Delegação de identidades para o PowerPivot para SharePoint 2010 (SharePoint Server 2010)
Aplica-se a: Excel Services, SharePoint Server 2010
Tópico modificado em: 2016-11-30
A topologia de farm descrita em Ambiente e topologia de farm não requer autenticação Kerberos para que o PowerPivot para Microsoft SharePoint 2010 funcione. O Serviço do Sistema PowerPivot tem reconhecimento de declaração e usa o C2WTS (Serviço de Tokens de Declaração para Tokens do Windows) para recriar a identidade do Windows do cliente usando o token de declarações do cliente para se conectar ao mecanismo Vertipaq do Analysis Service que é executado no servidor de aplicativos.
Quando uma pasta de trabalho do PowerPivot é carregada no SharePoint Server, este já contém dados do PowerPivot que essa pasta de trabalho utiliza. Quando o usuário abre a pasta de trabalho do PowerPivot no Excel Web Access e interage com a segmentação de dados, o Serviço do Sistema PowerPivot carrega os dados na pasta de trabalho diretamente para seu mecanismo do Analysis Services. Nenhum acesso é feito à conexão de dados inserida na pasta de trabalho.
.jpg "Diagrama de fluxo de autenticação")
Quando um trabalho de atualização de dados de uma pasta de trabalho do PowerPivot começa a ser executado, o Serviço do Sistema PowerPivot faz logon no Windows com as credenciais armazenadas no Serviço de Repositório Seguro do SharePoint Server. Como a identidade do Windows é criada no servidor de aplicativos, a conexão do mecanismo Vertipaq do PowerPivot Analysis Services (no mesmo computador, VMSP10APP01) com MySQLCluster é o primeiro salto NTLM.
.jpg "Diagrama de fluxo de autenticação")
Observação
Se a instalação estiver sendo feita no Windows Server 2008, instale o seguinte hotfix para autenticação Kerberos:
Uma autenticação Kerberos falha com o código de erro 0X80090302 ou 0x8009030f em um computador que está executando o Windows Server 2008 ou Windows Vista quando o algoritmo AES é usado (https://support.microsoft.com/kb/969083/pt-br)
Cenários que requerem autenticação Kerberos
Como se pode constatar na discussão acima, as situações mais comuns com o PowerPivot não requerem autenticação Kerberos. Entretanto, existem alguns casos incomuns em que a autenticação Kerberos é necessária. Por exemplo, se a pasta de trabalho do PowerPivot contiver uma conexão de dados com uma instância do SQL Server vinculada a outra instância do SQL Server em outro computador, será preciso configurar a autenticação Kerberos com delegação de identidade para que a atualização de dados funcione. Por exemplo, se MySQLCluster estiver vinculado a outra instância remota do SQL Server, o link de MySQLCluster para o servidor remoto vinculado será o segundo salto. Nesse caso, o NTLM não é mais adequado. Será necessário configurar a delegação de Kerberos para que a atualização de dados seja processada com êxito.
.jpg "Diagrama de fluxo de autenticação")
Embora estejam fora do escopo dos cenários definidos neste documento, as principais etapas para configurar a delegação de identidade para o PowerPivot são as seguintes:
Alterar a conta de serviço do Windows do C2WTS para uma conta de domínio (por exemplo, VMLAB\svcC2WTS). A configuração do C2WTS é um tópico grande e é abordada em detalhes nos outros cenários deste documento:
Configurar e iniciar o Serviço de Tokens de Declarações para Tokens do Windows em servidores dos Serviços do Excel
Configurar e iniciar o Serviço de Tokens de Declarações para Tokens do Windows em servidores de gráficos do Visio
Configurar e iniciar o Serviço de Tokens de Declarações para Tokens do Windows em servidores dos Serviços PerformancePoint
Configurar a delegação da conta VMLAB\svcSQL ao SPN para a instância do SQL Server vinculada - Lista de verificação para configuração.
| Área de configuração | Descrição |
|---|---|
Instalação do PowerPivot |
Instale o SQL Server PowerPivot para SharePoint no servidor de aplicativos |
Dependências do cenário
A rigor, os cenários de autenticação Kerberos a seguir não são necessários ao PowerPivot para SharePoint. Entretanto, eles agilizarão o processo de instalação do PowerPivot para SharePoint se você os concluir com êxito, pois os próprios componentes são pré-requisitos do PowerPivot para SharePoint.
Cenário 1: Configuração principal
Cenário 2: Autenticação Kerberos para SQL OLTP
(Opcional) Cenário 3: Autenticação Kerberos para SQL Analysis Services
Instruções de configuração
Instale o PowerPivot para SharePoint no servidor de aplicativos (vmsp10app01). Para obter instruções detalhadas, consulte o artigo sobre como instalar o PowerPivot para SharePoint em um farm do SharePoint com três níveis, na biblioteca MSDN online. Se você já tiver executado cenários dependentes neste documento, poderá ignorar as seções no artigo do MSDN que já foram abordadas pelas dependências de cenário.
Importante
O pool de aplicativos do Aplicativo de Serviço PowerPivot do SQL Server deve ser executado com o uso da conta de domínio do administrador do farm do SharePoint Server. Em nenhum outro contexto de usuário o Serviço do Sistema PowerPivot pode recuperar credenciais de contas autônomas do Serviço de Repositório Seguro.