Comment configurer Excel Services dans SharePoint Server 2010 pour l’authentification Kerberos

  • Article
  • S’applique à:
    Excel Services in SharePoint Server 2010

Introduction

Cet article explique comment configurer Excel Services dans Microsoft SharePoint Server 2010 pour l’authentification Kerberos.

Informations supplémentaires

Pour plus d’informations sur la configuration de la délégation Kerberos contrainte pour permettre au service de mettre à jour les données d’une feuille de calcul à partir d’une source de données SQL Server externe, procédez comme suit :

  1. Créez Excel Services compte de service.

    En guise de meilleure pratique, Excel Services doit s’exécuter sous sa propre identité de domaine. Pour configurer l’application Excel Service, vous devez créer un compte Active Directory. Par exemple, vous créez les comptes suivants :

    SharePoint Server Service Identité de pool d’applications IIS
    SharePoint Server Service Identité de pool d’applications IIS
    Excel Services vmlab\svcExcel

  2. Configurez un nom de principal de service (SPN) sur le compte de service Excel Services.

    Vous devez configurer la délégation Kerberos contrainte si Excel Services délègue l’identité du client à une source de données principale. Par exemple, si Excel Services interroge des données à partir d’une base de données transactionnelle SQL, vous devez disposer d’une délégation Kerberos.

    Le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory est généralement utilisé pour configurer la délégation Kerberos. Pour configurer les paramètres de délégation dans le composant logiciel enfichable, un SPN doit être appliqué à l’objet Active Directory en cours de configuration. Sinon, l’onglet délégation de l’objet ne sera pas visible dans la boîte de dialogue des propriétés de l’objet. Bien que Excel Services ne nécessite pas de SPN pour fonctionner, vous devez en configurer un à cet effet.

    Pour ce faire, tapez la commande suivante sur la ligne de commande, puis appuyez sur Entrée :

    SETSPN -S SP/ExcelServices

    Remarque

    Ce SPN n’est pas un SPN valide. Il est appliqué au compte de service spécifié pour afficher les options de délégation dans le complément Utilisateurs et ordinateurs Active Directory. Il existe d’autres méthodes prises en charge pour spécifier les paramètres de délégation (en particulier, l’attribut Active Directory msDS-AllowedToDelegateTo). Toutefois, cet article ne décrit pas ces méthodes.

  3. Configurez la délégation Kerberos contrainte pour Excel Services.

    Pour permettre à Excel Services de déléguer l’identité des clients, vous devez configurer la délégation Kerberos contrainte. Vous devez configurer la délégation contrainte avec transition de protocole afin de convertir des jetons de revendications en jetons Windows à l’aide de WIF C2WTS.

    Chaque serveur qui exécute Excel Services doit être approuvé pour déléguer les informations d’identification à chaque service principal auprès lequel Excel s’authentifie. En outre, vous devez configurer le compte de service Excel Services pour autoriser la délégation aux mêmes services principaux.

    Par exemple, vous définissez les chemins de délégation suivants :

    Type principal Nom principal Délègue au service
    Utilisateur svcExcel MSSQLSVC/MySqlCluster.vmlab.local :1433
    *Utilisateur svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local :1433
    **Ordinateur VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local :1433

    * Configuré ultérieurement dans ce scénario

    ** Obligatoire uniquement si le C2WTS s’exécute en tant que système local

    Pour configurer la délégation contrainte, procédez comme suit :

    1. Ouvrez les propriétés de l’objet Active Directory dans Utilisateurs et ordinateurs Active Directory.

    2. Accédez à l’onglet Délégation.

    3. Sélectionnez N’approuver cet utilisateur que pour la délégation aux services spécifiés.

    4. Sélectionnez Utiliser tout protocole d’authentification. Cette action permet la transition de protocole et est requise pour que le compte de service utilise le C2WTS.

    5. Cliquez sur le bouton Ajouter pour sélectionner le principal de service autorisé à déléguer.

    6. Sélectionnez Utilisateurs et ordinateurs.

    7. Sélectionnez le compte de service qui exécute le service auquel vous souhaitez déléguer. Dans l’exemple précédent, il s’agit du compte de service pour le service SQL.

      Remarque

      Un SPN doit être appliqué au compte de service sélectionné. Dans l’exemple précédent, le SPN de ce compte a été configuré à l’étape précédente.

    8. Cliquez sur OK. Vous êtes invité à sélectionner les SPN auxquels vous souhaitez déléguer sur l’écran suivant.

    9. Sélectionnez les services pour le cluster SQL, puis cliquez sur OK.

    10. Vous devez maintenant voir le SPNS sélectionné dans la liste Services auxquels ce compte peut présenter des informations d’identification déléguées.

    11. Répétez ces étapes pour chaque chemin de délégation défini au début de cette section.

  4. Démarrez l’instance du service Excel Services sur le serveur Excel Services.

    Avant de créer une application de service Excel Services, démarrez le service Excel Services sur les serveurs de batterie de serveurs désignés. Pour cela, procédez comme suit :

    1. Ouvrez Administration centrale.
    2. Sous Services, sélectionnez Gérer les services sur le serveur.
    3. Dans la zone de sélection du serveur dans le coin supérieur droit, sélectionnez le ou les serveurs qui exécutent Excel Services. Dans l’exemple précédent, le serveur est VMSP10APP01.
    4. Démarrez le service Services de calcul Excel.

  5. Créez l’application de service Excel Services et le proxy d’application pour permettre aux applications web de traiter Excel Services. Pour cela, procédez comme suit :

    1. Ouvrez Administration centrale.
    2. Sélectionnez Gérer les applications de service sous Gestion des applications.
    3. Sélectionnez Nouveau, puis cliquez sur Excel Services Application.
    4. Configurez la nouvelle application de service. Veillez à sélectionner le compte de service approprié (si le compte Excel Service ne figure pas dans la liste, créez un compte managé).

  6. Configurez l’emplacement du fichier approuvé Excel Services et les paramètres d’authentification.

    Une fois l’application Excel Services créée, vous devez configurer les propriétés sur la nouvelle application de service pour spécifier un emplacement hôte approuvé et les paramètres d’authentification. Pour cela, procédez comme suit :

    1. Ouvrez Administration centrale.

    2. Sélectionnez Gérer les applications de service sous Gestion des applications.

    3. Cliquez sur le lien correspondant à la nouvelle application de service. Dans l’exemple précédent, cliquez sur Excel Services.

    4. Dans la page de gestion Excel Services, cliquez sur Emplacements de fichiers approuvés.

    5. Ajoutez un nouvel emplacement de fichier approuvé.

    6. Définissez l’emplacement du fichier approuvé sur votre bibliothèque de test.

      Remarque

      Dans l’exemple précédent, l’URL de l’application web racine et tous les enfants sont approuvés. Dans un environnement de production, vous pouvez choisir de limiter le niveau de confiance.

    7. Dans Données externes, sélectionnez Bibliothèques de connexions de données approuvées et incorporées.

      Remarque

      L’exemple précédent utilise une connexion incorporée pour se connecter à SQL Server. Dans votre environnement, vous pouvez choisir de créer un fichier de connexion distinct et de le stocker dans une bibliothèque de connexions de données approuvée. Dans ce cas, sélectionnez Bibliothèques de connexions de données approuvées uniquement.

    8. Modifier la durée de vie du cache de données externes. Pour les tests, il est pratique de modifier la durée de vie du cache de données externes pour vous assurer que les mises à jour de données proviennent de la source de données et non du cache. Sous Données externes, modifiez les paramètres suivants :

      Actualisation automatique (périodique / ouvert) = 0

      Actualisation manuelle = 0

      Remarque

      Dans un environnement de production, vous devez configurer un paramètre de cache supérieur à 0. Définir le cache sur 0 est à des fins de test uniquement.

  7. Accordez les autorisations de compte de service Excel Services sur la base de données de contenu de l’application web.

    Vous devez activer l’accès du compte de service de l’application web aux bases de données de contenu pour une application web donnée afin de configurer Les applications web Office SharePoint Server 2010. Par exemple, accordez au compte de service Excel Services l’accès à la base de données de contenu de l’application web « portail » à l’aide de Windows PowerShell.

    Pour ce faire, exécutez la commande suivante à partir de SharePoint 2010 Management Shell :

    $w = Get-SPWebApplication -Identity https://portal

$w.GrantAccessToProcessIdentity("vmlab\svcExcel")

Remarque

Pour plus d’informations sur la délégation d’identité pour Excel Services, accédez au site web Microsoft TechNet suivant :

Délégation d’identité pour Excel Services (SharePoint Server 2010)

Encore besoin d’aide ? Accédez au site de la Communauté SharePoint.