Configuración de Excel Services en SharePoint Server 2010 para la autenticación Kerberos

Introducción

En este artículo se describe cómo configurar Excel Services en Microsoft SharePoint Server 2010 para la autenticación Kerberos.

Más información

Para obtener más información sobre cómo configurar la delegación restringida de Kerberos para permitir que el servicio actualice los datos de una hoja de cálculo desde un origen de datos externo SQL Server, siga estos pasos:

1. Cree Excel Services cuenta de servicio.

   Como procedimiento recomendado, Excel Services debe ejecutarse con su propia identidad de dominio. Para configurar la aplicación de servicio de Excel, debe crear una cuenta de Active Directory. Por ejemplo, cree las cuentas siguientes:

   Servicio de SharePoint Server	Identidad del grupo de aplicaciones de IIS
   Servicio de SharePoint Server	Identidad del grupo de aplicaciones de IIS
   Servicios de Excel	vmlab\svcExcel

2. Configure un nombre de entidad de seguridad de servicio (SPN) en la cuenta de servicio Excel Services.

   Debe configurar la delegación restringida de Kerberos si Excel Services delegará la identidad del cliente en un origen de datos back-end. Por ejemplo, si Excel Services consulta datos de una base de datos transaccional de SQL, debe tener delegación kerberos.

   El complemento MMC para equipos y usuarios de Active Directory se usa normalmente para configurar la delegación Kerberos. Para configurar los valores de delegación en el complemento, el objeto de Active Directory que se está configurando debe tener aplicado un SPN. De lo contrario, la pestaña de delegación del objeto no estará visible en el cuadro de diálogo de propiedades del objeto. Aunque Excel Services no requiere que funcione un SPN, debe configurar uno para este fin.

   Para ello, escriba el siguiente comando en la línea de comandos y presione Entrar:

   SETSPN -S SP/ExcelServices
   

   Nota:

   Este SPN no es un SPN válido. Se aplica a la cuenta de servicio especificada para mostrar las opciones de delegación en el complemento Usuarios y equipos de Active Directory. Hay otros métodos admitidos para especificar la configuración de delegación (en concreto, el atributo msDS-AllowedToDelegateTo Active Directory). Sin embargo, en este artículo no se describen estos métodos.

3. Configure la delegación restringida de Kerberos para Excel Services.

   Para habilitar Excel Services para delegar la identidad de los clientes, debe configurar la delegación restringida de Kerberos. Debe configurar la delegación restringida con la transición de protocolo para convertir tokens de notificaciones en tokens de Windows mediante WIF C2WTS.

   Cada servidor que ejecuta Excel Services debe ser de confianza para delegar credenciales en cada servicio back-end al que Excel se autentica. Además, debe configurar la cuenta de servicio Excel Services para permitir la delegación a los mismos servicios back-end.

   Por ejemplo, defina las siguientes rutas de delegación:

   Tipo de entidad de seguridad	Nombre principal	Delegados en servicio
   Usuario	svcExcel	MSSQLSVC/MySqlCluster.vmlab.local:1433
   *Usuario	svcC2WTS	MSSQLSVC/MySqlCluster.vmlab.local:1433
   **Computadora	VMSP10APP01 MSSQLSVC/	MySqlCluster.vmlab.local:1433

   * Se configura más adelante en este escenario

   ** Solo se requiere si C2WTS se ejecuta como sistema local

   Para configurar la delegación restringida, siga estos pasos:

   1. Abra las propiedades del objeto de Active Directory en Usuarios y equipos de Active Directory.

   2. Vaya a la pestaña Delegación.

   3. Seleccione Confiar en este usuario para la delegación sólo a los servicios especificados.

   4. Seleccione Usar cualquier protocolo de autenticación. Esta acción habilita la transición de protocolo y es necesaria para que la cuenta de servicio use el C2WTS.

   5. Haga clic en el botón Agregar para seleccionar la entidad de servicio a la que se puede delegar.

   6. Seleccione Usuarios y equipos.

   7. Seleccione la cuenta de servicio que ejecuta el servicio al que desea delegar. En el ejemplo anterior, es la cuenta de servicio del servicio SQL.

      Nota:

      La cuenta de servicio seleccionada debe tener un SPN aplicado. En el ejemplo anterior, el SPN de esta cuenta se configuró en un paso anterior.

   8. Haga clic en Aceptar. Se le pedirá que seleccione los SPN a los que desea delegar en la pantalla siguiente.

   9. Seleccione los servicios del clúster de SQL y, a continuación, haga clic en Aceptar.

   10. Ahora debería ver el SPNS seleccionado en los servicios a los que esta cuenta puede presentar la lista de credenciales delegadas.

   11. Repita estos pasos para cada ruta de acceso de delegación definida al principio de esta sección.

4. Inicie la instancia de servicio Excel Services en el servidor de Excel Services.

   Antes de crear una aplicación de servicio Excel Services, inicie el servicio Excel Services en los servidores de granja designados. Para ello, siga estos pasos:

   1. Abra Administración central.
   2. Debajo de los servicios, seleccione Administrar servicios en el servidor.
   3. En el cuadro de selección del servidor de la esquina superior derecha, seleccione los servidores que ejecutan Excel Services. En el ejemplo anterior, el servidor se VMSP10APP01.
   4. Inicie el servicio Excel Calculation Services.

5. Cree la aplicación de servicio Excel Services y el proxy de aplicación para permitir que las aplicaciones web procesen Excel Services. Para ello, siga estos pasos:

   1. Abra Administración central.
   2. Seleccione Administrar aplicaciones de servicio en Administración de aplicaciones.
   3. Seleccione Nueva y, a continuación, haga clic en Aplicación de Servicios de Excel.
   4. Configure la nueva aplicación de servicio. Asegúrese de seleccionar la cuenta de servicio correcta (si la cuenta de servicio de Excel no está en la lista, cree una nueva cuenta administrada).

6. Configure la ubicación del archivo de confianza Excel Services y la configuración de autenticación.

   Una vez creada la aplicación Excel Services, debe configurar las propiedades de la nueva aplicación de servicio para especificar una ubicación de host de confianza y la configuración de autenticación. Para ello, siga estos pasos:

   1. Abra Administración central.

   2. Seleccione Administrar aplicaciones de servicio en Administración de aplicaciones.

   3. Haga clic en el vínculo de la nueva aplicación de servicio. En el ejemplo anterior, haga clic en Excel Services.

   4. En la página de administración de Excel Services, haga clic en Ubicaciones de archivos de confianza.

   5. Agregue una nueva ubicación de archivos de confianza.

   6. Establezca la ubicación del archivo de confianza en la biblioteca de pruebas.

      Nota:

      En el ejemplo anterior, la dirección URL de la aplicación web raíz y todos los elementos secundarios son de confianza. En un entorno de producción, puede seleccionar restringir el nivel de confianza.

   7. En Datos externos, seleccione Bibliotecas de conexión de datos de confianza e incrustadas.

      Nota:

      En el ejemplo anterior se usa una conexión incrustada para conectarse a SQL Server. En el entorno, puede seleccionar crear un archivo de conexión independiente y almacenarlo en una biblioteca de conexiones de datos de confianza. En esta situación, seleccione Solo bibliotecas de conexión de datos de confianza.

   8. Cambie la duración de la caché de datos externa. Para las pruebas, es conveniente cambiar la duración de la caché de datos externa para asegurarse de que las actualizaciones de datos proceden del origen de datos y no de la memoria caché. En Datos externos, cambie la siguiente configuración:

      Actualización automática (periódica / abierta) = 0

      Actualización manual = 0

      Nota:

      En un entorno de producción, debe configurar una configuración de caché que sea mayor que 0. Establecer la memoria caché en 0 es solo para pruebas.

7. Conceda a la cuenta de servicio Excel Services permisos en la base de datos de contenido de la aplicación web.

   Debe habilitar el acceso de la cuenta de servicio de la aplicación web a las bases de datos de contenido de una aplicación web determinada para configurar Aplicaciones web de Office de SharePoint Server 2010. Por ejemplo, conceda a la cuenta de servicio Excel Services acceso a la base de datos de contenido de la aplicación web "portal" mediante Windows PowerShell.

   Para ello, ejecute el siguiente comando desde el Shell de administración de SharePoint 2010:

   $w = Get-SPWebApplication -Identity https://portal
   
   $w.GrantAccessToProcessIdentity("vmlab\svcExcel")
   

Delegación de identidad para Servicios de Excel (SharePoint Server 2010)

¿Aún necesita ayuda? Visite Comunidad de SharePoint.