對 Windows Token Service 的宣告 (C2WTS)

如果要對 SharePoint 伺服器陣列以外的資料來源使用 Windows 驗證，必須使用「SharePoint 對 Windows Token 服務的宣告」(C2WTS)。 使用者若是利用 Windows 驗證存取資料來源也是如此，因為 Web 前端 (WFE) 與 Reporting Services 共用服務之間的通訊皆會使用宣告驗證。

即使資料來源位於共用服務所在的同一部電腦上，也必須使用 C2WTS。 但此情況無須使用限制委派。

C2WTS 所建立的 Token 只可與限制委派 (僅限特定服務使用) 及組態選項 [使用任何驗證通訊協定] 並用。 如前文所述，資料來源與共用服務若是位在同一部電腦上，即無須使用限制委派。

如果您的環境將使用 Kerberos 限制委派，則 SharePoint Server 服務和內部資料來源必須位於相同的 Windows 網域。位於「對 Windows Token 服務的宣告」(C2WTS) 的所有服務都必須使用 Kerberos 限制委派，才能讓 C2WTS 使用 Kerberos 通訊協定轉換，將宣告轉譯到 Windows 認證中。 這些需求對於所有 SharePoint Shared 服務都是如此。 如需詳細資訊，請參閱 Microsoft SharePoint 2010 產品的 Kerberos 驗證概觀 (https://technet.microsoft.com/zh-tw/library/gg502594.aspx)。

以下僅為程序摘要，而不是詳細步驟的完整列表。

必要條件

[!附註]

注意：在某些伺服器陣列拓撲中，部分組態步驟可能會有所變更或無法使用。 例如單一伺服器安裝並不支援 Windows Identity Foundation C2WTS 服務，因此即無法在此伺服器陣列組態使用對 Windows Token 委派的宣告。

設定 C2WTS 所需的基本步驟

1. 設定您要用於 C2WTS 的服務帳戶時，需要下列本機原則權限：

   • 作為作業系統的一部分

   • 在驗證後模擬用戶端

   • 登入為服務

   設有通訊協定轉換之限制委派也須設定用於 C2WTS 的帳戶，除此之外還須具備委派給其所要通訊之服務 (如 SQL Server 引擎、SQL Server Analysis Services) 的權限。若要設定委派，可以使用 [Active Directory 使用者和電腦] 嵌入式管理單元。

   1. 以滑鼠右鍵按一下各服務帳戶，以開啟屬性對話方塊。 按一下對話方塊中的 [委派] 索引標籤。

      [!附註]

      注意：物件必須指派有 SPN，才會顯示委派索引標籤。 C2WTS 不需要 C2WTS 帳戶的 SPN，但若無 SPN，即不會顯示 [委派] 索引標籤。 另一種設定限制委派的方法是使用 ADSIEdit 一類的公用程式。

   2. 以下是 [委派] 索引標籤上的主要組態選項：

      • 選取 [信任這個使用者，但只委派指定的服務]。

      • 選取 [使用任何驗證通訊協定]。

      如需詳細資訊，請參閱白皮書 Configuring Kerberos authentication for SharePoint 2010 and SQL Server 2008 R2 products中的＜設定電腦與服務帳戶的 Kerberos 限制委派＞一節。

2. 設定 C2WTS 的 'AllowedCallers'

   C2WTS 的 'callers' 必須與組態檔 c2wtshost.exe.config 中所列者完全一致。 除非兩者設定一致，否則 C2WTS 將不接受系統中所有經過驗證之使用者的要求。 在此情況下，'caller' 將會是 WSS_WPG Windows 群組。 c2wtshost.exe.confi 檔案會儲存在下列位置：

   \Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config

   以下是組態檔的範例：

   <configuration>
     <windowsTokenService>
       <!--
           By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.
           Add the identities you wish to allow below.
         -->
       <allowedCallers>
         <clear/>
         <add value="WSS_WPG" />
       </allowedCallers>
     </windowsTokenService>
   </configuration>
   

3. 啟動作業系統的 C2WTS 服務：

   1. 將該服務設定成使用您在前述步驟中設定的服務帳戶。

   2. 將啟動類型變更為 [自動]，然後啟動該服務。

4. 啟動「SharePoint 對 Windows Token 服務的宣告」：從 [管理伺服器上的服務] 上的 SharePoint 管理中心啟動對 Windows Token 服務的宣告。 您應在要執行動作的伺服器上啟動該服務。 例如您有一部 WFE 伺服器及另一部執行 Reporting Services 共用服務的應用程式伺服器，就只需在應用程式伺服器上啟動 C2WTS。 WFE 並不需要 C2WTS。

請參閱

其他資源

Claims to Windows Token Service (c2WTS) 概觀 (https://msdn.microsoft.com/zh-tw/library/ee517278.aspx)

Microsoft SharePoint 2010 產品的 Kerberos 驗證概觀 (https://technet.microsoft.com/zh-tw/library/gg502594.aspx)