Service d'émission de jetons Revendications vers Windows (C2WTS) et Reporting ServicesClaims to Windows Token Service (C2WTS) and Reporting Services

CETTE RUBRIQUE S’APPLIQUE À :THIS TOPIC APPLIES TO: ouiSQL Server Reporting Services (2016 et versions ultérieures)SQL Server Reporting Services (2016 and later) ouiSharePointSharePoint ouiPower BI Report ServerPower BI Report Server)CETTE RUBRIQUE S’APPLIQUE À :THIS TOPIC APPLIES TO: ouiSQL Server Reporting Services (2016 et versions ultérieures)SQL Server Reporting Services (2016 and later) ouiSharePointSharePoint ouiPower BI Report ServerPower BI Report Server

Le service d’émission de jetons Revendications vers Windows (C2WTS) de SharePoint est nécessaire si vous souhaitez afficher les rapports en mode natif dans le composant WebPart Visionneuse de rapports SQL Server Reporting Services.The SharePoint Claims to Windows Token Service (C2WTS) is required if you want to view native mode reports within the SQL Server Reporting Services Report Viewer web part.

Il est également nécessaire avec le mode SharePoint de SQL Server Reporting Services, si vous souhaitez utiliser l’authentification Windows pour les sources de données situées hors de la batterie de serveurs SharePoint.C2WTS is also required with SQL Server Reporting Services SharePoint mode if you want to use Windows authentication for data sources that are outside the SharePoint farm. C2WTS est nécessaire même si vos sources de données sont sur le même ordinateur que le service partagé.C2WTS is needed even if your data source(s) are on the same computer as the shared service. Toutefois dans ce scénario, la délégation contrainte n'est pas nécessaire.However in this scenario, constrained delegation is not needed.

Note

L’intégration de Reporting Services à SharePoint n’est plus disponible après SQL Server 2016.Reporting Services integration with SharePoint is no longer available after SQL Server 2016.

Configuration du composant WebPart Visionneuse de rapportsReport Viewer web part configuration

Le composant WebPart Visionneuse de rapports peut être utilisé pour incorporer des rapports SQL Server Reporting Services en mode natif dans votre site SharePoint.The Report Viewer web part can be used to embed SQL Server Reporting Services native mode reports within your SharePoint site. Ce composant WebPart est disponible pour SharePoint 2013 et SharePoint 2016.This web part is available for SharePoint 2013 and SharePoint 2016. SharePoint 2013 et SharePoint 2016 utilisent tous deux l’authentification basée sur les revendications.Both SharePoint 2013 and SharePoint 2016 make use of claims authentication. SQL Server Reporting Services (mode natif) utilise par défaut l’authentification Windows.SQL Server Reporting Services (native mode) uses Windows authentication by default. Par conséquent, C2WTS doit être correctement configuré pour que les rapports s’affichent comme il se doit.As a result, C2WTS needs to be configured properly for reports to render correctly.

Intégration du mode SharePointSharePoint mode integaration

Cette section s’applique uniquement à SQL Server 2016 Reporting Services et antérieur.This section only applies to SQL Server 2016 Reporting Services and earlier.

Le service d’émission de jetons Revendications vers Windows (C2WTS) SharePoint est nécessaire avec le mode SharePoint de SQL Server Reporting Services si vous souhaitez utiliser l’authentification Windows pour les sources de données situées hors de la batterie de serveurs SharePoint.The SharePoint Claims to Windows Token Service (C2WTS) is required with SQL Server Reporting Services SharePoint mode if you want to use Windows Authentication for data sources that are outside the SharePoint farm. Ceci vaut même si l’utilisateur accède aux sources de données avec l’authentification Windows, car la communication entre le serveur web frontal (WFE) et le service partagé Reporting Services s’effectue toujours via l’authentification basée sur les revendications.This is true even if the user accesses the data sources with Windows Authentication because the communication between the web front-end (WFE) and the Reporting Services shared service will always be Claims Authentication.

Étapes nécessaires pour configurer C2WTSSteps needed to configure c2WTS

Les jetons créés par C2WTS fonctionnent uniquement avec la délégation contrainte (contraint à des services spécifiques) et l'option de configuration « Utiliser tout protocole d'authentification ».The tokens created by C2WTS will only work with constrained delegation (constrains to specific services) and the configuration option "using any authentication protocol". Comme indiqué précédemment, si vos sources de données sont sur le même ordinateur que le service partagé, la délégation contrainte n'est pas nécessaire.As noted earlier, if your data sources are on the same computer as the shared service, then constrained delegation is not needed.

Si votre environnement utilise la délégation contrainte Kerberos, le service SharePoint server et les sources de données externes doivent résider dans le même domaine Windows.If your environment will use Kerberos constrained delegation, then the SharePoint Server service and external data sources need to reside in the same Windows domain. Tout service qui s’appuie sur le service d’émission de jetons Revendications vers Windows (C2WTS) doit utiliser la délégation contrainte Kerberos pour permettre à C2WTS d’utiliser une transition de protocole Kerberos dans la conversion de revendications en informations d’identification Windows.Any service that relies on the Claims to Windows token service (c2WTS) must use Kerberos constrained delegation to allow c2WTS to use Kerberos protocol transition to translate claims into Windows credentials. Ces exigences s'appliquent à tous les services partagés SharePoint.These requirements are true for all SharePoint Shared Services. Pour plus d’informations, consultez Planifier l’authentification Kerberos dans SharePoint 2013.For more information, see Plan for Kerberos authentication in SharePoint 2013.

  1. Configurez le compte de service C2WTS.Configure the C2WTS service account. Ajoutez le compte de service au groupe Administrateurs local sur chaque serveur d’applications sur lequel C2WTS sera utilisé.Add the service account to the local Administrators group on each server that C2WTS will be used.

    Pour le Composant WebPart Visionneuse de rapports, il s’agit des serveurs web frontaux.For the Report Viewer web part, this will be the Web Front End (WFE) servers. Pour le mode intégré SharePoint, il s’agit des serveurs d’applications sur lesquels le service Reporting Services s’exécute.For SharePoint integrated mode, this will be the application servers where the Reporting Services service is running.

  2. Configurez la délégation pour le compte de service C2WTS.Configure delegation for the C2WTS service account.

    Le compte a besoin de la délégation contrainte avec transition de protocole; ainsi que d’autorisations de déléguer aux services avec lesquelles il doit communiquer (par exemple, moteur de base de données SQL Server, SQL Server Analysis Services).The account needs Constrained Delegation with Protocol Transitioning and permissions to delegate to the services it is required to communicate with (i.e. SQL Server Database Engine, SQL Server Analysis Services). Pour configurer la délégation, vous pouvez utiliser le composant Utilisateurs et ordinateurs Active Directory et devez être administrateur du domaine.To configure delegation you can use the Active Directory Users and Computer snap-in and will need to be a domain administrator.

    Important

    Dans tous les cas, les paramètres que vous configurez pour le compte de service C2WTS, sous l’onglet Délégation, doivent correspondre au compte de service principal utilisé.Whatever settings you configure for the C2WTS service account, on the delegation tab, needs to match the main service account being used. Pour le composant WebPart Visionneuse de rapports, il s’agit du compte de service de l’application web SharePoint.For the Report Viewer web part, this will be the service account for the SharePoint web application. Pour le mode intégré SharePoint, il s’agit du compte de service Reporting Services.For SharePoint integrated mode, this will be the Reporting Services service account.

    Par exemple, si vous autorisez le compte de service C2WTS à déléguer à un service SQL, vous devez faire de même sur le compte de service Reporting Services pour le mode intégré SharePoint.For example, if you allow the C2WTS service account to delegate to a SQL Service, you need to do the same on the Reporting Services service account for SharePoint integrated mode.

    • Cliquez avec le bouton droit sur chaque compte de service et ouvrez la boîte de dialogue des propriétés.Right-click each service account and open the properties dialog. Dans la boîte de dialogue, cliquez sur l'onglet Délégation .In the dialog click the Delegation tab.

      L’onglet Délégation est visible uniquement si un SPN (Service Principal Name) a été affecté à l’objet.The delegation tab is only visible if the object has a Service Prinicpal Name (SPN) assigned to it. C2WTS ne nécessite pas de SPN sur le compte C2WTS, mais sans SPN, l’onglet Délégation ne sera pas visible.C2WTS does not require an SPN on the C2WTS Account, however, without an SPN, the Delegation tab will not be visible. Une autre façon de configurer la délégation contrainte consiste à utiliser un utilitaire tel que ADSIEdit.An alternative way to configure constrained delegation is to use a utility such as ADSIEdit.

    • Les options de configuration principales dans l'onglet Délégation sont les suivantes :Key configuration options on the delegation tab are the following:

      • Sélectionnez N’approuver cet utilisateur que pour la délégation aux services spécifiésSelect Trust this user for delegation to specified services only
      • Sélectionnez Utiliser tout protocole d’authentification.Select Use any authentication protocol
    • Sélectionnez Ajouter pour ajouter un service auquel déléguer.Select Add to add a service to delegate to.

    • Sélectionnez Utilisateurs ou ordinateurs * et entrez le compte qui héberge le service.Select Users or Computers...* and enter the account that hosts the service. Par exemple, si un serveur SQL Server s’exécute sous un compte nommé sqlservice, entrez sqlservice.For example, if a SQL Server is running under an account named sqlservice, enter sqlservice.

    • Sélectionnez la liste des services.Select the service listing. Les SPN disponibles sur ce compte s’affichent.This will show the SPNs that are available on that account. Si vous ne voyez pas le service sur ce compte, il est peut-être manquant ou placé sur un autre compte.If you don't see the service listed on that account, it may be missing or placed on a different account. Vous pouvez utiliser l’utilitaire SetSPN pour ajuster les SPN.you can use the SetSPN utility to adjust SPNs.

    • Cliquez sur OK pour fermer les boîtes de dialogue.Select OK to get out of the dialogs.

  3. Configurer les appelants autorisés dans C2WTSConfigure C2WTS AllowedCallers.

    C2WTS requiert que les identités des appelants soient explicitement répertoriées dans le fichier de configuration, c2WTShost.exe.config. C2WTS n'accepte pas de demandes de tous les utilisateurs authentifiés dans le système, sauf s'il est configuré pour cela.C2WTS requires the ‘callers’ identities explicitly listed in the configuration file, C2WTShost.exe.config. C2WTS does not accept requests from all authenticated users in the system unless it is configured to do so. Dans ce cas, l’appelant est le groupe Windows WSS_WPG.In this case the 'caller' is the WSS_WPG Windows group. Le fichier C2WTShost.exe.confi est enregistré à l’emplacement suivant :The C2WTShost.exe.confi file is saved in the following location:

    La modification du compte de service dans l’Administration centrale de SharePoint, pour le service C2WTS, ajoute ce compte au groupe WSS_WPG.Changing the service account within SharePoint Central Admin, for the C2WTS service, will add that account to the WSS_WPG group.

    \Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    L'exemple suivant montre le fichier de configuration :The following is an example of the configuration file:

    <configuration>
      <windowsTokenService>
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->
        <allowedCallers>
          <clear/>
          <add value="WSS_WPG" />
        </allowedCallers>
      </windowsTokenService>
    </configuration>
    
  4. Démarrez les revendications SharePoint vers Windows Token Service via l’Administration centrale de SharePoint sur la page Gérer les services sur le serveur.Start the Claims to Windows Token Service through SharePoint Central Administration on the Manage Services on Server page. Le service doit être démarré sur le serveur qui effectuera l'action.The service should be started on the server that will be performing the action. Par exemple si vous avez un serveur web frontal et un serveur d’applications exécutant le service partagé SQL Server Reporting Services, il vous suffit de démarrer C2WTS sur le serveur d’applications.For example if you have a server that is a WFE and another server that is an Application Server that has the SQL Server Reporting Services shared service running, you only need to start C2WTS on the Application Server. C2WTS est obligatoire sur un serveur web frontal uniquement si vous utilisez le composant WebPart Visionneuse de rapports.C2WTS is only required on a WFE server if you are running the Report Viewer web part.

D’autres questions ?More questions? Essayez de poser une question dans le forum Reporting ServicesTry asking the Reporting Services forum