Partilhar via

Declarações para o Serviço de Token do Windows (C2WTS) e Serviços de Relatório

  • Artigo

Aplica-se a: SQL Server 2016 (13.x) Reporting Services e versões posteriores SharePoint Power BI Report Server

As Declarações do SharePoint para o Serviço de Token do Windows (C2WTS) são necessárias se você quiser exibir relatórios de modo nativo na Web Part Visualizador de Relatórios do SQL Server Reporting Services.

O C2WTS também é necessário com o modo do SharePoint do SQL Server Reporting Services se você quiser usar a autenticação do Windows para fontes de dados que estão fora do farm do SharePoint. O C2WTS é necessário mesmo que a(s) sua(s) fonte(s) de dados esteja(m) no mesmo computador que o serviço compartilhado. No entanto, nesse cenário, a delegação restrita não é necessária.

Observação

A integração do Reporting Services com o SharePoint não está mais disponível após o SQL Server 2016.

Configuração da Parte Web do Visualizador de Relatórios (em modo nativo)

A Web Part do Visualizador de Relatórios é uma Web Part personalizada que pode ser usada para exibir relatórios do SQL Server Reporting Services (modo nativo) em seu site do SharePoint. Você pode usar a Web Part para exibir, navegar, imprimir e exportar relatórios em um servidor de relatório. A Web Part do Visualizador de Relatórios está associada a arquivos de definição de relatório (.rdl) processados por um servidor de relatório do SQL Server Reporting Services ou um Servidor de Relatório do Power BI. Esta Web Part do Visualizador de Relatórios não pode ser usada com relatórios do Power BI hospedados no Servidor de Relatório do Power BI.

O SharePoint Server 2013, o SharePoint Server 2016 e o SharePoint Server 2019 usam a autenticação de declarações. Como resultado, o C2WTS precisa ser configurado corretamente e o Reporting Services precisa ser configurado para autenticação Kerberos para que os relatórios sejam renderizados corretamente.

  1. Configure a sua instância do Reporting Services (Modo Nativo) para Autenticação Kerberos, determinando a conta de serviço SSRS, definindo um SPN e atualizando o ficheiro rsreportserver.config para utilizar o Tipo de Autenticação RSWindowsNegotiate. Registrar um SPN (Nome da Entidade de Serviço) para um servidor de relatórios

  2. Siga os passos em Passos necessários para configurar o c2WTS

Integração do modo SharePoint

Esta seção só se aplica ao SQL Server 2016 Reporting Services e versões anteriores.

O serviço de Declarações do SharePoint para o Token do Windows (C2WTS) é necessário no modo SharePoint do SQL Server Reporting Services se você quiser usar a autenticação do Windows para fontes de dados que estão fora da farm do SharePoint. Esse requisito também se aplica se o usuário acessar as fontes de dados com a Autenticação do Windows, porque a comunicação entre o front-end da Web (WFE) e o serviço compartilhado do Reporting Services é sempre Autenticação de Declarações.

Etapas necessárias para configurar o c2WTS

Os tokens criados pelo C2WTS só funcionam com delegação restrita (restrições a serviços específicos) e a opção de configuração "usando qualquer protocolo de autenticação" (Transição de Protocolo).

Se seu ambiente usa delegação restrita de Kerberos, o serviço do SharePoint Server e as fontes de dados externas precisam residir no mesmo domínio do Windows. Qualquer serviço que dependa do serviço de token Declarações para Windows (c2WTS) deve usar Kerberos delegação restrita de para permitir que o c2WTS use a transição do protocolo Kerberos para traduzir declarações em credenciais do Windows. Esses requisitos são válidos para todos os Serviços Compartilhados do SharePoint. Para obter mais informações, consulte Plano para autenticação Kerberos no SharePoint 2013.

  1. Configure a conta de domínio do serviço C2WTS.

    Como prática recomendada, o C2WTS deve ser executado sob sua própria identidade de domínio.

    • Crie uma conta do Ative Directory e registre a conta como uma conta gerenciada no SharePoint Server.

    • Configurar o Serviço C2WTS para usar a conta gerenciada por meio da Administração Central do SharePoint > Segurança > Configurar Contas de Serviço > Serviço do Windows - de Claims para o Serviço de Token do Windows

    Adicione a conta de serviço C2WTS ao grupo Administradores local em cada servidor que você deseja usar com o C2WTS. No caso da web part Visualizador de Relatórios, esses servidores são os servidores Front-End da Web (WFE). Para o modo integrado do SharePoint , esses são os servidores de aplicativos que executam o serviço Reporting Services.

    • Conceda à conta C2WTS as seguintes permissões na política de segurança local em Políticas Locais > Atribuição de Direitos de Usuário:
      • Atuar como parte do sistema operacional
      • Impersonar um cliente após a autenticação
      • Iniciar sessão como serviço

  2. Configure a delegação para a conta de serviço C2WTS.

    A conta precisa de Delegação Restrita com Transição de Protocolo e permissões para delegar aos serviços com os quais precisa comunicar-se (ou seja, SQL Server Database Engine, SQL Server Analysis Services). Para configurar a delegação, você pode usar o snap-in Usuários e Computador do Ative Directory e precisa ser um administrador de domínio.

    Importante

    Quaisquer que sejam as configurações definidas para a conta de serviço C2WTS, na guia delegação, precisam corresponder à conta de serviço principal que está sendo usada. Para a Web Part Visualizador de Relatórios, essa será a conta de serviço do aplicativo Web do SharePoint. Para o modo integrado do SharePoint , esta será a conta de serviço do Reporting Services.

    Por exemplo, se você permitir que a conta de serviço C2WTS delegue a um Serviço SQL, precisará fazer o mesmo na conta de serviço do Reporting Services para o modo integrado do SharePoint.

    • Clique com o botão direito do mouse em cada conta de serviço e abra a caixa de diálogo de propriedades. Na caixa de diálogo, selecione o separador Delegação.

      A guia delegação só estará visível se o objeto tiver um Nome Principal de Serviço (SPN) atribuído ao mesmo. O C2WTS não requer um SPN na Conta C2WTS; no entanto, sem um SPN, a aba de Delegação não é visível. Uma maneira alternativa de configurar a delegação restrita é usar um utilitário como ADSIEdit.

    • Estas opções de configuração de Key estão no separador de delegação.

      • Selecione Confiar neste usuário para delegação apenas a serviços especificados
      • Selecione Usar qualquer protocolo de autenticação

    • Selecione Adicionar para adicionar um serviço ao qual delegar.

    • Selecione Utilizadores ou Computadores...* e insira a conta que mantém o serviço. Por exemplo, se um SQL Server estiver sendo executado em uma conta chamada sqlservice, digite sqlservice. Para a web part Visualizador de Relatórios, esta conta é a conta de serviço da Instância do Reporting Services (Modo Nativo).

    • Selecione a listagem de serviços. Esta seleção mostra os SPNs que estão disponíveis nessa conta. Se você não vir o serviço listado nessa conta, ele pode estar ausente ou colocado em uma conta diferente. você pode usar o utilitário SetSPN para ajustar SPNs. Para a Web Part Visualizador de Relatórios, o SPN http configurado é visível na configuração da Web Part do Visualizador de Relatórios.

    • Selecione OK para sair das caixas de diálogo.

  3. Configure o C2WTS AllowedCallers.

    C2WTS requer as identidades 'chamadores' explicitamente listadas no arquivo de configuração, C2WTShost.exe.config. O C2WTS não aceita solicitações de todos os usuários autenticados no sistema, a menos que você o configure para isso. Neste caso, o 'chamador' é o grupo WSS_WPG Windows. O arquivo C2WTShost.exe.config é salvo no seguinte local:

    Quando você altera a conta de serviço no SharePoint Central Admin, para o serviço C2WTS, você adiciona essa conta ao grupo WSS_WPG.

    \Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    O exemplo a seguir mostra a aparência do arquivo de configuração:

    <configuration>
  <windowsTokenService>
    <!--  
        By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
        Add the identities you wish to allow below.  
      -->
    <allowedCallers>
      <clear/>
      <add value="WSS_WPG" />
    </allowedCallers>
  </windowsTokenService>
</configuration>

  4. Inicie (pare e inicie se já tiver iniciado) as Declarações para o Serviço de Token do Windows por meio da Administração Central do SharePoint na página Gerenciar Serviços no Servidor. O serviço deve ser iniciado no servidor que executa a ação. Por exemplo, se você tiver um servidor que seja um WFE e outro servidor que seja um Servidor de Aplicativos que tenha o serviço compartilhado do SQL Server Reporting Services em execução, você só precisará iniciar o C2WTS no Servidor de Aplicativos. O C2WTS só é necessário em um servidor WFE se você estiver executando a Web Part do Visualizador de Relatórios.

Mais perguntas? Tente perguntar ao fórum do Reporting Services.