我有两个域A和B。
用户位于域A和IIS,SSAS位于域B上。域名之间没有信任。
用户应能够通过IIS上的msmdpump访问数据以访问SSAS服务器。如果他们可以在没有使用集成Windows安全性的身份验证的情况下无缝地执行此操作
,那就太好了如果我允许IIS和SSAS上的匿名用户,一切正常。但是用户没有经过身份验证。
其中一个问题是msmdpump是一个黑盒子。您需要从IIS访问它,但一旦Excel使用它,我认为它直接使用odc连接字符串中的凭据联系SSAS。
有没有人有过smilair问题,你是如何解决的?
答案 0 :(得分:1)
集成安全性不会以这种方式工作,并且msmdpump实际上是一个黑盒;)我们遇到类似的问题,我们有一个网站,用户可以使用预定义的连接字符串登录和下载excel报告。不幸的是,为了避免用户在打开excel时必须输入密码,我们必须将其存储在excel文件中(并且它是纯文本)。因此,我们可能不是最好的解决方案是在用户和SSAS之间添加另一个代理,这将关注安全性。因此excel文件而不是指向MSDPUMP指向我们的代理,其中一些会话令牌允许访问报告。
在我们的情况下,代理是网站的一部分并使用用户会话(如果他当前可以打开excel报告对网站进行身份验证),并且连接字符串中的SSAS密码是真正的SSAS活动目录密码但是这不是安全漏洞,因为SSAS无法在网络内部访问。所以链条是:
使用excel文件的用户 - >我们处理安全性的代理 - >带有msdpump的IIS - > SSAS
我不确定这是最好的解决方案,但经过大量的讨论和调查,我们无法想出更好的东西,最终会发挥作用;)