Notificaciones del servicio de token de Windows (C2WTS) y Reporting Services
Las notificaciones de SharePoint para el servicio de token de Windows (c2WTS) son necesarias con Reporting Services modo de SharePoint si desea usar la autenticación de Windows para orígenes de datos que están fuera de la granja de SharePoint. Esto es cierto incluso si el usuario accede a los orígenes de datos con autenticación de Windows porque la comunicación entre el front-end web (WFE) y el servicio compartido Reporting Services siempre será autenticación de notificaciones.
c2WTS es necesario aunque los orígenes de datos estén en el mismo equipo que el servicio compartido. Sin embargo, en este escenario no es necesaria la delegación restringida.
Los tokens creados por c2WTS funcionarán solo con delegación restringida (limitaciones a servicios concretos) y la opción de configuración "Usar cualquier protocolo de autenticación". Como se indicaba anteriormente, si los orígenes de datos están en el mismo equipo que el servicio compartido, la delegación restringida no es necesaria.
Si en su entorno se usa la delegación limitada de Kerberos, el servicio SharePoint Server y los orígenes de datos externos deben residir en el mismo dominio de Windows. Cualquier servicio que use Notificaciones del servicio de token de Windows (c2WTS) debe emplear la delegación restringida de Kerberos para permitir que c2WTS use la transición del protocolo Kerberos para traducir las notificaciones en credenciales de Windows. Estos requisitos son verdaderos para todos los servicios compartidos de SharePoint. Para obtener más información, vea Información general sobre la autenticación Kerberos para productos de Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx).
El procedimiento se resume en este tema.
| Se aplica a: SharePoint 2013 | SharePoint 2010 |
Requisitos previos
Nota:
Nota: algunos pasos de configuración pueden cambiar o no funcionar en algunas topologías de granja. Por ejemplo, una instalación de un solo servidor no admite los servicios c2WTS de Windows Identity Foundation, por lo que las notificaciones a los escenarios de delegación de token de Windows no son posibles con esta configuración de granja.
Pasos básicos necesarios para configurar c2WTS
Configure la cuenta de servicio c2WTS. Agregue la cuenta de servicio al grupo de administradores local en cada servidor de aplicaciones ejecuta c2WTS. Además, compruebe que la cuenta tiene los siguientes derechos de directiva de seguridad local:
Actuar como parte del sistema operativo
Suplantar un cliente después de autenticación
Iniciar sesión como servicio
La cuenta que use para c2WTS también debe configurarse para delegación restringida con transición de protocolo y necesita permisos para delegar en los Servicios con los que se necesita comunicar (es decir, SQL Server Engine, SQL Server Analysis Services). Para configurar la delegación, puede usar el complemento Usuarios y equipos de Active Directory.
Haga clic con el botón secundario en cada cuenta de servicio y abra el cuadro de diálogo de propiedades. En el cuadro de diálogo, haga clic en la pestaña Delegación .
Nota:
Nota: La pestaña delegación solo está visible si el objeto tiene un SPN asignado. c2WTS no requiere un SPN en la cuenta de c2WTS; sin embargo, sin un SPN, la pestaña Delegación no será visible. Una manera alternativa de configurar la delegación restringida es utilizar una herramienta como ADSIEdit.
Las opciones de configuración clave en la pestaña de delegación son las siguientes:
Seleccione "Confiar en este usuario para la delegación solo en los servicios especificados".
Seleccione "Usar cualquier protocolo de autenticación".
Para obtener más información, vea la sección "Configurar la delegación restringida de Kerberos para equipos y cuentas de servicio" de las notas del producto siguientes, Configuración de la autenticación Kerberos para SharePoint 2010 y SQL Server 2008 R2
Configuración de c2WTS "AllowedCallers"
c2WTS requiere las identidades de "llamadores" enumeradas explícitamente en el archivo de configuración, c2wtshost.exe.config. c2WTS no acepta solicitudes de todos los usuarios autenticados del sistema a menos que esté configurado para hacerlo. En este caso el "autor de la llamada" es el grupo de Windows WSS_WPG. El archivo c2wtshost.exe.confi se guarda en la ubicación siguiente:
\Archivos de programa\Windows Identity Foundation\v3.5\c2wtshost.exe.config
A continuación se muestra un ejemplo del archivo de configuración:
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>Iniciar el servicio c2WTS del sistema operativo:
Configure el servicio para usar la cuenta de servicio que configuró en el paso anterior.
Cambie el tipo de inicio a "Automático" e inicie el servicio.
Inicie el servicio de token de Windows "Notificaciones de SharePoint": inicie las notificaciones del servicio de token de Windows a través de administración central de SharePoint en la página Administrar servicios en el servidor . El servicio se debe iniciar en el servidor que realizará la acción. Por ejemplo, si tiene un servidor que es un WFE y otro servidor que es un servidor de aplicaciones que tiene el Reporting Services servicio compartido en ejecución, solo tiene que iniciar c2WTS en el servidor de aplicaciones. c2WTS no es necesario en el servidor web front-end (WFE).
Consulte también
Información general sobre las notificaciones del servicio de token de Windows (c2WTS) (https://msdn.microsoft.com/library/ee517278.aspx)
Información general sobre la autenticación Kerberos para productos de Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx)