Come configurare Excel Services in SharePoint Server 2010 per l'autenticazione Kerberos

  • Articolo
  • Si applica a:
    Excel Services in SharePoint Server 2010

Introduzione

Questo articolo descrive come configurare Excel Services in Microsoft SharePoint Server 2010 per l'autenticazione Kerberos.

Ulteriori informazioni

Per altre informazioni su come configurare la delega vincolata Kerberos per consentire al servizio di aggiornare i dati in un foglio di lavoro da un'origine dati SQL Server esterna, seguire questa procedura:

  1. Creare Excel Services account del servizio.

    Come procedura consigliata, Excel Services deve essere eseguito con la propria identità di dominio. Per configurare l'applicazione di servizio Excel, è necessario creare un account active directory. Ad esempio, si creano gli account seguenti:

    Servizio SharePoint Server Identità del pool di applicazioni IIS
    Servizio SharePoint Server Identità del pool di applicazioni IIS
    Excel Services vmlab\svcExcel

  2. Configurare un nome dell'entità servizio (SPN) nell'account del servizio Excel Services.

    È necessario configurare la delega vincolata Kerberos se Excel Services delega l'identità del client a un'origine dati back-end. Ad esempio, se Excel Services esegue query su dati da un database transazionale SQL, è necessario disporre della delega Kerberos.

    Per configurare la delega Kerberos viene utilizzato in genere lo snap-in MMC Utenti e computer di Active Directory. Per configurare le impostazioni di delega all'interno dello snap-in, l'oggetto Active Directory configurato deve avere un nome SPN applicato. In caso contrario, la scheda di delega per l'oggetto non sarà visibile nella finestra di dialogo delle proprietà dell'oggetto. Anche se Excel Services non richiede un nome SPN per funzionare, è necessario configurare uno a questo scopo.

    A tale scopo, digitare il comando seguente nella riga di comando e quindi premere INVIO:

    SETSPN -S SP/ExcelServices

    Nota

    Il nome SPN non è un nome SPN valido. Viene applicato all'account del servizio specificato per visualizzare le opzioni di delega nel componente aggiuntivo Utenti e computer di Active Directory. Esistono altri metodi supportati per specificare le impostazioni di delega (in particolare, l'attributo msDS-AllowedToDelegateTo Active Directory). Tuttavia, questo articolo non descrive questi metodi.

  3. Configurare la delega vincolata Kerberos per Excel Services.

    Per consentire a Excel Services di delegare l'identità dei client, è necessario configurare la delega vincolata Kerberos. È necessario configurare la delega vincolata con la transizione del protocollo per convertire i token delle attestazioni in token windows usando WIF C2WTS.

    Ogni server che esegue Excel Services deve essere considerato attendibile per delegare le credenziali a ogni servizio back-end a cui Excel esegue l'autenticazione. È inoltre necessario configurare l'account del servizio Excel Services per consentire la delega agli stessi servizi back-end.

    Ad esempio, si definiscono i percorsi di delega seguenti:

    Tipo entità Nome entità Delega al servizio
    Utente svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *Utente svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **Computer VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    * Configurato successivamente in questo scenario

    ** Necessario solo se Attestazioni per il servizio token Windows viene eseguito come sistema locale

    Per configurare la delega vincolata, seguire questa procedura:

    1. Aprire le proprietà dell'oggetto Active Directory in Utenti e computer di Active Directory.

    2. Passare alla scheda Delega.

    3. Selezionare Utente attendibile per la delega solo ai servizi specificati.

    4. Selezionare Utilizza un qualsiasi protocollo di autenticazione. Questa azione abilita la transizione del protocollo ed è necessaria per consentire all'account del servizio di usare C2WTS.

    5. Fare clic sul pulsante Aggiungi per selezionare l'entità servizio consentita per la delega.

    6. Selezionare Utenti e computer.

    7. Selezionare l'account del servizio che esegue il servizio a cui si vuole delegare. Nell'esempio precedente si tratta dell'account del servizio SQL.

      Nota

      All'account del servizio selezionato deve essere applicato un nome SPN. Nell'esempio precedente, l'SPN per questo account è stato configurato in un passaggio precedente.

    8. Fare clic su OK. Viene chiesto di selezionare i nomi SPN a cui si vuole delegare nella schermata seguente.

    9. Selezionare i servizi per il cluster SQL e quindi fare clic su OK.

    10. Verrà ora visualizzato il nome SPNS selezionato nell'elenco Servizi a cui l'account può presentare credenziali delegate.

    11. Ripetere questi passaggi per ogni percorso di delega definito all'inizio di questa sezione.

  4. Avviare l'istanza del servizio Excel Services nel server Excel Services.

    Prima di creare un'applicazione di servizio Excel Services, avviare il servizio Excel Services nei server farm designati. A tal fine, attenersi alla seguente procedura:

    1. Aprire Amministrazione centrale.
    2. In Servizi selezionare Gestisci servizi nel server.
    3. Nella casella di selezione del server nell'angolo in alto a destra selezionare i server in esecuzione Excel Services. Nell'esempio precedente il server è VMSP10APP01.
    4. Avviare il servizio Servizi di calcolo Excel.

  5. Creare l'applicazione di servizio Excel Services e il proxy dell'applicazione per consentire alle applicazioni Web di elaborare Excel Services. A tal fine, attenersi alla seguente procedura:

    1. Aprire Amministrazione centrale.
    2. Selezionare Gestisci applicazioni di servizio in Gestione applicazioni.
    3. Selezionare Nuova e quindi fare clic su Applicazione Excel Services.
    4. Configurare la nuova applicazione di servizio. Assicurarsi di selezionare l'account di servizio corretto (se l'account del servizio Excel non è incluso nell'elenco, creare un nuovo account gestito).

  6. Configurare il percorso del file attendibile Excel Services e le impostazioni di autenticazione.

    Dopo aver creato l'applicazione Excel Services, è necessario configurare le proprietà nella nuova applicazione di servizio per specificare un percorso host attendibile e le impostazioni di autenticazione. A tal fine, attenersi alla seguente procedura:

    1. Aprire Amministrazione centrale.

    2. Selezionare Gestisci applicazioni di servizio in Gestione applicazioni.

    3. Fare clic sul collegamento per la nuova applicazione di servizio. Nell'esempio precedente fare clic su Excel Services.

    4. Nella pagina di gestione Excel Services fare clic su Percorsi file attendibili.

    5. Aggiungere un nuovo percorso attendibile di file.

    6. Impostare il percorso del file attendibile sulla libreria di test.

      Nota

      Nell'esempio precedente, l'URL dell'applicazione Web radice e tutti gli elementi figlio sono attendibili. In un ambiente di produzione è possibile scegliere di limitare il livello di attendibilità.

    7. In Dati esterni selezionare Librerie di connessione dati attendibili e incorporate.

      Nota

      L'esempio precedente usa una connessione incorporata per connettersi a SQL Server. Nell'ambiente è possibile selezionare di creare un file di connessione separato e archiviarlo in una libreria di connessione dati attendibile. In questo caso, selezionare Solo librerie di connessione dati attendibili.

    8. Modificare la durata della cache dei dati esterni. Per i test, è utile modificare la durata della cache dei dati esterni per assicurarsi che gli aggiornamenti dei dati provengano dall'origine dati e non dalla cache. In Dati esterni modificare le impostazioni seguenti:

      Aggiornamento automatico(periodico /on-open) = 0

      Aggiornamento manuale = 0

      Nota

      In un ambiente di produzione è necessario configurare un'impostazione di cache maggiore di 0. L'impostazione della cache su 0 è solo per il test.

  7. Concedere le autorizzazioni dell'account del servizio Excel Services nel database del contenuto dell'applicazione Web.

    Per configurare le applicazioni Web di SharePoint Server 2010, è necessario abilitare l'accesso dell'account di servizio dell'applicazione Web ai database del contenuto per una determinata applicazione Web. Ad esempio, concedere all'account del servizio Excel Services l'accesso al database del contenuto dell'applicazione Web "portale" usando Windows PowerShell.

    A tale scopo, eseguire il comando seguente da SharePoint 2010 Management Shell:

    $w = Get-SPWebApplication -Identity https://portal

$w.GrantAccessToProcessIdentity("vmlab\svcExcel")

Nota

Per altre informazioni sulla delega delle identità per Excel Services, visitare il sito Web Microsoft TechNet seguente:

Delega dell'identità per Excel Services (SharePoint Server 2010)

Ulteriore assistenza Visitare la community di SharePoint.