Compartilhar via

Claims to Windows Token Service (C2WTS)

  • Artigo

O Claims to Windows Token Service (C2WTS) do SharePoint será necessário se você desejar usar a autenticação do Windows para Fontes de Dados que estão fora do farm do SharePoint. Isso ocorre mesmo quando o usuário acessa as fontes de dados com a Autenticação do Windows porque a comunicação entre o WFE (front-end da Web) e o serviço compartilhado do Reporting Services sempre será uma autenticação de Reivindicações.

O C2WTS é necessário até mesmo quando as fontes de dados estão no mesmo computador que o serviço compartilhado. Entretanto, neste cenário, a delegação restrita não é necessária.

Os tokens criados por C2WTS só funcionarão com a delegação restrita (restrições a serviços específicos) e a opção de configuração "usando qualquer protocolo de autenticação". Conforme observado anteriormente, se suas fontes de dados estiverem no mesmo computador que o serviço compartilhado, a delegação restrita não será necessária.

Se seu ambiente usará que a delegação restrita a Kerberos, o serviço de SharePoint Server e fontes de dados externas precisarão residir no mesmo domínio do Windows. Qualquer serviço que dependa do Claims to Windows Token Service (C2WTS) deve usar a delegação restrita a Kerberos para permitir que o C2WTS use a transição do protocolo Kerberos para traduzir reivindicações em credenciais do Windows. Estes requisitos são verdadeiros para todos os Serviços Compartilhados do SharePoint. Para obter mais informações, consulte Visão geral da autenticação do Kerberos para produtos do Microsoft SharePoint 2010 (https://technet.microsoft.com/en-us/library/gg502594.aspx).

O procedimento é resumido abaixo, mas esta não é uma lista completa de etapas detalhadas.

Pré-requisitos

ObservaçãoObservação

Nota: Algumas das etapas de configuração podem mudar ou não funcionar em certas topologias de farm. Por exemplo, uma única instalação de servidor não oferece suporte aos serviços Windows Identity Foundation C2WTS; portanto, reivindicações assim a janelas cenários de delegação simbólicos não são possíveis com esta configuração de farm.

Etapas básicas necessárias para configurar o C2WTS

  1. Configure a conta de serviço que você pretende usar para C2WTS. A conta usada para C2WTS precisa dos seguintes direitos de política local:

    • Atuar como parte do sistema operacional

    • Representar um cliente após a autenticação

    • Fazer logon como um serviço

    A conta que você usa para C2WTS também precisa ser configurada para Delegação Restrita com Protocolo que Faz a transição e precisa de permissões para delegar aos Serviços com os quais ela precisa se comunicar (isto é, SQL Server Engine, SQL Server Analysis Services). Para configurar a delegação, você pode usar o snap-in Usuários e Computador do Active Directory.

    1. Clique com o botão direito do mouse em cada conta de serviço e abra a caixa de diálogo de propriedades. Na caixa de diálogo, clique na guia Delegação.

      ObservaçãoObservação

      Nota: a guia delegação só ficará visível se o objeto tiver um SPN atribuído a ele. O C2WTS não requer um SPN na Conta de C2WTS; porém, sem um SPN, a guia Delegação não ficará visível. Um modo alternativo de configurar a delegação restrita é usar um utilitário como ADSIEdit.

    2. Principais opções de configuração na guia delegação:

      • Selecione "Confiar neste usuário apenas para delegação a serviços especificados"

      • Selecione "Usar qualquer protocolo de autenticação"

      Para obter mais informações, consulte a seção "configurar a delegação restrita a Kerberos para computadores e contas de serviço" do white paper Configurando a autenticação de Kerberos para produtos do SharePoint 2010 e do SQL Server 2008 R2

  2. Configure o C2WTS 'AllowedCallers'

    O C2WTS requer dos 'chamadores' identidades explicitamente listadas no arquivo de configuração, c2wtshost.exe.config. O C2WTS não aceita solicitações de todos os usuários autenticados no sistema, a menos que esteja configurado para fazer assim. Neste caso, o 'chamador' é o grupo WSS_WPG do Windows. O arquivo c2wtshost.exe.confi é salvo no seguinte local:

    \Arquivos de Programas\Windows Identity Foundation\v3.5\c2wtshost.exe.config

    Este é um exemplo do arquivo de configuração:

    <configuration>
  <windowsTokenService>
    <!--
        By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.
        Add the identities you wish to allow below.
      -->
    <allowedCallers>
      <clear/>
      <add value="WSS_WPG" />
    </allowedCallers>
  </windowsTokenService>
</configuration>

  3. Inicie o serviço C2WTS do sistema operacional:

    1. Configure o serviço para usar a conta de serviço configurada na etapa anterior.

    2. Mude o tipo de Inicialização para “Automático“ e inicie o serviço.

  4. Inicie o 'Claims to Windows Token Service' do SharePoint: inicie o Claims to Windows Token Service pela Administração Central do SharePoint na página Gerenciar Serviços no Servidor. O serviço deverá ser iniciado no servidor que estará executando a ação. Por exemplo, se você tiver um servidor que é um WFE e outro servidor que é um Servidor de aplicativos com o serviço compartilhado do Reporting Services em execução, só precisará iniciar o C2WTS no Servidor de aplicativos. O C2WTS não é necessário no WFE.

Consulte também

Outros recursos

Visão geral do Claims to Windows Token Service (c2WTS) (https://msdn.microsoft.com/en-us/library/ee517278.aspx)

Visão geral da autenticação do Kerberos para produtos do Microsoft SharePoint 2010 (https://technet.microsoft.com/en-us/library/gg502594.aspx)