Claims to Windows Token Service (C2WTS) und Reporting Services

Der SharePoint-Anspruch für den Windows-Tokendienst (c2WTS) ist im SharePoint-Modus von Reporting Services erforderlich, wenn Sie die Windows-Authentifizierung für Datenquellen verwenden möchten, die sich außerhalb der SharePoint-Farm befinden. Dies gilt auch dann, wenn der Benutzer mit der Windows-Authentifizierung auf die Datenquellen zugreift, da die Kommunikation zwischen dem Web-Front-End (WFE) und dem freigegebenen Reporting Services-Dienst immer die Anspruchsauthentifizierung ist.

c2WTS ist auch dann erforderlich, wenn sich Ihre Datenquelle(en) auf demselben Computer wie der gemeinsame Dienst befinden. In diesem Szenario ist jedoch keine eingeschränkte Delegierung erforderlich.

Die von c2WTS erstellten Token funktionieren nur mit eingeschränkter Delegierung (beschränkt auf bestimmte Dienste) und der Konfigurationsoption "using any authentication protocol". Wie bereits erwähnt, ist eine eingeschränkte Delegierung nicht erforderlich, wenn sich Ihre Datenquellen auf demselben Computer wie der gemeinsame Dienst befinden.

Wenn Ihre Umgebung die eingeschränkte Kerberos-Delegierung verwendet, müssen sich der SharePoint Server-Dienst und externe Datenquellen in derselben Windows-Domäne befinden. Jeder Dienst, der auf C2WTS (Claims to Windows Token Service) basiert, muss die eingeschränkte Kerberos-Delegierung verwenden, damit C2WTS den Kerberos-Protokollübergang verwenden kann, um Ansprüche (Claims) in Windows-Anmeldeinformationen zu übersetzen. Diese Anforderungen gelten für alle gemeinsamen SharePoint-Dienste. Weitere Informationen finden Sie unter Übersicht über die Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (https://technet.microsoft.com/library/gg502594.aspx).

Das Verfahren wird in diesem Thema zusammengefasst.

Voraussetzungen

Grundlegende Schritte zum Konfigurieren von c2WTS

1. Konfigurieren Sie das c2WTS-Dienstkonto. Fügen Sie das Dienstkonto der lokalen Administratorgruppe auf jedem Anwendungsserver hinzu, auf dem c2WTS ausgeführt wird. Überprüfen Sie außerdem, ob das Konto über die folgenden lokalen Sicherheitsrichtlinienrechte verfügt:

   • Einsetzen als Teil des Betriebssystems

   • Annehmen der Identität eines Clients nach der Authentifizierung

   • Anmelden als Dienst

   Das Konto, das Sie für c2WTS verwenden, muss auch für eingeschränkte Delegierung mit Protokollübergang konfiguriert werden, und es benötigt Berechtigungen zum Delegieren an die Dienste, mit denen es kommunizieren muss (d.h. SQL Server-Datenbank-Engine, SQL Server Analysis Services). Zum Konfigurieren der Delegierung können Sie das Snap-In für Active Directory-Benutzer und -Computer verwenden.

   1. Klicken Sie mit der rechten Maustaste auf jedes Dienstkonto, und öffnen Sie das Eigenschaftendialogfeld. Klicken Sie im Dialogfeld auf die Registerkarte " Delegierung ".

      Hinweis

      Hinweis: Die Delegierungsregisterkarte ist nur sichtbar, wenn dem Objekt ein SPN zugewiesen ist. c2WTS erfordert keinen SPN für das c2WTS-Konto, aber ohne SPN ist die Registerkarte "Delegierung" nicht sichtbar. Eine Alternative zur Konfiguration der eingeschränkten Delegierung ist die Verwendung des Hilfsprogramms ADSIEdit.

   2. Die wichtigsten Konfigurationsoptionen auf der Registerkarte "Delegierung" sind die folgenden:

      • Wählen Sie "Diesem Benutzer nur für die Delegierung an bestimmte Dienste vertrauen" aus.

      • Wählen Sie "Beliebiges Authentifizierungsprotokoll verwenden" aus.

      Weitere Informationen finden Sie im Abschnitt "Konfigurieren der eingeschränkten Kerberos-Delegierung für Computer und Dienstkonten" des folgenden Whitepapers, Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010- und SQL Server 2008 R2-Produkte

2. Konfigurieren Sie 'AllowedCallers' für c2WTS

   c2WTS erfordert die explizit in der Konfigurationsdatei aufgeführten "Aufrufer"-Identitäten c2wtshost.exe.config. c2WTS akzeptiert keine Anforderungen von allen authentifizierten Benutzern im System, es sei denn, sie ist dafür konfiguriert. In diesem Fall ist der Aufrufer die WSS_WPG Windows-Gruppe. Die c2wtshost.exeCONFI-Datei wird am folgenden Speicherort gespeichert:

   \Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config

   Im Folgenden sehen Sie ein Beispiel für die Konfigurationsdatei:

   <configuration>  
     <windowsTokenService>  
       <!--  
           By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
           Add the identities you wish to allow below.  
         -->  
       <allowedCallers>  
         <clear/>  
         <add value="WSS_WPG" />  
       </allowedCallers>  
     </windowsTokenService>  
   </configuration>  
   

3. Starten Sie den c2WTS-Dienst des Betriebssystems:

   1. Konfigurieren Sie den Dienst für die Verwendung des im vorherigen Schritt konfigurierten Dienstkontos.

   2. Ändern Sie den Starttyp in "Automatisch", und starten Sie den Dienst.

4. Starten Sie den SharePoint-Dienst "Ansprüche an Windows-Tokendienst": Starten Sie die Ansprüche an den Windows-Tokendienst über die SharePoint-Zentraladministration auf der Seite "Dienste auf Server verwalten ". Der Dienst sollte auf dem Server gestartet werden, auf dem die Aktion ausgeführt wird. Wenn Sie z. B. über einen Server verfügen, der ein WFE und ein anderer Server ist, auf dem der gemeinsam genutzte Dienst Reporting Services ausgeführt wird, müssen Sie nur c2WTS auf dem Anwendungsserver starten. c2WTS ist für das WFE nicht erforderlich.

Siehe auch

Claims to Windows Token Service (c2WTS) Overview (https://msdn.microsoft.com/library/ee517278.aspx)
Übersicht über die Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (https://technet.microsoft.com/library/gg502594.aspx)