Attestazioni per il servizio token Windows (c2WTS) e Reporting ServicesClaims to Windows Token Service (c2WTS) and Reporting Services

QUESTO ARGOMENTO SI APPLICA A:sìSQL Server 2016noServer di report di Power BITHIS TOPIC APPLIES TO:yesSQL Server 2016noPower BI Report Server sìModalità integrata SharePointSharePoint integrated mode sìModalità integrata SharePointSharePoint integrated mode

Il componente Attestazioni per il servizio token Windows (c2WTS) di SharePoint è necessario con la modalità SharePoint di Reporting ServicesReporting Services se si vuole usare l'autenticazione di Windows per le origini dati all'esterno della farm di SharePoint.The SharePoint Claims to Windows Token Service (c2WTS) is required with Reporting ServicesReporting Services SharePoint mode if you want to use Windows Authentication for data sources that are outside the SharePoint farm. Questo vale anche se l'utente accede alla origini dati con l'autenticazione di Windows perché la comunicazione tra il front-end Web e il servizio Reporting ServicesReporting Services condiviso sarà sempre un'autenticazione delle attestazioni.This is true even if the user accesses the data sources with Windows Authentication because the communication between the web front-end (WFE) and the Reporting ServicesReporting Services shared service will always be Claims Authentication.

Il servizio c2WTS è necessario anche se l'origine dati si trova nello stesso computer del servizio condiviso,c2WTS is needed even if your data source(s) are on the same computer as the shared service. sebbene in questo scenario la delega vincolata non sia richiesta.However in this scenario, constrained delegation is not needed.

I token creati da c2WTS funzioneranno solo con la delega vincolata (vincoli a servizi specifici) e l'opzione di configurazione che prevede l'uso di qualsiasi protocollo di autenticazione.The tokens created by c2WTS will only work with constrained delegation (constrains to specific services) and the configuration option "using any authentication protocol". Come notato in precedenza, se le origini dati si trovano nello stesso computer del servizio condiviso, la delega vincolata non è necessaria.As noted earlier, if your data sources are on the same computer as the shared service, then constrained delegation is not needed.

Se l'ambiente utilizzerà la delega vincolata Kerberos, le origini dati esterne e il servizio SharePoint Server devono trovarsi nello stesso dominio Windows.If your environment will use Kerberos constrained delegation, then the SharePoint Server service and external data sources need to reside in the same Windows domain. Qualsiasi servizio basato su Attestazioni per il servizio token Windows (c2WTS) deve usare la delega vincolata Kerberos per consentire a c2WTS di usare la transizione del protocollo Kerberos per convertire le attestazioni in credenziali di Windows.Any service that relies on the Claims to Windows token service (c2WTS) must use Kerberos constrained delegation to allow c2WTS to use Kerberos protocol transition to translate claims into Windows credentials. Questi requisiti sono validi per tutti i servizi condivisi SharePoint.These requirements are true for all SharePoint Shared Services. Per altre informazioni, vedere Pianificare l'autenticazione Kerberos in SharePoint 2013.For more information, see Plan for Kerberos authentication in SharePoint 2013.

La procedura viene riepilogata in questo argomento.The procedure is summarized in this topic.

PrerequisitiPrerequisites

Nota

Nota: alcuni passaggi della configurazione possono variare o potrebbero non funzionare in determinate topologie farm.Note: Some of the configuration steps may change, or may not work in certain farm topologies. Un'installazione in un server singolo, ad esempio, non supporta i servizi c2WTS di Windows Identity Foundation e di conseguenza gli scenari di delega di attestazioni per il servizio token Windows non sono possibili con questa configurazione della farm.For instance, a single server install does not support the Windows Identity Foundation c2WTS services so claims to windows token delegation scenarios are not possible with this farm configuration.

Importante

Se si usa Power View per gestire le cartelle di lavoro di Power Pivot, è necessario apportare modifiche alla configurazione di Office Online Server.If you are using Power View to work against Power Pivot workbooks, you will need to do additional configuration for Office Online Server overview. Per altre informazioni, vedere i white paper seguenti.For more information, see the following white papers.

Passaggi di base necessari per configurare c2WTSBasic steps needed to configure c2WTS

  1. Configurare l'account del servizio c2WTS.Configure the c2WTS service account. Aggiungere l'account del servizio al gruppo Administrators locale in ogni server applicazioni in che esegue c2WTS.Add the service account to the local Administrators group on each application server running c2WTS. Verificare anche che l'account abbia i seguenti diritti sui criteri di sicurezza locali:In addition, verify that the account has the following local security policy rights:

    • Agisci come parte del sistema operativoAct as part of the operating system

    • Rappresenta un client dopo l'autenticazioneImpersonate a client after authentication

    • Accedi come servizioLog on as a service

  2. Configurare la delega per l'account del servizio c2WTS.Configure delegation for the c2WTS service account. L'account necessita della delega vincolata con transizione di protocollo e delle autorizzazioni per la delega ai servizi con cui deve comunicare, ovvero il motore di SQL Server e SQL Server Analysis Services.The account needs Constrained Delegation with Protocol Transitioning and permissions to delegate to the services it is required to communicate with (i.e. SQL Server Engine, SQL Server Analysis Services). Per configurare la delega, è possibile usare lo snap-in Utenti e computer di Active Directory.To configure delegation you can use the Active Directory Users and Computer snap-in.

    Importante

    Qualsiasi impostazione configurata per l'account del servizio C2WTS nella scheda relativa alla delega deve corrispondere all'account del servizio Reporting Services.Whatever settings you configure for the C2WTS service account, on the delegation tab, needs to match the Reporting Services Service account. Ad esempio, se si consente all'account del servizio C2WTS la delega a un servizio SQL, è necessario eseguire la stessa operazione per l'account del servizio Reporting Services.For example, if you allow the C2WTS service account to delegate to a SQL Service, you need to do the same on the Reporting Services service account.

    1. Fare clic con il pulsante destro del mouse su ogni account del servizio e aprire la finestra di dialogo delle proprietà.Right-click each service account and open the properties dialog. Nella finestra di dialogo fare clic sulla scheda Delega .In the dialog click the Delegation tab.

      Nota

      Nota: la scheda relativa alla delega è visibile solo se all'oggetto è assegnato un nome dell'entità servizio (SPN).Note: the delegation tab is only visible if the object has a Service Prinicpal Name (SPN) assigned to it. Sebbene c2WTS non richieda un nome SPN per il proprio account, senza tale nome la scheda Delega non sarà visibile.c2WTS does not require an SPN on the c2WTS Account, however, without an SPN, the Delegation tab will not be visible. Un modo alternativo per configurare la delega vincolata consiste nell'impiego di un'utilità, ad esempio ADSIEdit.An alternative way to configure constrained delegation is to use a utility such as ADSIEdit.

    2. Di seguito vengono indicate le opzioni di configurazione principali nella scheda relativa alla delega:Key configuration options on the delegation tab are the following:

      • Selezionare "Utente attendibile per la delega solo ai servizi specificati"Select “Trust this user for delegation to specified services only”

      • Selezionare "Utilizza un qualsiasi protocollo di autenticazione"Select “Use any authentication protocol”

    3. Selezionare Aggiungi per aggiungere un servizio per la delega.Select Add to add a service to delegate to.

    4. Selezionare utenti o computer... * e immettere l'account che ospita il servizio.Select Users or Computers...* and enter the account that hosts the service. Ad esempio, se SQL Server è in esecuzione con un account denominato sqlservice, immettere sqlservice.For example, if a SQL Server is running under an account named sqlservice, enter sqlservice.

    5. Selezionare l'elenco del servizio.Select the service listing. Verranno visualizzati i nomi SPN disponibili per tale account.This will show the SPNs that are available on that account. Se non viene visualizzato, il servizio indicato per l'account può essere mancante o inserito in un altro account.If you don't see the service listed on that account, it may be missing or placed on a different account. è possibile usare l'utilità SetSPN per modificare i nomi SPN.you can use the SetSPN utility to adjust SPNs.

    6. Selezionare OK per uscire dalle finestre di dialogo.Select OK to get out of the dialogs.

  3. Configurare i chiamanti consentiti per c2WTSConfigure c2WTS ‘AllowedCallers’

    In c2WTS è necessario che le identità chiamanti siano elencate esplicitamente nel file di configurazione c2WTShost.exe.config.c2WTS requires the ‘callers’ identities explicitly listed in the configuration file, c2WTShost.exe.config. c2WTS non accetta richieste da tutti gli utenti autenticati nel sistema, a meno che venga configurato appositamente.c2WTS does not accept requests from all authenticated users in the system unless it is configured to do so. In questo caso il chiamante è il gruppo di Windows WSS_WPG.In this case the ‘caller’ is the WSS_WPG Windows group. Il file c2WTShost.exe.config viene salvato nel percorso seguente:The c2WTShost.exe.confi file is saved in the following location:

    Nota

    Modificando l'account del servizio in Amministrazione centrale SharePoint, per il servizio C2WTS, tale account verrà aggiunto al gruppo WSS_WPG.Changing the service account within SharePoint Central Admin, for the C2WTS service, will add that account to the WSS_WPG group.

    \Programmi\Windows Identity Foundation\v3.5\c2WTShost.exe.config\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    Di seguito viene illustrato un esempio del file di configurazione:The following is an example of the configuration file:

    <configuration>  
      <windowsTokenService>  
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->  
        <allowedCallers>  
          <clear/>  
          <add value="WSS_WPG" />  
        </allowedCallers>  
      </windowsTokenService>  
    </configuration>  
    
  4. Avviare Attestazioni per il servizio token Windows di Share Point tramite Amministrazione centrale SharePoint nella pagina Gestisci servizi nel server .Start the SharePoint ‘Claims to Windows Token Service’: Start the Claims to Windows Token Service through SharePoint Central Administration on the Manage Services on Server page. Il servizio deve essere avviato nel server che eseguirà l'azione.The service should be started on the server that will be performing the action. Ad esempio, in presenza di un front-end Web e di un server applicazioni in cui è in esecuzione il servizio Reporting ServicesReporting Services condiviso, è sufficiente avviare c2WTS solo sul server applicazioni.For example if you have a server that is a WFE and another server that is an Application Server that has the Reporting ServicesReporting Services shared service running, you only need to start c2WTS on the Application Server. c2WTS non è necessario nel front-end Web.c2WTS is not needed on the WFE.

Passaggi successiviNext steps

Panoramica di Claims to Windows Token Service (C2WTS) Claims to Windows Token Service (c2WTS) Overview
Pianificare l'autenticazione Kerberos in SharePoint 2013Plan for Kerberos authentication in SharePoint 2013

Ulteriori domande?More questions? Provare a porre il forum di Reporting ServicesTry asking the Reporting Services forum