Compartilhar via


Configurar a autenticação de servidor para servidor entre o Servidor do Office Online e o SharePoint Server 2016

Resumo: configurar a autenticação de servidor para servidor entre o Servidor do Office Online e o SharePoint 2016.

Autenticação de servidor para servidor entre o Servidor do Office Online e o SharePoint Server 2016 estabelece a confiança entre os dois servidores. Essa relação de confiança é um pré-requisito necessário para alguns recursos do Excel Online, como suporte ao arquivo de ODC (Conexão de Dados do Office) e o Painel de Gerenciamento de TI, que faz parte do SQL Server Power Pivot para SharePoint. Este artigo orienta você pelas etapas de configuração dessa relação de confiança.

Para configurar a autenticação de servidor para servidor, os farms do Servidor do Office Online e do SharePoint Server devem estar na mesma floresta do Active Directory. Você também deve ter um aplicativo de serviço Perfil de Usuário configurado no farm do SharePoint Server.

As ações básicas necessárias para configurar a autenticação de servidor para servidor são:

  1. Importar o certificado para o Servidor do Office Online
  2. Exportar o certificado para usar no SharePoint Server
  3. Configurar o Servidor do Office Server Online para usar o certificado de autenticação de servidor para servidor
  4. Configurar o SharePoint Server para usar o certificado de autenticação de servidor para servidor

Você começará a importar o certificado para o Servidor do Office Online.

Importar o certificado para o Servidor do Office Online

A primeira etapa é importar o certificado para ser usado pelo Servidor do Office Online. Siga a permissão Importar seu certificado e conceder serviço de rede para usar os principais procedimentos em cada servidor em seu farm Servidor do Office Online.

Importar seu certificado

Você pode usar um certificado SSL de chave privada ou um certificado autoassinado. É altamente recomendável usar um certificado SSL de chave privada. As seções a seguir apresentam procedimentos para ambos os certificados. Escolha o que você está usando.

Usar um certificado SSL de chave privada

Instale o certificado em cada servidor executando o Servidor do Office Online.

Para instalar o certificado no Servidor do Office Online

  1. No servidor que estiver executando o Servidor do Office Online, abra Gerenciador do IIS.
  2. No painel esquerdo, clique no nome do servidor.
  3. Clique duas vezes em Certificados do servidor.
  4. No painel de Ações, clique em Importar.
  5. Digite o caminho e o nome do arquivo do certificado SSL que você deseja usar.
  6. Na caixa Senha, digite a senha do certificado.
  7. Na lista suspensa Selecionar Repositórios de Certificados, verifique se a opção Pessoal está marcada.
  8. Clique em OK.

Repita este procedimento em cada servidor que estiver executando o Office Online.

Usar um certificado autoassinado

Se você estiver usando um certificado autoassinado, será necessário adicioná-lo às Autoridades de Certificação Raiz Confiáveis.

Para importar o certificado para as Autoridades de Certificação Raiz Confiáveis

  1. Abra o Console de Gerenciamento da Microsoft.
  2. No menu Arquivo, escolha Adicionar/Remover Snap-in.
  3. Escolha Certificados e clique em Adicionar.
  4. Escolha a opção Conta de computador, clique em Avançar e depois em Concluir.
  5. Clique em OK.
  6. Expanda Certificados (Computador Local), clique com o botão direito do mouse em Autoridades de Certificação Raiz Confiáveis, clique em Todas as tarefas e em Importar.
  7. Clique em Avançar.
  8. Navegue até o local do certificado, marque-o e clique em Avançar.
  9. Digite a senha do certificado, clique em Avançar e depois em Concluir.

Mantenha aberto o Console de Gerenciamento da Microsoft para realizar o procedimento a seguir.

Conceder permissão de serviço de rede para usar a chave

Em seguida, use o MMC (Console de Gerenciamento da Microsoft) para conceder permissões de serviço de rede para usar a chave privada.

Para conceder a permissão do serviço de rede para usar a chave privada

  1. Abra o Console de Gerenciamento da Microsoft.
  2. No menu Arquivo, escolha Adicionar/Remover Snap-in.
  3. Escolha Certificados e clique em Adicionar.
  4. Escolha a opção Conta de computador, clique em Avançar e depois em Concluir.
  5. Clique em OK.
  6. Expanda Certificados (Computador Local), expanda Pessoal e clique em Certificados.
  7. Clique com o botão direito do mouse no certificado que você acabou de importar, clique em Todas as Tarefas e depois em Gerenciar Chaves Privadas.
  8. Na caixa de diálogo Permissões, clique em Adicionar.
  9. Digite o Serviço de Rede e clique em OK.
  10. Clique em OK.

Certifique-se de seguir a permissão Importar seu certificado e conceder serviço de rede para usar os principais procedimentos em cada servidor em seu farm Servidor do Office Online.

Mantenha aberto o Console de Gerenciamento da Microsoft para realizar o procedimento a seguir.

Exportar o certificado para usar no SharePoint Server

A próxima etapa é exportar o certificado para que você possa usá-lo para registrar o Servidor do Office Online como um emissor token confiável.

Para exportar o certificado para usar com o SharePoint Server 2016

  1. Clique com o botão direito do mouse no certificado que você acabou de importar, clique em Todas as Tarefas e em Exportar.
  2. Na página Boas-vindas, clique em Avançar.
  3. Escolha Não, não exportar a chave privada e clique em Avançar.
  4. Escolha X.509 binário codificado por DER (.CER) e clique em Avançar.
  5. Digite o caminho e o nome do arquivo que você deseja exportar e clique em Avançar.
  6. Clique em Concluir e então clique em OK.

Copie o arquivo de certificado criado para um local onde você possa acessá-lo no SharePoint Server.

Em seguida, especifique esse certificado como o certificado S2S do Servidor do Office Online.

Configurar o Servidor do Office Server Online para usar o certificado de autenticação de servidor para servidor

Para especificar o certificado S2S do Servidor do Office Online

  1. Abra uma janela do Microsoft PowerShell como Administrador.
  2. Digite o seguinte em <que friendlyName> é o nome amigável do certificado que você está usando.
Set-OfficeWebAppsFarm -S2SCertificateName "<friendlyName>" -Confirm:$false -Force

Usando HTTP com o Servidor do Office Online

Se você estiver usando HTTP em vez de HTTPS em seu farm do Servidor do Office Online, você tem que permitir conexões de saída HTTP do Servidor do Office Online. (Se estiver usando SSL, ignore este procedimento.)

Para permitir conexões de saída HTTP do Servidor do Office Online, execute o seguinte comando do PowerShell:

Set-OfficeWebAppsFarm -AllowOutboundHttp:$True
iisreset

Importante

É altamente recomendável usar o HTTPS (TLS) independentemente do ambiente, pois Servidor do Office Online usa tokens OAuth para se comunicar com serviços externos, como SharePoint ou Exchange Server. Os tokens OAuth contêm informações que podem ser interceptadas e reproduzidas por um invasor, concedendo ao invasor os mesmos direitos que o usuário que faz a solicitação para Servidor do Office Online.

Usando caminhos HTTP com arquivos ODC

Se planeja armazenar arquivos ODC em um caminho HTTP, você precisa configurar o Servidor do Office Online para permitir conexões de Repositório Seguro sobre HTTP.

Importante

Quando você usa conexões de Repositório Seguro sobre HTTP, o conteúdo do arquivo ODC é passado para texto não criptografado. Os arquivos ODC contêm informações de conexão de banco de dados e podem conter senhas. Recompactações da Microsoft usando HTTPS.

Para habilitar o Servidor do Office Online para usar caminhos HTTP com o Repositório Seguro, execute o seguinte comando do PowerShell:

Set-OfficeWebAppsFarm -AllowHttpSecureStoreConnections:$true
iisreset

Configurar o SharePoint Server para usar o certificado de autenticação de servidor para servidor

Você precisa registrar o SharePoint Server e o SQL Server como emissores de token confiáveis. Isso é feito pelo PowerShell. Veja os parâmetros que você usará:

  • <SPSiteURL> – A URL da coleção de sites de nível superior.
  • <CertificateIssuer> – O nome do emissor do certificado. Esses detalhes podem ser encontrados ao exibir a guia Detalhes do certificado no Gerenciador do IIS.
  • <X509Certificate> – O caminho e o nome do arquivo do arquivo de certificado que você exportou.
  • <RegisteredIssuer> – O GUID do emissor de token confiável. O SharePoint Server é 67e3df25-268a-4324-a550-0de1c7f97287@bd2372e4-0a11-495c-9541-8377c6def195 e o SQL Server é 67e3df25-268a-4324-a550-0de1c7f97287@ffab2d74-c6ae-4375-819a-8555d49b699a

Execute o procedimento a seguir duas vezes – uma para cada <GUID do RegisteredIssuer> .

Para registrar um emissor de token confiável

  1. Abra o Shell de Gerenciamento do SharePoint 2016 como administrador.
  2. Execute o script a seguir usando os parâmetros indicados acima:
$issuer = New-SPTrustedSecurityTokenIssuer -Name <CertificateIssuer> -Certificate <X509Certificate> -RegisteredIssuerName <RegisteredIssuer>
$app = Get-SPAppPrincipal -Site <SPSiteURL> -NameIdentifier $issuer.NameId
$site = Get-SPSite <SPSiteURL>
Set-SPAppPrincipalPermission -appPrincipal $app -Site $site.RootWeb -Scope SiteSubscription -Right FullControl -EnableAppOnlyPolicy
  1. Se você estiver usando um certificado autoassinado, execute o seguinte comando:
New-SPTrustedRootAuthority -Name <CertificateIssuer> -Certificate <X509Certificate>

Confira também

New-SPTrustedSecurityTokenIssuer

New-SPTrustedRootAuthority

Get-SPAppPrincipal

Set-SPAppPrincipalPermission