クライアント アプリケーションから Analysis Services インスタンスへの接続には、Windows 認証 (統合) が必要です。 次のいずれかの方法を使用して、Windows ユーザー ID を指定できます。
NTLM
Kerberos (Kerberos の制約付き委任のために Analysis Services を構成するを参照)
接続文字列の EffectiveUserName
Basic または Anonymous (HTTP アクセスの構成が必要)
格納された資格情報
クレーム認証はサポートされていないことに注意してください。 Windows クレーム トークンを使用して Analysis Services にアクセスすることはできません。 Analysis Services クライアント ライブラリは、Windows セキュリティ原則でのみ機能します。 BI ソリューションにクレーム ID が含まれている場合は、各ユーザーの Windows ID シャドウ アカウントが必要になります。または、保存された資格情報を使用して Analysis Services データにアクセスする必要があります。
BI と Analysis Services の認証フローの詳細については、「 Microsoft BI 認証と ID 委任」を参照してください。
認証の代替手段について
Analysis Services データベースに接続するには、Windows ユーザーまたはグループ ID と関連するアクセス許可が必要です。 この ID は、レポートを表示する必要があるユーザーが使用する汎用ログインである可能性がありますが、より可能性の高いシナリオには個々のユーザーの ID が含まれます。
多くの場合、表形式モデルまたは多次元モデルでは、要求を行っているユーザーに基づいて、オブジェクトまたはデータ自体によって異なるレベルのデータ アクセスが行われます。 この要件を満たすために、NTLM、Kerberos、EffectiveUserName、または基本認証を使用できます。 これらの手法はすべて、接続ごとに異なるユーザー ID を渡すためのアプローチを提供します。 ただし、これらの選択肢のほとんどは、単一ホップの制限の対象となります。 元のユーザー ID をリモート サーバー上のバックエンド データ ストアに複数のコンピューター接続間でフローできるのは、委任を持つ Kerberos のみです。
NTLM
SSPI=Negotiateを指定する接続の場合、NTLM は Kerberos ドメイン コントローラーが使用できない場合に使用されるバックアップ認証サブシステムです。 NTLM では、要求がクライアントからサーバーへの直接接続であり、接続を要求するユーザーがリソースへのアクセス許可を持ち、クライアントコンピューターとサーバー コンピューターが同じドメイン内にある限り、任意のユーザーまたはクライアント アプリケーションがサーバー リソースにアクセスできます。
多層ソリューションでは、NLTM のシングル ホップ制限が大きな制約になる場合があります。 要求を行うユーザー ID は、1 台のリモート サーバーで偽装できますが、それ以上移動しません。 現在の操作で複数のコンピューターで実行されているサービスが必要な場合は、バックエンド サーバーでセキュリティ トークンを再利用するように Kerberos の制約付き委任を構成する必要があります。 または、保存されている資格情報または基本認証を使用して、単一ホップ接続経由で新しい ID 情報を渡すことができます。
Kerberos 認証と Kerberos の制約付き委任
Kerberos 認証は、Active Directory ドメインの Windows 統合セキュリティの基礎です。 NTLM と同様に、委任を有効にしない限り、Kerberos での偽装は 1 つのホップに制限されます。
マルチホップ接続をサポートするために、Kerberos は制約付き委任と制約なしの委任の両方を提供しますが、ほとんどのシナリオでは、制約付き委任はセキュリティのベスト プラクティスと見なされます。 制約付き委任を使用すると、サービスはユーザー ID のセキュリティ トークンをリモート コンピューター上の指定されたダウンレベル サービスに渡すことができます。 多層アプリケーションの場合、中間層アプリケーション サーバーから Analysis Services などのバックエンド データベースにユーザー ID を委任することが一般的な要件です。 たとえば、ユーザー ID に基づいて異なるデータを返す表形式または多次元モデルでは、ユーザーが資格情報を再入力したり、他の方法でセキュリティ資格情報を取得したりしないように、中間層サービスからの ID 委任が必要になります。
制約付き委任では、要求の送信側と受信側の両方のサービスが委任を明示的に承認される Active Directory での追加の構成が必要です。 構成コストは前もって発生しますが、サービスを構成すると、パスワードの更新は Active Directory で個別に管理されます。 保存されている資格情報オプションを使用する場合と同様に、アプリケーションに格納されているアカウント情報を更新する必要はありません。
制約付き委任用に Analysis Services を構成する方法の詳細については、「 Kerberos の制約付き委任用に Analysis Services を構成する」を参照してください。
注
Windows Server 2012 では、ドメイン間の制約付き委任がサポートされています。 これに対し、Windows Server 2008 や 2008 R2 などの下位機能レベルのドメインで Kerberos の制約付き委任を構成するには、クライアント コンピューターとサーバー コンピューターの両方が同じドメインのメンバーである必要があります。
EffectiveUserName
EffectiveUserName は、ID 情報を Analysis Services に渡すために使用される接続文字列プロパティです。 PowerPivot for SharePoint では、それを使用して使用状況ログにユーザー アクティビティが記録されます。 Excel Services と PerformancePoint Services は、これを使用して、SharePoint のブックまたはダッシュボードで使用されるデータを取得できます。 Analysis Services インスタンスに対して操作を実行するカスタム アプリケーションまたはスクリプトでも使用できます。
SharePoint での EffectiveUserName の使用の詳細については、「SharePoint Server 2010 での Analysis Services EffectiveUserName の使用」を参照してください。
基本認証と匿名ユーザー
基本認証では、バックエンド サーバーに特定のユーザーとして接続するための 4 番目の代替手段が提供されます。 基本認証を使用すると、Windows ユーザー名とパスワードが接続文字列に渡され、転送中に機密情報が確実に保護されるようにするための追加のワイヤ暗号化要件が導入されます。 基本認証を使用する重要な利点は、認証要求がドメイン境界を越えることができるということです。
匿名認証では、匿名ユーザー ID を特定の Windows ユーザー アカウント (既定ではIUSR_GUEST) またはアプリケーション プール ID に設定できます。 匿名ユーザー アカウントは Analysis Services 接続で使用され、Analysis Services インスタンスに対するデータ アクセス許可が必要です。 この方法を使用すると、匿名アカウントに関連付けられているユーザー ID のみが接続で使用されます。 アプリケーションで追加の ID 管理が必要な場合は、他の方法のいずれかを選択するか、指定した ID 管理ソリューションを補足する必要があります。
Basic と Anonymous は、接続を確立するために IIS と msmdpump.dll を使用して、HTTP アクセス用に Analysis Services を構成する場合にのみ使用できます。 詳細については、「 インターネット インフォメーション サービス (IIS) 8.0 で Analysis Services への HTTP アクセスを構成する」を参照してください。
保存されている資格情報
ほとんどの中間層アプリケーション サービスには、Analysis Services や SQL Server リレーショナル エンジンなどの下位レベルのデータ ストアからデータを取得するために使用されるユーザー名とパスワードを格納する機能が含まれています。 そのため、保存された資格情報は、データを取得するための 5 番目の代替手段となります。 この方法の制限事項には、ユーザー名とパスワードを最新の状態に保つことに関連するメンテナンス オーバーヘッドや、接続での単一 ID の使用などがあります。 ソリューションで元の呼び出し元の ID が必要な場合、保存された資格情報は実行可能な代替手段ではありません。
保存されている資格情報の詳細については、「共有データ ソースの作成、変更、削除 (SSRS)」および「SharePoint Server 2013 の Secure Store Service で Excel Services を使用する」を参照してください。
こちらもご覧ください
トランスポート セキュリティでの偽装の使用
インターネット インフォメーション サービス (IIS) 8.0 で Analysis Services への HTTP アクセスを構成する
Kerberos の制約付き委任のための Analysis Services の構成
Analysis Services インスタンスの SPN 登録
Analysis Services への接続