Configurer SQL Server Reporting Services dans SharePoint Server pour l’authentification Kerberos

Numéro de la ko d’origine :   2723587

Cet article explique comment configurer des SQL Server Reporting Services dans Microsoft SharePoint Server l’authentification Kerberos.

Créer un compte de service Reporting Services

En tant que meilleure pratique, Reporting Services doit s’exécuter sous sa propre identité de domaine. Pour configurer l’application de service Reporting Services, un compte Active Directory doit être créé et enregistré en tant que compte géré dans SharePoint Server. Dans cet exemple, le compte suivant est créé et enregistré.

Nom Identité
SharePoint Server Service Identité de pool d’applications IIS
SQL Server Reporting Services vmlab\svcRS2012

Notes

Vous pouvez éventuellement réutiliser un compte de domaine unique pour plusieurs services. Cette configuration n’est pas couverte dans les sections suivantes.

Créer un nom principal de service pour le compte de service qui exécute Reporting Service sur le serveur d’applications

Le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory est généralement utilisé pour configurer la délégation Kerberos. Pour configurer les paramètres de délégation dans le logiciel enfichable, un nom principal de service doit être appliqué à l’objet Active Directory en cours de configuration. Dans le cas contraire, l’onglet délégation de l’objet ne sera pas visible dans la boîte de dialogue des propriétés de l’objet. Bien que Reporting Services ne nécessite pas de SPN pour fonctionner, nous allons en configurer un à cet effet. Si un SPN est déjà appliqué au compte de service (dans le cas du partage de comptes entre les services), cette étape n’est pas obligatoire.

Sur la ligne de commande, exécutez la commande suivante :

SETSPN -S SP/PPS vmlab\svcRS2012

Notes

Le SPN n’est pas un SPN valide. Elle est appliquée au compte de service spécifié pour révéler les options de délégation dans le module de délégation des utilisateurs et ordinateurs AD. Il existe d’autres méthodes de spécification des paramètres de délégation (en particulier l’attribut AD), mais cette rubrique ne sera pas couverte msDS-AllowedToDelegateTo dans ce document.

Configurer la délégation Kerberos contrainte du compte de service Reporting Services au service SSAS et éventuellement pour SQL Server service

Pour permettre à Reporting Services de déléguer l’identité du client, la délégation Kerberos contrainte doit être configurée. Vous devez également configurer la délégation contrainte avec transition du protocole pour la conversion du jeton de revendications en jeton Windows via le service WIF C2WTS.

Chaque serveur exécutant Reporting Services doit être approuvé pour déléguer les informations d’identification à chaque service principal avec lequel Reporting Services s’authentifiera. En outre, le compte de service Reporting Services doit également être configuré pour autoriser la délégation aux mêmes services back-end. Notez également que HTTP/Portal et HTTP/Portal.vmlab.local sont configurés pour déléguer afin d’inclure une liste SharePoint en tant que source de données facultative pour vos rapports Reporting Services.

Dans notre exemple, les chemins de délégation suivants sont définis :

Type de principal Nom de principal
Utilisateur Vmlab\svcC2WTS
Utilisateur vmlab\svcRS2012

Pour configurer la délégation contrainte, suivez les étapes suivantes :

  1. Ouvrez les propriétés de l’objet Active Directory dans Utilisateurs et ordinateurs Active Directory.

  2. Accédez à l’onglet Délégation.

    Capture d’écran de l’onglet Délégation avec l’option Utiliser n’importe quelle option de protocole d’authentification sélectionnée.

  3. Sélectionnez N’approuver cet ordinateur que pour la délégation aux services spécifiés.

  4. Sélectionnez Utiliser tout protocole d’authentification.

  5. Cliquez sur le bouton Ajouter pour sélectionner le principal de service.

  6. Sélectionnez Utilisateurs et ordinateurs.

    Capture d’écran de la boîte de dialogue Sélectionner des utilisateurs et des ordinateurs avec un compte de service entré.

  7. Sélectionnez le compte de service exécutant le service à déléguer (SQL Server, SQL Server Analysis Services, ou les deux).

    Notes

    Le compte de service sélectionné doit avoir un nom principal de service appliqué. Dans notre exemple, le SPN de ce compte a été configuré dans un scénario précédent.

  8. Cliquez sur OK.

  9. Sélectionnez les noms principaux de service auxquels déléguer, puis cliquez sur OK.

    Capture d’écran de la sélection de SNS dans la boîte de dialogue Ajouter un service.

  10. Vous devez maintenant voir les noms principaux de service sélectionnés dans la liste Ce compte peut présenter des informations d’identification déléguées à ces services.

    Capture d’écran du SPNS sélectionné dans les services.

  11. Répétez ces étapes pour chaque chemin de délégation défini au début de cette section.

Démarrer l’instance de service Reporting Services sur le serveur Reporting Services

Avant de créer une application de service Reporting Services, démarrez le service Reporting Services sur les serveurs de batterie désignés. Pour en savoir plus sur la configuration de Reporting Services, voir Installer Reporting Services 2016 SharePoint mode .

  1. Ouvrez l’Administration centrale.

  2. Sous Services, sélectionnez Gérer les services sur le serveur.

    Capture d’écran de la sélection de Gérer les services sur le serveur.

  3. Dans la zone de sélection du serveur dans le coin supérieur droit, sélectionnez le(s) serveur(s) exécutant Reporting Services.

  4. Démarrez le service SQL Server Reporting Services service.

Créer l’application de service et le proxy Reporting Services

Ensuite, configurez une nouvelle application de service Reporting Services et un proxy d’application pour permettre aux applications web d’utiliser Reporting Services :

  1. Ouvrez l’Administration centrale.

  2. Sélectionnez Gérer les applications de service sous Gestion des applications.

    Capture d’écran de la sélection gérer les applications de service.

  3. Sélectionnez Nouveau, puis cliquez sur SQL Server Reporting Services Application de service.

    Capture d’écran de la sélection SQL Server Reporting Services application de service.

  4. Configurez la nouvelle application de service. N’oubliez pas de sélectionner le compte de service correct ou de créer un compte géré si vous n’avez pas effectué cette étape précédemment.

    Capture d’écran de la configuration de la nouvelle application de service.

Vous pouvez créer et inscrire un nouveau compte de service pour un pool d’applications existant dédié à Reporting Services avant cette étape ou lorsque vous créez le nouveau service Reporting Services. Pour associer le compte de service à un pool d’applications existant dédié à Reporting Services ou vérifier un compte existant, faites ce qui suit.

  1. Accédez à l’Administration centrale de SharePoint. Recherchez Configurer les comptes gérés dans la section Sécurité.

  2. Sélectionnez la zone de liste déroulante et sélectionnez le pool d’applications.

  3. Sélectionnez le compte Active Directory.

    Capture d’écran de la sélection d’un compte Active Directory.

Accorder les autorisations de compte de service Reporting Services sur la base de données de contenu de l’application Web

Une étape requise dans la configuration de SharePoint Server 2010, Office Web Applications permet au compte de service de l’application web d’accéder aux bases de données de contenu pour une application web donnée. Dans cet exemple, nous allons accorder au compte Reporting Services l’accès à la base de données de contenu de l’application web du portail à l’aide de Windows PowerShell.

Exécutez la commande suivante à partir de SharePoint 2010 Management Shell :

$w = Get-SPWebApplication -Identity http://portal

$w.GrantAccessToProcessIdentity("vmlab\svcRS2012")