Konfigurera Excel Services i SharePoint Server 2010 för Kerberos-autentisering

Introduktion

I den här artikeln beskrivs hur du konfigurerar Excel Services i Microsoft SharePoint Server 2010 för Kerberos-autentisering.

Mer information

Om du vill ha mer information om hur du konfigurerar begränsad delegering av Kerberos så att tjänsten kan uppdatera data i ett kalkylblad från en extern SQL Server-datakälla gör du så här:

  1. Skapa Ett Excel Services-tjänstkonto.

    Det är en bra metod att köra Excel Services under en egen domänidentitet. Om du vill konfigurera Excel Service-programmet måste du skapa ett Active Directory-konto. Du skapar till exempel följande konton:

    SharePoint Server Service IIS-apppoolidentitet
    SharePoint Server Service IIS-apppoolidentitet
    Excel Services VMLAB\svcExcel
  2. Konfigurera ett servicehuvudnamn (SPN) för Excel Services-tjänstkontot.

    Du måste konfigurera begränsad delegering av Kerberos om Excel Services ska delegera klientens identitet till en datakälla i backend. Om Excel Services till exempel frågar data från en SQL-transaktionsdatabas måste du ha Kerberos-delegering.

    Snapin-modulen Active Directory Users and Computers MMC används vanligtvis för att konfigurera Kerberos-delegering. Om du vill konfigurera delegeringsinställningarna i snapin-modulen måste Active Directory-objektet som konfigureras ha ett SPN aktiverat. Annars visas inte objektets delegeringsflik i objektets egenskapsdialogruta. Även om Excel Services inte kräver att ett SPN ska fungera, måste du konfigurera ett för det här ändamålet.

    Det gör du genom att skriva följande kommando på kommandoraden och sedan trycka på Retur:

    SETSPN -S SP/ExcelServices
    

    Anteckning

    Det här SPN:t är inte ett giltigt SPN. Det används på det angivna tjänstkontot för att visa delegeringsalternativen i tillägget Active Directory - användare och datorer. Det finns andra metoder som stöds för att ange delegeringsinställningar (specifikt attributet msDS-AllowedToDelegateTo Active Directory). I den här artikeln beskrivs emellertid inte de här metoderna.

  3. Konfigurera begränsad delegering av Kerberos för Excel Services.

    Om du vill aktivera Excel Services för att delegera identiteten på klienterna måste du konfigurera begränsad delegering av Kerberos. Du måste konfigurera begränsad delegering med protokollövergång för att konvertera anspråkstoken till windows-token med hjälp av WIF C2WTS.

    Varje server som kör Excel Services måste vara betrodd att delegera autentiseringsuppgifter till varje serverdelstjänst som Excel autentiserar till. Dessutom måste du konfigurera Excel Services-tjänstkontot så att det går att delegera till samma backend-tjänster.

    Du definierar till exempel följande delegeringssökvägar:

    Principal-typ Principal Name Ombud till tjänst
    Användare svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *Användare svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **Dator VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    * Konfigureras senare i det här scenariot

    ** Krävs endast om C2WTS körs som lokalt system

    Så här konfigurerar du begränsad delegering:

    1. Öppna egenskaperna för Active Directory-objektet i Active Directory - användare och datorer.

    2. Bläddra till fliken Delegering.

    3. Välj Lita på den här användaren för delegering till endast angivna tjänster.

    4. Välj Använd ett autentiseringsprotokoll. Den här åtgärden aktiverar protokollövergång och krävs för att tjänstkontot ska kunna använda C2WTS.

    5. Klicka på knappen Lägg till för att välja det tjänsthuvudnamn som ska delegeras till.

    6. Välj Användare och datorer.

    7. Välj det tjänstkonto som kör den tjänst som du vill delegera till. I det tidigare exemplet är det SQL-tjänstens tjänstkonto.

      Anteckning

      Det valda tjänstkontot måste ha ett SPN tillämpat på det. I det tidigare exemplet konfigurerades SPN för det här kontot i ett tidigare steg.

    8. Klicka på OK. Du uppmanas att välja de SPN du vill delegera till på följande skärm.

    9. Markera tjänsterna för SQL-klustret och klicka sedan på OK.

    10. Du bör nu se det valda SPNS i listan Tjänster där det här kontot kan visa delegerade autentiseringsuppgifter.

    11. Upprepa de här stegen för varje delegeringssökväg som definieras i början av det här avsnittet.

  4. Starta Excel Services-tjänstinstansen på Excel Services-servern.

    Innan du skapar ett Excel Services-tjänstprogram startar du Excel Services-tjänsten på de angivna servergruppsservrarna. Gör så här:

    1. Öppna Central administration.
    2. Under Tjänster väljer du Hantera tjänster på servern.
    3. I rutan för serverval i det övre högra hörnet väljer du de servrar som kör Excel Services. I det tidigare exemplet är servern VMSP10APP01.
    4. Starta tjänsten Excel Calculation Services.
  5. Skapa Excel Services-tjänstprogrammet och programproxyn för att göra det möjligt för webbprogram att bearbeta Excel Services. Gör så här:

    1. Öppna Central administration.
    2. Välj Hantera tjänstprogram under Programhantering.
    3. Välj Nytt och klicka sedan på Excel Services-program.
    4. Konfigurera det nya tjänstprogrammet. Se till att du väljer rätt tjänstkonto (om Excel Service-kontot inte finns i listan skapar du ett nytt hanterat konto).
  6. Konfigurera platsen för den betrodda filen i Excel Services och autentiseringsinställningarna.

    När Excel Services-programmet har skapats måste du konfigurera egenskaperna för det nya tjänstprogrammet för att ange en betrodd värd och autentiseringsinställningarna. Gör så här:

    1. Öppna Central administration.

    2. Välj Hantera tjänstprogram under Programhantering.

    3. Klicka på länken för det nya tjänstprogrammet. I det tidigare exemplet klickar du på Excel Services.

    4. Klicka på Betrodda platser på hanteringssidan för Excel Services.

    5. Lägga till en ny betrodd filplats.

    6. Ange platsen för den betrodda filen till testbiblioteket.

      Anteckning

      I det tidigare exemplet är ROT-webbprogrammets URL och alla underordnade betrodda. I en produktionsmiljö kan du välja att begränsa förtroendenivån.

    7. I Externa data väljer du Betrodda dataanslutningsbibliotek och inbäddade.

      Anteckning

      I det tidigare exemplet används en inbäddad anslutning för anslutning till SQL Server. I din miljö kan du välja att skapa en separat anslutningsfil och lagra den i ett betrott dataanslutningsbibliotek. I det här fallet väljer du Endast betrodda dataanslutningsbibliotek.

    8. Ändra livslängd för externa datacache. Vid testning är det praktiskt att ändra den externa datacachens livslängd för att kontrollera att datauppdateringar kommer från datakällan och inte från cachen. Ändra följande inställningar under Externa data:

      Automatisk uppdatering(periodisk/vid-öppning) = 0

      Manuell uppdatering = 0

      Anteckning

      I en produktionsmiljö måste du konfigurera en cacheinställning som är större än 0. Att ange cacheminnet till 0 används endast för testning.

  7. Tilldela behörigheter för Excel Services-tjänstkontot för innehållsdatabasen för webbprogram.

    Du måste aktivera webbprogrammets tjänstkontoåtkomst till innehållsdatabaserna för ett visst webbprogram för att kunna konfigurera SharePoint Server 2010 Office Web Applications. Ge till exempel Excel Services-tjänstkontot åtkomst till webbprogrammets innehållsdatabas för "portal" med hjälp av Windows PowerShell.

    Det gör du genom att köra följande kommando från SharePoint 2010 Management Shell:

    $w = Get-SPWebApplication -Identity https://portal
    
    $w.GrantAccessToProcessIdentity("vmlab\svcExcel")
    

Anteckning

Mer information om identitetsdelegering för Excel Services finns på följande Microsoft TechNet-webbplats:

Identitetsdelegering för Excel Services (SharePoint Server 2010)

Behöver du fortfarande hjälp? Gå till SharePoint Community.