Service d’émission de jetons Revendications vers Windows (C2WTS) et Reporting ServicesClaims to Windows Token Service (c2WTS) and Reporting Services

Cette rubrique s’applique à :OuiSQL Server 2016aucuneserveur de rapports Power BITHIS TOPIC APPLIES TO:yesSQL Server 2016noPower BI Report Server ouimode intégré SharePointSharePoint integrated mode

Le service d’émission de jetons Revendications SharePoint vers Windows (C2WTS) est nécessaire avec le mode SharePoint de Reporting ServicesReporting Services , si vous souhaitez utiliser l’authentification Windows pour les sources de données situées hors de la batterie de serveurs SharePoint.The SharePoint Claims to Windows Token Service (c2WTS) is required with Reporting ServicesReporting Services SharePoint mode if you want to use Windows Authentication for data sources that are outside the SharePoint farm. Ceci vaut même si l’utilisateur accède aux sources de données avec l’authentification Windows, car la communication entre le serveur web frontal (WFE) et le service partagé Reporting ServicesReporting Services s’effectue toujours via l’Authentification de réclamations.This is true even if the user accesses the data sources with Windows Authentication because the communication between the web front-end (WFE) and the Reporting ServicesReporting Services shared service will always be Claims Authentication.

C2WTS est nécessaire même si votre ou vos sources de données résident sur le même ordinateur que le service partagé.c2WTS is needed even if your data source(s) are on the same computer as the shared service. Toutefois dans ce scénario, la délégation contrainte n'est pas nécessaire.However in this scenario, constrained delegation is not needed.

Les jetons créés par C2WTS ne fonctionnent qu’avec la délégation contrainte (pour certains services uniquement) et l’option de configuration « avec n’importe quel protocole d’authentification ».The tokens created by c2WTS will only work with constrained delegation (constrains to specific services) and the configuration option "using any authentication protocol". Comme indiqué précédemment, si vos sources de données sont sur le même ordinateur que le service partagé, la délégation contrainte n'est pas nécessaire.As noted earlier, if your data sources are on the same computer as the shared service, then constrained delegation is not needed.

Si votre environnement utilise la délégation contrainte Kerberos, le service SharePoint server et les sources de données externes doivent résider dans le même domaine Windows.If your environment will use Kerberos constrained delegation, then the SharePoint Server service and external data sources need to reside in the same Windows domain. Tout service qui s’appuie sur le service d’émission de jetons Revendications vers Windows (C2WTS) doit utiliser la délégation contrainte Kerberos pour permettre à C2WTS d’utiliser une transition de protocole Kerberos dans la conversion de revendications en informations d’identification Windows.Any service that relies on the Claims to Windows token service (c2WTS) must use Kerberos constrained delegation to allow c2WTS to use Kerberos protocol transition to translate claims into Windows credentials. Ces exigences s'appliquent à tous les services partagés SharePoint.These requirements are true for all SharePoint Shared Services. Pour plus d’informations, consultez Planifier l’authentification Kerberos dans SharePoint 2013.For more information, see Plan for Kerberos authentication in SharePoint 2013.

La procédure est résumée dans cette rubrique.The procedure is summarized in this topic.

Conditions préalablesPrerequisites

Note

Remarque : certaines étapes de configuration peuvent changer, ou peuvent ne pas fonctionner dans certaines topologies de batteries de serveurs.Note: Some of the configuration steps may change, or may not work in certain farm topologies. Par exemple, l’installation d’un serveur ne prend pas en charge les services C2WTS Windows Identity Foundation. C’est pourquoi les scénarios de délégation de jetons Windows ne sont pas possibles avec cette configuration de batterie de serveurs.For instance, a single server install does not support the Windows Identity Foundation c2WTS services so claims to windows token delegation scenarios are not possible with this farm configuration.

Important

Si vous utilisez Power View pour travailler sur des classeurs PowerPivot, vous devez effectuer une configuration supplémentaire (consultez Vue d’ensemble d’Office Online Server).If you are using Power View to work against Power Pivot workbooks, you will need to do additional configuration for Office Online Server overview. Pour plus d’informations, consultez les livres blancs suivants.For more information, see the following white papers.

Étapes de base nécessaires pour configurer C2WTSBasic steps needed to configure c2WTS

  1. Configurez le compte de service C2WTS.Configure the c2WTS service account. Ajoutez le compte de service au groupe Administrateurs local sur chaque serveur d’applications exécutant C2WTS.Add the service account to the local Administrators group on each application server running c2WTS. De plus, vérifiez que le compte possède les droits de stratégie de sécurité locale suivants :In addition, verify that the account has the following local security policy rights:

    • Agir en tant que partie du système d'exploitationAct as part of the operating system

    • Emprunter l'identité d'un client après authentificationImpersonate a client after authentication

    • Ouvrir une session en tant que serviceLog on as a service

  2. Configurez la délégation pour le compte de service C2WTS.Configure delegation for the c2WTS service account. Le compte a besoin de la délégation contrainte avec transition de protocole et d’autorisations de déléguer aux services avec lesquelles il doit communiquer (par exemple, SQL Server Engine, SQL Server Analysis Services).The account needs Constrained Delegation with Protocol Transitioning and permissions to delegate to the services it is required to communicate with (i.e. SQL Server Engine, SQL Server Analysis Services). Pour configurer la délégation, vous pouvez utiliser le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.To configure delegation you can use the Active Directory Users and Computer snap-in.

    Important

    Les paramètres que vous configurez pour le compte de service C2WTS, sous l’onglet Délégation, doivent correspondre au compte de service Reporting Services.Whatever settings you configure for the C2WTS service account, on the delegation tab, needs to match the Reporting Services Service account. Par exemple, si vous autorisez le compte de service C2WTS à déléguer à un service SQL, vous devez faire de même sur le compte de service Reporting Services.For example, if you allow the C2WTS service account to delegate to a SQL Service, you need to do the same on the Reporting Services service account.

    1. Cliquez avec le bouton droit sur chaque compte de service et ouvrez la boîte de dialogue des propriétés.Right-click each service account and open the properties dialog. Dans la boîte de dialogue, cliquez sur l'onglet Délégation .In the dialog click the Delegation tab.

      Note

      Remarque : l’onglet Délégation est visible uniquement si l’objet a un SPN (Service Prinicpal Name) qui lui est affecté.Note: the delegation tab is only visible if the object has a Service Prinicpal Name (SPN) assigned to it. c2WTS ne nécessite pas de SPN sur le compte c2WTS, mais sans SPN, l’onglet Délégation ne sera pas visible.c2WTS does not require an SPN on the c2WTS Account, however, without an SPN, the Delegation tab will not be visible. Une autre façon de configurer la délégation contrainte consiste à utiliser un utilitaire tel que ADSIEdit.An alternative way to configure constrained delegation is to use a utility such as ADSIEdit.

    2. Les options de configuration principales dans l'onglet Délégation sont les suivantes :Key configuration options on the delegation tab are the following:

      • Sélectionnez « N'approuver cet utilisateur que pour la délégation aux services spécifiés »Select “Trust this user for delegation to specified services only”

      • Sélectionnez « Utiliser tout protocole d'authentification »Select “Use any authentication protocol”

    3. Sélectionnez Ajouter pour ajouter un service auquel déléguer.Select Add to add a service to delegate to.

    4. Sélectionnez utilisateurs ou ordinateurs... * et entrez le compte qui héberge le service.Select Users or Computers...* and enter the account that hosts the service. Par exemple, si un serveur SQL Server s’exécute sous un compte nommé sqlservice, entrez sqlservice.For example, if a SQL Server is running under an account named sqlservice, enter sqlservice.

    5. Sélectionnez la liste des services.Select the service listing. Les SPN disponibles sur ce compte s’affichent.This will show the SPNs that are available on that account. Si vous ne voyez pas le service sur ce compte, il est peut-être manquant ou placé sur un autre compte.If you don't see the service listed on that account, it may be missing or placed on a different account. Vous pouvez utiliser l’utilitaire SetSPN pour ajuster les SPN.you can use the SetSPN utility to adjust SPNs.

    6. Cliquez sur OK pour fermer les boîtes de dialogue.Select OK to get out of the dialogs.

  3. Configurer les « appelants autorisés » dans C2WTSConfigure c2WTS ‘AllowedCallers’

    C2WTS requiert que les identités des appelants soient explicitement répertoriées dans le fichier de configuration, c2WTShost.exe.config.c2WTS requires the ‘callers’ identities explicitly listed in the configuration file, c2WTShost.exe.config. C2WTS n’accepte pas les demandes de tous les utilisateurs authentifiés dans le système, sauf s’il est configuré pour cela.c2WTS does not accept requests from all authenticated users in the system unless it is configured to do so. Dans ce cas l'appelant est le groupe Windows WSS_WPG.In this case the ‘caller’ is the WSS_WPG Windows group. Le fichier c2wtshost.exe.confi est enregistré à l’emplacement suivant :The c2WTShost.exe.confi file is saved in the following location:

    Note

    La modification du compte de service dans l’Administration centrale de SharePoint, pour le service C2WTS, ajoute ce compte au groupe WSS_WPG.Changing the service account within SharePoint Central Admin, for the C2WTS service, will add that account to the WSS_WPG group.

    \Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    L'exemple suivant montre le fichier de configuration :The following is an example of the configuration file:

    <configuration>  
      <windowsTokenService>  
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->  
        <allowedCallers>  
          <clear/>  
          <add value="WSS_WPG" />  
        </allowedCallers>  
      </windowsTokenService>  
    </configuration>  
    
  4. Démarrer les revendications SharePoint vers Windows Token Service : Démarrez les revendications SharePoint vers Windows Token Service via l'Administration centrale de SharePoint sur la page Gérer les ervices sur le serveur .Start the SharePoint ‘Claims to Windows Token Service’: Start the Claims to Windows Token Service through SharePoint Central Administration on the Manage Services on Server page. Le service doit être démarré sur le serveur qui effectuera l'action.The service should be started on the server that will be performing the action. Par exemple si vous avez un serveur Web frontal et un serveur d’applications exécutant le service partagé Reporting ServicesReporting Services , il vous suffit de démarrer C2WTS sur le serveur d’applications.For example if you have a server that is a WFE and another server that is an Application Server that has the Reporting ServicesReporting Services shared service running, you only need to start c2WTS on the Application Server. C2WTS n’est pas nécessaire sur le serveur Web frontal.c2WTS is not needed on the WFE.

Étapes suivantesNext steps

Vue d'ensemble du service d'émission de jetons Revendications vers Windows (c2WTS) Claims to Windows Token Service (c2WTS) Overview
Planifier l’authentification Kerberos dans SharePoint 2013Plan for Kerberos authentication in SharePoint 2013

D’autres questions ?More questions? Essayez de poser le forum Reporting ServicesTry asking the Reporting Services forum