Service d'émission de jetons Revendications vers Windows (C2WTS) et Reporting Services
S’applique à :
SQL Server 2016 (13.x) Reporting Services et versions ultérieures SharePoint Power BI Report Server
Le service d’émission de jetons Revendications vers Windows (C2WTS) de SharePoint est nécessaire si vous souhaitez afficher les rapports en mode natif dans le composant WebPart Visionneuse de rapports SQL Server Reporting Services.
Il est également nécessaire avec le mode SharePoint de SQL Server Reporting Services, si vous souhaitez utiliser l’authentification Windows pour les sources de données situées hors de la batterie de serveurs SharePoint. C2WTS est nécessaire même si vos sources de données sont sur le même ordinateur que le service partagé. Toutefois dans ce scénario, la délégation contrainte n’est pas nécessaire.
Remarque
L’intégration de Reporting Services à SharePoint n’est plus disponible après SQL Server 2016.
Configuration du composant WebPart Report Viewer (mode natif)
Le composant WebPart Visionneuse de rapports est un composant WebPart personnalisé qui peut être utilisé pour afficher des rapports SQL Server Reporting Services (mode natif) au sein de votre site SharePoint. Vous pouvez l’utiliser pour afficher, parcourir, imprimer et exporter des rapports sur un serveur de rapports. Le composant WebPart Report Viewer est associé aux fichiers de définition de rapport (.rdl) qu’un serveur de rapports SQL Server Reporting Services ou un serveur Power BI Report Server traitent. Il ne peut pas être utilisé avec les rapports Power BI hébergés dans Power BI Report Server.
SharePoint Server 2013, SharePoint Server 2016 et SharePoint Server 2019 utilisent tous l’authentification par revendications. Par conséquent, C2WTS doit être configuré correctement et Reporting Services doit être configuré avec l’authentification Kerberos pour que les rapports s’affichent correctement.
Configurez votre instance Reporting Services (mode natif) pour l’authentification Kerberos en spécifiant le compte de service SSRS, en définissant un SPN et en mettant à jour le fichier rsreportserver.config pour utiliser le type d’authentification RSWindowsNegotiate. Inscrire un nom de principal du service (SPN) pour un serveur de rapports
Suivez les étapes dans Étapes nécessaires pour configurer C2WTS
Intégration du mode SharePoint
Cette section s’applique uniquement à SQL Server 2016 Reporting Services et antérieur.
Le service d’émission de jetons Revendications vers Windows (C2WTS) SharePoint est nécessaire avec le mode SharePoint de SQL Server Reporting Services si vous souhaitez utiliser l’authentification Windows pour les sources de données situées hors de la batterie de serveurs SharePoint. Cette exigence est également valable si l’utilisateur accède aux sources de données avec l’authentification Windows, car la communication entre le serveur web frontal (WFE) et le service partagé Reporting Services s’effectue toujours via l’authentification basée sur les revendications.
Étapes nécessaires pour configurer C2WTS
Les jetons créés par C2WTS ne fonctionnent qu’avec la délégation contrainte (pour certains services uniquement) et l’option de configuration « avec n’importe quel protocole d’authentification » (transition de protocole).
Si votre environnement utilise la délégation contrainte Kerberos, le service SharePoint server et les sources de données externes doivent résider dans le même domaine Windows. Tout service qui s’appuie sur le service d’émission de jetons Revendications vers Windows (C2WTS) doit utiliser la délégation contrainte Kerberos pour permettre à C2WTS d’utiliser une transition de protocole Kerberos dans la conversion de revendications en informations d’identification Windows. Ces exigences s'appliquent à tous les services partagés SharePoint. Pour plus d’informations, consultez Planifier l’authentification Kerberos dans SharePoint 2013.
Configurez le compte de domaine de service C2WTS.
Comme bonne pratique, C2WTS doit s’exécuter sous sa propre identité de domaine.
Créez un compte Active Directory et inscrivez-le comme compte géré dans SharePoint Server.
Configurez le service C2WTS pour utiliser le compte géré via l’Administration centrale de SharePoint > Sécurité > Configurer les comptes de service > Service Windows - Service d’émission de jetons Revendications vers Windows
Ajoutez le compte de service C2WTS au groupe Administrateurs local sur chaque serveur d’applications pour lesquels vous souhaitez utiliser C2WTS. Pour le Composant WebPart Report Viewer, ces serveurs sont des serveurs web front-end (WFE). Pour le mode intégré SharePoint, ces serveurs sont des serveurs d’applications sur lesquels le service Reporting Services s’exécute.
- Accordez les autorisations suivantes au compte C2WTS dans la stratégie de sécurité locale sous Stratégies locales > Attribution des droits de l’utilisateur :
- Agir en tant que partie du système d'exploitation
- Emprunter l'identité d'un client après authentification
- Se connecter en tant que service
Configurez la délégation pour le compte de service C2WTS.
Le compte a besoin de la délégation contrainte avec transition de protocole; ainsi que d’autorisations de déléguer aux services avec lesquelles il doit communiquer (c’est-à-dire, le moteur de base de données SQL Server, SQL Server Analysis Services). Pour configurer la délégation, vous pouvez utiliser le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Vous devez également être administrateur de domaine.
Important
Dans tous les cas, les paramètres que vous configurez pour le compte de service C2WTS, sous l’onglet Délégation, doivent correspondre au compte de service principal utilisé. Pour le composant WebPart Visionneuse de rapports, il s’agit du compte de service de l’application web SharePoint. Pour le mode intégré SharePoint, il s’agit du compte de service Reporting Services.
Par exemple, si vous autorisez le compte de service C2WTS à déléguer à un service SQL, vous devez faire de même sur le compte de service Reporting Services pour le mode intégré SharePoint.
Cliquez avec le bouton droit sur chaque compte de service et ouvrez la boîte de dialogue des propriétés. Dans la boîte de dialogue, sélectionnez l’onglet Délégation.
L’onglet Délégation est visible uniquement si un SPN (Service Principal Name) a été affecté à l’objet. C2WTS ne nécessite pas de SPN sur le compte C2WTS, mais sans SPN, l’onglet Délégation n’est pas visible. Une autre façon de configurer la délégation contrainte consiste à utiliser un utilitaire tel que ADSIEdit.
Les options de configuration principales se trouvent dans l’onglet Délégation :
- Sélectionnez N’approuver cet utilisateur que pour la délégation aux services spécifiés
- Sélectionnez Utiliser tout protocole d’authentification.
Sélectionnez Ajouter pour ajouter un service auquel déléguer.
Sélectionnez Utilisateurs ou ordinateurs...* et entrez le compte qui héberge le service. Par exemple, si un serveur SQL Server s’exécute sous un compte nommé sqlservice, entrez
sqlservice. Pour le composant WebPart Report Viewer, ce compte est le compte de service pour l’instance Reporting Services (mode natif).Sélectionnez la liste des services. Cette sélection affiche les SPN disponibles sur ce compte. Si vous ne voyez pas le service sur ce compte, il est peut-être manquant ou placé sur un autre compte. Vous pouvez utiliser l’utilitaire SetSPN pour ajuster les SPN. Pour le composant WebPart Report Viewer, vous voyez le SPN HTTP configuré dans Configuration du composant WebPart Visionneuse de rapports.
Cliquez sur OK pour fermer les boîtes de dialogue.
Configurer les appelants autorisés dans C2WTS
C2WTS exige que les identités des « appelants » soient explicitement listées dans le fichier de configuration c2WTShost.exe.config. C2WTS n’accepte pas les requêtes de tous les utilisateurs authentifiés dans le système, à moins que vous ne le configuriez de cette manière. Dans ce cas, l’appelant est le groupe Windows WSS_WPG. Le fichier C2WTShost.exe.confi est enregistré à l’emplacement suivant :
Lorsque vous modifiez le compte de service dans l’Administration centrale de SharePoint, pour le service C2WTS, vous ajoutez ce compte au groupe WSS_WPG.
\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config
L’exemple qui suit vous monte ce à quoi votre fichier de configuration peut ressembler :
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>Démarrez (arrêtez et démarrez si déjà démarré) les revendications SharePoint vers Windows Token Service via l’Administration centrale de SharePoint dans la page Gérer les services sur le serveur. Le service doit être démarré sur le serveur qui effectue l’action. Par exemple, si vous avez un serveur web front-end et un serveur d’applications exécutant le service partagé SQL Server Reporting Services, il vous suffit de démarrer C2WTS sur le serveur d’applications. C2WTS est obligatoire sur un serveur web font-end uniquement si vous utilisez le composant WebPart Report Viewer.
D’autres questions ? Posez une question dans le forum Reporting Services.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour