Configurer une authentification de base sur le serveur de rapports

Par défaut, SQL Server Reporting Services (SSRS) accepte les demandes qui spécifient l'authentification Negotiate et New Technology LAN Manager (NTLM). Si votre déploiement inclut des applications clientes ou des navigateurs qui utilisent l'authentification de base, vous devez l'ajouter à la liste des types pris en charge. De plus, si vous voulez utiliser le Générateur de rapports, vous devez activer l'accès anonyme aux fichiers Générateur de rapports.

Pour configurer l'authentification de base sur le SSRS serveur de rapports, modifiez les éléments et les valeurs XML dans le fichier RSReportServer.config. Vous pouvez copier et coller les exemples de cet article pour remplacer les valeurs par défaut. Après avoir activé l'authentification de base, les utilisateurs ne peuvent pas sélectionner l'option de sécurité intégrée de Windows lorsqu'ils définissent les propriétés de connexion à une source de données externe qui fournit des données à un rapport. L'option n'est pas disponible dans les pages de propriétés de la source de données.

Prérequis

  • Un serveur de rapports en mode natif configuré.
  • Autorisation d'accès en écriture pour le fichier RSReportServer.config.

Considérations de sécurité pour l'authentification de base

Avant d'activer l'authentification de base, vérifiez que votre infrastructure de sécurité la prend en charge. Sous l'authentification de base, le service Web Report Server transmet des identifiants à l'autorité de sécurité locale. Si les identifiants spécifient un compte d'utilisateur local, l'autorité de sécurité locale sur le serveur de rapports authentifie l'utilisateur. L'utilisateur obtient ensuite un jeton de sécurité valide pour les ressources locales. Les informations d'identification pour les comptes d'utilisateur de domaine sont transférées et sont authentifiées par un contrôleur de domaine. Le ticket résultant est valide pour les ressources réseau.

Le chiffrement du canal, tel que TLS (Transport Layer Security), précédemment appelé SSL (Secure Sockets Layer), est requis si vous souhaitez réduire le risque d'interception des informations d'identification lors de leur transit vers un contrôleur de domaine sur votre réseau. L'authentification de base transmet en texte en clair le nom d'utilisateur et le mot de passe en encodage base 64. L'ajout du chiffrement de canal rend le paquet illisible. Pour plus d’informations, consultez Configurer des connexions TLS sur un serveur de rapports en mode natif.

Remarque

Les instructions suivantes sont destinées à un serveur de rapports en mode natif. Si le serveur de rapports est déployé en mode intégré SharePoint, vous devez utiliser les paramètres d'authentification par défaut qui spécifient la sécurité intégrée de Windows. Le serveur de rapports utilise des fonctionnalités internes dans l'extension d'authentification Windows par défaut pour prendre en charge le serveur de rapports en mode intégré SharePoint.

Configurer un serveur de rapports pour utiliser l'authentification de base

  1. Ouvrez le fichier de configuration RSReportServer.config dans un éditeur de texte. Pour plus d'informations sur l'emplacement de votre fichier de configuration, voir le Fichier de configuration RsReportServer.config.

  2. Dans le fichier, allez à la ligne <Authentication>.

  3. Examinez les structures XML suivantes et copiez celle qui correspond le mieux à vos besoins. La première structure XML fournit des espaces réservés pour les éléments Realm et DefaultDomain, qui sont décrits dans la section suivante.

    S’applique à : SQL Server Reporting Services (2016)

    <Authentication>
          <AuthenticationTypes>
                <RSWindowsBasic>
                      <LogonMethod>3</LogonMethod>
                      <Realm></Realm>
                      <DefaultDomain></DefaultDomain>
                </RSWindowsBasic>
          </AuthenticationTypes>
          <EnableAuthPersistence>true</EnableAuthPersistence>
    </Authentication>
    

    Si vous utilisez les valeurs par défaut, vous pouvez utiliser la structure suivante, qui minimise le nombre d'éléments :

    <AuthenticationTypes>
          <RSWindowsBasic/>
    </AuthenticationTypes>
    

    S’applique à : SQL Server Reporting Services (2017 et ultérieur) Power BI Report Server

    <Authentication>
          <AuthenticationTypes>
                <RSWindowsBasic/>
          </AuthenticationTypes>
          <EnableAuthPersistence>true</EnableAuthPersistence>
          <RSWindowsExtendedProtectionLevel>Off</RSWindowsExtendedProtectionLevel>
          <RSWindowsExtendedProtectionScenario>Any</RSWindowsExtendedProtectionScenario>
    </Authentication>
    
  4. Dans votre fichier de configuration, remplacez la section <Authentication> existante par la structure que vous avez copiée.

    Si vous utilisez plusieurs types d'authentification, ajoutez l'élément RSWindowsBasic, mais ne supprimez pas les entrées pour RSWindowsNegotiate, RSWindowsNTLM ou RSWindowsKerberos.

    Vous ne pouvez pas utiliser le type d'authentification Custom avec d'autres types d'authentification.

  5. Remplacez les valeurs <Realm> et <DefaultDomain> vides par des valeurs valables pour votre environnement. Pour les valeurs appropriées, voir la section suivante.

  6. Enregistrez le fichier.

  7. Si vous utilisez un déploiement avec montée en puissance parallèle, répétez ces étapes pour d'autres serveurs de rapports du déploiement.

  8. Redémarrez tous les serveurs de rapports que vous avez configurés pour l'authentification de base. Cette étape permet d'effacer toutes les sessions actuellement ouvertes.

Valeurs des éléments d'authentification de base

Vous pouvez spécifier les éléments suivants lorsque vous utilisez une section RSWindowsBasic pour configurer l'authentification de base.

Élément Obligatoire Valeurs valides
LogonMethod Oui

Si vous ne spécifiez pas de valeur, 3 est utilisé.
Utilisez une valeur de 2 pour une connexion au réseau. Utilisez cette valeur pour les serveurs à haute performance afin d'authentifier les mots de passe en texte clair.

Utilisez une valeur de 3 pour une connexion en texte clair. Lorsque vous utilisez cette valeur, qui est la valeur par défaut, les identifiants de connexion sont conservées dans la package d'authentification envoyé avec chaque demande HTTP. Le serveur se fait ensuite passer pour l'utilisateur lorsqu'il se connecte à d'autres serveurs du réseau.

Remarque : les valeurs 0 (pour la connexion interactive) et 1 (pour la connexion par lots) ne sont PAS prises en charge dans SQL Server 2016 (13.x) Reporting Services ou version ultérieure (SSRS).
Realm Facultatif Cet élément spécifie une partition de ressource qui inclut les fonctionnalités d'autorisation et d'authentification utilisées pour contrôler l'accès aux ressources protégées de votre organisation.
DefaultDomain Facultatif Cet élément indique le domaine que le serveur utilise pour authentifier l'utilisateur. Cette valeur est facultative, mais si vous l’omettez, le serveur de rapports utilise le nom d’ordinateur comme domaine. Si l'ordinateur est membre d’un domaine, ce domaine est le domaine par défaut. Si vous installez le serveur de rapports sur un contrôleur de domaine, le domaine utilisé est celui qui est contrôlé par l'ordinateur.