Klaim ke Windows Token Service (C2WTS) dan Reporting Services
Berlaku untuk:
SQL Server 2016 (13.x) Reporting Services dan Server Laporan SharePointPower BI yang lebih baru
Klaim SharePoint ke Layanan Token Windows (C2WTS) diperlukan jika Anda ingin melihat laporan mode asli dalam bagian web Penampil Laporan SQL Server Reporting Services.
C2WTS juga diperlukan dengan mode SharePoint SQL Server Reporting Services jika Anda ingin menggunakan autentikasi Windows untuk sumber data yang berada di luar farm SharePoint. C2WTS diperlukan bahkan jika sumber data Anda berada di komputer yang sama dengan layanan bersama. Namun dalam skenario ini, delegasi yang dibatasi tidak diperlukan.
Catatan
Integrasi Reporting Services dengan SharePoint tidak lagi tersedia setelah SQL Server 2016.
Konfigurasi bagian web Penampil Laporan (Mode asli)
Bagian web Penampil Laporan adalah bagian web kustom yang dapat digunakan untuk melihat laporan SQL Server Reporting Services (mode asli) dalam situs SharePoint Anda. Anda dapat menggunakan bagian web untuk melihat, menavigasi, mencetak, dan mengekspor laporan di server laporan. Bagian web Penampil Laporan dikaitkan dengan file definisi laporan (.rdl) yang diproses oleh server laporan SQL Server Reporting Services atau Server Laporan Power BI. Bagian web Penampil Laporan ini tidak dapat digunakan dengan laporan Power BI yang dihosting di Server Laporan Power BI.
SharePoint Server 2013, SharePoint Server 2016, dan SharePoint Server 2019 semuanya menggunakan autentikasi klaim. Akibatnya, C2WTS perlu dikonfigurasi dengan benar, dan Reporting Services perlu dikonfigurasi agar autentikasi Kerberos agar laporan dirender dengan benar.
Konfigurasikan instans Reporting Services (Mode Asli) Anda untuk Autentikasi Kerberos dengan menentukan akun Layanan SSRS, mengatur SPN, dan memperbarui file rsreportserver.config untuk menggunakan Jenis Autentikasi RSWindowsNegotiate. Mendaftarkan Nama Perwakilan Layanan (SPN) untuk server laporan
Ikuti langkah-langkah dari Langkah-langkah yang diperlukan untuk mengonfigurasi c2WTS
Integrasi mode SharePoint
Bagian ini hanya berlaku untuk SQL Server 2016 Reporting Services dan yang lebih lama.
Klaim SharePoint ke Windows Token Service (C2WTS) diperlukan dengan mode SharePoint SQL Server Reporting Services jika Anda ingin menggunakan Autentikasi Windows untuk sumber data yang berada di luar farm SharePoint. Persyaratan ini juga berlaku jika pengguna mengakses sumber data dengan Autentikasi Windows, karena komunikasi antara front-end web (WFE) dan layanan bersama Reporting Services selalu Mengklaim Autentikasi.
Langkah-langkah yang diperlukan untuk mengonfigurasi c2WTS
Token yang dibuat oleh C2WTS hanya berfungsi dengan delegasi yang dibatasi (batasan untuk layanan tertentu) dan opsi konfigurasi "menggunakan protokol autentikasi apa pun"(Transisi Protokol).
Jika lingkungan Anda menggunakan delegasi yang dibatasi Kerberos, maka layanan SharePoint Server dan sumber data eksternal perlu berada di domain Windows yang sama. Setiap layanan yang bergantung pada Klaim ke layanan token Windows (c2WTS) harus menggunakan delegasi yang dibatasi Kerberos untuk memungkinkan c2WTS menggunakan transisi protokol Kerberos untuk menerjemahkan klaim ke dalam kredensial Windows. Persyaratan ini berlaku untuk semua SharePoint Shared Services. Untuk informasi selengkapnya, lihat Merencanakan autentikasi Kerberos di SharePoint 2013.
Konfigurasikan akun domain layanan C2WTS.
Sebagai praktik terbaik C2WTS harus berjalan di bawah identitas domainnya sendiri.
Buat akun Direktori Aktif dan daftarkan akun sebagai akun terkelola di SharePoint Server.
Mengonfigurasi Layanan C2WTS untuk menggunakan akun terkelola melalui Keamanan > Administrasi > Pusat SharePoint Mengonfigurasi Layanan Windows Akun > Layanan - Klaim ke Layanan Token Windows
Tambahkan akun layanan C2WTS ke grup Administrator lokal di setiap server yang ingin Anda gunakan dengan C2WTS. Untuk bagian web Penampil Laporan, server ini adalah server Web Front End (WFE). Untuk mode terintegrasi SharePoint, server ini adalah server aplikasi tempat layanan Reporting Services berjalan.
- Berikan akun C2WTS izin berikut dalam kebijakan keamanan lokal di bawah Penetapan Hak Pengguna Kebijakan > Lokal:
- Bertindak sebagai bagian dari sistem operasi
- Tiru klien setelah autentikasi
- Masuk sebagai layanan
Konfigurasikan delegasi untuk akun layanan C2WTS.
Akun memerlukan Delegasi Yang Dibatasi dengan Transisi Protokol dan izin untuk mendelegasikan ke layanan yang perlu diajak berkomunikasi (yaitu, SQL Server Database Engine, SQL Server Analysis Services). Untuk mengonfigurasi delegasi, Anda dapat menggunakan Snap-in Pengguna Direktori Aktif dan Komputer, dan Anda harus menjadi administrator domain.
Penting
Pengaturan apa pun yang Anda konfigurasi untuk akun layanan C2WTS, pada tab delegasi, perlu cocok dengan akun layanan utama yang digunakan. Untuk bagian web Penampil Laporan, ini akan menjadi akun layanan untuk aplikasi web SharePoint. Untuk mode terintegrasi SharePoint, ini akan menjadi akun layanan Reporting Services.
Misalnya, jika Anda mengizinkan akun layanan C2WTS untuk mendelegasikan ke Layanan SQL, Anda perlu melakukan hal yang sama pada akun layanan Reporting Services untuk mode terintegrasi SharePoint.
Klik kanan setiap akun layanan dan buka dialog properti. Dalam dialog, pilih tab Delegasi .
Tab delegasi hanya terlihat jika objek memiliki Nama Prinsipal Layanan (SPN) yang ditetapkan untuknya. C2WTS tidak memerlukan SPN pada Akun C2WTS, namun, tanpa SPN, tab Delegasi tidak terlihat. Cara alternatif untuk mengonfigurasi delegasi yang dibatasi adalah dengan menggunakan utilitas seperti ADSIEdit.
Opsi konfigurasi Kunci ini ada di tab delegasi:
- Pilih Percayai pengguna ini untuk delegasi ke layanan tertentu saja
- Pilih Gunakan protokol autentikasi apa pun
Pilih Tambahkan untuk menambahkan layanan yang akan didelegasikan.
Pilih Pengguna atau Komputer...* dan masukkan akun yang menghosting layanan. Misalnya, jika SQL Server berjalan di bawah akun bernama sqlservice, masukkan
sqlservice. Untuk bagian web Penampil Laporan, akun ini adalah akun layanan untuk Instans Reporting Services (Mode Asli).Pilih daftar layanan. Pilihan ini memperlihatkan SPN yang tersedia di akun tersebut. Jika Anda tidak melihat layanan yang tercantum di akun tersebut, layanan mungkin hilang atau ditempatkan di akun lain. Anda dapat menggunakan utilitas SetSPN untuk menyesuaikan SPN. Untuk bagian web Penampil Laporan, Anda akan melihat http SPN yang dikonfigurasi dalam konfigurasi bagian web Penampil Laporan.
Pilih OK untuk keluar dari dialog.
Konfigurasikan C2WTS AllowedCallers.
C2WTS memerlukan identitas 'penelepon' yang secara eksplisit tercantum dalam file konfigurasi, C2WTShost.exe.config. C2WTS tidak menerima permintaan dari semua pengguna terautentikasi dalam sistem kecuali Anda mengonfigurasinya untuk melakukannya. Dalam hal ini, 'penelepon' adalah grup Windows WSS_WPG. File C2WTShost.exe.confi disimpan di lokasi berikut:
Saat Anda mengubah akun layanan dalam Admin Pusat SharePoint, untuk layanan C2WTS, Anda menambahkan akun tersebut ke grup WSS_WPG.
\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config
Contoh berikut menunjukkan seperti apa file konfigurasi Anda:
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>Mulai (hentikan dan mulai jika sudah dimulai) Klaim ke Layanan Token Windows melalui Administrasi Pusat SharePoint pada halaman Kelola Layanan di Server . Layanan harus dimulai di server yang melakukan tindakan. Misalnya, jika Anda memiliki server yang merupakan WFE dan server lain yang merupakan Server Aplikasi yang memiliki layanan bersama SQL Server Reporting Services yang berjalan, Anda hanya perlu memulai C2WTS di Server Aplikasi. C2WTS hanya diperlukan di server WFE jika Anda menjalankan bagian web Penampil Laporan.
Ada pertanyaan lagi? Coba tanyakan forum Reporting Services.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk