Service d'émission de jetons Revendications vers Windows (C2WTS) et Reporting Services

Le service de conversion des revendications SharePoint en jetons Windows (c2WTS) est requis lorsque vous utilisez le mode SharePoint de Reporting Services si vous souhaitez utiliser l’authentification Windows pour les sources de données situées en dehors de la batterie de serveurs SharePoint. Cela est vrai même si l’utilisateur accède aux sources de données avec l’authentification Windows, car la communication entre le serveur web frontal (WFE) et le service partagé Reporting Services est toujours l’authentification par revendications.

c2WTS est nécessaire même si vos sources de données se trouvent sur le même ordinateur que le service partagé. Toutefois, dans ce scénario, la délégation contrainte n’est pas nécessaire.

Les jetons créés par c2WTS fonctionnent uniquement avec la délégation contrainte (limite les services spécifiques) et l’option de configuration « à l’aide d’un protocole d’authentification ». Comme indiqué précédemment, si vos sources de données se trouvent sur le même ordinateur que le service partagé, la délégation contrainte n’est pas nécessaire.

Si votre environnement utilise la délégation Kerberos contrainte, le service SharePoint Server et les sources de données externes doivent résider dans le même domaine Windows. Tout service qui s’appuie sur le service d’émission de jetons Revendications vers Windows (C2WTS) doit utiliser la délégation contrainte Kerberos pour permettre à C2WTS d’utiliser une transition de protocole Kerberos dans la conversion de revendications en informations d’identification Windows. Ces exigences s'appliquent à tous les services partagés SharePoint. Pour plus d’informations, consultez Vue d’ensemble de l’authentification Kerberos pour les produits Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx).

La procédure est résumée dans cette rubrique.

Conditions préalables

Étapes de base nécessaires pour configurer c2WTS

1. Configurez le compte de service c2WTS. Ajoutez le compte de service au groupe Administrateurs local sur chaque serveur d’applications exécutant c2WTS. En outre, vérifiez que le compte dispose des droits de stratégie de sécurité locale suivants :

   • Agir en tant que partie du système d'exploitation

   • Emprunter l'identité d'un client après authentification

   • Ouvrir une session en tant que service

   Le compte que vous utilisez pour c2WTS doit également être configuré pour la délégation contrainte avec transition de protocole et doit disposer d’autorisations pour déléguer aux services qu’il est nécessaire de communiquer avec (i.e. SQL moteur de serveur, SQL Server Analysis Services). Pour configurer la délégation, vous pouvez utiliser le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

   1. Cliquez avec le bouton droit sur chaque compte de service et ouvrez la boîte de dialogue des propriétés. Dans la boîte de dialogue, cliquez sur l’onglet Délégation .

      Remarque

      Remarque : l’onglet délégation n’est visible que si l’objet a un SPN lui attribué. c2WTS ne nécessite pas de SPN sur le compte c2WTS. Toutefois, sans spN, l’onglet Délégation ne sera pas visible. Une autre façon de configurer la délégation contrainte consiste à utiliser un utilitaire tel que ADSIEdit.

   2. Les principales options de configuration sous l’onglet délégation sont les suivantes :

      • Sélectionnez « Approuver cet utilisateur pour la délégation aux services spécifiés uniquement »

      • Sélectionnez « Utiliser n’importe quel protocole d’authentification »

      Pour plus d’informations, consultez la section « Configurer la délégation Kerberos contrainte pour les ordinateurs et les comptes de service » du livre blanc suivant, Configuration de l’authentification Kerberos pour les produits SharePoint 2010 et SQL Server 2008 R2

2. Configurer c2WTS pour « AllowedCallers »

   c2WTS requiert les identités « appelantes » explicitement répertoriées dans le fichier de configuration, c2wtshost.exe.config. c2WTS n’accepte pas les demandes de tous les utilisateurs authentifiés dans le système, sauf s’il est configuré pour le faire. Dans ce cas, l’appelant est le groupe WSS_WPG Windows. Le fichier .confi c2wtshost.exeest enregistré à l’emplacement suivant :

   \Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config

   Voici un exemple de fichier de configuration :

   <configuration>  
     <windowsTokenService>  
       <!--  
           By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
           Add the identities you wish to allow below.  
         -->  
       <allowedCallers>  
         <clear/>  
         <add value="WSS_WPG" />  
       </allowedCallers>  
     </windowsTokenService>  
   </configuration>  
   

3. Démarrez le service c2WTS du système d’exploitation :

   1. Configurez le service pour utiliser le compte de service que vous avez configuré à l’étape précédente.

   2. Remplacez le type de démarrage par « Automatique » et démarrez le service.

4. Démarrez le service SharePoint « Revendications vers le Service de Jetons Windows » : démarrez le service Revendications vers le Service de Jetons Windows via l’Administration centrale de SharePoint sur la page Gérer les services sur le serveur. Le service doit être démarré sur le serveur qui effectuera l’action. Par exemple, si vous avez un serveur qui est un serveur WFE et un autre serveur qui est un serveur d’applications qui dispose du service partagé Reporting Services en cours d’exécution, vous devez uniquement démarrer c2WTS sur le serveur d’applications. c2WTS n’est pas nécessaire sur le WFE.

Voir aussi

Vue d’ensemble des revendications du service de jeton Windows (c2WTS) (https://msdn.microsoft.com/library/ee517278.aspx)
Vue d’ensemble de l’authentification Kerberos pour les produits Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx)