Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il servizio di conversione delle attestazioni di SharePoint in token di Windows (c2WTS) è necessario nella modalità SharePoint di Reporting Services se si vuole usare l'autenticazione Windows per origini dati esterne alla farm di SharePoint. Ciò vale anche se l'utente accede alle origini dati con l'autenticazione di Windows perché la comunicazione tra il front-end Web (WFE) e il servizio condiviso di Reporting Services sarà sempre l'autenticazione delle attestazioni.
C2WTS è necessario anche se le origini dati si trovano nello stesso computer del servizio condiviso. In questo scenario, tuttavia, non è necessaria la delega vincolata.
I token creati da c2WTS funzioneranno solo con la delega vincolata (vincoli a servizi specifici) e l'opzione di configurazione "using any authentication protocol". Come indicato in precedenza, se le origini dati si trovano nello stesso computer del servizio condiviso, la delega vincolata non è necessaria.
Se l'ambiente userà la delega vincolata Kerberos, il servizio SharePoint Server e le origini dati esterne devono trovarsi nello stesso dominio Windows. Qualsiasi servizio basato su Attestazioni per il servizio token Windows (c2WTS) deve usare la delega vincolata Kerberos per consentire a c2WTS di usare la transizione del protocollo Kerberos per convertire le attestazioni in credenziali di Windows. Questi requisiti sono validi per tutti i servizi condivisi SharePoint. Per altre informazioni, vedere Panoramica dell'autenticazione Kerberos per i prodotti Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx).
La procedura è riepilogata in questo argomento.
| Si applica a: SharePoint 2013 | SharePoint 2010 |
Prerequisiti
Annotazioni
Nota: alcuni passaggi di configurazione possono cambiare o non funzionare in determinate topologie di farm. Ad esempio, un'installazione a server singolo non supporta i servizi c2WTS di Windows Identity Foundation, pertanto le attestazioni per gli scenari di delega dei token di Windows non sono possibili con questa configurazione della farm.
Passaggi di base necessari per configurare c2WTS
Configurare l'account del servizio c2WTS. Aggiungere l'account del servizio al gruppo locale degli amministratori su ogni server di applicazione che esegue c2WTS. Verificare inoltre che l'account disponga dei seguenti diritti dei criteri di sicurezza locali:
Agire come parte del sistema operativo
Impersonare un cliente dopo l'autenticazione
Accedi come servizio
L'account usato per c2WTS deve anche essere configurato per la delega vincolata con transizione di protocollo e deve disporre delle autorizzazioni per delegare ai servizi con cui è necessario comunicare (cioè il Motore di SQL Server, SQL Server Analysis Services). Per configurare la delega, è possibile usare lo snap-in Utenti e computer di Active Directory.
Fare clic con il pulsante destro del mouse su ogni account del servizio e aprire la finestra di dialogo delle proprietà. Nella finestra di dialogo cliccare sulla scheda Delega.
Annotazioni
Nota: la scheda della delega è visibile solo se all'oggetto è assegnato un nome SPN. C2WTS non richiede un nome SPN nell'account c2WTS, ma senza spn, la scheda Delega non sarà visibile. Un modo alternativo per configurare la delega vincolata consiste nell'impiego di un'utilità, ad esempio ADSIEdit.
Le opzioni di configurazione chiave nella scheda delega sono le seguenti:
Selezionare "Considera attendibile l'utente solo per la delega ai servizi specificati"
Selezionare "Use any authentication protocol" (Usa qualsiasi protocollo di autenticazione)
Per altre informazioni, vedere la sezione "Configurare la delega vincolata Kerberos per computer e account di servizio" del white paper seguente, Configurazione dell'autenticazione Kerberos per i prodotti SharePoint 2010 e SQL Server 2008 R2
Configurare c2WTS 'AllowedCallers'
C2WTS richiede le identità dei chiamanti elencate in modo esplicito nel file di configurazione c2wtshost.exe.config. c2WTS non accetta richieste da tutti gli utenti autenticati nel sistema, a meno che non sia configurato per farlo. In questo caso il chiamante è il gruppo WSS_WPG Windows. Il file confi c2wtshost.exeviene salvato nel percorso seguente:
\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config
Di seguito è riportato un esempio del file di configurazione:
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>Avviare il servizio c2WTS del sistema operativo:
Configurare il servizio per l'uso dell'account del servizio configurato nel passaggio precedente.
Modificare il tipo di avvio in "Automatico" e avviare il servizio.
Avviare il servizio 'Attestazioni al servizio token Windows' di SharePoint: Avvia il servizio Attestazioni al Token Windows tramite Amministrazione centrale SharePoint nella pagina Gestisci servizi nel server. Il servizio deve essere avviato nel server che eseguirà l'azione. Ad esempio, se si dispone di un server che è un WFE e un altro server che è un server applicazioni con il servizio condiviso Reporting Services in esecuzione, è sufficiente avviare c2WTS nel server applicazioni. C2WTS non è necessario in WFE.
Vedere anche
Panoramica delle attestazioni per il Servizio Token di Windows (c2WTS) (https://msdn.microsoft.com/library/ee517278.aspx)
Panoramica dell'autenticazione Kerberos per i prodotti Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx)