Jak skonfigurować Usługi programu Excel w programie SharePoint Server 2010 na potrzeby uwierzytelniania kerberos

  • Artykuł
  • Dotyczy:
    Excel Services in SharePoint Server 2010

Wprowadzenie

W tym artykule opisano sposób konfigurowania Usługi programu Excel w programie Microsoft SharePoint Server 2010 na potrzeby uwierzytelniania kerberos.

Więcej informacji

Aby uzyskać więcej informacji na temat konfigurowania ograniczonego delegowania protokołu Kerberos, aby umożliwić usłudze aktualizowanie danych w arkuszu z zewnętrznego źródła danych SQL Server, wykonaj następujące kroki:

  1. Utwórz konto usługi Usługi programu Excel.

    Najlepszym rozwiązaniem jest uruchomienie Usługi programu Excel w ramach własnej tożsamości domeny. Aby skonfigurować aplikację usługi programu Excel, musisz utworzyć konto usługi Active Directory. Na przykład utworzysz następujące konta:

    Usługa programu SharePoint Server Tożsamość puli aplikacji usług IIS
    Usługa programu SharePoint Server Tożsamość puli aplikacji usług IIS
    Usługi programu Excel vmlab\svcExcel

  2. Skonfiguruj główną nazwę usługi (SPN) na koncie usługi Usługi programu Excel.

    Należy skonfigurować ograniczone delegowanie protokołu Kerberos, jeśli Usługi programu Excel delegować tożsamość klienta do źródła danych zaplecza. Jeśli na przykład Usługi programu Excel wysyła zapytania o dane z transakcyjnej bazy danych SQL, musisz mieć delegowanie protokołu Kerberos.

    Przystawka Użytkownicy i komputery usługi Active Directory MMC jest zwykle używana do konfigurowania delegowania protokołu Kerberos. Aby skonfigurować ustawienia delegowania w przystawce, skonfigurowany obiekt usługi Active Directory musi mieć zastosowaną nazwę SPN. W przeciwnym razie karta delegowania obiektu nie będzie widoczna w oknie dialogowym właściwości obiektu. Mimo że Usługi programu Excel nie wymaga do działania nazwy SPN, należy ją skonfigurować w tym celu.

    W tym celu wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz Enter:

    SETSPN -S SP/ExcelServices

    Uwaga

    Ta nazwa SPN nie jest prawidłową nazwą SPN. Jest ono stosowane do określonego konta usługi w celu ujawnienia opcji delegowania w dodatku Użytkownicy i komputery usługi Active Directory. Istnieją inne obsługiwane metody określania ustawień delegowania (w szczególności atrybut msDS-AllowedToDelegateTo Active Directory). Jednak w tym artykule nie opisano tych metod.

  3. Skonfiguruj ograniczone delegowanie protokołu Kerberos dla Usługi programu Excel.

    Aby umożliwić Usługi programu Excel delegowanie tożsamości klientów, należy skonfigurować ograniczone delegowanie protokołu Kerberos. Aby przekonwertować tokeny oświadczeń na tokeny systemu Windows przy użyciu usługi WIF C2WTS, należy skonfigurować ograniczone delegowanie z przejściem na protokół.

    Każdy serwer z systemem Usługi programu Excel musi być zaufany, aby delegować poświadczenia do każdej usługi zaplecza uwierzytelnianej przez program Excel. Ponadto należy skonfigurować konto usługi Usługi programu Excel, aby zezwolić na delegowanie do tych samych usług zaplecza.

    Na przykład należy zdefiniować następujące ścieżki delegowania:

    Typ podmiotu zabezpieczeń Nazwa podmiotu zabezpieczeń Delegaci do usługi
    Użytkownik svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *Użytkownika svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **Komputerze VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    * Skonfigurowano w dalszej części tego scenariusza

    ** Wymagane tylko wtedy, gdy C2WTS działa jako system lokalny

    Aby skonfigurować ograniczone delegowanie, wykonaj następujące kroki:

    1. Otwórz właściwości obiektu usługi Active Directory w Użytkownicy i komputery usługi Active Directory.

    2. Przejdź do karty Delegowanie.

    3. Wybierz pozycję Ufaj temu użytkownikowi w celu delegowania tylko do określonych usług.

    4. Wybierz pozycję Użyj dowolnego protokołu uwierzytelniania. Ta akcja umożliwia przejście protokołu i jest wymagana, aby konto usługi korzystało z usługi C2WTS.

    5. Kliknij przycisk Dodaj, aby wybrać jednostkę usługi dozwoloną do delegowania.

    6. Wybierz pozycję Użytkownik i komputery.

    7. Wybierz konto usługi, na które jest uruchomiona usługa, do którą chcesz delegować. We wcześniejszym przykładzie jest to konto usługi dla usługi SQL.

      Uwaga

      Wybrane konto usługi musi mieć zastosowaną nazwę SPN. We wcześniejszym przykładzie nazwa SPN dla tego konta została skonfigurowana we wcześniejszym kroku.

    8. Kliknij przycisk OK. Zostanie wyświetlony monit o wybranie nazw SPN, do których chcesz delegować na poniższym ekranie.

    9. Wybierz usługi dla klastra SQL, a następnie kliknij przycisk OK.

    10. W usługach, dla których to konto może wyświetlić listę poświadczeń delegowanych, powinny zostać wyświetlone wybrane usługi SPNS.

    11. Powtórz te kroki dla każdej ścieżki delegowania zdefiniowanej na początku tej sekcji.

  4. Uruchom wystąpienie usługi Usługi programu Excel na serwerze Usługi programu Excel.

    Przed utworzeniem aplikacji usługi Usługi programu Excel uruchom usługę Usługi programu Excel na wyznaczonych serwerach farmy. Aby to zrobić, wykonaj następujące kroki.

    1. Otwórz administrację centralną.
    2. W obszarze usługi wybierz pozycję Zarządzaj usługami na serwerze.
    3. W polu wyboru serwera w prawym górnym rogu wybierz serwery, na których działa Usługi programu Excel. We wcześniejszym przykładzie serwer jest VMSP10APP01.
    4. Uruchom usługę Usług obliczeniowych programu Excel.

  5. Utwórz aplikację usługi Usługi programu Excel i serwer proxy aplikacji, aby umożliwić aplikacjom internetowym przetwarzanie Usługi programu Excel. Aby to zrobić, wykonaj następujące kroki.

    1. Otwórz administrację centralną.
    2. Wybierz pozycję Zarządzaj aplikacjami usług w obszarze Zarządzanie aplikacjami.
    3. Wybierz pozycję Nowy, a następnie kliknij pozycję Usługi programu Excel Aplikacja.
    4. Skonfiguruj nową aplikację usługi. Upewnij się, że wybrano prawidłowe konto usługi (jeśli konto usługi programu Excel nie znajduje się na liście, utwórz nowe konto zarządzane).

  6. Skonfiguruj lokalizację pliku zaufanego Usługi programu Excel i ustawienia uwierzytelniania.

    Po utworzeniu aplikacji Usługi programu Excel należy skonfigurować właściwości nowej aplikacji usługi w celu określenia zaufanej lokalizacji hosta i ustawień uwierzytelniania. Aby to zrobić, wykonaj następujące kroki.

    1. Otwórz administrację centralną.

    2. Wybierz pozycję Zarządzaj aplikacjami usług w obszarze Zarządzanie aplikacjami.

    3. Kliknij link dla nowej aplikacji usługi. We wcześniejszym przykładzie kliknij pozycję Usługi programu Excel.

    4. Na stronie zarządzania Usługi programu Excel kliknij pozycję Zaufane lokalizacje plików.

    5. Dodaj nową zaufaną lokalizację pliku.

    6. Ustaw lokalizację zaufanego pliku na bibliotekę testów.

      Uwaga

      We wcześniejszym przykładzie adres URL głównej aplikacji internetowej i wszystkie elementy podrzędne są zaufane. W środowisku produkcyjnym można wybrać ograniczenie poziomu zaufania.

    7. W obszarze Dane zewnętrzne wybierz pozycję Zaufane biblioteki połączeń danych i osadzone.

      Uwaga

      We wcześniejszym przykładzie użyto połączenia osadzonego w celu nawiązania połączenia z SQL Server. W środowisku możesz utworzyć oddzielny plik połączenia i zapisać go w bibliotece zaufanych połączeń danych. W takiej sytuacji wybierz tylko biblioteki zaufanych połączeń danych.

    8. Zmień okres istnienia zewnętrznej pamięci podręcznej danych. W przypadku testowania wygodnie jest zmienić okres istnienia zewnętrznej pamięci podręcznej danych, aby upewnić się, że aktualizacje danych pochodzą ze źródła danych, a nie z pamięci podręcznej. W obszarze Dane zewnętrzne zmień następujące ustawienia:

      Odświeżanie automatyczne (okresowe/ otwarte) = 0

      Odświeżanie ręczne = 0

      Uwaga

      W środowisku produkcyjnym należy skonfigurować ustawienie pamięci podręcznej większe niż 0. Ustawienie pamięci podręcznej na wartość 0 jest przeznaczone tylko do testowania.

  7. Przyznaj Usługi programu Excel uprawnienia konta usługi w bazie danych zawartości aplikacji internetowej.

    Aby skonfigurować aplikacje internetowe pakietu Office w programie SharePoint Server 2010, należy włączyć dostęp konta usługi aplikacji internetowej do baz danych zawartości dla danej aplikacji internetowej. Na przykład przyznaj kontu usługi Usługi programu Excel dostęp do bazy danych zawartości aplikacji internetowej "portal" przy użyciu Windows PowerShell.

    W tym celu uruchom następujące polecenie z poziomu powłoki zarządzania programu SharePoint 2010:

    $w = Get-SPWebApplication -Identity https://portal

$w.GrantAccessToProcessIdentity("vmlab\svcExcel")

Uwaga

Aby uzyskać więcej informacji na temat delegowania tożsamości dla Usługi programu Excel, przejdź do następującej witryny internetowej microsoft TechNet:

Delegowanie tożsamości dla Usługi programu Excel (SharePoint Server 2010)

Nadal potrzebujesz pomocy? Przejdź do witryny SharePoint Community.