Attestazioni per il servizio token Windows (C2WTS) e Reporting ServicesClaims to Windows Token Service (C2WTS) and Reporting Services

QUESTO ARGOMENTO SI APPLICA A:THIS TOPIC APPLIES TO: sìSQL Server Reporting Services (2016 e successive)SQL Server Reporting Services (2016 and later) sìSharePointSharePoint sìServer di report di Power BIPower BI Report ServerQUESTO ARGOMENTO SI APPLICA A:THIS TOPIC APPLIES TO: sìSQL Server Reporting Services (2016 e successive)SQL Server Reporting Services (2016 and later) sìSharePointSharePoint sìServer di report di Power BIPower BI Report Server

Il componente attestazioni per il servizio Token Windows (C2WTS) è necessario se si desidera visualizzare i report in modalità nativa all'interno di web part di Visualizzatore Report di SQL Server Reporting Services.The SharePoint Claims to Windows Token Service (C2WTS) is required if you want to view native mode reports within the SQL Server Reporting Services Report Viewer web part.

C2WTS è necessario installare SQL Server Reporting Services in modalità SharePoint anche se si desidera utilizzare l'autenticazione di Windows per origini dati all'esterno della farm di SharePoint.C2WTS is also required with SQL Server Reporting Services SharePoint mode if you want to use Windows authentication for data sources that are outside the SharePoint farm. Il servizio C2WTS è necessario anche se l'origine dati si trova nello stesso computer del servizio condiviso,C2WTS is needed even if your data source(s) are on the same computer as the shared service. sebbene in questo scenario la delega vincolata non sia richiesta.However in this scenario, constrained delegation is not needed.

Nota

Integrazione con SharePoint di Reporting Services non è più disponibile dopo SQL Server 2016.Reporting Services integration with SharePoint is no longer available after SQL Server 2016.

Configurazione della parte web Visualizzatore reportReport Viewer web part configuration

La web part Visualizzatore Report può essere utilizzata per incorporare report in modalità nativa SQL Server Reporting Services all'interno del sito di SharePoint.The Report Viewer web part can be used to embed SQL Server Reporting Services native mode reports within your SharePoint site. Questa web part è disponibile per SharePoint 2013 e SharePoint 2016.This web part is available for SharePoint 2013 and SharePoint 2016. Sia SharePoint 2013 e SharePoint 2016 rendono l'utilizzo dell'autenticazione delle attestazioni.Both SharePoint 2013 and SharePoint 2016 make use of claims authentication. Per impostazione predefinita, SQL Server Reporting Services (modalità nativa) utilizza l'autenticazione di Windows.SQL Server Reporting Services (native mode) uses Windows authentication by default. Di conseguenza, C2WTS deve essere configurato correttamente per eseguire correttamente il rendering dei report.As a result, C2WTS needs to be configured properly for reports to render correctly.

Integaration modalità SharePointSharePoint mode integaration

In questa sezione si applica solo a SQL Server 2016 Reporting Services e versioni precedenti.This section only applies to SQL Server 2016 Reporting Services and earlier.

Il componente attestazioni per il servizio Token Windows (C2WTS) è necessario con la modalità SharePoint di SQL Server Reporting Services se si desidera utilizzare l'autenticazione di Windows per origini dati all'esterno della farm di SharePoint.The SharePoint Claims to Windows Token Service (C2WTS) is required with SQL Server Reporting Services SharePoint mode if you want to use Windows Authentication for data sources that are outside the SharePoint farm. Questo vale anche se l'utente accede alla origini dati con l'autenticazione di Windows perché la comunicazione tra il front-end web (WFE) e il servizio condiviso Reporting Services sarà sempre l'autenticazione delle attestazioni.This is true even if the user accesses the data sources with Windows Authentication because the communication between the web front-end (WFE) and the Reporting Services shared service will always be Claims Authentication.

Passaggi necessari per configurare c2WTSSteps needed to configure c2WTS

I token creati da C2WTS funzioneranno solo con delega vincolata (vincoli a servizi specifici) e l'opzione di configurazione "Utilizza un qualsiasi protocollo di autenticazione".The tokens created by C2WTS will only work with constrained delegation (constrains to specific services) and the configuration option "using any authentication protocol". Come notato in precedenza, se le origini dati si trovano nello stesso computer del servizio condiviso, la delega vincolata non è necessaria.As noted earlier, if your data sources are on the same computer as the shared service, then constrained delegation is not needed.

Se l'ambiente utilizzerà la delega vincolata Kerberos, le origini dati esterne e il servizio SharePoint Server devono trovarsi nello stesso dominio Windows.If your environment will use Kerberos constrained delegation, then the SharePoint Server service and external data sources need to reside in the same Windows domain. Qualsiasi servizio basato su Attestazioni per il servizio token Windows (c2WTS) deve usare la delega vincolata Kerberos per consentire a c2WTS di usare la transizione del protocollo Kerberos per convertire le attestazioni in credenziali di Windows.Any service that relies on the Claims to Windows token service (c2WTS) must use Kerberos constrained delegation to allow c2WTS to use Kerberos protocol transition to translate claims into Windows credentials. Questi requisiti sono validi per tutti i servizi condivisi SharePoint.These requirements are true for all SharePoint Shared Services. Per altre informazioni, vedere Pianificare l'autenticazione Kerberos in SharePoint 2013.For more information, see Plan for Kerberos authentication in SharePoint 2013.

  1. Configurare l'account del servizio C2WTS.Configure the C2WTS service account. Aggiungere l'account del servizio al gruppo Administrators locale su ciascun server verrà utilizzato C2WTS.Add the service account to the local Administrators group on each server that C2WTS will be used.

    Per il web part Visualizzatore Report, questo sarà il server Web front-End (WFE).For the Report Viewer web part, this will be the Web Front End (WFE) servers. Per la modalità integrata SharePoint, questo sarà il server applicazioni in cui è in esecuzione il servizio Reporting Services.For SharePoint integrated mode, this will be the application servers where the Reporting Services service is running.

  2. Configurare la delega per l'account del servizio C2WTS.Configure delegation for the C2WTS service account.

    L'account necessita della delega vincolata con transizione di protocollo e le autorizzazioni per la delega ai servizi che è necessario per comunicare con (ad esempio SQL Server Database Engine, SQL Server Analysis Services).The account needs Constrained Delegation with Protocol Transitioning and permissions to delegate to the services it is required to communicate with (i.e. SQL Server Database Engine, SQL Server Analysis Services). Per configurare la delega è possibile utilizzare lo snap-in utenti e Computer e dovrà essere un amministratore di dominio.To configure delegation you can use the Active Directory Users and Computer snap-in and will need to be a domain administrator.

    Importante

    Impostazioni configurare per l'account del servizio C2WTS nella scheda delega deve corrispondere all'account del servizio principali in uso.Whatever settings you configure for the C2WTS service account, on the delegation tab, needs to match the main service account being used. Per il web part Visualizzatore Report, questo sarà l'account del servizio per l'applicazione web di SharePoint.For the Report Viewer web part, this will be the service account for the SharePoint web application. Per la modalità integrata SharePoint, questo sarà l'account di servizio Reporting Services.For SharePoint integrated mode, this will be the Reporting Services service account.

    Ad esempio, se si consente l'account del servizio C2WTS delegare a un servizio di SQL, è necessario eseguire la stessa operazione sull'account di servizio Reporting Services per la modalità integrata SharePoint.For example, if you allow the C2WTS service account to delegate to a SQL Service, you need to do the same on the Reporting Services service account for SharePoint integrated mode.

    • Fare clic con il pulsante destro del mouse su ogni account del servizio e aprire la finestra di dialogo delle proprietà.Right-click each service account and open the properties dialog. Nella finestra di dialogo fare clic sulla scheda Delega .In the dialog click the Delegation tab.

      La scheda delega è visibile solo se l'oggetto ha un nome di entità servizio (SPN) assegnato.The delegation tab is only visible if the object has a Service Prinicpal Name (SPN) assigned to it. C2WTS non richieda un nome SPN per l'Account C2WTS, tuttavia, senza un nome SPN, il delega scheda non sarà visibile.C2WTS does not require an SPN on the C2WTS Account, however, without an SPN, the Delegation tab will not be visible. Un modo alternativo per configurare la delega vincolata consiste nell'impiego di un'utilità, ad esempio ADSIEdit.An alternative way to configure constrained delegation is to use a utility such as ADSIEdit.

    • Di seguito vengono indicate le opzioni di configurazione principali nella scheda relativa alla delega:Key configuration options on the delegation tab are the following:

      • Selezionare utente attendibile per la delega solo ai servizi specificatiSelect Trust this user for delegation to specified services only
      • Selezionare utilizza un qualsiasi protocollo di autenticazioneSelect Use any authentication protocol
    • Selezionare Aggiungi per aggiungere un servizio per la delega.Select Add to add a service to delegate to.

    • Selezionare utenti o computer... *** e immettere l'account che ospita il servizio.Select **Users or Computers...* and enter the account that hosts the service. Ad esempio, se SQL Server è in esecuzione con un account denominato sqlservice, immettere sqlservice.For example, if a SQL Server is running under an account named sqlservice, enter sqlservice.

    • Selezionare l'elenco del servizio.Select the service listing. Verranno visualizzati i nomi SPN disponibili per tale account.This will show the SPNs that are available on that account. Se non viene visualizzato, il servizio indicato per l'account può essere mancante o inserito in un altro account.If you don't see the service listed on that account, it may be missing or placed on a different account. è possibile usare l'utilità SetSPN per modificare i nomi SPN.you can use the SetSPN utility to adjust SPNs.

    • Selezionare OK per uscire dalle finestre di dialogo.Select OK to get out of the dialogs.

  3. Configurare C2WTS i chiamanti consentiti per.Configure C2WTS AllowedCallers.

    C2WTS è necessario che l'identità 'chiamanti' in modo esplicito elencati nel file di configurazione, c2wtshost.exe. C2WTS non accetta richieste da tutti gli utenti autenticati nel sistema, a meno che venga non venga configurato appositamente.C2WTS requires the ‘callers’ identities explicitly listed in the configuration file, C2WTShost.exe.config. C2WTS does not accept requests from all authenticated users in the system unless it is configured to do so. In questo caso il "chiamante" è il gruppo di Windows WSS_WPG.In this case the 'caller' is the WSS_WPG Windows group. Il file c2wtshost.exe. config viene salvato nel percorso seguente:The C2WTShost.exe.confi file is saved in the following location:

    Modificando l'account del servizio in Amministrazione centrale SharePoint, per il servizio C2WTS, tale account verrà aggiunto al gruppo WSS_WPG.Changing the service account within SharePoint Central Admin, for the C2WTS service, will add that account to the WSS_WPG group.

    \Programmi\Windows Identity Foundation\v3.5\c2WTShost.exe.config\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    Di seguito viene illustrato un esempio del file di configurazione:The following is an example of the configuration file:

    <configuration>
      <windowsTokenService>
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->
        <allowedCallers>
          <clear/>
          <add value="WSS_WPG" />
        </allowedCallers>
      </windowsTokenService>
    </configuration>
    
  4. Avviare attestazioni per il servizio Token Windows tramite Amministrazione centrale SharePoint nel Gestisci servizi nel Server pagina.Start the Claims to Windows Token Service through SharePoint Central Administration on the Manage Services on Server page. Il servizio deve essere avviato nel server che eseguirà l'azione.The service should be started on the server that will be performing the action. Ad esempio se si dispone di un server che è un front-end Web e un altro server che è un Server applicazioni con il servizio condiviso SQL Server Reporting Services in esecuzione, è solo necessario avviare C2WTS nel Server applicazioni.For example if you have a server that is a WFE and another server that is an Application Server that has the SQL Server Reporting Services shared service running, you only need to start C2WTS on the Application Server. C2WTS è necessario in un server front-end Web solo se si esegue la web part Visualizzatore Report.C2WTS is only required on a WFE server if you are running the Report Viewer web part.

Altre domande?More questions? Visitare il forum su Reporting ServicesTry asking the Reporting Services forum