SharePoint Server 2010 で Kerberos 認証用に Excel Services を構成する方法

概要

この記事では、Microsoft SharePoint Server 2010 で Kerberos 認証用に Excel Services を構成する方法について説明します。

詳細情報

サービスが外部 SQL Server データソースからワークシートのデータを更新できるように Kerberos の制限付き委任を構成する方法の詳細については、次の手順を実行してください。

  1. Excel Services サービスアカウントを作成します。

    ベストプラクティスとして、Excel Services は自身のドメイン id の下で実行する必要があります。 Excel サービスアプリケーションを構成するには、Active Directory アカウントを作成する必要があります。 たとえば、次のアカウントを作成します。

    SharePoint Server サービス IIS App プール ID
    SharePoint Server サービス IIS App プール ID
    Excel Services vmlab\svcExcel
  2. Excel Services サービスアカウントのサービスプリンシパル名 (SPN) を構成します。

    Excel Services がクライアントの id をバックエンドデータソースに委任する場合は、Kerberos の制約付き委任を構成する必要があります。 たとえば、Excel Services が SQL トランザクションデータベースのデータをクエリする場合は、Kerberos 委任が必要です。

    Active Directory ユーザーとコンピューター MMC スナップインは、通常、Kerberos 委任を構成するために使用されます。 スナップイン内で委任設定を構成するには、構成されている Active Directory オブジェクトに SPN が適用されている必要があります。 それ以外の場合、オブジェクトの [委任] タブは、オブジェクトの [プロパティ] ダイアログボックスに表示されません。 Excel Services では SPN を使用する必要はありませんが、この目的のために1つを構成する必要があります。

    これを行うには、コマンドラインで次のコマンドを入力し、Enter キーを押します。

    SETSPN -S SP/ExcelServices
    

    注意

    この SPN は有効な SPN ではありません。 指定されたサービスアカウントに適用されて、Active Directory ユーザーとコンピューターアドインで委任オプションを表示します。 委任設定 (具体的には AllowedToDelegateTo Active Directory 属性) を指定するためにサポートされているその他のメソッドがあります。 ただし、この記事ではこれらの方法については説明しません。

  3. Excel Services の Kerberos の制限付き委任を構成します。

    Excel Services でクライアントの id を委任できるようにするには、Kerberos の制限付き委任を構成する必要があります。 WIF C2WTS を使用してクレームトークンを windows トークンに変換するには、プロトコル遷移を使用して制限付き委任を構成する必要があります。

    Excel Services を実行している各サーバーは、Excel が認証する各バックエンドサービスに資格情報を委任するために信頼されている必要があります。 さらに、同じバックエンドサービスへの委任を許可するように Excel Services サービスアカウントを構成する必要があります。

    たとえば、次の委任パスを定義します。

    プリンシパルの種類 プリンシパル名 サービスへの委任
    User svcExcel MSSQLSVC または MySqlCluster: 1433
    * ユーザー svcC2WTS MSSQLSVC または MySqlCluster: 1433
    * * コンピューター VMSP10APP01 MSSQLSVC/ MySqlCluster のローカル: 1433

    *このシナリオで後で構成

    ** C2WTS がローカル システムとして実行中の場合にのみ必要

    制限付き委任を構成するには、次の手順を実行します。

    1. Active Directory ユーザーとコンピューターで、Active Directory オブジェクトのプロパティを開きます。

    2. [委任] タブに移動します。

    3. [指定されたサービスへの委任でのみこのユーザーを信頼する] を選択します。

    4. [任意の認証プロトコルを使う] を選択します。 このアクションは、プロトコル遷移を有効にし、サービスアカウントが C2WTS を使用するために必要です。

    5. [追加] ボタンをクリックし、委任先のサービス プリンシパルを選択します。

    6. [ユーザーまたはコンピューター] を選択します。

    7. 委任先のサービスを実行しているサービスアカウントを選択します。 前の例では、これは SQL サービスのサービスアカウントです。

      注意

      選択したサービスアカウントには、SPN が適用されている必要があります。 前の例では、このアカウントの SPN が前の手順で構成されていました。

    8. [OK] をクリックします。 次の画面で委任先となる Spn を選択するように求められます。

    9. SQL クラスターのサービスを選択し、[OK] をクリックします。

    10. これで、このアカウントが委任された資格情報の一覧を表示できるサービスに、選択した SPN が表示されるはずです。

    11. このセクションの冒頭で定義されている各委任パスに対して、これらの手順を繰り返します。

  4. Excel Services サーバーで Excel Services サービスインスタンスを開始します。

    Excel Services サービスアプリケーションを作成する前に、指定されたファームサーバー上で Excel Services サービスを開始します。 これを行うには、次の手順を実行します。

    1. サーバーの全体管理 を開きます。
    2. [サービス] で、[サーバーのサービスの管理] を選択します。
    3. 右上隅の [サーバーの選択] ボックスで、Excel Services を実行しているサーバーを選択します。 前の例では、サーバーは VMSP10APP01 です。
    4. Excel Calculation Services サービスを開始します。
  5. Excel Services サービスアプリケーションとアプリケーションプロキシを作成して、web アプリケーションが Excel Services を処理できるようにします。 これを行うには、次の手順を実行します。

    1. サーバーの全体管理 を開きます。
    2. [アプリケーション構成の管理] で [サービス アプリケーションの管理] を選択します。
    3. [新規]、[Excel Service アプリケーション] の順にクリックします。
    4. 新しいサービス アプリケーションを構成します。 適切なサービスアカウントが選択されていることを確認します (Excel サービスアカウントがリストにない場合は、新しい管理アカウントを作成します)。
  6. Excel Services の信頼できるファイルの場所と認証設定を構成します。

    Excel Services アプリケーションを作成した後で、信頼できるホストの場所と認証設定を指定するように、新しいサービスアプリケーションのプロパティを構成する必要があります。 これを行うには、次の手順を実行します。

    1. サーバーの全体管理 を開きます。

    2. [アプリケーション構成の管理] で [サービス アプリケーションの管理] を選択します。

    3. 新しいサービスアプリケーションのリンクをクリックします。 前の例では、[Excel Services] をクリックします。

    4. [Excel Services の管理] ページで、[信頼できるファイル保存場所] をクリックします。

    5. 信頼できるファイル保存場所を追加します。

    6. 信頼できるファイルの場所をテストライブラリに設定します。

      注意

      前の例では、ルート web アプリケーションの URL とすべての子が信頼されています。 運用環境では、信頼レベルを制限することを選択できます。

    7. [外部データ] で、[信頼できるデータ接続ライブラリと埋め込み] を選択します。

      注意

      前の例では、埋め込み接続を使用して SQL Server に接続しています。 環境では、別の接続ファイルを作成して、信頼できるデータ接続ライブラリに保存することを選択できます。 このような場合は、[信頼できるデータ接続ライブラリのみ] を選択します。

    8. 外部データキャッシュの有効期間を変更します。 テストのために、外部データキャッシュの有効期間を変更して、データの更新がキャッシュからではなくデータソースから取得されるようにするのが便利です。 [外部データ] で、以下の設定を変更します。

      自動更新 (定期的/開いた場合) = 0

      [手動更新] = 0

      注意

      運用環境では、0より大きいキャッシュ設定を構成する必要があります。 キャッシュを0に設定すると、テストのみができます。

  7. Web アプリケーションのコンテンツデータベースに対して、Excel Services サービスアカウントのアクセス許可を付与します。

    SharePoint Server 2010 Office Web アプリケーションを構成するには、web アプリケーションのサービスアカウントが、特定の web アプリケーションのコンテンツデータベースにアクセスできるようにする必要があります。 たとえば、Excel Services サービスアカウントに、Windows PowerShell を使用して "ポータル" web アプリケーションのコンテンツデータベースへのアクセス権を付与します。

    これを行うには、SharePoint 2010 管理シェルから次のコマンドを実行します。

    $w = Get-SPWebApplication -Identity https://portal
    
    $w.GrantAccessToProcessIdentity("vmlab\svcExcel")
    

注意

Excel Services の Id 委任の詳細については、次の Microsoft TechNet web サイトを参照してください。

Excel Services の ID 委任 (SharePoint Server 2010)

さらにサポートが必要な場合 SharePoint コミュニティに移動します。