Condividi tramite

Attestazioni per il servizio token Windows (C2WTS) e Reporting Services

  • Articolo

Le attestazioni di SharePoint al servizio token windows (c2WTS) sono necessarie con Reporting Services modalità SharePoint se si vuole usare l'autenticazione di Windows per origini dati esterne alla farm di SharePoint. Questo vale anche se l'utente accede alle origini dati con l'autenticazione di Windows perché la comunicazione tra il front-end Web (WFE) e il servizio condiviso Reporting Services sarà sempre l'autenticazione attestazioni.

Il servizio c2WTS è necessario anche se l'origine dati si trova nello stesso computer del servizio condiviso, sebbene in questo scenario la delega vincolata non sia richiesta.

I token creati da c2WTS funzioneranno solo con la delega vincolata (vincoli a servizi specifici) e l'opzione di configurazione che prevede l'uso di qualsiasi protocollo di autenticazione. Come notato in precedenza, se le origini dati si trovano nello stesso computer del servizio condiviso, la delega vincolata non è necessaria.

Se l'ambiente utilizzerà la delega vincolata Kerberos, le origini dati esterne e il servizio SharePoint Server devono trovarsi nello stesso dominio Windows. Qualsiasi servizio basato su Attestazioni per il servizio token Windows (c2WTS) deve usare la delega vincolata Kerberos per consentire a c2WTS di usare la transizione del protocollo Kerberos per convertire le attestazioni in credenziali di Windows. Questi requisiti sono validi per tutti i servizi condivisi SharePoint. Per altre informazioni, vedere Panoramica dell'autenticazione Kerberos per i prodotti Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx).

La procedura viene riepilogata in questo argomento.
Si applica a: SharePoint 2013 | SharePoint 2010

Prerequisiti

Nota

Nota: alcuni passaggi della configurazione possono variare o potrebbero non funzionare in determinate topologie farm. Un'installazione in un server singolo, ad esempio, non supporta i servizi c2WTS di Windows Identity Foundation e di conseguenza gli scenari di delega di attestazioni per il servizio token Windows non sono possibili con questa configurazione della farm.

Passaggi di base necessari per configurare c2WTS

  1. Configurare l'account del servizio c2WTS. Aggiungere l'account del servizio al gruppo Administrators locale in ogni server applicazioni in che esegue c2WTS. Verificare anche che l'account abbia i seguenti diritti sui criteri di sicurezza locali:

    • Agisci come parte del sistema operativo

    • Rappresenta un client dopo l'autenticazione

    • Accedi come servizio

    L'account usato per c2WTS deve essere configurato anche per la delega vincolata con transizione del protocollo e deve delegare ai servizi che è necessario comunicare con (ad esempio SQL Server Motore, SQL Server Analysis Services). Per configurare la delega, è possibile usare lo snap-in Utenti e computer di Active Directory.

    1. Fare clic con il pulsante destro del mouse su ogni account del servizio e aprire la finestra di dialogo delle proprietà. Nella finestra di dialogo fare clic sulla scheda Delega .

      Nota

      Nota: la scheda delega è visibile solo se l'oggetto ha un NOME SPN assegnato. c2WTS non richiede un SPN nell'account c2WTS, ma senza un SPN, la scheda Delega non sarà visibile. Un modo alternativo per configurare la delega vincolata consiste nell'impiego di un'utilità, ad esempio ADSIEdit.

    2. Di seguito vengono indicate le opzioni di configurazione principali nella scheda relativa alla delega:

      • Selezionare "Attendibilità dell'utente per la delega solo ai servizi specificati"

      • Selezionare "Usa qualsiasi protocollo di autenticazione"

      Per altre informazioni, vedere la sezione "configurare la delega vincolata Kerberos per computer e account di servizio" del white paper seguente, Configurazione dell'autenticazione Kerberos per SharePoint 2010 e SQL Server 2008 R2 prodotti

  2. Configurare c2WTS 'AllowedCallers'

    c2WTS richiede le identità "chiamanti" elencate in modo esplicito nel file di configurazione, c2wtshost.exe.config. c2WTS non accetta richieste da tutti gli utenti autenticati nel sistema, a meno che non sia configurato per farlo. In questo caso il chiamante è il gruppo di Windows WSS_WPG. Il file c2wtshost.exe.confi viene salvato nel percorso seguente:

    \Programmi\Identità windows Foundation\v3.5\c2wtshost.exe.config

    Di seguito viene illustrato un esempio del file di configurazione:

    <configuration>  
  <windowsTokenService>  
    <!--  
        By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
        Add the identities you wish to allow below.  
      -->  
    <allowedCallers>  
      <clear/>  
      <add value="WSS_WPG" />  
    </allowedCallers>  
  </windowsTokenService>  
</configuration>

  3. Avviare il servizio c2WTS del sistema operativo:

    1. Configurare il servizio per utilizzare l'account servizio configurato nel passaggio precedente.

    2. Modificare il tipo di avvio in "Automatico" e avviare il servizio.

  4. Avviare il servizio token di SharePoint 'Attestazioni al servizio token di Windows': avviare le attestazioni al servizio token di Windows tramite Amministrazione centrale SharePoint nella pagina Gestisci servizi nel server . Il servizio deve essere avviato nel server che eseguirà l'azione. Ad esempio, se si dispone di un server che è un WFE e un altro server che dispone del Reporting Services servizio condiviso in esecuzione, è necessario avviare solo c2WTS nel server applicazioni. c2WTS non è necessario nel front-end Web.

Vedere anche

Panoramica delle attestazioni al servizio token di Windows (c2WTS) (https://msdn.microsoft.com/library/ee517278.aspx)
Panoramica dell'autenticazione Kerberos per i prodotti Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx)