Dela via

Anspråk på Windows Token Service (C2WTS) och Reporting Services

  • Artikel

gäller för: SQL Server 2016 (13.x) Reporting Services och senare SharePoint Power BI-rapportserver

SharePoint Claims to Windows Token Service (C2WTS) krävs om du vill visa rapporter i inbyggt läge inom webbdelen SQL Server Reporting Services Report Viewer .

C2WTS krävs också med SQL Server Reporting Services SharePoint-läge om du vill använda Windows-autentisering för datakällor som ligger utanför SharePoint-servergruppen. C2WTS krävs även om dina datakällor finns på samma dator som den delade tjänsten. I det här scenariot behövs dock inte begränsad delegering.

Not

Reporting Services-integrering med SharePoint är inte längre tillgängligt efter SQL Server 2016.

Webbdelskonfiguration för rapportvisningsprogram (inbyggt läge)

Webbdelen Rapportgranskare är en anpassad webbdel som kan användas för att visa SQL Server Reporting Services-rapporter (inbyggt läge) på din SharePoint-webbplats. Du kan använda webbdelen för att visa, navigera, skriva ut och exportera rapporter på en rapportserver. Webbdelen Rapportgranskare är associerad med rapportdefinitionsfiler (.rdl) som bearbetas av en SQL Server Reporting Services-rapportserver eller en Power BI-rapportserver. Den här webbdelen i Rapportgranskaren kan inte användas med Power BI-rapporter som finns i Power BI-rapportservern.

SharePoint Server 2013, SharePoint Server 2016 och SharePoint Server 2019 använder alla anspråksautentisering. Därför måste C2WTS konfigureras korrekt och Reporting Services måste konfigureras för Kerberos-autentisering för att rapporter ska kunna återges korrekt.

  1. Konfigurera din Reporting Services-instans (inbyggt läge) för Kerberos-autentisering genom att fastställa SSRS-tjänstkontot, ange ett SPN och uppdatera filen rsreportserver.config för att använda RSWindowsNegotiate Authentication Type. Registrera ett tjänsthuvudnamn (SPN) för en rapportserver

  2. Följ stegen från Steg som krävs för att konfigurera c2WTS

Integrering av SharePoint-läge

Det här avsnittet gäller endast FÖR SQL Server 2016 Reporting Services och tidigare.

SharePoint-anspråk till Windows Token Service (C2WTS) krävs med SQL Server Reporting Services SharePoint-läge om du vill använda Windows-autentisering för datakällor som ligger utanför SharePoint-farmen. Det här kravet gäller även om användaren kommer åt datakällorna med Windows-autentisering, eftersom kommunikationen mellan webbklientdelen (WFE) och den delade Reporting Services-tjänsten alltid är anspråksautentisering.

Steg som krävs för att konfigurera c2WTS

De token som skapas av C2WTS fungerar endast med begränsad delegering (begränsar till specifika tjänster) och konfigurationsalternativet "med valfritt autentiseringsprotokoll"(Protokollövergång).

Om din miljö använder Kerberos-begränsad delegering måste SharePoint Server-tjänsten och externa datakällor finnas i samma Windows-domän. Alla tjänster som förlitar sig på tjänsten Anspråk på Windows-token (c2WTS) måste använda Kerberos begränsad delegering så att c2WTS kan använda Kerberos-protokollövergång för att översätta anspråk till Windows-autentiseringsuppgifter. Dessa krav gäller för alla Delade SharePoint-tjänster. Mer information finns i Planera för Kerberos-autentisering i SharePoint 2013.

  1. Konfigurera C2WTS-tjänstdomänkontot.

    Som bästa praxis bör C2WTS köras under sin egen domänidentitet.

    • Skapa ett Active Directory-konto och registrera kontot som ett hanterat konto i SharePoint Server.

    • Konfigurera C2WTS-tjänsten för att använda det hanterade kontot via SharePoint Central Administration > Security > Konfigurera tjänstkonton > Windows Service – Anspråk på Windows Token Service

    Lägg till C2WTS-tjänstkontot i den lokala gruppen Administratörer på varje server som du vill använda med C2WTS. För webbdelen Report Viewerär dessa servrar WFE-servrar (Web Front End). För SharePoint-integrerat lägeär dessa servrar de programservrar där Reporting Services-tjänsten körs.

    • Bevilja C2WTS-kontot följande behörigheter i den lokala säkerhetsprincipen under Lokala principer > tilldelning av användarrättigheter:
      • Agera som en del av operativsystemet
      • Personifiera en klient efter autentisering
      • Logga in som en tjänst

  2. Konfigurera delegering för C2WTS-tjänstkontot.

    Kontot behöver begränsad delegering med protokollövergång och behörigheter för att delegera till de tjänster som det behöver kommunicera med (det vill: SQL Server Database Engine, SQL Server Analysis Services). För att konfigurera delegering kan du använda snapin-modulen Active Directory-användare och datorer; du måste vara domänadministratör.

    Viktig

    De inställningar som du konfigurerar för C2WTS-tjänstkontot måste matcha huvudtjänstkontot som används på fliken Delegering. För webbdelen Report Viewerblir detta tjänstkontot för SharePoint-webbprogrammet. För SharePoint-integrerat lägeär detta Reporting Services-tjänstkontot.

    Om du till exempel tillåter att C2WTS-tjänstkontot delegerar till en SQL-tjänst måste du göra samma sak på Reporting Services-tjänstkontot för integrerat SharePoint-läge.

    • Högerklicka på varje tjänstkonto och öppna dialogrutan egenskaper. Använd i dialogrutan fliken Delegering.

      Delegeringsfliken visas endast om objektet har tilldelats ett SPN (Service Principal Name). C2WTS kräver inte ett SPN på C2WTS-kontot, men utan ett SPN visas inte fliken delegering. Ett annat sätt att konfigurera begränsad delegering är att använda ett verktyg som ADSIEdit.

    • De här alternativen för nyckelkonfiguration finns på fliken Delegering:

      • Välj Lita på den här användaren för delegering till angivna tjänster endast
      • Välj Använd valfritt autentiseringsprotokoll

    • Välj Lägg till för att lägga till en tjänst att delegera till.

    • Välj Användare eller datorer...* och ange det konto som är värd för tjänsten. Om till exempel en SQL Server körs under ett konto med namnet sqlserviceanger du sqlservice. För webbdelen Report Viewerär det här kontot tjänstkontot för Reporting Services-instansen (inbyggt läge).

    • Välj tjänstlistan. Det här valet visar de SPN:er som är tillgängliga för det kontot. Om du inte ser tjänsten som anges för det kontot kanske den saknas eller placeras på ett annat konto. du kan använda SetSPN-verktyget för att justera SPN. För webbdelen Report Viewerser du HTTP SPN:et som konfigurerats i konfigurationen för Report Viewer-webbdelen.

    • Välj OK för att komma ut ur dialogrutorna.

  3. Konfigurera C2WTS AllowedCallers.

    C2WTS kräver "anroparnas" identiteter som uttryckligen anges i konfigurationsfilen C2WTShost.exe.config. C2WTS accepterar inte begäranden från alla autentiserade användare i systemet om du inte konfigurerar det för att göra det. I det här fallet är "anroparen" gruppen WSS_WPG Windows. Filen C2WTShost.exe.config sparas på följande plats:

    När du ändrar tjänstkontot i SharePoint Central Admin lägger du till det kontot i gruppen WSS_WPG för C2WTS-tjänsten.

    \Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    I följande exempel visas hur konfigurationsfilen kan se ut:

    <configuration>
  <windowsTokenService>
    <!--  
        By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
        Add the identities you wish to allow below.  
      -->
    <allowedCallers>
      <clear/>
      <add value="WSS_WPG" />
    </allowedCallers>
  </windowsTokenService>
</configuration>

  4. Starta (stoppa och starta om de redan har startats) anspråk på Windows Token Service via Central Administration av SharePoint på sidan Hantera tjänster på server. Tjänsten ska startas på den server som utför åtgärden. Om du till exempel har en server som är en WFE och en annan server som är en programserver som har den delade SQL Server Reporting Services-tjänsten igång behöver du bara starta C2WTS på programservern. C2WTS krävs endast på en WFE-server om du kör webbdelen Rapportgranskare.

Fler frågor? Ställ en fråga på Reporting Services-forumet.