Service d'émission de jetons Revendications vers Windows (C2WTS) et Reporting Services
Le service c2WTS (SharePoint Claims to Windows Token Service) est requis avec Reporting Services mode SharePoint si vous souhaitez utiliser l’authentification Windows pour les sources de données qui se trouvent en dehors de la batterie de serveurs SharePoint. Cela est vrai même si l’utilisateur accède aux sources de données avec l’authentification Windows, car la communication entre le serveur web frontal (WFE) et le service partagé Reporting Services sera toujours l’authentification par revendications.
C2WTS est nécessaire même si votre ou vos sources de données résident sur le même ordinateur que le service partagé. Toutefois dans ce scénario, la délégation contrainte n'est pas nécessaire.
Les jetons créés par C2WTS ne fonctionnent qu’avec la délégation contrainte (pour certains services uniquement) et l’option de configuration « avec n’importe quel protocole d’authentification ». Comme indiqué précédemment, si vos sources de données sont sur le même ordinateur que le service partagé, la délégation contrainte n'est pas nécessaire.
Si votre environnement utilise la délégation contrainte Kerberos, le service SharePoint server et les sources de données externes doivent résider dans le même domaine Windows. Tout service qui s’appuie sur le service d’émission de jetons Revendications vers Windows (C2WTS) doit utiliser la délégation contrainte Kerberos pour permettre à C2WTS d’utiliser une transition de protocole Kerberos dans la conversion de revendications en informations d’identification Windows. Ces exigences s'appliquent à tous les services partagés SharePoint. Pour plus d’informations, consultez Vue d’ensemble de l’authentification Kerberos pour les produits Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx).
La procédure est résumée dans cette rubrique.
| S’applique à : SharePoint 2013 | SharePoint 2010 |
Prérequis
Notes
Remarque : certaines étapes de configuration peuvent changer, ou peuvent ne pas fonctionner dans certaines topologies de batteries de serveurs. Par exemple, l’installation d’un serveur ne prend pas en charge les services C2WTS Windows Identity Foundation. C’est pourquoi les scénarios de délégation de jetons Windows ne sont pas possibles avec cette configuration de batterie de serveurs.
Étapes de base nécessaires pour configurer C2WTS
Configurez le compte de service C2WTS. Ajoutez le compte de service au groupe Administrateurs local sur chaque serveur d’applications exécutant C2WTS. De plus, vérifiez que le compte possède les droits de stratégie de sécurité locale suivants :
Agir en tant que partie du système d'exploitation
Emprunter l'identité d'un client après authentification
Ouvrir une session en tant que service
Le compte que vous utilisez pour c2WTS doit également être configuré pour la délégation contrainte avec la transition de protocole et a besoin d’autorisations pour déléguer aux services avec lesquels il doit communiquer (par exemple, moteur SQL Server, SQL Server Analysis Services). Pour configurer la délégation, vous pouvez utiliser le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Cliquez avec le bouton droit sur chaque compte de service et ouvrez la boîte de dialogue des propriétés. Dans la boîte de dialogue, cliquez sur l'onglet Délégation .
Notes
Remarque : l’onglet délégation n’est visible que si un SPN est affecté à l’objet. c2WTS ne nécessite pas de SPN sur le compte c2WTS. Toutefois, sans spN, l’onglet Délégation ne sera pas visible. Une autre façon de configurer la délégation contrainte consiste à utiliser un utilitaire tel que ADSIEdit.
Les options de configuration principales dans l'onglet Délégation sont les suivantes :
Sélectionnez « Approuver cet utilisateur pour la délégation aux services spécifiés uniquement »
Sélectionnez « Utiliser n’importe quel protocole d’authentification »
Pour plus d’informations, consultez la section « Configurer la délégation Kerberos contrainte pour les ordinateurs et les comptes de service » du livre blanc suivant, Configuration de l’authentification Kerberos pour les produits SharePoint 2010 et SQL Server 2008 R2
Configurer c2WTS 'AllowedCallers'
c2WTS nécessite les identités « appelants » explicitement répertoriées dans le fichier de configuration, c2wtshost.exe.config. c2WTS n’accepte pas les demandes de tous les utilisateurs authentifiés dans le système, sauf s’il est configuré pour ce faire. Dans ce cas, l’appelant est le groupe Windows WSS_WPG. Le fichier c2wtshost.exe.confi est enregistré à l'emplacement suivant :
\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config
L'exemple suivant montre le fichier de configuration :
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>Démarrez le service C2WTS du système d’exploitation :
Configurez le service pour utiliser le compte de service que vous avez configuré à l'étape précédente.
Remplacez le type de démarrage par « Automatique » et démarrez le service.
Démarrer le service d’émission de jetons SharePoint « Revendications vers Windows » : démarrez le service d’émission de jetons Revendications vers Windows via l’Administration centrale de SharePoint dans la page Gérer les services sur le serveur . Le service doit être démarré sur le serveur qui effectuera l'action. Par exemple, si vous avez un serveur qui est un serveur WFE et un autre serveur qui est un serveur d’applications qui a le service partagé Reporting Services en cours d’exécution, vous devez uniquement démarrer c2WTS sur le serveur d’applications. C2WTS n’est pas nécessaire sur le serveur Web frontal.
Voir aussi
Vue d’ensemble des revendications pour le service d’émission de jetons Windows (c2WTS) (https://msdn.microsoft.com/library/ee517278.aspx)
Vue d’ensemble de l’authentification Kerberos pour les produits Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx)