TechNet
Exporter (0) Imprimer
Développer tout

Service d’émission de jetons Revendications vers Windows (C2WTS) et Reporting Services

 

S'applique à: SQL Server 2016

Le service d’émission de jetons Revendications SharePoint vers Windows (C2WTS) est nécessaire avec le mode SharePoint de Reporting Services, si vous souhaitez utiliser l’authentification Windows pour les sources de données situées hors de la batterie de serveurs SharePoint. Ceci vaut même si l’utilisateur accède aux sources de données avec l’authentification Windows, car la communication entre le serveur Web frontal (WFE) et le service partagé Reporting Services s’effectue toujours via l’Authentification de réclamations.

C2WTS est nécessaire même si votre ou vos sources de données résident sur le même ordinateur que le service partagé. Toutefois dans ce scénario, la délégation contrainte n'est pas nécessaire.

Les jetons créés par C2WTS ne fonctionnent qu’avec la délégation contrainte (pour certains services uniquement) et l’option de configuration « avec n’importe quel protocole d’authentification ». Comme indiqué précédemment, si vos sources de données sont sur le même ordinateur que le service partagé, la délégation contrainte n'est pas nécessaire.

Si votre environnement utilise la délégation contrainte Kerberos, le service SharePoint server et les sources de données externes doivent résider dans le même domaine Windows. Tout service qui s’appuie sur le service d’émission de jetons Revendications vers Windows (C2WTS) doit utiliser la délégation contrainte Kerberos pour permettre à C2WTS d’utiliser une transition de protocole Kerberos dans la conversion de revendications en informations d’identification Windows. Ces exigences s'appliquent à tous les services partagés SharePoint. Pour plus d'informations, consultez Vue d'ensemble de l'authentification Kerberos pour les Produits Microsoft SharePoint 2010 (http://technet.microsoft.com/library/gg502594.aspx).

La procédure est résumée dans cette rubrique.

S'applique à : SharePoint 2013 | SharePoint 2010.
System_CAPS_ICON_note.jpg Remarque


Remarque : certaines étapes de configuration peuvent changer, ou peuvent ne pas fonctionner dans certaines topologies de batteries de serveurs. Par exemple, l’installation d’un serveur ne prend pas en charge les services C2WTS Windows Identity Foundation. C’est pourquoi les scénarios de délégation de jetons Windows ne sont pas possibles avec cette configuration de batterie de serveurs.

Étapes de base nécessaires pour configurer C2WTS

  1. Configurez le compte de service C2WTS. Ajoutez le compte de service au groupe Administrateurs local sur chaque serveur d’applications exécutant C2WTS. De plus, vérifiez que le compte possède les droits de stratégie de sécurité locale suivants :

    • Agir en tant que partie du système d'exploitation

    • Emprunter l'identité d'un client après authentification

    • Ouvrir une session en tant que service

  2. Configurez la délégation pour le compte de service C2WTS. Le compte a besoin de la délégation contrainte avec transition de protocole et d’autorisations de déléguer aux services avec lesquelles il doit communiquer (par exemple, SQL Server Engine, SQL Server Analysis Services). Pour configurer la délégation, vous pouvez utiliser le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

    1. Cliquez avec le bouton droit sur chaque compte de service et ouvrez la boîte de dialogue des propriétés. Dans la boîte de dialogue, cliquez sur l'onglet Délégation.

      System_CAPS_ICON_note.jpg Remarque


      Remarque : l’onglet délégation n’est visible que si l’objet est associé à un SPN. C2WTS ne requiert aucun SPN sur le compte C2WTS, mais sans SPN, l’onglet Délégation n’est pas visible. Une autre façon de configurer la délégation contrainte consiste à utiliser un utilitaire tel que ADSIEdit.

    2. Les options de configuration principales dans l'onglet Délégation sont les suivantes :

      • Sélectionnez « N'approuver cet utilisateur que pour la délégation aux services spécifiés »

      • Sélectionnez « Utiliser tout protocole d'authentification »

      Pour plus d'informations, consultez la rubrique relative à la configuration de la délégation contrainte Kerberos pour les ordinateurs et les comptes de service dans le livre blanc suivant : Configuration de l'authentification Kerberos pour les produits SharePoint 2010 et SQL Server 2008 R2

  3. Configurer les « appelants autorisés » dans C2WTS

    C2WTS requiert que les identités des appelants soient explicitement répertoriées dans le fichier de configuration, c2WTShost.exe.config. C2WTS n’accepte pas les demandes de tous les utilisateurs authentifiés dans le système, sauf s’il est configuré pour cela. Dans ce cas l'appelant est le groupe Windows WSS_WPG. Le fichier c2wtshost.exe.confi est enregistré à l’emplacement suivant :

    \Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    L'exemple suivant montre le fichier de configuration :

    <configuration>  
      <windowsTokenService>  
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->  
        <allowedCallers>  
          <clear/>  
          <add value="WSS_WPG" />  
        </allowedCallers>  
      </windowsTokenService>  
    </configuration>  
    
    
  4. Démarrez le service C2WTS du système d’exploitation :

    1. Configurez le service pour utiliser le compte de service que vous avez configuré à l'étape précédente.

    2. Changez le type de démarrage en Automatique et démarrez le service.

  5. Démarrer les revendications SharePoint vers Windows Token Service : Démarrez les revendications SharePoint vers Windows Token Service via l'Administration centrale de SharePoint sur la page Gérer les ervices sur le serveur. Le service doit être démarré sur le serveur qui effectuera l'action. Par exemple si vous avez un serveur Web frontal et un serveur d’applications exécutant le service partagé Reporting Services, il vous suffit de démarrer C2WTS sur le serveur d’applications. C2WTS n’est pas nécessaire sur le serveur Web frontal.

Vue d'ensemble du service d'émission de jetons Revendications vers Windows (c2WTS)
Présentation de l’authentification Kerberos pour les produits Microsoft SharePoint 2010
Planifier l’authentification Kerberos dans SharePoint 2013

Afficher:
© 2016 Microsoft