Service d'émission de jetons Revendications vers Windows (C2WTS)
Le service d'émission de jetons Revendications SharePoint vers Windows (C2WTS) est nécessaire si vous souhaitez utiliser l'authentification Windows pour les sources de données hors de la batterie de serveurs SharePoint. Ceci s'applique même si les utilisateurs accèdent aux sources de données à l'aide de l'authentification Windows, car la communication entre le serveur Web frontal (WFE) et le service partagé Reporting Services se fera toujours via l'authentification basée sur les revendications.
C2WTS est nécessaire même si vos sources de données sont sur le même ordinateur que le service partagé. Toutefois dans ce scénario, la délégation contrainte n'est pas nécessaire.
Les jetons créés par C2WTS fonctionnent uniquement avec la délégation contrainte (contraint à des services spécifiques) et l'option de configuration « Utiliser tout protocole d'authentification ». Comme indiqué précédemment, si vos sources de données sont sur le même ordinateur que le service partagé, la délégation contrainte n'est pas nécessaire.
Si votre environnement utilise la délégation contrainte Kerberos, le service SharePoint Server et les sources de données externes doivent résider dans le même domaine Windows. Tout service qui repose sur le service d'émission de jetons Revendications vers Windows (C2WTS) doit utiliser la délégation contrainte Kerberos pour permettre à C2WTS d'utiliser la transition de protocole Kerberos pour convertir les revendications en informations d'identification Windows. Ces exigences s'appliquent à tous les services partagés SharePoint. Pour plus d'informations, consultez Vue d'ensemble de l'authentification Kerberos pour les Produits Microsoft SharePoint 2010 (https://technet.microsoft.com/en-us/library/gg502594.aspx).
La procédure est résumée ci-dessous, mais il ne s'agit pas d'une liste complète des procédures détaillées.
Configuration préalable requise
[!REMARQUE]
Remarque : certaines étapes de configuration peuvent changer, ou peuvent ne pas fonctionner dans certaines topologies de batteries de serveurs. Par exemple, une installation de serveur unique ne prend pas en charge les services C2WTS Windows Identity Foundation, c'est pourquoi les scénarios de délégation de jetons Windows ne sont pas possibles avec cette configuration de batterie de serveurs.
Étapes de base nécessaires pour configurer C2WTS
Configurez le compte de service que vous envisagez d'utiliser pour C2WTS. Le compte que vous utilisez pour les besoins de C2WTS nécessite les droits de stratégie locale suivants :
Agir en tant que partie du système d'exploitation
Emprunter l'identité d'un client après authentification
Ouvrir une session en tant que service
Le compte que vous utilisez pour C2WTS doit également être configuré pour la délégation contrainte avec la transition de protocole et les autorisations permettant de déléguer aux services avec lesquels il doit communiquer (c.-à-d., Moteur SQL Server, SQL Server Analysis Services). Pour configurer la délégation, vous pouvez utiliser le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Cliquez avec le bouton droit sur chaque compte de service et ouvrez la boîte de dialogue des propriétés. Dans la boîte de dialogue, cliquez sur l'onglet Délégation.
[!REMARQUE]
Remarque : l'onglet Délégation est visible uniquement si l'objet a un SPN qui lui est affecté. C2WTS ne nécessite pas de SPN sur le compte C2WTS, toutefois, sans SPN, l'onglet Délégation ne sera pas visible. Une autre façon de configurer la délégation contrainte consiste à utiliser un utilitaire tel que ADSIEdit.
Les options de configuration principales dans l'onglet Délégation sont les suivantes :
Sélectionnez « N'approuver cet utilisateur que pour la délégation aux services spécifiés »
Sélectionnez « Utiliser tout protocole d'authentification »
Pour plus d'informations, consultez la rubrique relative à la configuration de la délégation contrainte Kerberos pour les ordinateurs et les comptes de service dans le livre blanc suivant : Configuration de l'authentification Kerberos pour les produits SharePoint 2010 et SQL Server 2008 R2
Configurer les « AllowedCallers » C2WTS
C2WTS requiert que les identités des appelants soient explicitement répertoriées dans le fichier de configuration, c2wtshost.exe.config.. C2WTS n'accepte pas de demandes de tous les utilisateurs authentifiés dans le système, sauf s'il est configuré pour cela. Dans ce cas l'appelant est le groupe Windows WSS_WPG. Le fichier c2wtshost.exe.confi est enregistré à l'emplacement suivant :
\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config
L'exemple suivant montre le fichier de configuration :
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>Démarrez le service C2WTS du système d'exploitation :
Configurez le service pour utiliser le compte de service que vous avez configuré à l'étape précédente.
Changez le type de démarrage en Automatique et démarrez le service.
Démarrer les revendications SharePoint vers Windows Token Service : Démarrez les revendications SharePoint vers Windows Token Service via l'Administration centrale de SharePoint sur la page Gérer les ervices sur le serveur. Le service doit être démarré sur le serveur qui effectuera l'action. Par exemple si vous avez un serveur qui est un serveur Web frontal et un autre serveur qui est un serveur d'applications sur lequel le service partagé Reporting Services s'exécute, vous devez uniquement démarrer C2WTS sur le serveur d'applications. C2WTS n'est pas nécessaire sur le serveur Web frontal.