Como configurar Serviços do Excel no SharePoint Server 2010 para autenticação Kerberos

  • Artigo
  • Aplica-se a:
    Excel Services in SharePoint Server 2010

Introdução

Este artigo descreve como configurar Serviços do Excel no Microsoft SharePoint Server 2010 para autenticação Kerberos.

Mais informações

Para obter mais informações sobre como configurar a delegação restrita de Kerberos para permitir que o serviço atualize dados numa folha de cálculo a partir de uma origem de dados externa SQL Server, siga estes passos:

  1. Crie Serviços do Excel conta de serviço.

    Como melhor prática, as Serviços do Excel devem ser executadas sob a sua própria identidade de domínio. Para configurar a Aplicação de Serviço do Excel, tem de criar uma conta do Active Directory. Por exemplo, crie as seguintes contas:

    Serviço do SharePoint Server Identidade do Conjunto de Aplicações do IIS
    Serviço do SharePoint Server Identidade do Conjunto de Aplicações do IIS
    Serviços Excel vmlab\svcExcel

  2. Configure um nome do principal de serviço (SPN) na conta de serviço Serviços do Excel.

    Tem de configurar a delegação restrita de Kerberos se Serviços do Excel irá delegar a identidade do cliente a uma origem de dados de back-end. Por exemplo, se Serviços do Excel consultar dados de uma base de dados transacional SQL, tem de ter delegação kerberos.

    Normalmente, o snap-in Utilizadores e Computadores do Active Directory MMC é utilizado para configurar a delegação kerberos. Para configurar as definições de delegação no snap-in, o objeto do Active Directory que está a ser configurado tem de ter um SPN aplicado. Caso contrário, o separador delegação do objeto não será visível na caixa de diálogo de propriedades do objeto. Embora Serviços do Excel não necessite de um SPN para funcionar, tem de configurar um para esta finalidade.

    Para tal, escreva o seguinte comando na linha de comandos e, em seguida, prima Enter:

    SETSPN -S SP/ExcelServices

    Nota

    Este SPN não é um SPN válido. É aplicado à conta de serviço especificada para revelar as opções de delegação no suplemento Utilizadores e Computadores do Active Directory. Existem outros métodos suportados para especificar as definições de delegação (especificamente, o atributo msDS-AllowedToDelegateTo Active Directory). No entanto, este artigo não descreve estes métodos.

  3. Configure a delegação restrita de Kerberos para Serviços do Excel.

    Para permitir que Serviços do Excel deleguem a identidade dos clientes, tem de configurar a delegação restrita de Kerberos. Tem de configurar a delegação restrita com a transição de protocolo para converter tokens de afirmações em tokens do Windows com o WIF C2WTS.

    Cada servidor em execução Serviços do Excel tem de ser fidedigno para delegar credenciais a cada serviço de back-end no qual o Excel se autentica. Além disso, tem de configurar a conta de serviço Serviços do Excel para permitir a delegação para os mesmos serviços de back-end.

    Por exemplo, define os seguintes caminhos de delegação:

    Tipo de Principal Nome Principal Delegados ao Serviço
    Utilizador svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *Utilizador svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **Computador VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    * Configurado posteriormente neste cenário

    ** Só é necessário se o C2WTS estiver em execução como sistema local

    Para configurar a delegação restrita, siga estes passos:

    1. Abra as propriedades do Objeto do Active Directory no Utilizadores e Computadores do Active Directory.

    2. Navegue para o separador Delegação.

    3. Selecione Confiar neste utilizador para delegação apenas para serviços especificados.

    4. Selecione Utilizar qualquer protocolo de autenticação. Esta ação permite a transição de protocolo e é necessária para que a conta de serviço utilize o C2WTS.

    5. Clique no botão Adicionar para selecionar o principal de serviço ao qual pode delegar.

    6. Selecione Utilizador e Computadores.

    7. Selecione a conta de serviço que está a executar o serviço ao qual pretende delegar. No exemplo anterior, é a conta de serviço do serviço SQL.

      Nota

      A conta de serviço selecionada tem de ter um SPN aplicado à mesma. No exemplo anterior, o SPN para esta conta foi configurado num passo anterior.

    8. Clique em OK. É-lhe pedido que selecione os SPNs aos quais pretende delegar no ecrã seguinte.

    9. Selecione os serviços do cluster do SQL e, em seguida, clique em OK.

    10. Agora, deverá ver o SPNS selecionado nos Serviços aos quais esta conta pode apresentar a lista de credenciais delegadas.

    11. Repita estes passos para cada caminho de delegação definido no início desta secção.

  4. Inicie a instância do serviço Serviços do Excel no servidor Serviços do Excel.

    Antes de criar uma aplicação de serviço Serviços do Excel, inicie o serviço Serviços do Excel nos servidores farm designados. Para tal, siga estes passos:

    1. Abra a Administração Central.
    2. Em serviços, selecione Gerir serviços no servidor.
    3. Na caixa de seleção do servidor no canto superior direito, selecione os servidores que estão a ser executados Serviços do Excel. No exemplo anterior, o servidor é VMSP10APP01.
    4. Inicie o serviço Excel Calculation Services.

  5. Crie a aplicação de serviço Serviços do Excel e o proxy de aplicações para permitir que as aplicações Web processem Serviços do Excel. Para tal, siga estes passos:

    1. Abra a Administração Central.
    2. Selecione Gerir Aplicações de Serviço em Gestão de Aplicações.
    3. Selecione Novo e, em seguida, clique em Serviços do Excel Aplicação.
    4. Configure a nova aplicação de serviço. Certifique-se de que seleciona a conta de serviço correta (se a conta de Serviço do Excel não estiver na lista, crie uma nova conta gerida).

  6. Configure a localização do Serviços do Excel ficheiro fidedigno e as definições de autenticação.

    Após a criação da aplicação Serviços do Excel, tem de configurar as propriedades na nova aplicação de serviço para especificar uma localização de anfitrião fidedigna e as definições de autenticação. Para tal, siga estes passos:

    1. Abra a Administração Central.

    2. Selecione Gerir Aplicações de Serviço em Gestão de Aplicações.

    3. Clique na ligação para a nova Aplicação de Serviço. No exemplo anterior, clique em Serviços do Excel.

    4. Na página de gestão de Serviços do Excel, clique em Localizações de Ficheiros Fidedignas.

    5. Adicione uma nova localização de ficheiro fidedigna.

    6. Defina a localização do ficheiro fidedigno para a biblioteca de teste.

      Nota

      No exemplo anterior, o URL da aplicação Web de raiz e todos os subordinados são considerados fidedignos. Num ambiente de produção, pode optar por restringir o nível de confiança.

    7. Em Dados Externos, selecione Bibliotecas de ligação de dados fidedignas e incorporadas.

      Nota

      O exemplo anterior utiliza uma ligação incorporada para ligar a SQL Server. No seu ambiente, pode optar por criar um ficheiro de ligação separado e armazená-lo numa biblioteca de ligação de dados fidedigna. Nesta situação, selecione Apenas bibliotecas de ligação de dados fidedignas.

    8. Alterar a duração da cache de dados externos. Para fins de teste, é conveniente alterar a duração da cache de dados externos para garantir que as atualizações de dados provêm da origem de dados e não da cache. Em Dados Externos, altere as seguintes definições:

      Atualização automática(periódica/aberta) = 0

      Atualização manual = 0

      Nota

      Num ambiente de produção, tem de configurar uma definição de cache superior a 0. Definir a cache como 0 destina-se apenas a testes.

  7. Conceda ao Serviços do Excel permissões de conta de serviço na base de dados de conteúdos da aplicação Web.

    Tem de ativar o acesso da conta de serviço da aplicação Web às bases de dados de conteúdos de uma determinada aplicação Web para configurar as Aplicações Web do Office do SharePoint Server 2010. Por exemplo, conceda à conta de serviço Serviços do Excel acesso à base de dados de conteúdos da aplicação Web "portal" com Windows PowerShell.

    Para tal, execute o seguinte comando a partir da Shell de Gestão do SharePoint 2010:

    $w = Get-SPWebApplication -Identity https://portal

$w.GrantAccessToProcessIdentity("vmlab\svcExcel")

Nota

Para obter mais informações sobre a Delegação de identidade para Serviços do Excel, aceda ao seguinte site do Microsoft TechNet:

Delegação de identidade para Serviços do Excel (SharePoint Server 2010)

Ainda necessita de ajuda? Vá a Comunidade SharePoint