Comment configurer Excel Services dans SharePoint Server 2010 pour l’authentification Kerberos

Introduction

Cet article explique comment configurer Excel Services dans Microsoft SharePoint Server 2010 pour l’authentification Kerberos.

Plus d’informations

Pour plus d’informations sur la configuration de la délégation Kerberos contrainte pour permettre au service de mettre à jour les données d’une feuille de calcul à partir d’une source de données SQL Server externe, suivez les étapes suivantes :

  1. Créez un compte de service Excel Services.

    En tant que meilleure pratique, Excel Services doit s’exécuter sous sa propre identité de domaine. Pour configurer l’application de service Excel, vous devez créer un compte Active Directory. Par exemple, vous créez les comptes suivants :

    SharePoint Server Service Identité de pool d’applications IIS
    SharePoint Server Service Identité de pool d’applications IIS
    Excel Services vmlab\svcExcel
  2. Configurez un nom principal de service (SPN) sur le compte de service Excel Services.

    Vous devez configurer la délégation Kerberos contrainte si Excel Services déléguera l’identité du client à une source de données principale. Par exemple, si Excel Services interroge des données à partir d SQL base de données transactionnelle, vous devez avoir la délégation Kerberos.

    Le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory est généralement utilisé pour configurer la délégation Kerberos. Pour configurer les paramètres de délégation dans le logiciel enfichable, un SPN doit être appliqué à l’objet Active Directory en cours de configuration. Dans le cas contraire, l’onglet délégation de l’objet ne sera pas visible dans la boîte de dialogue des propriétés de l’objet. Bien qu’Excel Services ne nécessite pas de SPN pour fonctionner, vous devez en configurer un à cet effet.

    Pour ce faire, tapez la commande suivante sur la ligne de commande, puis appuyez sur Entrée :

    SETSPN -S SP/ExcelServices
    

    Notes

    Ce SPN n’est pas un SPN valide. Elle est appliquée au compte de service spécifié pour révéler les options de délégation dans le module de module utilisateurs et ordinateurs Active Directory. Il existe d’autres méthodes pris en charge pour spécifier les paramètres de délégation (en particulier, l’attribut Active Directory msDS-AllowedToDelegateTo). Toutefois, cet article ne décrit pas ces méthodes.

  3. Configurez la délégation Kerberos contrainte pour Excel Services.

    Pour permettre à Excel Services de déléguer l’identité des clients, vous devez configurer la délégation Kerberos contrainte. Vous devez configurer la délégation contrainte avec la transition de protocole afin de convertir les jetons de revendications en jetons Windows à l’aide de WIF C2WTS.

    Chaque serveur exécutant Excel Services doit être approuvé pour déléguer les informations d’identification à chaque service principal sur qui Excel s’authentifiera. En outre, vous devez configurer le compte de service Excel Services pour autoriser la délégation aux mêmes services back-end.

    Par exemple, vous définissez les chemins de délégation suivants :

    Type principal Nom principal Délègue au service
    Utilisateur svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *User svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **Ordinateur VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    * Configuré ultérieurement dans ce scénario

    ** Requis uniquement si C2WTS s’exécute en tant que système local

    Pour configurer la délégation contrainte, suivez les étapes suivantes :

    1. Ouvrez les propriétés de l’objet Active Directory dans Utilisateurs et ordinateurs Active Directory.

    2. Accédez à l’onglet Délégation.

    3. Sélectionnez N’approuver cet utilisateur que pour la délégation aux services spécifiés.

    4. Sélectionnez Utiliser tout protocole d’authentification. Cette action active la transition de protocole et est requise pour que le compte de service utilise C2WTS.

    5. Cliquez sur le bouton Ajouter pour sélectionner le principal de service autorisé à déléguer.

    6. Sélectionnez Utilisateurs et ordinateurs.

    7. Sélectionnez le compte de service qui exécute le service à déléguer. Dans l’exemple précédent, il s’agit du compte de service pour le service SQL service.

      Notes

      Un SPN doit être appliqué au compte de service sélectionné. Dans l’exemple précédent, le SPN de ce compte a été configuré dans une étape antérieure.

    8. Cliquez sur OK. Vous êtes invité à sélectionner les SNS que vous souhaitez déléguer sur l’écran suivant.

    9. Sélectionnez les services pour le cluster SQL, puis cliquez sur OK.

    10. Vous devez maintenant voir le SPNS sélectionné dans les services pour lesquels ce compte peut présenter la liste d’informations d’identification déléguées.

    11. Répétez ces étapes pour chaque chemin de délégation défini au début de cette section.

  4. Démarrez l’instance de service Excel Services sur le serveur Excel Services.

    Avant de créer une application de service Excel Services, démarrez le service Excel Services sur les serveurs de batterie désignés. Pour cela, procédez comme suit :

    1. Ouvrez Administration centrale.
    2. Sous Services, sélectionnez Gérer les services sur le serveur.
    3. Dans la zone de sélection du serveur dans le coin supérieur droit, sélectionnez le ou les serveurs qui exécutent Excel Services. Dans l’exemple précédent, le serveur est VMSP10APP01.
    4. Démarrez le service services de calcul Excel.
  5. Créez l’application de service Excel Services et le proxy d’application pour permettre aux applications web de traiter Excel Services. Pour cela, procédez comme suit :

    1. Ouvrez Administration centrale.
    2. Sélectionnez Gérer les applications de service sous Gestion des applications.
    3. Sélectionnez Nouveau, puis cliquez sur Application Excel Services.
    4. Configurez la nouvelle application de service. Veillez à sélectionner le compte de service correct (si le compte Excel Service ne figure pas dans la liste, créez un compte géré).
  6. Configurez l’emplacement du fichier approuvé Excel Services et les paramètres d’authentification.

    Une fois l’application Excel Services créée, vous devez configurer les propriétés de la nouvelle application de service pour spécifier un emplacement d’hôte approuvé et les paramètres d’authentification. Pour cela, procédez comme suit :

    1. Ouvrez Administration centrale.

    2. Sélectionnez Gérer les applications de service sous Gestion des applications.

    3. Cliquez sur le lien de la nouvelle application de service. Dans l’exemple précédent, cliquez sur Excel Services.

    4. Dans la page de gestion Excel Services, cliquez sur Emplacements de fichiers fiables.

    5. Ajoutez un nouvel emplacement de fichier approuvé.

    6. Définissez l’emplacement du fichier approuvé sur votre bibliothèque de test.

      Notes

      Dans l’exemple précédent, l’URL de l’application web racine et tous les enfants sont fiables. Dans un environnement de production, vous pouvez choisir de limiter le niveau de confiance.

    7. Dans Données externes, sélectionnez Bibliothèques de connexions de données fiables et incorporées.

      Notes

      L’exemple précédent utilise une connexion incorporée pour se connecter à SQL Server. Dans votre environnement, vous pouvez choisir de créer un fichier de connexion distinct et de le stocker dans une bibliothèque de connexions de données approuvé. Dans ce cas, sélectionnez bibliothèques de connexions de données approuvé uniquement.

    8. Modifier la durée de vie du cache de données externes. Pour les tests, il est pratique de modifier la durée de vie du cache de données externes pour s’assurer que les mises à jour des données sont provenant de la source de données et non du cache. Sous Données externes, modifiez les paramètres suivants :

      Actualisation automatique (périodique/ à l’ouverture) = 0

      Actualisation manuelle = 0

      Notes

      Dans un environnement de production, vous devez configurer un paramètre de cache supérieur à 0. La définition du cache sur 0 est uniquement à des tests.

  7. Accordez les autorisations de compte de service Excel Services sur la base de données de contenu de l’application web.

    Vous devez activer l’accès au compte de service de l’application web aux bases de données de contenu pour une application web donnée afin de configurer les applications Web Office SharePoint Server 2010. Par exemple, accordez au compte de service Excel Services l’accès à la base de données de contenu de l’application web « portal » à l’aide de Windows PowerShell.

    Pour ce faire, exécutez la commande suivante à partir de SharePoint 2010 Management Shell :

    $w = Get-SPWebApplication -Identity https://portal
    
    $w.GrantAccessToProcessIdentity("vmlab\svcExcel")
    

Notes

Pour plus d’informations sur la délégation d’identité pour Excel Services, voir le site web Microsoft TechNet suivant :

Délégation d’identité pour Excel Services (SharePoint Server 2010)

Encore besoin d’aide ? Go to SharePoint Community.