Notificaciones al servicio de token de Windows (C2WTS)
Las Notificaciones al Servicio de token de Windows (C2WTS) de SharePoint serán necesarias si desea utilizar la autenticación de Windows para los orígenes de datos que están fuera de la granja de SharePoint. Esto es cierto incluso si el usuario accede a los orígenes de datos con la autenticación de Windows porque la comunicación entre el servicio front-end web (WFE) y el servicio compartido de Reporting Services se realizará siempre con autenticación de notificaciones.
C2WTS es necesario aunque los orígenes de datos estén en el mismo equipo que el servicio compartido. Sin embargo, en este escenario no es necesaria la delegación limitada.
Los tokens creados por C2WTS funcionarán solo con delegación limitada (limitaciones a servicios concretos) y la opción de configuración "Usar cualquier protocolo de autenticación". Como se indicaba anteriormente, si los orígenes de datos están en el mismo equipo que el servicio compartido, la delegación limitada no es necesaria.
Si en su entorno se va a usar la delegación restringida de Kerberos, el servicio SharePoint Server y los orígenes de datos externos deben residir en el mismo dominio de Windows. Cualquier servicio que emplee el servicio de notificaciones de token de Windows (C2WTS) debe usar la delegación restringida de Kerberos para permitir que C2WTS use la transición del protocolo Kerberos para traducir notificaciones en credenciales de Windows. Estos requisitos son verdaderos para todos los servicios compartidos de SharePoint. Para obtener más información, vea Información general acerca de la autenticación Kerberos para Productos de Microsoft SharePoint 2010 (https://technet.microsoft.com/en-us/library/gg502594.aspx).
El procedimiento se resume a continuación, pero no es una lista completa de pasos detallados.
Requisitos previos
[!NOTA]
Nota: algunos pasos de configuración pueden cambiar o no funcionar en algunas topologías de granja. Por ejemplo, una instalación de un solo servidor no admite los servicios C2WTS de Windows Identity Foundation, por lo que las notificaciones a los escenarios de delegación de token de Windows no son posibles con esta configuración de granja.
Pasos básicos necesarios para configurar C2WTS
Configurar la cuenta de servicio que planea utilizar para C2WTS. La cuenta que utilice para C2WTS necesita los derechos de directiva local siguientes:
Actuar como parte del sistema operativo
Suplantar un cliente después de autenticación
Iniciar sesión como servicio
La cuenta que utilice para C2WTS también tiene que estar configurada para delegación limitada con transición de protocolo y necesita permisos para delegar a los servicios con los que requiere comunicación (es decir, Motor de SQL Server, SQL Server Analysis Services). Para configurar la delegación puede utilizar el complemento Usuarios y equipos de Active Directory.
Haga clic con el botón secundario en cada cuenta de servicio y abra el cuadro de diálogo de propiedades. En el cuadro de diálogo, haga clic en la pestaña Delegación.
[!NOTA]
Nota: la pestaña de delegación solo está visible si el objeto tiene asignado un SPN. C2WTS no requiere un SPN con la cuenta de C2WTS; sin embargo, sin un SPN, la pestaña Delegación no estará visible. Una manera alternativa de configurar la delegación limitada es utilizar una herramienta como ADSIEdit.
Las opciones de configuración clave en la pestaña de delegación son las siguientes:
Seleccionar "Confiar en este usuario para la delegación solo a los servicios especificados"
Seleccionar "Usar cualquier protocolo de autenticación"
Para obtener más información, vea la sección "Configurar la delegación limitada Kerberos para equipos y cuentas de servicio" de la nota del producto siguiente, Configurar la autenticación Kerberos para productos de SharePoint 2010 y SQL Server 2008 R2
Configurar "AllowedCallers" de C2WTS
C2WTS requiere que las identidades de los "autores de llamadas" estén enumeradas explícitamente en el archivo de configuración, c2wtshost.exe.config. C2WTS no acepta solicitudes de todos los usuarios autenticados en el sistema a menos que esté configurado para ello. En este caso el "autor de la llamada" es el grupo de Windows WSS_WPG. El archivo c2wtshost.exe.confi se guarda en la ubicación siguiente:
\Archivos de programa\Windows Identity Foundation\v3.5\c2wtshost.exe.config
A continuación se muestra un ejemplo del archivo de configuración:
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>Iniciar el servicio C2WTS del sistema operativo:
Configure el servicio para usar la cuenta de servicio que configuró en el paso anterior.
Cambie el tipo de inicio a "Automático" e inicie el servicio.
Iniciar las "Notificaciones al servicio de token de Windows" de SharePoint: inicie las Notificaciones al servicio de token de Windows mediante Administración central de SharePoint en la página Administrar servicios en el servidor. El servicio se debe iniciar en el servidor que realizará la acción. Por ejemplo, si tiene un servidor que es un servidor web front-end (WFE) y otro servidor que es un servidor de aplicaciones que tiene la ejecución del servicio compartido de Reporting Services, solo tiene que iniciar C2WTS en el servidor de aplicaciones. C2WTS no es necesario en el servidor web front-end (WFE).