiques, les tableaux de bord et les icônes des indicateurs.
Notes
Les emplacements de sources de données approuvés ne peuvent pas être définis sur une liste et les emplacements de contenu approuvés ne peuvent pas être définis sur une bibliothèque de documents.
Bibliothèques de contenu de données approuvées
Les bibliothèques de contenu de données approuvées sont des bibliothèques de documents SharePoint Server 2010 qui contiennent des fichiers de connexion de données PerformancePoint Services (.ppsdc). Les fichiers .ppsdc permettent de gérer de façon centralisée les connexions aux sources de données, notamment les bases de données SQL Server, les cubes OLAP, les bases de données relationnelles et les feuilles de calcul Excel Services.
Les sources de données sont définies dans Dashboard Designer et stockées dans une bibliothèque de connexions de données approuvée sur SharePoint Server 2010. Une bibliothèque de connexions de données approuvée est une bibliothèque de documents que vous jugez sûre. Elle limite l’utilisation des fichiers de sources de données, tout en autorisant leur lecture. Toutefois, une bibliothèque de documents est créée par défaut lors du déploiement de PerformancePoint Services. Les administrateurs peuvent gérer les connexions de données sur le serveur en créant plusieurs bibliothèques de connexions de données. Si un utilisateur met à jour les connexions aux sources de données dans la bibliothèque de documents, les informations sont partagées et mises à jour lorsqu’un fichier d’espace de travail est ouvert dans Dashboard Designer.
Listes approuvées pour le contenu de tableau de bord
Les rapports, les cartes de performance, les indicateurs de performance clés et les filtres doivent tous être stockés dans une liste SharePoint Server 2010 approuvée. La liste ou tout objet parent jusqu’à la collection de sites peuvent être définis comme étant approuvés pendant la configuration initiale ou ultérieurement via l’Administration centrale.
Sécurité des sources de données
Dans PerformancePoint Services, le paramètre de sécurité des sources de données est stocké dans chacune de celles-ci. Le paramètre qui détermine si le serveur recourt à l’utilisateur actuellement authentifié, au compte d’utilisateur autonome ou au compte d’utilisateur autonome utilisant des données personnalisées est configuré sur chaque source de données.
Service Banque d’informations sécurisé et comptes de service autonomes
Le service Banque d’informations sécurisé de SharePoint Server 2010 permet de stocker les données telles que les informations d’identification et de les associer à une identité spécifique ou à un groupe d’identités de manière sécurisée. Le service Banque d’informations sécurisé est présent dans toutes les batteries de serveurs SharePoint Server 2010.
Dans PerformancePoint Services, chaque source de données peut être configurée de manière à utiliser les informations d’identification de l’utilisateur actuellement authentifié ou le compte de service autonome. Le compte de service autonome est un ensemble d’informations d’identification de domaine qui font l’objet d’un emprunt d’identité lors de la connexion à une source de données. Le serveur utilise le compte de service autonome, plutôt que le compte géré, pour les requêtes sur les sources de données afin d’empêcher le processus PerformancePoint Services d’accéder à la base de données de contenu pendant l’exécution des requêtes.
PerformancePoint Services stocke et récupère les informations d’identification du compte de service autonome dans le service Banque d’informations sécurisé. Étant donné que le serveur doit conserver le nom d’utilisateur et le mot de passe pour emprunter l’identité de l’utilisateur, le mot de passe du compte de service autonome est stocké dans le service Banque d’informations sécurisé. Le nom d’utilisateur est stocké dans la base de données PerformancePoint Services afin qu’il soit accessible et qu’il apparaisse dans la page des paramètres.
Lorsque vous créez votre compte de service autonome, vérifiez qu’il dispose de l’accès approprié aux sources de données qui seront requises.
Il est important de comprendre que les informations d’identification du compte de service autonome ne sont pas mises en cache globalement. Au lieu de cela, elles sont récupérées du service Banque d’informations sécurisé uniquement lorsqu’elles sont requises. Si vous ouvrez un fichier d’espace de travail dans Dashboard Designer avec une source de données qui se connecte à l’aide de l’option de service autonome et que les informations d’identification ne sont pas déjà mises en cache pour cette connexion, le mot de passe du compte de service autonome est récupéré du service Banque d’informations sécurisé et utilise la source de données cible.
Authentification par revendications
Dans SharePoint Server 2010, l’authentification basée sur les revendications prend en charge plusieurs fournisseurs d’authentification sur une seule application Web et permet de faire passer l’identité des utilisateurs entre les serveurs Web frontaux et les serveurs d’applications. PerformancePoint Services prend en charge plusieurs fournisseurs d’authentification uniquement lorsque vous utilisez le contenu du tableau de bord via un navigateur Web. Dashboard Designer n’est pas pris en charge lorsque vous accédez directement à une URL pour une application Web via plusieurs fournisseurs d’authentification. L’utilisation de Dashboard Designer dans cette configuration nécessite que l’application Web soit étendue pour configurer l’accès à la nouvelle URL limitée au fournisseur d’authentification Windows.
See Also
Concepts
Configurer le compte de service autonome pour les services PerformancePoint
Configurer l’authentification par revendications (SharePoint Server 2010)
Planifier des méthodes d’authentification (SharePoint Server 2010)
Planifier l’importation de contenu de tableau de bord PerformancePoint Server 2007 dans SharePoint Server 2010 (SharePoint Server 2010)