Windows トークン サービスに対するクレーム (C2WTS)
SharePoint ファーム外部のデータ ソースの Windows 認証を使用する場合は、Windows トークン サービスへの SharePoint 要求 (C2WTS) が必要です。 これは、Web フロントエンド (WFE) と Reporting Services 共有サービス間の通信が常に要求認証になるため、ユーザーが Windows 認証を使用してデータ ソースにアクセスする場合にも当てはまります。
C2WTS は、データ ソースが共有サービスと同じコンピューター上にある場合でも必要です。 ただし、このシナリオでは、制約付き委任は必要ありません。
C2WTS によって作成されたトークンは、制約付き委任 (特定のサービスへの制約) と "認証プロトコルの使用" 構成オプションでのみ機能します。 既に述べたとおり、データ ソースが共有サービスと同じコンピューター上にある場合は、制約付き委任は必要ありません。
環境で Kerberos の制約付き委任を使用する場合、SharePoint Server サービスと外部データ ソースが同じ Windows ドメインに属している必要があります。Claims to Windows Token Service (C2WTS) に依存するすべてのサービスは、Kerberos の 制約付き委任を使用して、C2WTS が Kerberos のプロトコル遷移を使用してクレームを Windows 資格情報に変換できるようにする必要があります。 これらの要件は、すべての SharePoint 共有サービスに共通です。 詳細については、「Microsoft SharePoint 2010 製品での Kerberos 認証の概要 (https://technet.microsoft.com/en-us/library/gg502594.aspx)」を参照してください。
手順を以下にまとめていますが、詳細な手順をすべてリストしたものではありません。
必要条件
.gif "注意") 注 |
|---|
注: 構成手順によっては、変更されたり、特定のファーム トポロジで機能しない場合があります。 たとえば、シングル サーバー インストールでは Windows Identity Foundation C2WTS サービスをサポートしていないため、Windows トークンに対するクレームの委任シナリオは、このファーム構成では可能でありません。 |
C2WTS の構成に必要な基本的な手順
C2WTS に使用する予定のサービス アカウントを構成します。C2WTS に使用するアカウントには次のローカル ポリシー権限が必要です。
オペレーティング システムの一部として機能
認証後にクライアントを借用する
サービスとしてログオン
C2WTS に使用するアカウントは、プロトコル遷移を使用して制限付き委任用に構成し、通信に必要なサービス (SQL Server Engine、SQL Server Analysis Services など) に委任する権限も必要です。委任を構成するには、Active Directory ユーザーとコンピューターのスナップインを使用できます。
各サービス アカウントを右クリックして、プロパティ ダイアログを開きます。 ダイアログで [委任] タブをクリックします。
注注: 委任タブは、オブジェクトに SPN が割り当てられている場合にのみ表示されます。 C2WTS では、C2WTS アカウントに SPN は必要ありませんが、SPN がない場合は、[委任] タブは表示されません。 制約付き委任を構成する別の方法として、ADSIEdit などのユーティリティを使用するという方法もあります。
委任タブで重要な構成オプションは、次のとおりです。
[指定されたサービスへの委任でのみこのユーザーを信頼する] を選択する
[任意の認証プロトコルを使う] を選択する
詳細については、ホワイト ペーパー「SharePoint 2010 および SQL Server 2008 R2 製品向けの Kerberos 認証の構成」の「コンピューターとサービス アカウント用に Kerberos 制約付き委任を構成する」を参照してください。
C2WTS 'AllowedCallers' の構成
C2WTS では、"呼び出し元" の ID が構成ファイル c2wtshost.exe.config で明示されている必要があります。 C2WTS は、そのように構成されていない限り、システム内のすべての認証ユーザーからの要求を受け入れません。 この場合、"呼び出し元" は WSS_WPG Windows グループです。 c2wtshost.exe.confi ファイルは次の場所に保存されます。
\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config
構成ファイルの例を次に示します。
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>オペレーティング システム C2WTS サービスを起動します。
前の手順で構成したサービス アカウントを使用するようにサービスを構成します。
スタートアップの種類を [自動] に変更し、サービスを起動します。
SharePoint "Claims to Windows Token Service" の起動: [サーバーのサービスの管理] ページの SharePoint サーバーの全体管理から Claims to Windows Token Service を起動します。 このサービスは、アクションを実行するサーバーで起動する必要があります。 たとえば、WFE サーバーと Reporting Services 共有サービスを実行しているアプリケーション サーバーを持っている場合は、アプリケーション サーバーで C2WTS を起動するだけでかまいません。 C2WTS は WFE では必要ありません。
関連項目
その他の技術情報
Claims to Windows Token Service (c2WTS) の概要 (https://msdn.microsoft.com/en-us/library/ee517278.aspx)