SharePoint ファームの外部にあるデータ ソースに対して Windows 認証を使用する場合は、Reporting Services SharePoint モードで SharePoint Claims to Windows Token Service (c2WTS) が必要です。 これは、Web フロントエンド (WFE) と Reporting Services 共有サービスの間の通信が常に要求認証になるため、ユーザーが Windows 認証を使用してデータ ソースにアクセスした場合でも当てはまります。
データ ソースが共有サービスと同じコンピューター上にある場合でも、c2WTS が必要です。 ただし、このシナリオでは、制約付き委任は必要ありません。
c2WTS によって作成されたトークンは、制約付き委任 (特定のサービスへの制約) と "任意の認証プロトコルを使用する" 構成オプションでのみ機能します。 前述のように、データ ソースが共有サービスと同じコンピューター上にある場合、制約付き委任は必要ありません。
環境で Kerberos の制約付き委任を使用する場合は、SharePoint Server サービスと外部データ ソースが同じ Windows ドメインに存在する必要があります。 Claims to Windows Token Service (c2WTS) に依存する任意のサービスでは、Kerberos の 制約付き 委任を使用して、c2WTS が Kerberos プロトコル遷移を使用して要求を Windows 資格情報に変換できるようにする必要があります。 これらの要件は、すべての SharePoint 共有サービスに共通です。 詳細については、「Microsoft SharePoint 2010 製品 (https://technet.microsoft.com/library/gg502594.aspx)の Kerberos 認証の概要」を参照してください。
この手順は、このトピックにまとめられています。
| 適用対象:SharePoint 2013 および SharePoint 2010 |
[前提条件]
注
注: 一部の構成手順は、変更される場合や、特定のファーム トポロジでは機能しない場合があります。 たとえば、1 台のサーバー インストールでは Windows Identity Foundation c2WTS サービスがサポートされていないため、このファーム構成では Windows トークン委任の要求シナリオを実行できません。
c2WTS を構成するために必要な基本的な手順
c2WTS サービス アカウントを構成します。 c2WTS を実行している各アプリケーション サーバーのローカル Administrators グループにサービス アカウントを追加します。 さらに、アカウントに次のローカル セキュリティ ポリシー権限があることを確認します。
オペレーティング システムの一部として機能
認証後にクライアントを偽装
サービスとしてログオン
また、c2WTS に使用するアカウントは、プロトコル遷移を伴う制約付き委任用に構成する必要があり、通信に必要なサービス (i.e. SQL Server Engine、SQL Server Analysis Services) に委任するためのアクセス許可が必要です。委任を構成するには、Active Directory ユーザーとコンピューター スナップインを使用できます。
各サービス アカウントを右クリックして、プロパティ ダイアログを開きます。 ダイアログで、[ 委任 ] タブをクリックします。
注
注: 委任タブは、オブジェクトに SPN が割り当てられている場合にのみ表示されます。c2WTS では c2WTS アカウントに SPN は必要ありませんが、SPN がない場合、[ 委任 ] タブは表示されません。 制約付き委任を構成する別の方法として、 ADSIEditなどのユーティリティを使用するという方法もあります。
委任タブの主要な構成オプションは次のとおりです。
[指定されたサービスへの委任に対してこのユーザーを信頼する] を選択します
[Use any authentication protocol]\(任意の認証プロトコルを使用する\) を選択します
詳細については、次のホワイト ペーパー「SharePoint 2010 および SQL Server 2008 R2 製品の Kerberos 認証の構成」の「コンピューターとサービス アカウントの Kerberos の制約付き委任の構成」セクションを参照してください。
c2WTS 'AllowedCallers' を設定する
c2WTS には、構成ファイルに明示的に一覧表示されている "呼び出し元" ID c2wtshost.exe.config必要があります。c2WTS は、システム内のすべての認証済みユーザーからの要求を受け入れるわけではありません(そのように構成されている場合を除く)。 この場合、"呼び出し元" は Windows グループWSS_WPGです。 c2wtshost.exe.confi ファイルは、次の場所に保存されます。
\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config
構成ファイルの例を次に示します。
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>オペレーティング システム c2WTS サービスを開始します。
前の手順で構成したサービス アカウントを使用するようにサービスを構成します。
[スタートアップの種類] を [自動] に変更し、サービスを開始します。
SharePoint の [Windows トークン サービスへの要求] を開始します。[ サーバー上 のサービスの管理] ページで、SharePoint サーバーの全体管理を使用して Windows トークン サービスへの要求を開始します。 アクションを実行するサーバーでサービスを開始する必要があります。 たとえば、WFE であるサーバーと、Reporting Services 共有サービスが実行されているアプリケーション サーバーである別のサーバーがある場合は、アプリケーション サーバーで c2WTS を起動するだけで済みます。 WFE では c2WTS は必要ありません。
こちらもご覧ください
Windows トークン サービスへの要求 (c2WTS) の概要 (https://msdn.microsoft.com/library/ee517278.aspx)
Microsoft SharePoint 2010 製品の Kerberos 認証の概要 (https://technet.microsoft.com/library/gg502594.aspx)