SharePoint Server 2010 で Kerberos 認証用にExcel Servicesを構成する方法

  • [アーティクル]
  • 適用対象:
    Excel Services in SharePoint Server 2010

概要

この記事では、Microsoft SharePoint Server 2010 で Kerberos 認証用にExcel Servicesを構成する方法について説明します。

詳細

Kerberos 制約付き委任を構成して、サービスが外部のSQL Server データ ソースからワークシート内のデータを更新できるようにする方法の詳細については、次の手順に従います。

  1. サービス アカウントExcel Services作成します。

    ベスト プラクティスとして、Excel Servicesは独自のドメイン ID で実行する必要があります。 Excel サービス アプリケーションを構成するには、Active Directory アカウントを作成する必要があります。 たとえば、次のアカウントを作成します。

    SharePoint Server サービス IIS App プール ID
    SharePoint Server サービス IIS App プール ID
    Excel Services vmlab\svcExcel

  2. Excel Services サービス アカウントでサービス プリンシパル名 (SPN) を構成します。

    クライアントの ID をバックエンド データ ソースに委任Excel Services場合は、Kerberos 制約付き委任を構成する必要があります。 たとえば、EXCEL SERVICES SQL トランザクション データベースからデータを照会する場合は、Kerberos 委任が必要です。

    ACTIVE DIRECTORY ユーザーとコンピューター MMC スナップインは、通常、Kerberos 委任を構成するために使用されます。 スナップイン内で委任設定を構成するには、構成されている Active Directory オブジェクトに SPN が適用されている必要があります。 それ以外の場合、オブジェクトの委任タブはオブジェクトのプロパティ ダイアログ ボックスに表示されません。 Excel Servicesは SPN を機能させる必要はありませんが、この目的のために SPN を構成する必要があります。

    これを行うには、コマンド ラインで次のコマンドを入力し、Enter キーを押します。

    SETSPN -S SP/ExcelServices

    注:

    この SPN は有効な SPN ではありません。 指定したサービス アカウントに適用され、Active Directory ユーザーとコンピューター アドインの委任オプションが表示されます。 委任設定 (具体的には、msDS-AllowedToDelegateTo Active Directory 属性) を指定するための他のサポートされているメソッドがあります。 ただし、この記事ではこれらのメソッドについて説明しません。

  3. Excel Servicesの Kerberos 制約付き委任を構成します。

    Excel Servicesがクライアントの ID を委任できるようにするには、Kerberos 制約付き委任を構成する必要があります。 WIF C2WTS を使用して要求トークンを Windows トークンに変換するには、プロトコル遷移を使用して制約付き委任を構成する必要があります。

    Excel Servicesを実行している各サーバーは、Excel が認証する各バックエンド サービスに資格情報を委任するために信頼されている必要があります。 さらに、同じバックエンド サービスへの委任を許可するように、Excel Services サービス アカウントを構成する必要があります。

    たとえば、次の委任パスを定義します。

    プリンシパルの種類 プリンシパル名 サービスへの委任
    User svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *ユーザー svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **コンピューター VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    * このシナリオで後で構成

    ** C2WTS がローカル システムとして実行中の場合にのみ必要

    制約付き委任を構成するには、次の手順に従います。

    1. Active Directory ユーザーとコンピューターで、Active Directory オブジェクトのプロパティを開きます。

    2. [委任] タブを参照します。

    3. [指定されたサービスへの委任でのみこのユーザーを信頼する] を選択します。

    4. [任意の認証プロトコルを使う] を選択します。 このアクションによりプロトコルの移行が可能になり、サービス アカウントで C2WTS を使用するために必要です。

    5. [追加] ボタンをクリックし、委任先のサービス プリンシパルを選択します。

    6. [ユーザーまたはコンピューター] を選択します。

    7. 委任するサービスを実行しているサービス アカウントを選択します。 前の例では、SQL サービスのサービス アカウントです。

      注:

      選択したサービス アカウントに SPN が適用されている必要があります。 前の例では、このアカウントの SPN が前の手順で構成されています。

    8. [OK] をクリックします。 次の画面で、委任する SPN を選択するように求められます。

    9. SQL クラスターのサービスを選択し、[OK] をクリックします。

    10. [サービス] に選択した SPNS が表示され、このアカウントで委任された資格情報の一覧が表示されます。

    11. このセクションの先頭で定義されている委任パスごとに、これらの手順を繰り返します。

  4. Excel Services サーバーでExcel Services サービス インスタンスを起動します。

    Excel Services サービス アプリケーションを作成する前に、指定されたファーム サーバーでExcel Services サービスを開始します。 これを行うには、次の手順を実行します。

    1. サーバーの全体管理 を開きます。
    2. [サービス] で、[サーバー上のサービスの管理] を選択します。
    3. 右上隅の [サーバーの選択] ボックスで、Excel Servicesを実行しているサーバーを選択します。 前の例では、サーバーがVMSP10APP01されています。
    4. Excel Calculation Services サービスを開始します。

  5. Excel Services サービス アプリケーションとアプリケーション プロキシを作成して、Web アプリケーションがExcel Servicesを処理できるようにします。 これを行うには、次の手順を実行します。

    1. サーバーの全体管理 を開きます。
    2. [アプリケーション構成の管理] で [サービス アプリケーションの管理] を選択します。
    3. [新規]、[Excel Service アプリケーション] の順にクリックします。
    4. 新しいサービス アプリケーションを構成します。 正しいサービス アカウントを選択していることを確認します (Excel サービス アカウントが一覧にない場合は、新しいマネージド アカウントを作成します)。

  6. Excel Services信頼されたファイルの場所と認証設定を構成します。

    Excel Services アプリケーションが作成されたら、新しいサービス アプリケーションのプロパティを構成して、信頼できるホストの場所と認証設定を指定する必要があります。 これを行うには、次の手順を実行します。

    1. サーバーの全体管理 を開きます。

    2. [アプリケーション構成の管理] で [サービス アプリケーションの管理] を選択します。

    3. 新しいサービス アプリケーションのリンクをクリックします。 前の例では、[Excel Services] をクリックします。

    4. [Excel Services管理] ページで、[信頼できるファイルの場所] をクリックします。

    5. 信頼できるファイル保存場所を追加します。

    6. 信頼されたファイルの場所をテスト ライブラリに設定します。

      注:

      前の例では、ルート Web アプリケーション URL とすべての子が信頼されています。 運用環境では、信頼のレベルを制限することを選択できます。

    7. [外部データ] で、[信頼されたデータ接続ライブラリと埋め込み] を選択します。

      注:

      前の例では、埋め込み接続を使用してSQL Serverに接続します。 お使いの環境では、別の接続ファイルを作成し、信頼されたデータ接続ライブラリに保存することを選択できます。 このような場合は、[信頼されたデータ接続ライブラリのみ] を選択します。

    8. 外部データ キャッシュの有効期間を変更します。 テストでは、外部データ キャッシュの有効期間を変更して、データ更新がキャッシュではなくデータ ソースから行われるようにすると便利です。 [外部データ] で、以下の設定を変更します。

      自動更新(定期的/オンオープン) = 0

      [手動更新] = 0

      注:

      運用環境では、0 より大きいキャッシュ設定を構成する必要があります。 キャッシュを 0 に設定することは、テスト専用です。

  7. Web アプリケーション コンテンツ データベースに対するExcel Services サービス アカウントのアクセス許可を付与します。

    SharePoint Server 2010 Office Web アプリケーションを構成するには、特定の Web アプリケーションのコンテンツ データベースへの Web アプリケーションのサービス アカウント アクセスを有効にする必要があります。 たとえば、Windows PowerShellを使用して、Excel Services サービス アカウントに "ポータル" Web アプリケーションのコンテンツ データベースへのアクセス権を付与します。

    これを行うには、SharePoint 2010 管理シェルから次のコマンドを実行します。

    $w = Get-SPWebApplication -Identity https://portal

$w.GrantAccessToProcessIdentity("vmlab\svcExcel")

注:

Excel Servicesの ID 委任の詳細については、次の Microsoft TechNet Web サイトを参照してください。

Excel Services の ID 委任 (SharePoint Server 2010)

さらにヘルプが必要ですか? SharePoint コミュニティにアクセスしてください。