Attestazioni per il servizio token Windows (C2WTS) e Reporting ServicesClaims to Windows Token Service (C2WTS) and Reporting Services

QUESTO ARGOMENTO SI APPLICA A:THIS TOPIC APPLIES TO: sìSQL Server Reporting Services (2016 e successive)SQL Server Reporting Services (2016 and later) sìSharePointSharePoint sìServer di report di Power BIPower BI Report ServerQUESTO ARGOMENTO SI APPLICA A:THIS TOPIC APPLIES TO: sìSQL Server Reporting Services (2016 e successive)SQL Server Reporting Services (2016 and later) sìSharePointSharePoint sìServer di report di Power BIPower BI Report Server

La visualizzazione di report in modalità nativa all'interno della web part Visualizzatore di report di SQL Server Reporting Services richiede il componente Attestazioni per il servizio token Windows (C2WTS) di SharePoint.The SharePoint Claims to Windows Token Service (C2WTS) is required if you want to view native mode reports within the SQL Server Reporting Services Report Viewer web part.

C2WTS è inoltre necessario con la modalità SharePoint di SQL Server Reporting Services se si vuole usare l'autenticazione di Windows per le origini dati all'esterno della farm di SharePoint.C2WTS is also required with SQL Server Reporting Services SharePoint mode if you want to use Windows authentication for data sources that are outside the SharePoint farm. Il servizio C2WTS è necessario anche se l'origine dati si trova nello stesso computer del servizio condiviso,C2WTS is needed even if your data source(s) are on the same computer as the shared service. sebbene in questo scenario la delega vincolata non sia richiesta.However in this scenario, constrained delegation is not needed.

Nota

L'integrazione di Reporting Services con SharePoint non è più disponibile nelle versioni successive a SQL Server 2016.Reporting Services integration with SharePoint is no longer available after SQL Server 2016.

Configurazione della web part Visualizzatore di reportReport Viewer web part configuration

La web part Visualizzatore di report può essere usata per incorporare i report in modalità nativa di SQL Server Reporting Services nel sito di SharePoint.The Report Viewer web part can be used to embed SQL Server Reporting Services native mode reports within your SharePoint site. Questa web part è disponibile per SharePoint 2013 e SharePoint 2016.This web part is available for SharePoint 2013 and SharePoint 2016. SharePoint 2013 e SharePoint 2016 usano l'autenticazione delle attestazioni.Both SharePoint 2013 and SharePoint 2016 make use of claims authentication. SQL Server Reporting Services (modalità nativa) usa l'autenticazione di Windows per impostazione predefinita.SQL Server Reporting Services (native mode) uses Windows authentication by default. Di conseguenza, per il rendering corretto dei report, è necessario configurare C2WTS in modo appropriato.As a result, C2WTS needs to be configured properly for reports to render correctly.

Integrazione della modalità SharePointSharePoint mode integaration

Questa sezione si applica solo a SQL Server 2016 Reporting Services e versioni precedenti.This section only applies to SQL Server 2016 Reporting Services and earlier.

Il componente Attestazioni per il servizio token Windows (C2WTS) di SharePoint è necessario con la modalità SharePoint di SQL Server Reporting Services se si vuole usare l'autenticazione di Windows per le origini dati all'esterno della farm di SharePoint.The SharePoint Claims to Windows Token Service (C2WTS) is required with SQL Server Reporting Services SharePoint mode if you want to use Windows Authentication for data sources that are outside the SharePoint farm. La condizione è valida anche se l'utente accede alle origini dati tramite l'autenticazione di Windows perché la comunicazione tra il Web front-end (WFE) e il servizio condiviso Reporting Services si basa sempre sull'autenticazione delle attestazioni.This is true even if the user accesses the data sources with Windows Authentication because the communication between the web front-end (WFE) and the Reporting Services shared service will always be Claims Authentication.

Passaggi necessari per configurare c2WTSSteps needed to configure c2WTS

I token creati da C2WTS funzioneranno solo con delega vincolata (vincoli a servizi specifici) e l'opzione di configurazione "Utilizza un qualsiasi protocollo di autenticazione".The tokens created by C2WTS will only work with constrained delegation (constrains to specific services) and the configuration option "using any authentication protocol". Come notato in precedenza, se le origini dati si trovano nello stesso computer del servizio condiviso, la delega vincolata non è necessaria.As noted earlier, if your data sources are on the same computer as the shared service, then constrained delegation is not needed.

Se l'ambiente utilizzerà la delega vincolata Kerberos, le origini dati esterne e il servizio SharePoint Server devono trovarsi nello stesso dominio Windows.If your environment will use Kerberos constrained delegation, then the SharePoint Server service and external data sources need to reside in the same Windows domain. Qualsiasi servizio basato su Attestazioni per il servizio token Windows (c2WTS) deve usare la delega vincolata Kerberos per consentire a c2WTS di usare la transizione del protocollo Kerberos per convertire le attestazioni in credenziali di Windows.Any service that relies on the Claims to Windows token service (c2WTS) must use Kerberos constrained delegation to allow c2WTS to use Kerberos protocol transition to translate claims into Windows credentials. Questi requisiti sono validi per tutti i servizi condivisi SharePoint.These requirements are true for all SharePoint Shared Services. Per altre informazioni, vedere Pianificare l'autenticazione Kerberos in SharePoint 2013.For more information, see Plan for Kerberos authentication in SharePoint 2013.

  1. Configurare l'account del servizio C2WTS.Configure the C2WTS service account. Aggiungere l'account del servizio al gruppo di amministratori locale in ogni server in cui si userà C2WTS.Add the service account to the local Administrators group on each server that C2WTS will be used.

    Per la web part Visualizzatore di report saranno i server Web front-end (WFE).For the Report Viewer web part, this will be the Web Front End (WFE) servers. Per la modalità integrata SharePoint saranno i server applicazioni in cui è in esecuzione il servizio Reporting Services.For SharePoint integrated mode, this will be the application servers where the Reporting Services service is running.

  2. Configurare la delega per l'account del servizio C2WTS.Configure delegation for the C2WTS service account.

    L'account necessita della delega vincolata con transizione di protocollo e delle autorizzazioni per la delega ai servizi con cui deve comunicare, ovvero il motore di database di SQL Server e SQL Server Analysis Services.The account needs Constrained Delegation with Protocol Transitioning and permissions to delegate to the services it is required to communicate with (i.e. SQL Server Database Engine, SQL Server Analysis Services). Per configurare la delega è possibile usare lo snap-in Utenti e computer di Active Directory ed è necessario essere un amministratore di dominio.To configure delegation you can use the Active Directory Users and Computer snap-in and will need to be a domain administrator.

    Importante

    Qualsiasi impostazione configurata per l'account del servizio C2WTS nella scheda relativa alla delega deve corrispondere all'account del servizio principale in uso.Whatever settings you configure for the C2WTS service account, on the delegation tab, needs to match the main service account being used. Per la web part Visualizzatore di report sarà l'account del servizio per l'applicazione Web SharePoint.For the Report Viewer web part, this will be the service account for the SharePoint web application. Per la modalità integrata SharePoint sarà l'account del servizio Reporting Services.For SharePoint integrated mode, this will be the Reporting Services service account.

    Se ad esempio si consente all'account del servizio C2WTS la delega a un servizio SQL, la stessa operazione dovrà essere eseguita sull'account del servizio Reporting Services per la modalità integrata SharePoint.For example, if you allow the C2WTS service account to delegate to a SQL Service, you need to do the same on the Reporting Services service account for SharePoint integrated mode.

    • Fare clic con il pulsante destro del mouse su ogni account del servizio e aprire la finestra di dialogo delle proprietà.Right-click each service account and open the properties dialog. Nella finestra di dialogo fare clic sulla scheda Delega .In the dialog click the Delegation tab.

      La scheda relativa alla delega è visibile solo se all'oggetto è stato assegnato un nome dell'entità servizio (SPN).The delegation tab is only visible if the object has a Service Prinicpal Name (SPN) assigned to it. C2WTS non richiede un nome SPN nel proprio account. Tuttavia, senza questo nome, la scheda Delega non sarà visibile.C2WTS does not require an SPN on the C2WTS Account, however, without an SPN, the Delegation tab will not be visible. Un modo alternativo per configurare la delega vincolata consiste nell'impiego di un'utilità, ad esempio ADSIEdit.An alternative way to configure constrained delegation is to use a utility such as ADSIEdit.

    • Di seguito vengono indicate le opzioni di configurazione principali nella scheda relativa alla delega:Key configuration options on the delegation tab are the following:

      • Selezionare Utente attendibile per la delega solo ai servizi specificatiSelect Trust this user for delegation to specified services only
      • Selezionare Usa un qualsiasi protocollo di autenticazioneSelect Use any authentication protocol
    • Selezionare Aggiungi per aggiungere un servizio per la delega.Select Add to add a service to delegate to.

    • Selezionare Utenti o computer...* e immettere l'account che ospita il servizio.Select Users or Computers...* and enter the account that hosts the service. Ad esempio, se SQL Server è in esecuzione con un account denominato sqlservice, immettere sqlservice.For example, if a SQL Server is running under an account named sqlservice, enter sqlservice.

    • Selezionare l'elenco del servizio.Select the service listing. Verranno visualizzati i nomi SPN disponibili per tale account.This will show the SPNs that are available on that account. Se non viene visualizzato, il servizio indicato per l'account può essere mancante o inserito in un altro account.If you don't see the service listed on that account, it may be missing or placed on a different account. è possibile usare l'utilità SetSPN per modificare i nomi SPN.you can use the SetSPN utility to adjust SPNs.

    • Selezionare OK per uscire dalle finestre di dialogo.Select OK to get out of the dialogs.

  3. Configurare AllowedCallers per C2WTS.Configure C2WTS AllowedCallers.

    In C2WTS è necessario che le identità chiamanti siano elencate esplicitamente nel file di configurazione C2WTShost.exe.config. C2WTS non accetta richieste da tutti gli utenti autenticati nel sistema, a meno che venga non venga configurato appositamente.C2WTS requires the ‘callers’ identities explicitly listed in the configuration file, C2WTShost.exe.config. C2WTS does not accept requests from all authenticated users in the system unless it is configured to do so. In questo caso il chiamante è il gruppo di Windows WSS_WPG.In this case the 'caller' is the WSS_WPG Windows group. Il file C2WTShost.exe.config viene salvato nel percorso seguente:The C2WTShost.exe.confi file is saved in the following location:

    Modificando l'account del servizio in Amministrazione centrale SharePoint, per il servizio C2WTS, tale account verrà aggiunto al gruppo WSS_WPG.Changing the service account within SharePoint Central Admin, for the C2WTS service, will add that account to the WSS_WPG group.

    \Programmi\Windows Identity Foundation\v3.5\c2WTShost.exe.config\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    Di seguito viene illustrato un esempio del file di configurazione:The following is an example of the configuration file:

    <configuration>
      <windowsTokenService>
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->
        <allowedCallers>
          <clear/>
          <add value="WSS_WPG" />
        </allowedCallers>
      </windowsTokenService>
    </configuration>
    
  4. Avviare Attestazioni per il servizio token Windows tramite Amministrazione centrale SharePoint nella pagina Gestisci servizi nel server.Start the Claims to Windows Token Service through SharePoint Central Administration on the Manage Services on Server page. Il servizio deve essere avviato nel server che eseguirà l'azione.The service should be started on the server that will be performing the action. Ad esempio, in presenza di un server WFE e di un server applicazioni in cui è in esecuzione il servizio condiviso SQL Server Reporting Services, sarà sufficiente avviare C2WTS solo nel server applicazioni.For example if you have a server that is a WFE and another server that is an Application Server that has the SQL Server Reporting Services shared service running, you only need to start C2WTS on the Application Server. La presenza di C2WTS è necessaria in un server WFE solo se si esegue la web part Visualizzatore di report.C2WTS is only required on a WFE server if you are running the Report Viewer web part.

Altre domande?More questions? Visitare il forum su Reporting ServicesTry asking the Reporting Services forum