Compartilhar via


Claims to Windows Token Service (C2WTS) e Reporting Services

As declarações do SharePoint para o Serviço de Token do Windows (c2WTS) são necessárias com Reporting Services modo do SharePoint se você quiser usar a autenticação do Windows para fontes de dados que estão fora do farm do SharePoint. Isso é verdadeiro mesmo que o usuário acesse as fontes de dados com a Autenticação do Windows porque a comunicação entre o WFE (front-end da Web) e o serviço compartilhado Reporting Services sempre será autenticação de Declarações.

O c2WTS é necessário até mesmo quando as fontes de dados estão no mesmo computador que o serviço compartilhado. Entretanto, neste cenário, a delegação restrita não é necessária.

Os tokens criados por c2WTS só funcionarão com a delegação restrita (restrições a serviços específicos) e a opção de configuração "usando qualquer protocolo de autenticação". Conforme observado anteriormente, se suas fontes de dados estiverem no mesmo computador que o serviço compartilhado, a delegação restrita não será necessária.

Se seu ambiente usar a delegação restrita de Kerberos, o serviço do SharePoint Server e as fontes de dados externas precisarão residir no mesmo domínio do Windows. Qualquer serviço que dependa do c2WTS (Declarações para Serviço de Token do Windows) deve usar a delegação restrita Kerberos para permitir que o c2WTS use a transição do protocolo Kerberos para traduzir declarações em credenciais do Windows. Estes requisitos são verdadeiros para todos os Serviços Compartilhados do SharePoint. Para obter mais informações, consulte Visão geral da autenticação Kerberos para produtos do Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx).

O procedimento é resumido neste tópico.

Aplica-se a: SharePoint 2013 | SharePoint 2010

Pré-requisitos

Observação

Nota: Algumas das etapas de configuração podem mudar ou não funcionar em certas topologias de farm. Por exemplo, uma única instalação de servidor não oferece suporte aos serviços Windows Identity Foundation c2WTS; portanto, cenários de delegação de declarações para token do windows não são possíveis com esta configuração de farm.

Etapas básicas necessárias para configurar o c2WTS

  1. Configure a conta de serviço do c2WTS. Adicione a conta de serviço ao grupo de Administradores local em cada servidor de aplicativos executando c2WTS. Além disso, verifique se a conta tem os seguintes direitos de política de segurança local:

    • Atuar como parte do sistema operacional

    • Representar um cliente após a autenticação

    • Fazer logon como um serviço

    A conta que você usa para C2WTS também precisa ser configurada para Delegação Restrita com Protocolo que Faz a transição e precisa de permissões para delegar aos Serviços com os quais ela precisa se comunicar (isto é, mecanismo SQL Server, SQL Server Analysis Services). Para configurar a delegação, você pode usar o snap-in do computador de usuários do Active Directory.

    1. Clique com o botão direito do mouse em cada conta de serviço e abra a caixa de diálogo de propriedades. Na caixa de diálogo, clique na guia Delegação .

      Observação

      Observação: a guia delegação só ficará visível se o objeto tiver um SPN atribuído a ele. C2WTS não requer um SPN na conta c2WTS, no entanto, sem um SPN, a guia Delegação não ficará visível. Um modo alternativo de configurar a delegação restrita é usar um utilitário como ADSIEdit.

    2. Principais opções de configuração na guia delegação:

      • Selecione "Confiar neste usuário para delegação somente aos serviços especificados"

      • Selecione "Usar qualquer protocolo de autenticação"

      Para obter mais informações, consulte a seção "configurar delegação restrita kerberos para computadores e contas de serviço" do white paper a seguir, Configurando a autenticação Kerberos para produtos do SharePoint 2010 e SQL Server 2008 R2

  2. Configurar c2WTS 'AllowedCallers'

    c2WTS requer as identidades de 'chamadores' explicitamente listadas no arquivo de configuração, c2wtshost.exe.config. C2WTS não aceita solicitações de todos os usuários autenticados no sistema, a menos que esteja configurado para fazer isso. Neste caso, o “chamador” é o grupo WSS_WPG do Windows. O arquivo c2wtshost.exe.confi é salvo no seguinte local:

    \Arquivos de Programas\Foundation\v3.5\c2wtshost.exe.configde Identidade do Windows

    Este é um exemplo do arquivo de configuração:

    <configuration>  
      <windowsTokenService>  
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->  
        <allowedCallers>  
          <clear/>  
          <add value="WSS_WPG" />  
        </allowedCallers>  
      </windowsTokenService>  
    </configuration>  
    
  3. Inicie o serviço C2WTS do sistema operacional:

    1. Configure o serviço para usar a conta de serviço configurada na etapa anterior.

    2. Altere o Tipo de inicialização para "Automático" e inicie o serviço.

  4. Inicie o SharePoint 'Claims to Windows Token Service': inicie as Declarações para o Serviço de Token do Windows por meio da Administração Central do SharePoint na página Gerenciar Serviços no Servidor . O serviço deverá ser iniciado no servidor que estará executando a ação. Por exemplo, se você tiver um servidor que seja um WFE e outro servidor que seja um Servidor de Aplicativos que tenha o Reporting Services serviço compartilhado em execução, você só precisará iniciar o c2WTS no Servidor de Aplicativos. O c2WTS não é necessário no WFE.

Consulte Também

Visão geral das declarações para o Serviço de Token do Windows (c2WTS) (https://msdn.microsoft.com/library/ee517278.aspx)
Visão geral da autenticação Kerberos para produtos do Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx)