Partilhar via

Configurar SQL Server Reporting Services no SharePoint Server para autenticação Kerberos

  • Aplica-se a: Microsoft SharePoint Foundation 2010, SharePoint Server 2010, SharePoint Foundation 2013, SharePoint Server 2013, SQL Server 2014 Developer, SQL Server 2014 Developer, SQL Server 2014 Enterprise, SQL Server 2014 Enterprise, SQL Server 2014 Express, SQL Server 2014 Express, SQL Server 2014 Standard, SQL Server 2014 Standard, SQL Server 2014 Web, SQL Server 2014 Web, SQL Server 2012 Developer, SQL Server 2012 Enterprise, SQL Server 2012 Express, SQL Server 2012 Standard, SQL Server 2012 Web, SQL Server 2014 Reporting Services, SQL Server 2012 Reporting Services

Número original da BDC: 2723587

Este artigo descreve como configurar SQL Server Reporting Services no Microsoft SharePoint Server para autenticação Kerberos.

Criar conta de serviço do Reporting Services

Como melhor prática, o Reporting Services deve ser executado sob a sua própria identidade de domínio. Para configurar a Aplicação do Serviço do Reporting Services, tem de ser criada e registada uma conta do Active Directory como uma conta gerida no SharePoint Server. Neste exemplo, a seguinte conta é criada e registada.

Name Identidade
Serviço do SharePoint Server Identidade do Conjunto de Aplicações do IIS
SQL Server Reporting Services vmlab\svcRS2012

Nota

Opcionalmente, pode reutilizar uma única conta de domínio para vários serviços. Esta configuração não é abordada nas secções seguintes.

Criar um SPN para a conta de serviço que está a executar o Reporting Service no Servidor de Aplicações

Normalmente, o snap-in Utilizadores e Computadores do Active Directory MMC é utilizado para configurar a delegação kerberos. Para configurar as definições de delegação no snap-in, o objeto do Active Directory que está a ser configurado tem de ter um nome principal de serviço aplicado. Caso contrário, o separador delegação do objeto não será visível na caixa de diálogo de propriedades do objeto. Embora o Reporting Services não necessite de um SPN para funcionar, vamos configurar um para esta finalidade. Se a conta de serviço já tiver um SPN aplicado (no caso de partilhar contas entre serviços), este passo não é necessário.

Na linha de comandos, execute o seguinte comando:

SETSPN -S SP/PPS vmlab\svcRS2012

Nota

O SPN não é um SPN válido. É aplicado à conta de serviço especificada para revelar as opções de delegação no suplemento Utilizadores e computadores do AD. Existem outras formas suportadas de especificar as definições de delegação (especificamente o atributo do msDS-AllowedToDelegateTo AD), mas este tópico não será abordado neste documento.

Configurar a delegação restrita de Kerberos da conta de serviço do Reporting Services para o Serviço SSAS e, opcionalmente, para SQL Server serviço

Para permitir que o Reporting Services delegue a identidade do cliente, a delegação restrita de Kerberos tem de ser configurada. Também tem de configurar a delegação restrita com a transição de protocolo para a conversão do token de afirmações para o token do Windows através do WIF C2WTS.

Cada servidor que execute o Reporting Services tem de ser fidedigno para delegar credenciais a cada serviço de back-end com o qual o Reporting Services será autenticado. Além disso, a conta de serviço do Reporting Services também tem de ser configurada para permitir a delegação para os mesmos serviços de back-end. Repare também que HTTP/Portal e HTTP/Portal.vmlab.local estão configurados para delegar para incluir uma lista do SharePoint como uma origem de dados opcional para os seus relatórios do Reporting Services.

No nosso exemplo, são definidos os seguintes caminhos de delegação:

Tipo de principal Nome principal
Utilizador Vmlab\svcC2WTS
Utilizador vmlab\svcRS2012

Para configurar a delegação restrita, siga estes passos:

  1. Abra as propriedades do Objeto do Active Directory no Utilizadores e Computadores do Active Directory.

  2. Navegue para o separador Delegação .

    Captura de ecrã do separador Delegação com a opção Utilizar qualquer protocolo de autenticação selecionada.

  3. Selecione Confiar neste computador para delegação apenas para serviços especificados.

  4. Selecione Utilizar qualquer protocolo de autenticação.

  5. Clique no botão Adicionar para selecionar o principal de serviço.

  6. Selecione Utilizadores e Computadores.

    Captura de ecrã a mostrar a caixa de diálogo Selecionar Utilizadores e Computadores com uma conta de serviço introduzida.

  7. Selecione a conta de serviço que está a executar o serviço ao qual pretende delegar (SQL Server, SQL Server Analysis Services ou ambos).

    Nota

    A conta de serviço selecionada tem de ter um SPN aplicado à mesma. No nosso exemplo, o SPN para esta conta foi configurado num cenário anterior.

  8. Clique em OK.

  9. Selecione os SPNs a que pretende delegar e, em seguida, clique em OK.

    Captura de ecrã a mostrar a seleção de SPNs na caixa de diálogo Adicionar Serviço.

  10. Agora, deverá ver o SPNS selecionado nos serviços aos quais esta conta pode apresentar a lista de credenciais delegadas.

    Captura de ecrã do SPNS selecionado nos serviços.

  11. Repita estes passos para cada caminho de delegação definido no início desta secção.

Iniciar a instância do serviço Reporting Services no servidor do Reporting Services

Antes de criar uma aplicação de serviço do Reporting Services, inicie o serviço Reporting Services nos servidores farm designados. Para saber mais sobre a configuração do Reporting Services, consulte Instalar o Reporting Services 2016 no modo SharePoint.

  1. Abra a Administração Central.

  2. Em serviços, selecione Gerir serviços no servidor.

    Captura de ecrã a mostrar a seleção de Gerir serviços no servidor.

  3. Na caixa de seleção do servidor no canto superior direito, selecione o(s) servidor(s) a executar o Reporting Services.

  4. Inicie o serviço SQL Server Reporting Services.

Criar a aplicação e o proxy do serviço Reporting Services

Em seguida, configure uma nova aplicação de serviço do Reporting Services e o proxy de aplicações para permitir que as aplicações Web consumam o Reporting Services:

  1. Abra a Administração Central.

  2. Selecione Gerir Aplicações de Serviço emGestão de Aplicações.

    Captura de ecrã a mostrar a seleção de Gerir Aplicações de Serviço.

  3. Selecione Novo e, em seguida, clique em SQL Server Reporting Services Aplicação de Serviço.

    Captura de ecrã a mostrar a seleção SQL Server Reporting Services Aplicação de Serviço.

  4. Configure a nova aplicação de serviço. Certifique-se de que seleciona a conta de serviço correta ou cria uma nova conta gerida se não tiver realizado este passo anteriormente.

    Captura de ecrã a mostrar a configuração da nova aplicação de serviço.

Pode criar e registar uma nova conta de serviço para um conjunto aplicacional existente dedicado ao Reporting Services antes deste passo ou quando criar o novo serviço do Reporting Services. Para associar a conta de serviço a um conjunto aplicacional existente dedicado ao Reporting Services ou verificar uma conta existente, faça o seguinte.

  1. Navegue para Administração Central do SharePoint. Localize Configurar contas geridas na secção Segurança.

  2. Selecione a caixa pendente e selecione o conjunto aplicacional.

  3. Selecione a conta do Active Directory.

    Captura de ecrã a mostrar a seleção da conta do Active Directory.

Conceder as permissões da conta de serviço do Reporting Services na base de dados de conteúdos da aplicação Web

Um passo necessário para configurar o SharePoint Server 2010, as Aplicações Web do Office estão a permitir o acesso da conta de serviço da aplicação Web às bases de dados de conteúdos de uma determinada aplicação Web. Neste exemplo, vamos conceder à conta do Reporting Services acesso à base de dados de conteúdos da aplicação Web do portal com Windows PowerShell.

Execute o seguinte comando a partir da Shell de Gestão do SharePoint 2010:

$w = Get-SPWebApplication -Identity http://portal

$w.GrantAccessToProcessIdentity("vmlab\svcRS2012")