Délégation d’identité pour PowerPivot pour SharePoint 2010 (SharePoint Server 2010)
S’applique à : Excel Services, SharePoint Server 2010
Dernière rubrique modifiée : 2016-11-30
La topologie de batterie de serveurs décrite dans Environnement et topologie de batterie de serveurs ne requiert pas l’authentification Kerberos pour que PowerPivot pour Microsoft SharePoint 2010 puisse fonctionner. Le service système PowerPivot prend en charge les revendications et utilise le Service d’émission de jetons Revendications vers Windows (C2WTS) pour recréer l’identité Windows du client en utilisant le jeton de revendications du client pour se connecter au moteur Vertipaq d’Analysis Services qui s’exécute sur le serveur d’applications.
Lorsqu’un classeur PowerPivot est chargé sur SharePoint Server, il contient déjà les données PowerPivot qu’il utilise. Lorsque l’utilisateur ouvre le classeur PowerPivot dans Excel Web Access et interagit avec les segments, le service système PowerPivot charge les données du classeur directement dans son moteur Analysis Services. Aucun accès n’est effectué à la connexion de données incorporée dans le classeur.
.jpg "Diagramme du flux d’authentification")
Lorsqu’un processus d’actualisation des données d’un classeur PowerPivot commence à s’exécuter, le service système PowerPivot effectue une connexion Windows en utilisant les informations d’identification stockées dans le service Banque d’informations sécurisé de SharePoint Server. Comme l’identité Windows est créée sur le serveur d’applications, la connexion du moteur Vertipaq PowerPivot Analysis Services (sur le même ordinateur, VMSP10APP01) à MySQLCluster constitue le premier bond NTLM.
.jpg "Diagramme du flux d’authentification")
Notes
Si vous installez sur Windows Server 2008, il vous faut peut-être installer le correctif suivant pour l’authentification Kerberos :
Une authentification Kerberos échoue avec le code d’erreur 0X80090302 ou 0x8009030f sur un ordinateur exécutant Windows Server 2008 ou Windows Vista lorsque l’algorithme AES est utilisé (https://support.microsoft.com/kb/969083/fr)
Scénarios nécessitant une authentification Kerberos
Dans la discussion ci-dessus, vous avez pu voir que la plupart des situations courantes avec PowerPivot ne requièrent pas l’authentification Kerberos. Cependant, dans certains cas limites, l’authentification Kerberos peut être requise. Par exemple, si votre classeur PowerPivot contient une connexion de données à une instance SQL Server liée à une autre instance SQL Server sur un ordinateur distinct, vous devez configurer l’authentification Kerberos avec délégation d’identité pour que l’actualisation des données fonctionne. Par exemple, si MySQLCluster est lié à une autre instance SQL Server distante, la liaison de MySQLCluster au serveur distant associé constitue le second bond. Dans ce cas, NTLM n’est plus adéquat. Vous devez configurer la délégation Kerberos pour que l’actualisation des données fonctionne correctement.
.jpg "Diagramme du flux d’authentification")
Bien qu’elles se situent hors du contexte des scénarios définis dans cet article, les étapes principales pour configurer la délégation d’identité pour PowerPivot sont les suivantes :
Remplacer le compte du service Windows C2WTS par un compte de domaine (par ex. VMLAB\svcC2WTS). La configuration de C2WTS est un vaste sujet couvert en détail dans les autres scénarios de ce document :
Configurer et démarrer le Service d’émission de jetons Revendications vers Windows sur les serveurs Excel Services
Configurer et démarrer le Service d’émission de jetons Revendications vers Windows sur les serveurs Visio Graphics
Configurer et démarrer le Service d’émission de jetons Revendications vers Windows sur les serveurs PerformancePoint Services
Configurer la délégation du compte VMLAB\svcSQL vers le nom principal de service pour la Liste de contrôle de configuration de l’instance SQL Server associée.
| Zone de configuration | Description |
|---|---|
Installation de PowerPivot |
Installer SQL Server PowerPivot pour SharePoint sur le serveur d’applications |
Dépendances du scénario
À proprement parler, les scénarios d’authentification Kerberos suivants ne sont pas requis par PowerPivot pour SharePoint. Cependant, le processus d’installation de PowerPivot pour SharePoint sera accéléré si vous les effectuez correctement, étant donné que les composants eux-mêmes sont prérequis pour PowerPivot pour SharePoint.
Scénario 1 : Configuration de base
Scénario 2 : Authentification Kerberos pour SQL OLTP
(Facultatif) Scénario 3 : Authentification Kerberos pour SQL Server Analysis Services
Scénario 5 : Délégation d’identité pour Excel Services
Instructions de configuration
Installez PowerPivot pour SharePoint sur le serveur d’applications (vmsp10app01). Pour des instructions détaillées, voir Procédure : installer PowerPivot pour SharePoint sur une batterie de serveurs SharePoint à trois niveaux dans la Bibliothèque en ligne MSDN. Si vous avez déjà effectué les scénarios dépendants de cet article, vous pouvez sauter les sections de l’article MSDN déjà traitées dans Dépendances du scénario.
Important
Le pool d’applications pour l’application de service SQL Server PowerPivot doit être exécuté sous le compte de domaine de l’administrateur de batterie de serveurs SharePoint Server. Aucun autre contexte utilisateur ne permet au service système PowerPivot de récupérer les informations d’identification du compte autonome auprès du service Banque d’informations sécurisé.