通过

Claims to Windows Token Service (C2WTS) 和 Reporting Services

如果要对 SharePoint 场外部的数据源使用 Windows 身份验证,则需要使用 Reporting Services SharePoint 模式的 SharePoint 声明到 Windows 令牌服务(c2WTS)。 即使用户使用 Windows 身份验证访问数据源也是如此,因为 Web 前端(WFE)与 Reporting Services 共享服务之间的通信始终为声明身份验证。

即使数据源与共享服务位于同一台计算机上,也需要 c2WTS。 但是在这种情况下,不需要约束委派。

c2WTS 创建的令牌仅适用于受约束委派(仅限于特定服务)和配置选项“使用任何身份验证协议”。 如前所述,如果数据源与共享服务位于同一台计算机上,则不需要约束委派。

如果你的环境将使用 Kerberos 约束委派,则 SharePoint Server 服务和外部数据源需要驻留在同一 Windows 域中。 依赖于 Claims to Windows Token Service (c2WTS) 的所有服务都必须使用 Kerberos 约束 委派,以便允许 c2WTS 使用 Kerberos 协议转换将声明转换为 Windows 凭据。 这些规定适用于所有 SharePoint 共享服务。 有关详细信息,请参阅 Microsoft SharePoint 2010 产品的 Kerberos 身份验证概述(https://technet.microsoft.com/library/gg502594.aspx)

本主题汇总了该过程。
适用于: SharePoint 2013 | SharePoint 2010

先决条件

注释

注意:某些配置步骤可能会更改,或者在某些服务器场拓扑中不起作用。 例如,单个服务器安装不支持 Windows Identity Foundation c2WTS 服务,因此此场配置无法实现对 Windows 令牌委派方案的声明。

配置 c2WTS 所需的基本步骤

  1. 配置 c2WTS 服务帐户。 将服务帐户添加到运行 c2WTS 的每个应用程序服务器上的本地 Administrators 组。 此外,请验证帐户是否具有以下本地安全策略权限:

    • 以操作系统的方式操作

    • 在身份验证后模拟客户端

    • 作为服务登录

    你用于 c2WTS 的帐户还需要配置为支持协议转换的约束委派,并且需要获得与其通讯所需服务(例如 SQL Server 数据库引擎、SQL Server Analysis Services)的委派权限。若要配置委派,可以使用 Active Directory 用户和计算机管理单元。

    1. 右键单击各服务帐户并且打开“属性”对话框。 在对话框中,单击“ 委派 ”选项卡。

      注释

      注意:仅当对象分配有 SPN 时,委派选项卡才可见。c2WTS 不需要 c2WTS 帐户上的 SPN,但是,如果没有 SPN,“ 委派 ”选项卡将不可见。 配置约束委派的另一个方法是使用 ADSIEdit之类的实用工具。

    2. 委派选项卡上的关键配置选项如下:

      • 选择“仅信任此用户委派到指定服务”

      • 选择“使用任何身份验证协议”

      有关详细信息,请参阅以下白皮书的“为计算机和服务帐户配置 Kerberos 约束委派”部分, 为 SharePoint 2010 和 SQL Server 2008 R2 产品配置 Kerberos 身份验证

  2. 配置 c2WTS “AllowedCallers”

    c2WTS 要求配置文件中显式列出的“调用方”标识 ,c2wtshost.exe.config。c2WTS 不接受系统中所有经过身份验证的用户的请求,除非已将其配置为这样做。 在这种情况下,“调用方”是 windows 组WSS_WPG。 c2wtshost.exe.confi 文件保存在以下位置:

    \Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config

    下面是配置文件的示例:

    <configuration>  
  <windowsTokenService>  
    <!--  
        By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
        Add the identities you wish to allow below.  
      -->  
    <allowedCallers>  
      <clear/>  
      <add value="WSS_WPG" />  
    </allowedCallers>  
  </windowsTokenService>  
</configuration>

  3. 启动操作系统 c2WTS 服务:

    1. 将服务配置为使用在上一步中配置的服务帐户。

    2. 将启动类型更改为“自动”并启动服务。

  4. 启动 SharePoint“向 Windows 令牌服务声明”:在 “服务器上的管理服务 ”页面上通过 SharePoint 管理中心启动对 Windows 令牌服务的声明。 应在将执行作的服务器上启动该服务。 例如,如果服务器是 WFE,另一台服务器是运行 Reporting Services 共享服务的应用程序服务器,则只需在应用程序服务器上启动 c2WTS。 在 WFE 上不需要 c2WTS。

另请参阅

Windows 令牌服务的声明 (c2WTS) 概述https://msdn.microsoft.com/library/ee517278.aspx)
Microsoft SharePoint 2010 产品的 Kerberos 身份验证概述(https://technet.microsoft.com/library/gg502594.aspx)

  • Last updated on