Служба Claims to Windows Token Service (C2WTS) и службы Reporting ServicesClaims to Windows Token Service (C2WTS) and Reporting Services

ПРИМЕНИМО К:APPLIES TO: даSQL Server Reporting Services (2016 и более поздних версий)SQL Server Reporting Services (2016 and later) даSharePointSharePoint даСервер отчетов Power BIPower BI Report ServerПРИМЕНИМО К:APPLIES TO: даSQL Server Reporting Services (2016 и более поздних версий)SQL Server Reporting Services (2016 and later) даSharePointSharePoint даСервер отчетов Power BIPower BI Report Server

Служба SharePoint Claims to Windows Token Service (C2WTS) необходима для просмотра отчетов в собственном режиме в веб-части средства просмотра отчетов служб SQL Server Reporting Services.The SharePoint Claims to Windows Token Service (C2WTS) is required if you want to view native mode reports within the SQL Server Reporting Services Report Viewer web part.

Служба SharePoint Claims to Windows Token Service (C2WTS) требуется для служб SQL Server Reporting Services в режиме интеграции с SharePoint в случае, если необходимо использовать проверку подлинности Windows для источников данных, которые находятся за пределами фермы SharePoint.C2WTS is also required with SQL Server Reporting Services SharePoint mode if you want to use Windows authentication for data sources that are outside the SharePoint farm. Служба C2WTS необходима, даже если источники данных находятся на одном компьютере с общей службой.C2WTS is needed even if your data source(s) are on the same computer as the shared service. Однако в этом случае ограниченное делегирование не требуется.However in this scenario, constrained delegation is not needed.

Примечание

Интеграция служб Reporting Services с SharePoint больше не доступна после выхода SQL Server 2016.Reporting Services integration with SharePoint is no longer available after SQL Server 2016.

Настройка веб-части средства просмотра отчетов (собственный режим)Report Viewer (Native Mode) web part configuration

Веб-часть средства просмотра отчетов можно использовать для внедрения отчетов служб SQL Server Reporting Services в собственном режиме на сайте SharePoint.The Report Viewer web part can be used to embed SQL Server Reporting Services native mode reports within your SharePoint site. Эта веб-часть доступна для SharePoint 2013 и SharePoint 2016.This web part is available for SharePoint 2013 and SharePoint 2016. В SharePoint 2013 и SharePoint 2016 действует проверка подлинности на основе утверждений.Both SharePoint 2013 and SharePoint 2016 make use of claims authentication. В результате этого C2WTS необходимо настроить соответствующим образом, а в Reporting Services нужно настроить проверку подлинности Kerberos для правильного отображения отчетов.As a result, C2WTS needs to be configured properly and Reporting Services needs to be configured for Kerberos authentication for reports to render correctly.

  1. Настройте экземпляр Reporting Services (собственный режим) для проверки подлинности Kerberos, определив учетную запись службы SSRS, настроив имя субъекта-службы и обновив файл rsreportserver.config, чтобы использовать тип проверки подлинности RSWindowsNegotiate.Configure your Reporting Services (Native Mode) instance for Kerberos Authentication by determining the SSRS Service account, setting an SPN, and updating the rsreportserver.config file to use RSWindowsNegotiate Authentication Type. Регистрация имени субъекта-службы для сервера отчетовRegister a Service Principal Name (SPN) for a Report Server

  2. Выполните шаги из раздела, посвященного настройке службы c2WTS.Follow steps from Steps needed to configure c2WTS

Интеграция с режимом SharePointSharePoint mode integration

Этот раздел относится только к службам SQL Server 2016 Reporting Services и более ранним версиям.This section only applies to SQL Server 2016 Reporting Services and earlier.

Служба SharePoint Claims to Windows Token Service (C2WTS) требуется для служб SQL Server Reporting Services в режиме интеграции с SharePoint в случае, если необходимо использовать проверку подлинности Windows для источников данных, которые находятся за пределами фермы SharePoint.The SharePoint Claims to Windows Token Service (C2WTS) is required with SQL Server Reporting Services SharePoint mode if you want to use Windows Authentication for data sources that are outside the SharePoint farm. Она также требуется, когда пользователь получает доступ к источникам данных с помощью проверки подлинности Windows, так как для связи между интерфейсным веб-сервером и общей службой Reporting Services всегда используется проверка подлинности на основе утверждений.This is true even if the user accesses the data sources with Windows Authentication because the communication between the web front-end (WFE) and the Reporting Services shared service will always be Claims Authentication.

Основные шаги для настройки службы C2WTSSteps needed to configure c2WTS

Токены, созданные службой C2WTS, работают только при наличии ограниченного делегирования (ограничение набором определенных служб) и заданном параметре using any authentication protocol (Использовать любой протокол проверки подлинности) (переход протокола).The tokens created by C2WTS will only work with constrained delegation (constrains to specific services) and the configuration option "using any authentication protocol"(Protocol Transition).

Если в среде используется делегирование, ограниченное Kerberos, то внешние источники данных и служба SharePoint Server должны находиться в одном домене Windows.If your environment will use Kerberos constrained delegation, then the SharePoint Server service and external data sources need to reside in the same Windows domain. Любая служба, использующая службу токенов Claims to Windows Service (c2WTS), должна применять делегирование, ограниченное Kerberos, чтобы разрешить c2WTS использовать передачу протокола Kerberos для перевода утверждений в учетные данные Windows.Any service that relies on the Claims to Windows token service (c2WTS) must use Kerberos constrained delegation to allow c2WTS to use Kerberos protocol transition to translate claims into Windows credentials. Эти требования являются достоверными для всех общих служб SharePoint.These requirements are true for all SharePoint Shared Services. Дополнительные сведения см. в разделе Планирование проверки подлинности Kerberos в SharePoint 2013.For more information, see Plan for Kerberos authentication in SharePoint 2013.

  1. Настройте учетную запись домена службы C2WTS.Configure the C2WTS service domain account.

    Рекомендуется запускать C2WTS с использованием собственного удостоверения домена.As a best practice C2WTS should run under its own domain identity.

    • Создайте учетную запись Active Directory и зарегистрируйте ее как управляемую учетную запись на сервере SharePoint.Create an Active Directory account and register the account as a managed account in SharePoint Server. Дополнительные сведения об управляемых учетных записях SharePoint см. в этой статье.To learn more about managed accounts, see Managed Accounts in Sharepoint

    • Настройте службу C2WTS для использования управляемой учетной записи, выбрав "Центр администрирования SharePoint > Безопасность > Configure Service Accounts (Настройка учетных записей служб) > Windows Service - Claims to Windows Token Service (Служба Windows — утверждения для службы маркеров Windows)".Configure C2WTS Service to use the managed account through SharePoint Central Administration > Security > Configure Service Accounts > Windows Service - Claims to Windows Token Service

      Добавьте учетную запись службы C2WTS в группу локальных администраторов на каждом сервере, где будет использоваться служба C2WTS.Add the C2WTS service account to the local Administrators group on each server that C2WTS will be used. Для веб-части средства просмотра отчетов это будут интерфейсные веб-серверы (WFE).For the Report Viewer web part, this will be the Web Front End (WFE) servers. Для режима интеграции с SharePoint это будут серверы приложений, на которых запущена служба Reporting Services.For SharePoint integrated mode, this will be the application servers where the Reporting Services service is running.

    • Предоставьте учетной записи службы C2WTS следующие разрешения в локальной политике безопасности в разделе "Локальные политики > Назначение прав пользователя":Grant the C2WTS account the following permissions in the local security policy under Local Policies > User Rights Assignment:
      • работа в качества части операционной системы;Act as part of the operating system
      • олицетворение клиента после проверки подлинности;Impersonate a client after authentication
      • Вход в систему в качестве службы.Log on as a service
  2. Настройте делегирование для учетной записи службы C2WTS.Configure delegation for the C2WTS service account.

    Для учетной записи необходимо настроить ограниченное делегирование со сменой протоколов. Кроме того, ей требуются разрешения на делегирование для служб, с которыми она будет обмениваться данными (например, ядро СУБД SQL Server, службы SQL Server Analysis Services).The account needs Constrained Delegation with Protocol Transitioning and permissions to delegate to the services it is required to communicate with (i.e. SQL Server Database Engine, SQL Server Analysis Services). Для настройки делегирования можно использовать оснастку "Active Directory — пользователи и компьютеры". Также потребуются права администратора домена.To configure delegation you can use the Active Directory Users and Computer snap-in and will need to be a domain administrator.

    Важно!

    Любые параметры, настраиваемые для учетной записи службы C2WTS на вкладке делегирования, должны соответствовать основной учетной записи службы.Whatever settings you configure for the C2WTS service account, on the delegation tab, needs to match the main service account being used. Для веб-части средства просмотра отчетов это будет учетная запись службы для веб-приложения SharePoint.For the Report Viewer web part, this will be the service account for the SharePoint web application. Для режима интеграции с SharePoint это будет учетная запись службы Reporting Services.For SharePoint integrated mode, this will be the Reporting Services service account.

    Например, если разрешить учетной записи службы C2WTS делегировать полномочия службе SQL Service, потребуется выполнить то же самое с учетной записью службы Reporting Services для режима интеграции с SharePoint.For example, if you allow the C2WTS service account to delegate to a SQL Service, you need to do the same on the Reporting Services service account for SharePoint integrated mode.

    • Щелкните правой кнопкой мыши каждую учетную запись службы и откройте диалоговое окно свойств.Right-click each service account and open the properties dialog. В диалоговом окне перейдите на вкладку Делегирование .In the dialog click the Delegation tab.

      Вкладка делегирования отображается, только если объекту назначено имя субъекта-службы (SPN).The delegation tab is only visible if the object has a Service Principal Name (SPN) assigned to it. Службе C2WTS не требуется имя субъекта-службы для учетной записи службы C2WTS, однако без этого имени вкладка Делегирование отображаться не будет.C2WTS does not require an SPN on the C2WTS Account, however, without an SPN, the Delegation tab will not be visible. Другой способ настройки ограниченного делегирования заключается в использовании специальной программы, например ADSIEdit.An alternative way to configure constrained delegation is to use a utility such as ADSIEdit.

    • Основными параметрами, приведенными на вкладке делегирования, являются следующие:Key configuration options on the delegation tab are the following:

      • Установка параметра Доверять этому пользователю делегирование только определенных службSelect Trust this user for delegation to specified services only
      • Установка параметра Использовать любой протокол проверки подлинностиSelect Use any authentication protocol
    • Выберите Добавить , чтобы добавить службу, которая является адресатом делегирования.Select Add to add a service to delegate to.

    • Выберите Пользователи или компьютеры... и введите учетную запись, в которой размещена служба.Select Users or Computers...* and enter the account that hosts the service. Например, если SQL Server выполняется под учетной записью с именем sqlservice, введите sqlservice.For example, if a SQL Server is running under an account named sqlservice, enter sqlservice. Для веб-части средства просмотра отчетов это будет учетная запись службы для экземпляра Reporting Services (собственный режим).For the Report Viewer web part, this will be the service account for the Reporting Services (Native Mode) Instance.

    • Выберите список служб.Select the service listing. Отобразятся имена участников-служб, которые доступны в этой учетной записи.This will show the SPNs that are available on that account. Если вы не видите в списке службу для соответствующей учетной записи, возможно, она отсутствует или размещена в другой учетной записи.If you don't see the service listed on that account, it may be missing or placed on a different account. Для настройки имен SPN можно использовать служебную программу SetSPN.you can use the SetSPN utility to adjust SPNs. Для веб-части средства просмотра отчетов отобразится имя участника-службы HTTP, настроенное в разделе Настройка веб-части средства просмотра отчетов.For the Report Viewer web part, you will see the http SPN configured in Report Viewer web part configuration.

    • Нажмите кнопку ОК, чтобы закрыть все диалоговые окна.Select OK to get out of the dialogs.

  3. Настройте параметр AllowedCallers службы C2WTS.Configure C2WTS AllowedCallers.

    Для службы C2WTS требуется, чтобы идентификаторы вызывающих были явно перечислены в файле конфигурации C2WTShost.exe.config. Служба C2WTS принимает запросы от всех пользователей системы, прошедших проверку подлинности, только если она настроена на это.C2WTS requires the ‘callers’ identities explicitly listed in the configuration file, C2WTShost.exe.config. C2WTS does not accept requests from all authenticated users in the system unless it is configured to do so. В этом случае вызывающим является группа Windows WSS_WPG.In this case the 'caller' is the WSS_WPG Windows group. Файл C2WTShost.exe.confi хранится в следующем расположении:The C2WTShost.exe.confi file is saved in the following location:

    Изменение учетной записи службы в центре администрирования SharePoint (для службы C2WTS) добавит эту учетную запись в группу WSS_WPG.Changing the service account within SharePoint Central Admin, for the C2WTS service, will add that account to the WSS_WPG group.

    \Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    В следующем примере показан файл конфигурации:The following is an example of the configuration file:

    <configuration>
      <windowsTokenService>
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->
        <allowedCallers>
          <clear/>
          <add value="WSS_WPG" />
        </allowedCallers>
      </windowsTokenService>
    </configuration>
    
  4. Запустите (перезапустите, если служба уже работает) службу Claims to Windows Token из центра администрирования SharePoint на странице управления службами на сервере.Start (stop and start if already started) the Claims to Windows Token Service through SharePoint Central Administration on the Manage Services on Server page. Служба должна быть запущена на сервере, который будет выполнять действие.The service should be started on the server that will be performing the action. Например, при наличии сервера, который является интерфейсным веб-сервером, и другого сервера, который служит сервером приложений, где работает общая служба SQL Server Reporting Services, службу C2WTS необходимо запустить только на сервере приложений.For example if you have a server that is a WFE and another server that is an Application Server that has the SQL Server Reporting Services shared service running, you only need to start C2WTS on the Application Server. Если вы используете веб-часть средства просмотра отчетов, служба C2WTS требуется только на веб-сервере.C2WTS is only required on a WFE server if you are running the Report Viewer web part.

Остались вопросы?More questions? Посетите форум служб Reporting Services.Try asking the Reporting Services forum