Claims to Windows Token Service (C2WTS) und Reporting Services
Der SharePoint-Anspruch auf Windows-Tokendienst (c2WTS) ist mit Reporting Services SharePoint-Modus erforderlich, wenn Sie die Windows-Authentifizierung für Datenquellen außerhalb der SharePoint-Farm verwenden möchten. Dies gilt auch dann, wenn der Benutzer mit der Windows-Authentifizierung auf die Datenquellen zugreift, da die Kommunikation zwischen dem Web-Front-End (WFE) und dem Reporting Services freigegebenen Dienst immer anspruchsauthentifizierung ist.
c2WTS wird auch dann benötigt, auch sich die Datenquelle(n) auf demselben Computer wie der gemeinsame Dienst befinden. In diesem Szenario ist jedoch keine eingeschränkte Delegierung erforderlich.
Die von c2WTS erstellten Token funktionieren nur bei der eingeschränkten Delegierung (Einschränkungen für bestimmte Dienste) und bei Verwendung der Konfigurationsoption "Beliebiges Authentifizierungsprotokoll verwenden". Wenn sich die Datenquellen auf demselben Computer wie der gemeinsame Dienst befinden, ist wie oben bereits erwähnt keine eingeschränkte Delegierung erforderlich.
Wenn in der Umgebung die eingeschränkte Kerberos-Delegierung verwendet wird, dann müssen sich der SharePoint Server-Dienst und externe Datenquellen in derselben Windows-Domäne befinden. Jeder Dienst, der auf C2WTS (Claims to Windows Token Service) basiert, muss die eingeschränkte Kerberos-Delegierung verwenden, damit C2WTS den Kerberos-Protokollübergang verwenden kann, um Ansprüche (Claims) in Windows-Anmeldeinformationen zu übersetzen. Diese Anforderungen gelten für alle gemeinsamen SharePoint-Dienste. Weitere Informationen finden Sie unter Übersicht über die Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (https://technet.microsoft.com/library/gg502594.aspx).
Die Prozedur wird in diesem Thema zusammengefasst.
Gilt für: SharePoint 2013 | SharePoint 2010 |
Voraussetzungen
Hinweis
Hinweis: Einige der Konfigurationsschritte ändern sich möglicherweise oder funktionieren nicht in bestimmten Farmtopologien. Bei der Installation eines einzelnen Servers werden beispielsweise keine Windows Identity Foundations-c2WTS-Dienste unterstützt, sodass Claims to Windows Token-Delegierungsszenarien innerhalb dieser Farmkonfiguration nicht zulässig sind.
Grundlegende Schritte für die c2WTS-Konfiguration
Konfigurieren Sie das c2WTS-Dienstkonto. Fügen Sie das Dienstkonto der lokalen Administratorengruppe auf jedem Anwendungsserver, auf dem c2WTS ausgeführt wird, hinzu. Stellen Sie außerdem sicher, dass das Konto über die folgenden lokalen Sicherheitsrichtlinienrechte verfügt:
Einsetzen als Teil des Betriebssystems
Annehmen der Identität eines Clients nach der Authentifizierung
Anmelden als Dienst
Das Konto, das Sie für c2WTS verwenden, muss auch für eingeschränkte Delegierung mit Protokollübergang konfiguriert werden und benötigt Berechtigungen zum Delegieren an die Dienste, mit denen die Kommunikation erforderlich ist (d. h. SQL Server Engine, SQL Server Analysis Services). Zum Konfigurieren der Delegierung können Sie das Snap-In Active Directory-Benutzer und -Computer verwenden.
Klicken Sie mit der rechten Maustaste auf jedes Dienstkonto, und öffnen Sie das Eigenschaftendialogfeld. Klicken Sie im Dialogfeld auf die Registerkarte Delegierung .
Hinweis
Hinweis: Die Delegierungsregisterkarte ist nur sichtbar, wenn dem Objekt ein SPN zugewiesen ist. c2WTS erfordert keinen SPN für das c2WTS-Konto, aber ohne einen SPN ist die Registerkarte Delegierung nicht sichtbar. Eine Alternative zur Konfiguration der eingeschränkten Delegierung ist die Verwendung des Hilfsprogramms ADSIEdit.
Wesentliche Konfigurationsoptionen auf der Registerkarte "Delegierung":
Wählen Sie "Diesem Benutzer nur für die Delegierung an angegebene Dienste vertrauen" aus.
Wählen Sie "Beliebiges Authentifizierungsprotokoll verwenden" aus.
Weitere Informationen finden Sie im Abschnitt "Konfigurieren der eingeschränkten Kerberos-Delegierung für Computer und Dienstkonten" des folgenden Whitepapers: Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010- und SQL Server 2008 R2-Produkte
Konfigurieren von c2WTS "AllowedCallers"
c2WTS erfordert die explizit in der Konfigurationsdatei aufgeführten "Aufrufer"-Identitäten c2wtshost.exe.config. c2WTS akzeptiert keine Anforderungen von allen authentifizierten Benutzern im System, es sei denn, es ist dafür konfiguriert. In diesem Fall entspricht der „Aufrufer“ der WSS_WPG-Windows-Gruppe. Die Datei c2wtshost.exe.config wird im folgenden Ordner gespeichert:
\Programme\Windows Identity Foundation\v3.5\c2wtshost.exe.config
Im folgenden Beispiel wird die Konfigurationsdatei gezeigt:
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>
Starten Sie den c2WTS-Dienst des Betriebssystems:
Konfigurieren Sie den Dienst für die Verwendung des Dienstkontos, das Sie im vorangehenden Schritt konfiguriert haben.
Ändern Sie den Starttyp in "Automatisch", und starten Sie den Dienst.
Starten Sie sharePoint 'Ansprüche an den Windows-Tokendienst': Starten Sie die Ansprüche an den Windows-Tokendienst über die SharePoint-Zentraladministration auf der Seite Dienste auf Server verwalten . Der Dienst sollte auf dem Server gestartet werden, auf dem die Aktion ausgeführt wird. Wenn Sie beispielsweise über einen Server verfügen, der ein WFE ist, und einen anderen Server, bei dem es sich um einen Anwendungsserver handelt, auf dem der Reporting Services freigegebenen Dienst ausgeführt wird, müssen Sie nur c2WTS auf dem Anwendungsserver starten. c2WTS wird auf dem WFE-Server nicht benötigt.
Weitere Informationen
Übersicht über Ansprüche an den Windows-Tokendienst (c2WTS) (https://msdn.microsoft.com/library/ee517278.aspx)
Übersicht über die Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (https://technet.microsoft.com/library/gg502594.aspx)