Служба Claims to Windows Token Service (C2WTS) и службы Reporting Services
Область применения: SQL Server 2016 (13.x) Reporting Services и более поздних версий SharePoint Сервер отчетов Power BI
Служба SharePoint Claims to Windows Token Service (C2WTS) необходима для просмотра отчетов в собственном режиме в веб-части средства просмотра отчетов служб SQL Server Reporting Services.
Служба SharePoint Claims to Windows Token Service (C2WTS) требуется для служб SQL Server Reporting Services в режиме интеграции с SharePoint в случае, если необходимо использовать проверку подлинности Windows для источников данных, которые находятся за пределами фермы SharePoint. Служба C2WTS необходима, даже если источники данных находятся на одном компьютере с общей службой. Однако в этом сценарии ограниченное делегирование не требуется.
Примечание.
Интеграция служб Reporting Services с SharePoint больше не доступна после выхода SQL Server 2016.
Настройка веб-части средства просмотра отчетов (собственный режим)
Веб-часть "Средство просмотра отчетов" — это настраиваемая веб-часть, которую можно использовать для просмотра отчетов служб SQL Server Reporting Services в собственном режиме на сайте SharePoint. Эту веб-часть можно использовать для просмотра, печати и экспорта отчетов на сервере отчетов, а также перемещения по ним. Веб-часть средства просмотра отчетов связана с файлами определения отчета (RDL), обработанными сервером отчетов SQL Server Reporting Services или Сервер отчетов Power BI. Эту веб-часть средства просмотра отчетов нельзя использовать с отчетами Power BI, размещенными в Сервер отчетов Power BI.
В SharePoint Server 2013, SharePoint Server 2016 и SharePoint Server 2019 используется проверка подлинности утверждений. В результате необходимо правильно настроить C2WTS, а службы Reporting Services должны быть настроены для проверки подлинности Kerberos для правильной отрисовки отчетов.
Настройте экземпляр Reporting Services (собственный режим) для проверки подлинности Kerberos, определив учетную запись службы SSRS, настроив имя субъекта-службы и обновив файл rsreportserver.config, чтобы использовать тип проверки подлинности RSWindowsNegotiate. Регистрация имени субъекта-службы (SPN) для сервера отчетов
Выполните шаги из раздела, посвященного настройке службы c2WTS.
Интеграция с режимом SharePoint
Этот раздел относится только к службам SQL Server 2016 Reporting Services и более ранним версиям.
Служба SharePoint Claims to Windows Token Service (C2WTS) требуется для служб SQL Server Reporting Services в режиме интеграции с SharePoint в случае, если необходимо использовать проверку подлинности Windows для источников данных, которые находятся за пределами фермы SharePoint. Это требование также применяется, если пользователь обращается к источникам данных с проверкой подлинности Windows, так как обмен данными между веб-интерфейсом (WFE) и общей службой Reporting Services всегда является проверкой подлинности утверждений.
Основные шаги для настройки службы C2WTS
Маркеры, созданные C2WTS, работают только с ограниченным делегированием (ограничивает определенные службы) и параметром конфигурации "использование любого протокола проверки подлинности" (переход протокола).
Если в вашей среде используется ограниченное делегирование Kerberos, служба SharePoint Server и внешние источники данных должны находиться в том же домене Windows. Любая служба, использующая службу токенов Claims to Windows Service (c2WTS), должна применять делегирование, ограниченное Kerberos, чтобы разрешить c2WTS использовать передачу протокола Kerberos для перевода утверждений в учетные данные Windows. Эти требования являются достоверными для всех общих служб SharePoint. Дополнительные сведения см. в разделе Планирование проверки подлинности Kerberos в SharePoint 2013.
Настройте учетную запись домена службы C2WTS.
Рекомендуется запускать C2WTS с использованием собственного удостоверения домена.
Создайте учетную запись Active Directory и зарегистрируйте ее как управляемую учетную запись на сервере SharePoint.
Настройте службу C2WTS для использования управляемой учетной записи, выбрав "Центр администрирования SharePoint > Безопасность > Настройка учетных записей служб > Служба Windows — утверждения для службы маркеров Windows
Добавьте учетную запись службы C2WTS в локальную группу администраторов на каждом сервере, который вы хотите использовать с C2WTS. Для веб-части средства просмотра отчетов эти серверы являются серверами веб-интерфейса (WFE). Для интегрированного режима SharePoint эти серверы являются серверами приложений, на которых выполняется служба Reporting Services.
- Предоставьте учетной записи C2WTS следующие разрешения в локальной политике безопасности в разделе "Назначение прав пользователей локальных политик > ".
- Работа в режиме операционной системы
- Олицетворение клиента после проверки подлинности
- Выполнять вход в качестве службы
Настройте делегирование для учетной записи службы C2WTS.
Для учетной записи требуется ограниченное делегирование с переходом протокола и разрешениями для делегирования службам, с которыми он должен взаимодействовать (то есть SQL Server ядро СУБД, SQL Server Analysis Services). Чтобы настроить делегирование, можно использовать оснастку "Пользователи Active Directory" и "Компьютер" и быть администратором домена.
Внимание
Любые параметры, настраиваемые для учетной записи службы C2WTS на вкладке делегирования, должны соответствовать основной учетной записи службы. Для веб-части средства просмотра отчетов это будет учетная запись службы для веб-приложения SharePoint. Для режима интеграции с SharePoint это будет учетная запись службы Reporting Services.
Например, если разрешить учетной записи службы C2WTS делегировать полномочия службе SQL Service, потребуется выполнить то же самое с учетной записью службы Reporting Services для режима интеграции с SharePoint.
Щелкните правой кнопкой мыши каждую учетную запись службы и откройте диалоговое окно свойств. В диалоговом окне выберите вкладку "Делегирование ".
Вкладка делегирования отображается, только если объекту назначено имя субъекта-службы (SPN). C2WTS не требует имени участника-службы в учетной записи C2WTS, однако без имени субъекта-службы вкладка "Делегирование " не отображается. Другой способ настройки ограниченного делегирования заключается в использовании специальной программы, например ADSIEdit.
Эти параметры конфигурации ключей находятся на вкладке делегирования:
- Установка параметра Доверять этому пользователю делегирование только определенных служб
- Установка параметра Использовать любой протокол проверки подлинности
Выберите Добавить , чтобы добавить службу, которая является адресатом делегирования.
Выберите Пользователи или компьютеры...* и введите учетную запись, в которой размещена служба. Например, если SQL Server выполняется под учетной записью с именем sqlservice, введите
sqlservice
. Для веб-части средства просмотра отчетов эта учетная запись является учетной записью службы для экземпляра служб Reporting Services (собственный режим).Выберите список служб. В этом выборе показаны имена субъектов-служб, доступные в этой учетной записи. Если вы не видите службу, указанную в этой учетной записи, она может быть отсутствует или помещена в другую учетную запись. Для настройки имен SPN можно использовать служебную программу SetSPN. Для веб-части "Средство просмотра отчетов" отображается http-имя участника-службы, настроенное в конфигурации веб-части средства просмотра отчетов.
Нажмите кнопку ОК, чтобы закрыть все диалоговые окна.
Настройте параметр AllowedCallers службы C2WTS.
Для C2WTS требуются удостоверения вызывающих лиц, явно перечисленные в файле конфигурации, C2WTShost.exe.config. C2WTS не принимает запросы от всех прошедших проверку подлинности пользователей в системе, если это не настроено. В этом случае вызывающий объект является WSS_WPG группе Windows. Файл C2WTShost.exe.confi хранится в следующем расположении:
При изменении учетной записи службы в Центре администрирования SharePoint для службы C2WTS вы добавите эту учетную запись в группу WSS_WPG.
\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config
В следующем примере показано, как может выглядеть файл конфигурации:
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>
Запустите (перезапустите, если служба уже работает) службу Claims to Windows Token из центра администрирования SharePoint на странице управления службами на сервере. Служба должна быть запущена на сервере, выполняющего действие. Например, если у вас есть сервер, который является WFE и другим сервером, который является сервером приложений с общей службой SQL Server Reporting Services, необходимо запустить только C2WTS на сервере приложений. C2WTS требуется только на сервере WFE, если вы используете веб-часть средства просмотра отчетов.
Есть еще вопросы? Посетите форум служб Reporting Services.