Délégation d’identité pour Visio Services (SharePoint Server 2010)

S’applique à : SharePoint Server 2010

Dernière rubrique modifiée : 2016-11-30

Dans ce scénario, vous ajoutez une application de service Visio Services à l’environnement SharePoint Server et configurez la délégation Kerberos contrainte pour que le service puisse actualiser des données dans un dessin Web Visio à partir d’une source de données externe SQL Server.

Dépendances du scénario

Pour réaliser ce scénario, vous devez avoir effectué les scénarios suivants :

• Scénario 1 : Configuration de base

• Scénario 2 : Authentification Kerberos pour SQL OLTP

Liste de contrôle de configuration

Détails de l’environnement du scénario

Chemins de délégation Kerberos contrainte

Dans ce scénario, nous allons configurer les comptes de service et les serveurs d’applications SharePoint Server Visio Services pour la délégation Kerberos contrainte au service SQL Server.

Authentification logique SharePoint Server

L’authentification dans ce scénario commence par l’authentification du client avec Kerberos sur le serveur Web frontal. SharePoint Server 2010 convertira le jeton d’authentification Windows en jeton de revendications en utilisant le service STS (Security Token Service) local. L’application de service Visio acceptera le jeton de revendications et le convertira en jeton Windows (Kerberos) en utilisant le Service d’émission de jetons Revendications vers Windows (C2WTS) local qui fait partie de Windows Identity Foundation (WIF). L’application de service Visio utilisera ensuite le ticket Kerberos du client pour s’authentifier auprès de la source de données dorsale.

Instructions de configuration pas à pas

Configuration Active Directory

Créer un compte de service Visio Services

Il est recommandé que Visio Services s’exécute sous sa propre identité de domaine. Pour configurer l’application de service Visio Services, un compte Active Directory doit être créé. Dans cet exemple, les comptes suivants ont été créés :

Créer un compte de service Visio Services

Configurer un nom principal de service sur un compte de service Visio Services

La délégation Kerberos contrainte doit être configurée pour que Visio Services puisse déléguer l’identité Windows du client à une source de données dorsale. Dans cet exemple, Visio Services va interroger les données d’une base de données transactionnelle SQL Server, par conséquent la délégation Kerberos est requise.

Le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory est généralement utilisé pour configurer la délégation Kerberos. Pour configurer les paramètres de délégation dans le composant logiciel enfichable, l’objet Active Directory configuré doit avoir un nom principal de service appliqué, sinon l’onglet Délégation de l’objet ne sera pas visible dans la boîte de dialogue des propriétés de l’objet. Bien que Visio Services ne requiert pas de nom principal de service pour fonctionner, nous allons en configurer un à cette fin.

Sur la ligne de commande, exécutez la commande suivante :

SETSPN -S SP/VisioServices svc\VisioServices

Configurer la délégation Kerberos contrainte pour Visio Services

Pour que Visio Services puisse déléguer l’identité du client, la délégation Kerberos contrainte doit être configurée. Vous devez également configurer la délégation contrainte avec transition du protocole pour la conversion du jeton de revendications en jeton Windows via le service WIF C2WTS.

Chaque serveur qui exécute Visio Services doit être approuvé pour déléguer les informations d’identification à chaque service Visio dorsal auprès duquel s’authentifier. De plus, le compte du service Visio Services doit être configuré pour permettre la délégation aux mêmes services dorsaux.

Dans notre exemple, les chemins de délégation suivants sont définis :

* Configuré ultérieurement dans ce scénario

** Facultatif. La délégation contrainte sur le compte de l’ordinateur est requise uniquement si C2WTS s’exécute en tant que système local.

Pour configurer la délégation contrainte

1. Ouvrez les propriétés de l’objet Active Directory dans Utilisateurs et ordinateurs Active Directory.

2. Accédez à l’onglet Délégation.

3. Sélectionnez N’approuver cet utilisateur que pour la délégation aux services spécifiés.

4. Sélectionnez Utiliser tout protocole d’authentification. Cela active la transition du protocole, ce qui est requis pour que le compte de service Visio utilise C2WTS.

5. Cliquez sur le bouton Ajouter pour sélectionner le principal de service autorisé pour la délégation.

6. Sélectionnez Utilisateurs et ordinateurs.

7. Sélectionnez le compte de service exécutant le service auquel déléguer. Dans cet exemple, il s’agit du compte de service pour le service SQL Server.

   Notes

   Le compte de service sélectionné doit avoir un nom principal de service appliqué. Dans notre exemple, le nom principal de service de ce compte a été configuré dans un scénario précédent.

8. Cliquez sur OK. Vous serez ensuite invité à sélectionner les noms principaux de service auxquels déléguer.

9. Sélectionnez les services pour le cluster SQL Server et cliquez sur OK.

10. Vous devez maintenant voir les noms principaux de service sélectionnés dans la liste Ce compte peut présenter des informations d’identification déléguées à ces services.

11. Répétez ces étapes pour chaque chemin de délégation (ordinateur et utilisateur) défini au début de cette section.

Vérifier le nom principal de service MSSQLSVC du compte de service exécutant le service sur le serveur SQL (effectué dans le scénario 2)

Vérifiez que le nom principal de service du compte de service Analysis Services (vmlab\svcSQL) existe à l’aide de la commande SetSPN suivante :

SetSPN -L vmlab\svcSQL

Vous devez voir les éléments ci-après :

MSSQLSVC/MySqlCluster MSSQLSVC/MySqlCluster.vmlab.local:1433

Configuration SharePoint Server

Configurer et démarrer le Service d’émission de jetons Revendications vers Windows sur les serveurs Visio Graphics

Le Service d’émission de jetons Revendications vers Windows (C2WTS) est un composant de Windows Identity Foundation (WIF) responsable de la conversion des jetons de revendications d’utilisateur en jetons Windows. Le service Visio Graphics utilise C2WTS pour convertir le jeton de revendications d’utilisateur en jeton Windows lorsque le service doit déléguer les informations d’identification à un système dorsal qui utilise l’authentification Windows. WIF est déployé avec SharePoint Server 2010 et C2WTS peut être démarré à partir de l’Administration centrale.

Chaque serveur d’applications de service Visio Graphics doit exécuter C2WTS localement. C2WTS n’ouvre aucun port et n’est pas accessible par un appelant distant. Par ailleurs, le fichier de configuration du service C2WTS doit être configuré de sorte à spécifiquement approuver l’identité du client appelant local.

Il est recommandé d’exécuter le Service d’émission de jetons Revendications vers Windows en utilisant un compte de service dédié et non en tant que Système local (configuration par défaut). Ce compte de service requiert des autorisations locales spéciales sur chaque serveur où le service s’exécute, alors assurez-vous de configurer ces autorisations chaque fois que vous démarrez le service sur un serveur. Idéalement, configurez les autorisations du compte de service sur le serveur local avant de démarrer le service, mais si vous les configurez après, vous pouvez redémarrer le service à partir de la console de gestion des services Windows (services.msc).

Pour démarrer le Service d’émission de jetons Revendications vers Windows

1. Créez un compte de service dans Active Directory sous lequel exécuter le service. Dans cet exemple, nous avons créé vmlab\svcC2WTS.

2. Ajoutez un nom principal de service (SPN) arbitraire au compte de service pour exposer les options de délégation pour ce compte dans Utilisateurs et ordinateurs Active Directory. Le SPN peut être d’un format quelconque car pour s’authentifier auprès du Service d’émission de jetons Revendications vers Windows nous n’utilisons pas l’authentification Kerberos. Il est recommandé de ne pas utiliser un nom principal de service HTTP pour éviter de créer potentiellement des noms principaux de service dupliqués dans votre environnement. Dans notre exemple, nous avons enregistré SP/C2WTS sur vmlab\svcC2WTS à l’aide de la commande suivante :

   SetSPN -S SP/C2WTS vmlab\svcC2WTS

3. Configurez la délégation Kerberos contrainte sur le compte de service C2WTS. Dans ce scénario, nous allons déléguer les informations d’identification au service SQL Server qui s’exécute sous le nom principal de service MSSQLSVC/MySqlCluster.vmlab.local:1433.

4. Configurez les autorisations de serveur local requises par C2WTS. Vous devez configurer ces autorisations sur chaque serveur où C2WTS s’exécute. Dans notre exemple, il s’agit de VMSP10APP01. Connectez-vous au serveur et octroyez à C2WTS les autorisations suivantes :

   1. Ajoutez le compte de service au groupe Administrateurs local.

   2. Dans la stratégie de sécurité locale (secpol.msc), sous l’attribution des droits utilisateur, octroyez au compte de service les autorisations suivantes :

      1. Agir en tant que partie du système d’exploitation

      2. Emprunter l’identité d’un client après l’authentification

      3. Ouvrir une session en tant que service

5. Ouvrez l’Administration centrale.

6. Dans Sécurité, dans la section Configurer les comptes de service gérés, enregistrez le compte de service C2WTS en tant que compte géré.

7. Sous Services, sélectionnez Gérer les services sur le serveur.

8. Dans la zone de sélection du serveur au coin supérieur droit, sélectionnez le(s) serveur(s) exécutant le service Visio Graphics. Dans cet exemple, il s’agit de VMSP10APP01.

9. Recherchez le Service d’émission de jetons Revendications vers Windows et démarrez-le.

10. Accédez à Gérer les comptes de service dans la section Sécurité. Remplacez l’identité de C2WTS par le nouveau compte géré.

    Notes

    Si C2WTS s’exécutait déjà avant la configuration du compte de service dédié, ou si vous devez changer les autorisations du compte de service alors que C2WTS s’exécute, vous devez redémarrer C2WTS à partir de la console des services.

D’autre part, si vous rencontrez des problèmes avec C2WTS après le redémarrage du service, il est peut-être nécessaire de réinitialiser les pools d’applications IIS qui communiquent avec C2WTS.

Ajouter les dépendances de démarrage au service WIF C2WTS

Il existe un problème connu avec C2WTS qui risque de ne pas démarrer automatiquement au redémarrage du système. Pour contourner ce problème, configurez une dépendance de service pour les Services de chiffrement :

1. Ouvrez une fenêtre Invite de commandes.

2. Tapez : sc config "c2wts" depend= CryptSvc

3. Recherchez le Service d’émission de jetons Revendications vers Windows dans la console des services.

4. Ouvrez les propriétés du service.

5. Consultez l’onglet Dépendances. Assurez-vous que les Services de chiffrement figurent dans la liste :

6. Cliquez sur OK.

Accorder les autorisations du compte de service Visio Services sur la base de données de contenu de l’application Web

Lors de la configuration des applications Web Office SharePoint Server 2010, autoriser le compte de service de l’application Web à accéder aux bases de données de contenu est une étape requise. Dans cet exemple, nous allons accorder au compte de service Visio Graphics l’accès à la base de données de contenu de l’application Web portal en utilisant Windows PowerShell.

Exécutez la commande suivante à partir de SharePoint 2010 Management Shell :

$w = Get-SPWebApplication -Identity http://portal

$w.GrantAccessToProcessIdentity("vmlab\svcVisio")

Démarrer l’instance du service Visio Graphics sur le serveur Visio

Avant de créer une application de service Visio Services, démarrez le service serveur Visio Services sur les serveurs désignés de la batterie de serveurs.

1. Ouvrez l’Administration centrale.

2. Sous Services, sélectionnez Gérer les services sur le serveur.

3. Dans la zone de sélection du serveur au coin supérieur droit, sélectionnez le(s) serveur(s) exécutant Visio Services. Dans cet exemple, il s’agit de VMSP10APP01.

4. Démarrez le Service Visio Graphics.

Créer l’application de service et le proxy Visio Graphics

Ensuite, configurez une application de service et un proxy d’application Visio Graphics pour permettre aux applications Web de consommer Visio Graphics, le cas échéant :

1. Ouvrez l’Administration centrale.

2. Sélectionnez Gérer les applications de service sous Gestion des applications.

3. Sélectionnez Nouveau, puis Service Visio Graphics.

4. Configurez la nouvelle application de service. Assurez-vous de sélectionner le compte de service correct (créez un compte géré si le compte de service Visio ne figure pas dans la liste).

Vérifier la délégation contrainte Visio Graphics

Configurer les paramètres de cache de Visio Services

Par défaut, le service Visio Graphics mettra en cache les dessins Web qu’il restitue aux clients Web pendant un délai en minutes basé sur les paramètres de cache de service. Pour tester la délégation, nous allons configurer le service afin de ne pas mettre en cache les dessins pour vérifier l’actualisation des données dans un dessin Web Visio.

1. Ouvrez l’Administration centrale.

2. Sélectionnez Gérer les applications de service sous Gestion des applications.

3. Sélectionnez l’application de service Visio Graphics créée à l’étape précédente.

4. Sélectionnez Paramètres globaux.

5. Dans Âge minimum du cache, définissez le cache sur 0 (aucun cache).

   Notes

   La définition de la durée minimale de mise en cache sur 0 est à des fins de test uniquement et ne doit pas être utilisée dans un environnement de production.

Créer une bibliothèque de documents pour héberger un dessin Web Visio de test

Accédez à l’application de portail (http://portal). Créez une bibliothèque de documents pour héberger un dessin Visio de test.

Créer un dessin Web Visio de test avec des formes connectées à des données SQL Server

1. Démarrez Visio 2010.

2. Créez un Diagramme simple dans la section Général sous Accueil.

3. Sous l’onglet du Ruban Données, sélectionnez Lier des données à des formes.

4. Dans la boîte de dialogue Sélecteur de données, sélectionnez Base de données Microsoft SQL Server.

5. Spécifiez le cluster SQL Server créé dans le scénario 2 et sélectionnez Authentification Windows.

6. Sélectionnez la base de données Test et la table Sales.

7. Spécifiez un nom convivial pour la connexion et enregistrez-la dans la bibliothèque de documents créée à l’étape précédente.

8. Dans la boîte de dialogue Sélecteur de données, sélectionnez la connexion nouvellement créée et cliquez sur Terminer.

   La fenêtre de données externes devrait apparaître en bas de la fenêtre de dessin avec les données d’exemple créées précédemment.

9. Faites glisser la première ligne de données sur la surface de dessin. Cela va créer une forme liée à la ligne de données. Notez que le dessin de test est destiné à tester la délégation mais pas à montrer comment créer un dessin Web de production parfaitement opérationnel.

Publier le dessin Visio sur SharePoint Server et actualiser la connexion de données

1. Publiez le dessin dans une bibliothèque de documents SharePoint. Sur l’onglet Fichier, cliquez sur Enregistrer et envoyer, Enregistrer dans SharePoint, Rechercher un emplacement, puis sur Dessin Web.

2. Accédez à la bibliothèque de documents de test, donnez un nom au dessin de test, puis cliquez sur Enregistrer.

   Le dessin s’ouvre dans le navigateur.

3. Dans la notification Actualisation désactivée, sélectionnez Activer (toujours).

4. La connexion de données doit s’actualiser automatiquement sans erreurs.

5. Ouvrez SQL Server Management Studio et modifiez la ligne de données affichée dans le dessin Web.

6. Actualisez la connexion de données en appuyant sur le bouton Actualiser en haut de la fenêtre du dessin. Si la délégation est configurée correctement, vous devez voir vos données s’actualiser.