Claims to Windows Token Service (C2WTS) と Reporting ServicesClaims to Windows Token Service (C2WTS) and Reporting Services

適用対象:APPLIES TO: はいSQL Server 2016 Reporting Services 以降SQL Server 2016 Reporting Services and later はいSharePointSharePoint はいPower BI レポート サーバーPower BI Report Server適用対象:APPLIES TO: はいSQL Server 2016 Reporting Services 以降SQL Server 2016 Reporting Services and later はいSharePointSharePoint はいPower BI レポート サーバーPower BI Report Server

SQL Server Reporting Services レポート ビューアー Web パーツ内でネイティブ モード レポートを表示するには、SharePoint Claims to Windows Token Service (C2WTS) が必要です。The SharePoint Claims to Windows Token Service (C2WTS) is required if you want to view native mode reports within the SQL Server Reporting Services Report Viewer web part.

SQL Server Reporting Services SharePoint モードで SharePoint ファームの外部にあるデータ ソースに対して Windows 認証を使用する場合にも、C2WTS が必要です。C2WTS is also required with SQL Server Reporting Services SharePoint mode if you want to use Windows authentication for data sources that are outside the SharePoint farm. C2WTS は、データ ソースが共有サービスと同じコンピューター上にある場合でも必要です。C2WTS is needed even if your data source(s) are on the same computer as the shared service. ただし、このシナリオでは、制約付き委任は必要ありません。However in this scenario, constrained delegation is not needed.

注意

SharePoint と Reporting Services の統合は、SQL Server 2016 以降では使用できません。Reporting Services integration with SharePoint is no longer available after SQL Server 2016.

レポート ビューアー (ネイティブ モード) Web パーツの構成Report Viewer (Native Mode) web part configuration

レポート ビューアー Web パーツを使用すると、SharePoint サイト内に SQL Server Reporting Services ネイティブ モード レポートを埋め込むことができます。The Report Viewer web part can be used to embed SQL Server Reporting Services native mode reports within your SharePoint site. この Web パーツは、SharePoint 2013 と SharePoint 2016 に使用できます。This web part is available for SharePoint 2013 and SharePoint 2016. SharePoint 2013 と SharePoint 2016 のどちらも、要求認証を利用します。Both SharePoint 2013 and SharePoint 2016 make use of claims authentication. 結果として、C2WTS を適切に構成する必要があり、レポートを正しく表示するには Reporting Services を Kerberos 認証用に構成する必要があります。As a result, C2WTS needs to be configured properly and Reporting Services needs to be configured for Kerberos authentication for reports to render correctly.

  1. RSWindowsNegotiate 認証タイプを使用するために SSRS サービス アカウントを決定し、SPN を設定し、rsreportserver.config ファイルを更新して、Kerberos 認証用の Reporting Services (ネイティブ モード) インスタンスを構成します。Configure your Reporting Services (Native Mode) instance for Kerberos Authentication by determining the SSRS Service account, setting an SPN, and updating the rsreportserver.config file to use RSWindowsNegotiate Authentication Type. レポート サーバーのサービス プリンシパル名 (SPN) の登録Register a Service Principal Name (SPN) for a Report Server

  2. C2WTS の構成に必要な手順に従いますFollow steps from Steps needed to configure c2WTS

SharePoint モードの統合SharePoint mode integration

このセクションは、SQL Server 2016 Reporting Services 以前にのみ適用されます。This section only applies to SQL Server 2016 Reporting Services and earlier.

SharePoint ファームの外部にあるデータ ソースに対して Windows 認証を使用する場合、SQL Server Reporting Services SharePoint モードでは SharePoint Claims to Windows Token Service (C2WTS) が必要です。The SharePoint Claims to Windows Token Service (C2WTS) is required with SQL Server Reporting Services SharePoint mode if you want to use Windows Authentication for data sources that are outside the SharePoint farm. これは、Web フロントエンド (WFE) と Reporting Services 共有サービス間の通信が常に要求認証になるため、ユーザーが Windows 認証を使用してデータ ソースにアクセスする場合にも当てはまります。This is true even if the user accesses the data sources with Windows Authentication because the communication between the web front-end (WFE) and the Reporting Services shared service will always be Claims Authentication.

C2WTS の構成に必要な手順Steps needed to configure c2WTS

C2WTS によって作成されたトークンは、制約付き委任 (特定のサービスへの制約) と "認証プロトコルの使用" (プロトコル遷移) 構成オプションでのみ機能します。The tokens created by C2WTS will only work with constrained delegation (constrains to specific services) and the configuration option "using any authentication protocol"(Protocol Transition).

Kerberos の制約付き委任を使用する環境では、SharePoint Server サービスと外部データ ソースが同じ Windows ドメインに属している必要があります。If your environment will use Kerberos constrained delegation, then the SharePoint Server service and external data sources need to reside in the same Windows domain. Claims to Windows Token Service (c2WTS) に依存する任意のサービスでは、Kerberos の 制約付き 委任を使用して、c2WTS が Kerberos プロトコル遷移を使用して要求を Windows 資格情報に変換できるようにする必要があります。Any service that relies on the Claims to Windows token service (c2WTS) must use Kerberos constrained delegation to allow c2WTS to use Kerberos protocol transition to translate claims into Windows credentials. これらの要件は、すべての SharePoint 共有サービスに共通です。These requirements are true for all SharePoint Shared Services. 詳細については、「 SharePoint 2013 で Kerberos 認証を計画する」を参照してください。For more information, see Plan for Kerberos authentication in SharePoint 2013.

  1. C2WTS サービス ドメイン アカウントを構成します。Configure the C2WTS service domain account.

    ベスト プラクティスとしては、C2WTS を独自のドメイン ID で実行する必要があります。As a best practice C2WTS should run under its own domain identity.

    • Active Directory アカウントを作成し、SharePoint サーバーの管理アカウントとしてアカウントを登録します。Create an Active Directory account and register the account as a managed account in SharePoint Server. マネージド アカウントの詳細については、SharePoint のマネージド アカウントに関する記事を参照してくださいTo learn more about managed accounts, see Managed Accounts in Sharepoint

    • [SharePoint サーバーの全体管理] > [セキュリティ] > [サービス アカウントの構成] > [Windows サービス - Claims to Windows Token Service] から、マネージド アカウントを使用するための C2WTS サービスを構成しますConfigure C2WTS Service to use the managed account through SharePoint Central Administration > Security > Configure Service Accounts > Windows Service - Claims to Windows Token Service

    C2WTS を使用する各サーバーのローカルの Administrators グループに C2WTS サービス アカウントを追加します。Add the C2WTS service account to the local Administrators group on each server that C2WTS will be used. レポート ビューアー Web パーツの場合は Web Front End (WFE) サーバーです。For the Report Viewer web part, this will be the Web Front End (WFE) servers. SharePoint 統合モードの場合は、Reporting Services サービスが実行されているアプリケーション サーバーです。For SharePoint integrated mode, this will be the application servers where the Reporting Services service is running.

    • [ローカル ポリシー] > [ユーザー権利の割り当て] のローカル セキュリティ ポリシーで、C2WTS アカウントに次のアクセス許可を付与します。Grant the C2WTS account the following permissions in the local security policy under Local Policies > User Rights Assignment:
      • オペレーティング システムの一部として機能Act as part of the operating system
      • 認証後にクライアントを借用するImpersonate a client after authentication
      • サービスとしてログオンLog on as a service
  2. C2WTS サービス アカウントの委任を構成します。Configure delegation for the C2WTS service account.

    アカウントには、プロトコル遷移を使用した制限付き委任に加え、通信に必要なサービス (SQL Server Database Engine、SQL Server Analysis Services など) に委任するアクセス許可も必要です。The account needs Constrained Delegation with Protocol Transitioning and permissions to delegate to the services it is required to communicate with (i.e. SQL Server Database Engine, SQL Server Analysis Services). 委任を構成するには、Active Directory ユーザーとコンピューターのスナップインを使用できます。また、ドメイン管理者である必要があります。To configure delegation you can use the Active Directory Users and Computer snap-in and will need to be a domain administrator.

    重要

    C2WTS サービス アカウントにどのような設定を構成するとしても、[委任] タブで、使用されているメイン サービス アカウントと同じにする必要があります。Whatever settings you configure for the C2WTS service account, on the delegation tab, needs to match the main service account being used. レポート ビューアー Web パーツの場合は、SharePoint Web アプリケーションのサービス アカウントです。For the Report Viewer web part, this will be the service account for the SharePoint web application. SharePoint 統合モードの場合は、Reporting Services サービス アカウントです。For SharePoint integrated mode, this will be the Reporting Services service account.

    たとえば、C2WTS サービス アカウントを SQL Service に委任できるようにした場合、SharePoint 統合モードの Reporting Services サービス アカウントでも同様にする必要があります。For example, if you allow the C2WTS service account to delegate to a SQL Service, you need to do the same on the Reporting Services service account for SharePoint integrated mode.

    • 各サービス アカウントを右クリックして、プロパティ ダイアログを開きます。Right-click each service account and open the properties dialog. ダイアログで [委任] タブをクリックします。In the dialog click the Delegation tab.

      委任タブは、オブジェクトにサービス プリンシパル名 (SPN) が割り当てられている場合にのみ表示されます。The delegation tab is only visible if the object has a Service Principal Name (SPN) assigned to it. C2WTS では、C2WTS アカウントに SPN は必要ありませんが、SPN がない場合は、 [委任] タブは表示されません。C2WTS does not require an SPN on the C2WTS Account, however, without an SPN, the Delegation tab will not be visible. 制約付き委任を構成する別の方法として、 ADSIEditなどのユーティリティを使用するという方法もあります。An alternative way to configure constrained delegation is to use a utility such as ADSIEdit.

    • 委任タブで重要な構成オプションは、次のとおりです。Key configuration options on the delegation tab are the following:

      • [指定されたサービスへの委任でのみこのユーザーを信頼する] を選択するSelect Trust this user for delegation to specified services only
      • [任意の認証プロトコルを使う] を選択するSelect Use any authentication protocol
    • [追加] を選択して、委任するサービスを追加します。Select Add to add a service to delegate to.

    • [ユーザーまたはコンピューター...*] を選択し、サービスをホストするアカウントを入力します。Select Users or Computers...* and enter the account that hosts the service. たとえば、SQL Server が sqlservice というアカウントで実行されている場合は、sqlservice と入力します。For example, if a SQL Server is running under an account named sqlservice, enter sqlservice. レポート ビューアー Web パーツの場合は、Reporting Services (ネイティブ モード) インスタンスのサービス アカウントです。For the Report Viewer web part, this will be the service account for the Reporting Services (Native Mode) Instance.

    • サービス一覧を選択します。Select the service listing. そのアカウントで使用できる SPN が表示されます。This will show the SPNs that are available on that account. そのアカウントのサービス一覧が表示されない場合は、サービスがないか、別のアカウントのサービスの可能性があります。If you don't see the service listed on that account, it may be missing or placed on a different account. SPN の調整には、SetSPN ユーティリティを使用できます。you can use the SetSPN utility to adjust SPNs. レポート ビューアー Web パーツの場合は、「レポート ビューアー Web パーツの構成」で構成した http SPN が表示されます。For the Report Viewer web part, you will see the http SPN configured in Report Viewer web part configuration.

    • [OK] を選択してダイアログを閉じます。Select OK to get out of the dialogs.

  3. C2WTS AllowedCallers を構成します。Configure C2WTS AllowedCallers.

    C2WTS では、"呼び出し元" の ID が構成ファイル C2WTShost.exe.config で明示されている必要があります。C2WTS は、そのように構成されていない限り、システム内のすべての認証ユーザーからの要求を受け入れません。C2WTS requires the 'callers' identities explicitly listed in the configuration file, C2WTShost.exe.config. C2WTS does not accept requests from all authenticated users in the system unless it is configured to do so. この場合、"呼び出し元" は WSS_WPG Windows グループです。In this case the 'caller' is the WSS_WPG Windows group. C2WTShost.exe.confi ファイルは次の場所に保存されます。The C2WTShost.exe.confi file is saved in the following location:

    C2WTS サービスについて、SharePoint サーバーの全体管理内でサービス アカウントを変更すると、そのアカウントが WSS_WPG グループに追加されます。Changing the service account within SharePoint Central Admin, for the C2WTS service, will add that account to the WSS_WPG group.

    \Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    構成ファイルの例を次に示します。The following is an example of the configuration file:

    <configuration>
      <windowsTokenService>
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->
        <allowedCallers>
          <clear/>
          <add value="WSS_WPG" />
        </allowedCallers>
      </windowsTokenService>
    </configuration>
    
  4. [サーバーのサービスの管理] ページの [SharePoint サーバーの全体管理] から Claims to Windows Token Service を起動します (既に開始している場合は停止して起動します)。Start (stop and start if already started) the Claims to Windows Token Service through SharePoint Central Administration on the Manage Services on Server page. このサービスは、アクションを実行するサーバーで起動する必要があります。The service should be started on the server that will be performing the action. たとえば、WFE サーバーと SQL Server Reporting Services 共有サービスを実行しているアプリケーション サーバーを持っている場合は、アプリケーション サーバーで C2WTS を起動するだけでかまいません。For example if you have a server that is a WFE and another server that is an Application Server that has the SQL Server Reporting Services shared service running, you only need to start C2WTS on the Application Server. レポート ビューアー Web パーツを実行している場合、C2WTS は WFE サーバー上でのみ必要です。C2WTS is only required on a WFE server if you are running the Report Viewer web part.

その他の質問More questions? Reporting Services のフォーラムに質問してみてくださいTry asking the Reporting Services forum