Attestazioni per il servizio token Windows (C2WTS)
Il componente Attestazioni per il servizio token Windows (C2WTS) di SharePoint sarà necessario se si desidera utilizzare l'autenticazione di Windows per origini dati all'esterno della farm di SharePoint. La condizione è valida anche se l'utente accede alla origini dati tramite l'autenticazione di Windows perché la comunicazione tra il server front-end Web e il servizio Reporting Services condiviso sarà sempre un'autenticazione delle attestazioni.
Il servizio C2WTS è necessario anche se l'origine dati si trova nello stesso computer del servizio condiviso, sebbene in questo scenario la delega vincolata non sia richiesta.
I token creati da C2WTS funzioneranno solo con delega vincolata (vincoli a servizi specifici) e l'opzione di configurazione "Utilizza un qualsiasi protocollo di autenticazione". Come notato in precedenza, se le origini dati si trovano nello stesso computer del servizio condiviso, la delega vincolata non è necessaria.
Se nell'ambiente si utilizza la delega vincolata Kerberos, il servizio SharePoint Server e le origini dati esterne dovranno risiedere nello stesso dominio di Windows. Tutti i servizi che si basano su Attestazioni per il servizio token Windows (C2WTS) devono utilizzare la delega vincolata Kerberos per consentire a C2WTS di utilizzare la transizione del protocollo Kerberos per convertire le attestazioni in credenziali di Windows. Questi requisiti sono validi per tutti i servizi condivisi SharePoint. Per ulteriori informazioni, vedere Panoramica dell'autenticazione Kerberos per prodotti Microsoft SharePoint 2010 (https://technet.microsoft.com/it-it/library/gg502594.aspx).
La procedura viene riepilogata di seguito, sebbene non costituisca un elenco completo di passaggi dettagliati.
Prerequisiti
[!NOTA]
Nota: alcuni passaggi della configurazione possono variare o potrebbero non funzionare in determinate topologie farm. Un'installazione in un server singolo, ad esempio, non supporta i servizi C2WTS di Windows Identity Foundation e di conseguenza gli scenari di delega di attestazioni per il servizio token Windows non sono possibili con questa configurazione della farm.
Passaggi di base necessari per configurare C2WTS
Configurare l'account del servizio da utilizzare per C2WTS. Tale account deve soddisfare i diritti relativi ai criteri locali seguenti:
Agisci come parte del sistema operativo
Rappresenta un client dopo l'autenticazione
Accedi come servizio
L'account utilizzato per C2WTS deve essere configurato anche per la delega vincolata con transizione di protocollo e necessita di autorizzazioni per effettuare la delega ai servizi con cui deve comunicare, ad esempio Motore di SQL Server e SQL Server Analysis Services. Per configurare la delega, è possibile utilizzare lo snap-in Utenti e computer di Active Directory.
Fare clic con il pulsante destro del mouse su ogni account del servizio e aprire la finestra di dialogo delle proprietà. Nella finestra di dialogo fare clic sulla scheda Delega.
[!NOTA]
Nota: la scheda relativa alla delega è visibile solo se l'oggetto dispone di un nome SPN assegnato. Sebbene per C2WTS non sia necessario un nome SPN per il proprio account, senza tale nome la scheda Delega non sarà tuttavia visibile. Un modo alternativo per configurare la delega vincolata consiste nell'impiego di un'utilità, ad esempio ADSIEdit.
Di seguito vengono indicate le opzioni di configurazione principali nella scheda relativa alla delega:
Selezionare "Utente attendibile per la delega solo ai servizi specificati"
Selezionare "Utilizza un qualsiasi protocollo di autenticazione"
Per ulteriori informazioni, vedere la sezione sulla configurazione della delega vincolata Kerberos per computer e account del servizio del white paper relativo alla configurazione dell'autenticazione Kerberos per prodotti SharePoint 2010 e SQL Server 2008 R2
Configurare i chiamanti consentiti per C2WTS
In C2WTS è necessario che le identità chiamanti siano elencate esplicitamente nel file di configurazione c2wtshost.exe.config. C2WTS non accetta richieste da tutti gli utenti autenticati nel sistema, a meno che venga non venga configurato appositamente. In questo caso il chiamante è il gruppo di Windows WSS_WPG. Il file c2wtshost.exe.confi viene salvato nel percorso seguente:
\Programmi\Windows Identity Foundation\v3.5\c2wtshost.exe.config
Di seguito viene illustrato un esempio del file di configurazione:
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>Avviare il servizio C2WTS del sistema operativo:
Configurare il servizio per utilizzare l'account servizio configurato nel passaggio precedente.
Modificare il tipo di avvio in "Automatico", quindi avviare il servizio.
Avviare Attestazioni per il servizio token Windows di Share Point tramite Amministrazione centrale SharePoint nella pagina Gestisci servizi nel server. Il servizio deve essere avviato nel server che eseguirà l'azione. Se ad esempio si dispone di un server front-end Web e di un server applicazioni in cui è in esecuzione il servizio Reporting Services condiviso, è sufficiente avviare C2WTS solo sul server applicazioni. C2WTS non è necessario nel server front-end Web.