Udostępnij za pośrednictwem

Oświadczenia do usługi tokenu systemu Windows (C2WTS) i usług Reporting Services

  • Artykuł

Dotyczy: programu SQL Server 2016 (13.x) Reporting Services i nowszych programu SharePoint serwera raportów usługi Power BI

Oświadczenia programu SharePoint do usługi tokenu systemu Windows (C2WTS) są wymagane, jeśli chcesz wyświetlać raporty w trybie natywnym w składniku Web Part podglądu raportów programu SQL Server Reporting Services.

C2WTS jest również wymagany w trybie usługi SQL Server Reporting Services programu SharePoint, jeśli chcesz używać uwierzytelniania systemu Windows dla źródeł danych spoza farmy SharePoint. C2WTS jest wymagany, nawet jeśli źródła danych znajdują się na tym samym komputerze co usługa udostępniona. Jednak w tym scenariuszu ograniczone delegowanie nie jest wymagane.

Notatka

Integracja usług Reporting Services z programem SharePoint nie jest już dostępna po programie SQL Server 2016.

Konfiguracja składnika Web Part Podgląd raportów (w trybie natywnym)

Podgląd raportów to niestandardowy składnik Web Part, który może służyć do wyświetlania raportów z usług SQL Server Reporting Services (tryb natywny) w witrynie programu SharePoint. Składnik Web Part umożliwia wyświetlanie, nawigowanie, drukowanie i eksportowanie raportów na serwerze raportów. Składnik Web Part do przeglądania raportów jest skojarzony z plikami definicji raportu (rdl) przetwarzanymi przez serwer raportów SQL Server Reporting Services lub serwer raportów Power BI. Tego składnika Web Part podglądu raportów nie można używać z raportami usługi Power BI hostowanymi na serwerze raportów usługi Power BI.

Program SharePoint Server 2013, SharePoint Server 2016 i SharePoint Server 2019 korzystają z uwierzytelniania oświadczeń. W związku z tym usługa C2WTS musi być prawidłowo skonfigurowana, a usługi Reporting Services muszą być skonfigurowane do uwierzytelniania Kerberos w celu poprawnego renderowania raportów.

  1. Skonfiguruj wystąpienie usług Reporting Services (tryb macierzysty) na potrzeby uwierzytelniania Kerberos, określając konto usługi SSRS, ustawiając nazwę SPN i aktualizując plik rsreportserver.config do używania typu uwierzytelniania RSWindowsNegotiate. Zarejestruj Główną Nazwę Usługi (SPN) dla Serwera Raportów

  2. Wykonaj kroki z wymagane do skonfigurowania c2WTS

Integracja trybu programu SharePoint

Ta sekcja dotyczy tylko usług SQL Server 2016 Reporting Services i starszych.

Usługa tokenu Windows dla oświadczeń SharePoint (C2WTS) jest wymagana w trybie SharePoint usług SQL Server Reporting Services, jeśli chcesz używać uwierzytelniania Windows dla źródeł danych spoza farmy SharePoint. To wymaganie ma również zastosowanie, jeśli użytkownik uzyskuje dostęp do źródeł danych za pomocą uwierzytelniania systemu Windows, ponieważ komunikacja między interfejsem użytkownika aplikacji webowej (WFE) a współdzieloną usługą Reporting Services zawsze odbywa się przy użyciu uwierzytelniania oświadczeń.

Kroki wymagane do skonfigurowania usługi c2WTS

Tokeny utworzone przez usługę C2WTS działają tylko z ograniczonym delegowaniem (ograniczeniem do określonych usług) i opcją konfiguracji "przy użyciu dowolnego protokołu uwierzytelniania" (Przejście protokołu).

Jeśli środowisko korzysta z ograniczonego delegowania protokołu Kerberos, usługa programu SharePoint Server i zewnętrzne źródła danych muszą znajdować się w tej samej domenie systemu Windows. Każda usługa oparta na oświadczeniach do usługi tokenu systemu Windows (c2WTS) musi używać protokołu Kerberos ograniczone delegowania, aby umożliwić c2WTS używanie przejścia protokołu Kerberos w celu tłumaczenia oświadczeń na poświadczenia systemu Windows. Te wymagania dotyczą wszystkich usług udostępnionych programu SharePoint. Aby uzyskać więcej informacji, zobacz Plan uwierzytelniania Kerberos w programie SharePoint 2013.

  1. Skonfiguruj konto domeny usługi C2WTS.

    Jako najlepsze rozwiązanie C2WTS powinno działać w ramach własnej tożsamości domeny.

    • Utwórz konto usługi Active Directory i zarejestruj konto jako konto zarządzane w programie SharePoint Server.

    • Konfiguracja usługi C2WTS do korzystania z konta zarządzanego za pośrednictwem Centralnej Administracji SharePoint > Bezpieczeństwo > Konfiguracja kont usług > Usługa systemu Windows — Oświadczenia do usługi tokenu Windows

    Dodaj konto usługi C2WTS do lokalnej grupy Administratorzy na każdym serwerze, którego chcesz używać z C2WTS. W przypadku składnika webpart przeglądarki raportów , serwery frontowe to serwery WFE. W przypadku trybu zintegrowanego programu SharePointserwery te są serwerami aplikacji, na których działa usługa Reporting Services.

    • Przyznaj konto C2WTS następujące uprawnienia w lokalnych zasadach bezpieczeństwa w obszarze Zasady lokalne > Przypisanie praw użytkownika:
      • Działać jako część systemu operacyjnego
      • Personifikuj klienta po uwierzytelnieniu
      • Logowanie jako usługa

  2. Skonfiguruj delegowanie dla konta usługi C2WTS.

    Konto wymaga ograniczonego delegowania z przełączaniem protokołów oraz uprawnień do delegowania usług, z którymi musi się komunikować (czyli aparatu bazy danych SQL Server oraz usług SQL Server Analysis Services). Aby skonfigurować delegowanie, możesz użyć przystawki Użytkownicy i komputer usługi Active Directory i musisz być administratorem domeny.

    Ważny

    Jakiekolwiek ustawienia, które skonfigurujesz dla konta usługi C2WTS na karcie delegowania, muszą być zgodne z głównym używanym kontem usługi. W przypadku składnika Web Part Report Viewerbędzie to konto usługi dla aplikacji internetowej programu SharePoint. W przypadku trybu zintegrowanego programu SharePointbędzie to konto usługi Reporting Services.

    Jeśli na przykład zezwolisz kontu usługi C2WTS na delegowanie do usługi SQL, musisz wykonać to samo na koncie usługi Reporting Services dla trybu zintegrowanego programu SharePoint.

    • Kliknij prawym przyciskiem myszy każde konto usługi i otwórz okno dialogowe właściwości. W oknie dialogowym wybierz kartę Delegowanie .

      Karta delegowania jest widoczna tylko wtedy, gdy do obiektu jest przypisana główna nazwa usługi (SPN). C2WTS nie wymaga nazwy SPN na koncie C2WTS, jednak bez nazwy SPN karta delegowania nie jest widoczna. Alternatywnym sposobem skonfigurowania ograniczonego delegowania jest użycie narzędzia takiego jak ADSIEdit.

    • Te kluczowe opcje konfiguracji znajdują się na karcie delegowania:

      • Wybierz pozycję Ufaj temu użytkownikowi na potrzeby delegowania tylko do określonych usług
      • Wybierz pozycję Użyj dowolnego protokołu uwierzytelniania

    • Wybierz pozycję Dodaj, aby dodać usługę do delegowania.

    • Wybierz pozycję Użytkownicy lub komputery...* i wprowadź nazwę konta, które hostuje usługę. Jeśli na przykład program SQL Server jest uruchomiony na koncie o nazwie sqlservice, wprowadź sqlservice. W przypadku części sieciowej Report Viewer, konto to jest kontem usługi dla instancji Reporting Services w trybie natywnym.

    • Wybierz listę usług. Ta lista pokazuje nazwy SPN, które są dostępne na tym koncie. Jeśli nie widzisz usługi wymienionej na tym koncie, może to być brakujące lub umieszczone na innym koncie. Można użyć narzędzia SetSPN, aby dostosować SPN. W składniku Web Part przeglądarki raportów zobaczysz skonfigurowaną nazwę SPN http w konfiguracji składnika Web Part przeglądarki raportów .

    • Wybierz przycisk OK, aby wyjść z okien dialogowych.

  3. Skonfiguruj C2WTS AllowedCallers.

    C2WTS wymaga tożsamości "wywołujących" jawnie wymienionych w pliku konfiguracji, C2WTShost.exe.config. Usługa C2WTS nie akceptuje żądań od wszystkich uwierzytelnionych użytkowników w systemie, chyba że zostanie ona skonfigurowana w taki sposób. W takim przypadku obiekt wywołujący jest grupą systemu Windows WSS_WPG. Plik C2WTShost.exe.config jest zapisywany w następującej lokalizacji:

    Po zmianie konta usługi w ramach administratora centralnego programu SharePoint dla usługi C2WTS należy dodać to konto do grupy WSS_WPG.

    \Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    W poniższym przykładzie pokazano, jak może wyglądać plik konfiguracji:

    <configuration>
  <windowsTokenService>
    <!--  
        By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
        Add the identities you wish to allow below.  
      -->
    <allowedCallers>
      <clear/>
      <add value="WSS_WPG" />
    </allowedCallers>
  </windowsTokenService>
</configuration>

  4. Uruchom (zatrzymaj i uruchom, jeśli już uruchomiono) usługę Tokenów Windows dla oświadczeń za pośrednictwem Centralnej Administracji SharePoint na stronie Zarządzanie Usługami na Serwerze. Usługa powinna zostać uruchomiona na serwerze, który wykonuje akcję. Jeśli na przykład masz serwer, który jest serwerem czołowym WFE, i serwer aplikacji z uruchomioną współdzieloną usługą SQL Server Reporting Services, wystarczy uruchomić usługę C2WTS na serwerze aplikacji. C2WTS jest wymagany tylko na serwerze WFE, jeśli używasz części sieciowej Report Viewer.

Więcej pytań? Spróbuj zapytać na forum dotyczącym usług Reporting Services.