Udostępnij za pośrednictwem

Konfigurowanie SQL Server Reporting Services w programie SharePoint Server na potrzeby uwierzytelniania kerberos

  • Dotyczy: Microsoft SharePoint Foundation 2010, SharePoint Server 2010, SharePoint Foundation 2013, SharePoint Server 2013, SQL Server 2014 Developer, SQL Server 2014 Developer, SQL Server 2014 Enterprise, SQL Server 2014 Enterprise, SQL Server 2014 Express, SQL Server 2014 Express, SQL Server 2014 Standard, SQL Server 2014 Standard, SQL Server 2014 Web, SQL Server 2014 Web, SQL Server 2012 Developer, SQL Server 2012 Enterprise, SQL Server 2012 Express, SQL Server 2012 Standard, SQL Server 2012 Web, SQL Server 2014 Reporting Services, SQL Server 2012 Reporting Services

Oryginalny numer KB: 2723587

W tym artykule opisano sposób konfigurowania SQL Server Reporting Services w programie Microsoft SharePoint Server na potrzeby uwierzytelniania kerberos.

Tworzenie konta usługi Reporting Services

Najlepszym rozwiązaniem jest uruchomienie usług Reporting Services w ramach własnej tożsamości domeny. Aby skonfigurować aplikację usługi usług Reporting Services, należy utworzyć i zarejestrować konto usługi Active Directory jako konto zarządzane w programie SharePoint Server. W tym przykładzie zostanie utworzone i zarejestrowane następujące konto.

Name (Nazwa) Tożsamości
Usługa programu SharePoint Server Tożsamość puli aplikacji usług IIS
Usługi raportujące programu SQL Server vmlab\svcRS2012

Uwaga

Opcjonalnie możesz ponownie użyć pojedynczego konta domeny dla wielu usług. Ta konfiguracja nie jest omówiona w poniższych sekcjach.

Tworzenie nazwy SPN dla konta usługi z uruchomioną usługą Reporting Service na serwerze aplikacji

Przystawka Użytkownicy i komputery usługi Active Directory MMC jest zwykle używana do konfigurowania delegowania protokołu Kerberos. Aby skonfigurować ustawienia delegowania w przystawce, skonfigurowany obiekt usługi Active Directory musi mieć zastosowaną główną nazwę usługi. W przeciwnym razie karta delegowania obiektu nie będzie widoczna w oknie dialogowym właściwości obiektu. Mimo że usługi Reporting Services nie wymagają nazwy SPN do działania, skonfigurujemy tę usługę do tego celu. Jeśli konto usługi ma już zastosowaną nazwę SPN (w przypadku udostępniania kont w usługach), ten krok nie jest wymagany.

W wierszu polecenia uruchom następujące polecenie:

SETSPN -S SP/PPS vmlab\svcRS2012

Uwaga

Nazwa SPN nie jest prawidłową nazwą SPN. Jest ono stosowane do określonego konta usługi w celu ujawnienia opcji delegowania w dodatku użytkownicy i komputery usługi AD. Istnieją inne obsługiwane sposoby określania ustawień delegowania (w szczególności atrybutu msDS-AllowedToDelegateTo usługi AD), ale ten temat nie zostanie omówiony w tym dokumencie.

Konfigurowanie ograniczonego delegowania protokołu Kerberos z konta usługi Reporting Services do usługi SSAS i opcjonalnie dla usługi SQL Server

Aby umożliwić usługom Reporting Services delegowanie tożsamości klienta, należy skonfigurować ograniczone delegowanie protokołu Kerberos. Należy również skonfigurować ograniczone delegowanie z przejściem protokołu na potrzeby konwersji tokenu oświadczeń na token systemu Windows za pośrednictwem usługi WIF C2WTS.

Każdy serwer z uruchomionymi usługami Reporting Services musi być zaufany, aby delegować poświadczenia do każdej usługi zaplecza, za pomocą której będą uwierzytelniane usługi Reporting Services. Ponadto konto usługi Reporting Services musi być również skonfigurowane tak, aby zezwalało na delegowanie do tych samych usług zaplecza. Zwróć również uwagę, że protokół HTTP/Portal i HTTP/Portal.vmlab.local są skonfigurowane do delegowania w celu uwzględnienia listy programu SharePoint jako opcjonalnego źródła danych dla raportów usług Reporting Services.

W naszym przykładzie zdefiniowano następujące ścieżki delegowania:

Typ podmiotu zabezpieczeń Nazwa główna
Użytkownik Vmlab\svcC2WTS
Użytkownik vmlab\svcRS2012

Aby skonfigurować ograniczone delegowanie, wykonaj następujące kroki:

  1. Otwórz właściwości obiektu usługi Active Directory w Użytkownicy i komputery usługi Active Directory.

  2. Przejdź do karty Delegowanie .

    Zrzut ekranu przedstawiający kartę Delegowanie z wybraną opcją Użyj dowolnego protokołu uwierzytelniania.

  3. Wybierz pozycję Ufaj temu komputerowi w celu delegowania tylko do określonych usług.

  4. Wybierz pozycję Użyj dowolnego protokołu uwierzytelniania.

  5. Kliknij przycisk Dodaj , aby wybrać jednostkę usługi.

  6. Wybierz pozycję Użytkownicy i komputery.

    Zrzut ekranu przedstawiający okno dialogowe Wybieranie użytkowników i komputerów z wprowadzonym kontem usługi.

  7. Wybierz konto usługi, do którego chcesz delegować usługę (SQL Server, SQL Server Analysis Services lub obie te usługi).

    Uwaga

    Wybrane konto usługi musi mieć do niego zastosowaną nazwę SPN. W naszym przykładzie nazwa SPN dla tego konta została skonfigurowana w poprzednim scenariuszu.

  8. Kliknij przycisk OK.

  9. Wybierz nazwy SPN, do które chcesz delegować, a następnie kliknij przycisk OK.

    Zrzut ekranu przedstawiający wybieranie nazw SPN w oknie dialogowym Dodawanie usługi.

  10. W usługach, dla których to konto może wyświetlać listę poświadczeń delegowanych, powinny zostać wyświetlone wybrane usługi SPNS.

    Zrzut ekranu przedstawiający wybraną usługę SPNS w usługach.

  11. Powtórz te kroki dla każdej ścieżki delegowania zdefiniowanej na początku tej sekcji.

Uruchamianie wystąpienia usługi Reporting Services na serwerze usług Reporting Services

Przed utworzeniem aplikacji usługi Reporting Services uruchom usługę Reporting Services na wyznaczonych serwerach farmy. Aby dowiedzieć się więcej na temat konfiguracji usług Reporting Services, zobacz Instalowanie usług Reporting Services 2016 w trybie programu SharePoint.

  1. Otwórz administrację centralną.

  2. W obszarze usługi wybierz pozycję Zarządzaj usługami na serwerze.

    Zrzut ekranu przedstawiający wybieranie pozycji Zarządzaj usługami na serwerze.

  3. W polu wyboru serwera w prawym górnym rogu wybierz serwery z uruchomionymi usługami Reporting Services.

  4. Uruchom usługę SQL Server Reporting Services.

Tworzenie aplikacji usługi Reporting Services i serwera proxy

Następnie skonfiguruj nową aplikację usługi Reporting Services i serwer proxy aplikacji, aby umożliwić aplikacjom internetowym korzystanie z usług Reporting Services:

  1. Otwórz administrację centralną.

  2. Wybierz pozycję Zarządzaj aplikacjami usług w obszarze Zarządzanie aplikacjami.

    Zrzut ekranu przedstawiający wybieranie pozycji Zarządzaj aplikacjami usług.

  3. Wybierz pozycję Nowy, a następnie kliknij pozycję SQL Server Reporting Services Aplikacja usługi.

    Zrzut ekranu przedstawiający wybieranie aplikacji usługi SQL Server Reporting Services.

  4. Skonfiguruj nową aplikację usługi. Pamiętaj, aby wybrać prawidłowe konto usługi lub utworzyć nowe konto zarządzane, jeśli ten krok nie został wcześniej wykonany.

    Zrzut ekranu przedstawiający konfigurowanie nowej aplikacji usługi.

Przed tym krokiem lub podczas tworzenia nowej usługi Reporting Services można utworzyć i zarejestrować nowe konto usługi dla istniejącej puli aplikacji dedykowanej dla usług Reporting Services. Aby skojarzyć konto usługi z istniejącą pulą aplikacji dedykowaną usługom Reporting Services lub zweryfikować istniejące konto, wykonaj następujące czynności.

  1. Przejdź do obszaru Administracja centralna programu SharePoint. Znajdź pozycję Konfiguruj konta zarządzane w sekcji Zabezpieczenia .

  2. Wybierz pole listy rozwijanej i wybierz pulę aplikacji.

  3. Wybierz konto usługi Active Directory.

    Zrzut ekranu przedstawiający wybieranie konta usługi Active Directory.

Udzielanie uprawnień konta usługi Reporting Services w bazie danych zawartości aplikacji internetowej

Wymagany krok w konfigurowaniu programu SharePoint Server 2010— aplikacje internetowe pakietu Office umożliwiają kontu usługi aplikacji internetowej dostęp do baz danych zawartości dla danej aplikacji internetowej. W tym przykładzie udzielimy kontu usług Reporting Services dostępu do bazy danych zawartości aplikacji internetowej portalu przy użyciu Windows PowerShell.

Uruchom następujące polecenie z poziomu powłoki zarządzania programu SharePoint 2010:

$w = Get-SPWebApplication -Identity http://portal

$w.GrantAccessToProcessIdentity("vmlab\svcRS2012")