Deklarace identity do služby tokenů systému Windows (C2WTS) a služby Reporting Services
platí pro:
SQL Server 2016 (13.x) Reporting Services a novější SharePoint Serveru sestav Power BI
Chcete-li zobrazit sestavy nativního režimu ve webové části Prohlížeč sestav SQL Server Reporting Services, je vyžadována služba SharePoint Claims to Windows Token Service (C2WTS).
C2WTS je také vyžadováno v režimu služby SQL Server Reporting Services SharePoint, pokud chcete použít ověřování systému Windows pro datové zdroje, které jsou mimo farmu SharePoint. C2WTS je potřeba, i když jsou zdroje dat ve stejném počítači jako sdílená služba. V tomto scénáři ale omezené delegování není potřeba.
Poznámka
Po SQL Serveru 2016 už není k dispozici integrace služby Reporting Services se SharePointem.
Konfigurace webové části Zobrazovač sestav (nativní režim)
Webová část Prohlížeč sestav je vlastní webová část, která se dá použít k zobrazení sestav služby SQL Server Reporting Services (nativní režim) na webu služby SharePoint. Webovou část můžete použít k zobrazení, procházení, tisku a exportu sestav na serveru sestav. Webová část Prohlížeč sestav je spojena se soubory definice sestavy (.rdl), které zpracovává SQL Server Reporting Services nebo Power BI Report Server. Tuto webovou část Prohlížeč sestav nelze použít se sestavami Power BI hostovanými na Serveru sestav Power BI.
SharePoint Server 2013, SharePoint Server 2016 a SharePoint Server 2019 využívají ověřování deklarací identity. V důsledku toho je potřeba správně nakonfigurovat C2WTS a Reporting Services musí být nakonfigurované pro ověřování protokolem Kerberos, aby se sestavy zobrazovaly správně.
Nakonfigurujte instanci služby Reporting Services (nativní režim) pro ověřování protokolem Kerberos tím, že určíte účet služby SSRS, nastavíte hlavní název služby (SPN) a aktualizujete soubor rsreportserver.config tak, aby používal typ ověřování RSWindowsNegotiate. registrace hlavního názvu služby (SPN) pro server sestav
Postupujte podle kroků potřebných ke konfiguraci c2WTS z do
Integrace režimu SharePointu
Tato část platí jenom pro SQL Server 2016 Reporting Services a starší.
Služba SharePoint Claims to Windows Token (C2WTS) je vyžadována v režimu SharePoint služby SQL Server Reporting Services, pokud chcete používat ověřování systému Windows pro zdroje dat, které se nacházejí mimo farmu SharePoint. Tento požadavek platí také v případě, že uživatel přistupuje ke zdrojům dat pomocí ověřování systému Windows, protože komunikace mezi webovým front-endem (WFE) a sdílenou službou Reporting Services je vždy ověřování deklarací identity.
Kroky potřebné ke konfiguraci C2WTS
Tokeny vytvořené C2WTS pracují pouze s omezeným delegováním (omezení na konkrétní služby) a možností konfigurace "pomocí libovolného ověřovacího protokolu"(Přechod protokolu).
Pokud vaše prostředí používá omezené delegování protokolu Kerberos, musí se služba SharePoint Serveru a externí zdroje dat nacházet ve stejné doméně Windows. Každá služba, která spoléhá na službu c2WTS (Claims to Windows Token Service), musí používat Kerberos omezenou delegaci, aby c2WTS mohl využívat přechod protokolu Kerberos k převodu deklarací na přihlašovací údaje systému Windows. Tyto požadavky platí pro všechny sdílené služby SharePointu. Další informace najdete v tématu Plan for Kerberos authentication in SharePoint 2013.
Nakonfigurujte účet domény služby C2WTS.
Jako osvědčený postup C2WTS by měl běžet pod vlastní identitou domény.
Vytvořte účet Služby Active Directory a zaregistrujte ho jako spravovaný účet na SharePoint Serveru.
Nakonfigurujte službu C2WTS tak, aby používala spravovaný účet prostřednictvím Centrální správy SharePointu > Zabezpečení > Konfigurace účtů služby > Služba systému Windows – Přiřazování nároků ke službě tokenů systému Windows
Přidejte účet služby C2WTS do místní skupiny Administrators na každém serveru, který chcete použít s C2WTS. Pro webovou část Prohlížeč sestav představují tyto servery webové front-end servery (WFE). U integrovaného režimu SharePointujsou tyto servery aplikačními servery, na kterých je spuštěna služba Reporting Services.
- Udělte účtu C2WTS následující oprávnění v místních zásadách zabezpečení v části Místní zásady > přiřazení uživatelských práv:
- Jednat jako součást operačního systému
- Převzetí identity klientského účtu po ověření
- Přihlášení jako služba
Nakonfigurujte delegování pro účet služby C2WTS.
Účet potřebuje omezené delegování s přechodem protokolu a oprávněními k delegování na služby, se kterými musí komunikovat (to znamená databázový stroj SQL Serveru, SLUŽBA SQL Server Analysis Services). Ke konfiguraci delegování můžete použít modul snap-in Uživatelé a počítače služby Active Directory a musíte být správcem domény.
Důležitý
Bez ohledu na nastavení, která nakonfigurujete pro účet služby C2WTS, musí na kartě delegování odpovídat použitému hlavnímu účtu služby. U webové části Prohlížeč sestavse jedná o účet služby pro webovou aplikaci SharePoint. V případě integrovaného režimu SharePointuto bude účet služby Reporting Services.
Pokud například povolíte delegování účtu služby C2WTS na službu SQL, musíte to udělat u účtu služby Reporting Services pro integrovaný režim SharePointu.
Klikněte pravým tlačítkem na každý účet služby a otevřete dialogové okno vlastností. V dialogovém okně vyberte záložku Delegování.
Karta delegování je viditelná pouze v případě, že má objekt přiřazený hlavní název služby (SPN). C2WTS nevyžaduje hlavní název služby (SPN) v účtu C2WTS, ale bez hlavního názvu služby (SPN) se karta delegování
nezobrazuje. Alternativní způsob konfigurace omezeného delegování je použít nástroj, jako je ADSIEdit. Tyto hlavní možnosti konfigurace jsou na záložce delegování:
- Vyberte Důvěřovat tomuto uživateli pro delegování jenom určeným službám
- Vyberte Použít libovolný ověřovací protokol
Vyberte Přidat k přidání služby k delegování.
Vyberte Uživatelé nebo počítače...* a zadejte účet, který hostí službu. Pokud například sql Server běží pod účtem s názvem sqlservice, zadejte
sqlservice. Pro webovou část Prohlížeč sestavje tento účet služební účet pro instanci Reporting Services v nativním režimu.Vyberte seznam služby. Tento výběr zobrazuje SPNs, které jsou na tomto účtu k dispozici. Pokud službu na tomto účtu nevidíte, může buď chybět, nebo být na jiném účtu. K úpravě hlavních názvů služby (SPN) můžete použít nástroj SetSPN. U webové části Prohlížeč sestav vidíte, že se v konfiguraci webové části Prohlížeč sestav nachází konfigurováno SPN pro http.
Vyberte OK, abyste se z dialogových oken dostali.
Konfigurovat C2WTS AllowedCallers.
C2WTS vyžaduje identity volajících explicitně uvedené v konfiguračním souboru C2WTShost.exe.config. C2WTS nepřijímá žádosti od všech ověřených uživatelů v systému, pokud ho nenakonfigurujete tak. V tomto případě je volajícím skupina WSS_WPG Windows. Soubor C2WTShost.exe.config se uloží do následujícího umístění:
Když změníte účet služby v rámci centrálního správce SharePointu pro službu C2WTS, přidáte tento účet do skupiny WSS_WPG.
\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config
Následující příklad ukazuje, jak může konfigurační soubor vypadat:
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>Na stránce Centrální správy SharePointu, na stránce Správa služeb na serveru, spusťte (zastavte a znovu spusťte, pokud je již spuštěno) službu Claims to Windows Token Service. Služba by měla být spuštěna na serveru, který danou akci provede. Pokud máte například server, který je WFE a dalším serverem, který je aplikačním serverem se spuštěnou sdílenou službou SQL Server Reporting Services, stačí spustit C2WTS jenom na aplikačním serveru. C2WTS se vyžaduje jenom na serveru WFE, když používáte webovou část Prohlížeč zpráv.
Máte další otázky? Zkuste se zeptat fóra služby Reporting Services.