PowerPivot for SharePoint 2010 の ID 委任 (SharePoint Server 2010)

  • [アーティクル]

 

適用先: Excel Services, SharePoint Server 2010

トピックの最終更新日: 2016-11-30

環境およびファーム トポロジ」で説明されているファーム トポロジでは、PowerPivot for Microsoft SharePoint 2010 を動作するのに Kerberos 認証は必要とされません。PowerPivot System サービスは、クレーム対応です。これは、アプリケーション サーバーで実行される Analysis Service Vertipaq エンジンに接続するために、Claims To Windows Token Service (C2WTS) を使用し、クライアントのクレーム トークンを使用して、クライアントの Windows ID を再作成します。

PowerPivot ブックを SharePoint Server にアップロードすると、そのブックにはブックで使用する PowerPivot データが既に含まれています。ユーザーが PowerPivot ブックを Excel Web Access で開いてスライサーを操作すると、PowerPivot System サービスはブック内のデータを Analysis Services エンジンに直接読み込みます。ブックに埋め込まれたデータ接続は利用されません。

認証フローの図

PowerPivot ブックのデータ更新ジョブが実行を開始すると、PowerPivot System サービスは、SharePoint Server Secure Store Service に保管された資格情報を使用して Windows ログインを実行します。Windows ID はアプリケーション サーバーに作成されるため、PowerPivot Analysis Services Vertipaq エンジン (同一コンピューター上、VMSP10APP01) から MySQLCluster への接続は 1 つ目の NTLM ホップです。

認証フローの図

注意

Windows Server 2008 にインストールする場合は、Kerberos 認証用に次の修正プログラムのインストールが必要になる可能性があります。
Kerberos 認証は 0X80090302 または 0x8009030f、AES アルゴリズムが使用するとき Windows Server 2008 や Windows Vista を実行がコンピューターには、エラー コードと共に失敗します。 (https://support.microsoft.com/kb/969083/ja-jp)

Kerberos 認証が必要とされるシナリオ

前の説明でわかるとおり、PowerPivot を使用するほとんどの一般的な状況で Kerberos 認証は必要とされません。ただし、Kerberos 認証が必要とされるまれな状況もあります。たとえば、PowerPivot ブックに SQL Server インスタンスへのデータ接続が含まれ、その SQL Server インスタンスがさらに別のコンピューター上の別の SQL Server インスタンスにリンクされている場合、データ更新が正常に機能するように ID 委任を使用する Kerberos 認証を構成する必要があります。たとえば、MySQLCluster が別のリモート SQL Server インスタンスにリンクされている場合、MySQLCluster からリンク先のリモート サーバーへのリンクは 2 つ目のホップです。この場合、NTLM は適切でなくなります。データ更新が正常に処理されるように、Kerberos 委任を構成する必要があります。

認証フローの図

これらは、このドキュメントで定義するシナリオの範囲外ですが、PowerPivot の ID 委任を構成するための主な手順を次に示します。

  1. C2WTS Windows サービスのサービス アカウントをドメイン アカウント (VMLAB\svcC2WTS など) に変更します。C2WTS の構成は大きなトピックのため、このドキュメントの別のシナリオで詳細に説明します。

    • Excel Services サーバーで Claims to Windows Token Service を構成して開始する

    • Visio Graphics サーバーで Claims to Windows Token Service を構成して開始する

    • PerformancePoint Services サーバーで Claims to Windows Token Service を構成して開始する

  2. VMLAB\svcSQL アカウントから、リンク先の SQL Server インスタンスの構成チェックリストの SPN への委任を構成します。

構成の領域 説明

PowerPivot インストール

SQL Server PowerPivot for SharePoint をアプリケーション サーバーにインストールします。

シナリオの依存関係

厳密に説明すると、以下の Kerberos 認証シナリオは PowerPivot for SharePoint で必要とされません。ただし、コンポーネント自体が PowerPivot for SharePoint の前提条件となっているため、この手順を正常に終了した場合、PowerPivot for SharePoint のインストール プロセスが効率よく処理されます。

構成手順

PowerPivot for SharePoint をアプリケーション サーバー (vmsp10app01) にインストールします。手順の詳細については、MSDN ライブラリ オンラインの「3 層 SharePoint ファームに PowerPivot for SharePoint をインストールする方法」を参照してください。このドキュメント内にある従属シナリオを既に実行している場合、シナリオの依存関係によって既に実行された、MSDN 記事内のセクションをスキップできます。

重要

SQL Server PowerPivot サービス アプリケーションのアプリケーション プールは、SharePoint Server ファーム管理者のドメイン アカウントを使用して実行する必要があります。他のユーザー コンテキストでは、PowerPivot System サービスは Secure Store Service から無人アカウントの資格情報を取り込むことができません。