Reporting Services の認証の構成

  • [アーティクル]

新規 : 2006 年 12 月 12 日

Reporting Services では、認証はインターネット インフォメーション サービス (IIS) によって処理されます。Reporting Services は、仮想ディレクトリ レベルで設定されている認証方法を使用して、レポート サーバーへのユーザー接続を認証します。ほとんどの場合、認証の種類は親の Web サイトから継承されますが、仮想ディレクトリで別の認証の種類を指定することもできます。

Reporting Services では、IIS の以下の認証方法を使用できます。

  • 統合 Windows 認証。
  • 基本認証。
  • 匿名認証。サードパーティの認証プロバイダやカスタムのフォーム ベースの認証プロバイダにログオン要求を転送する場合にのみ推奨されます。

ダイジェスト認証と .NET パスポート認証は Reporting Services ではサポートされていません。

Reporting Services と統合するアプリケーションを開発する場合は、レポート サーバー Web サービスへの呼び出しがどのように認証されるのかを把握する必要があります。詳細については、「Web サービス認証」を参照してください。

既定の認証設定

既定では、レポート サーバーおよびレポート マネージャの仮想ディレクトリは統合 Windows 認証を使用するように構成されています。仮想ディレクトリで匿名アクセスは有効になっていません。その他の認証方法は選択されていません。

既定のセキュリティを使用している場合、レポート サーバーへのアクセスが必要な各ユーザーは、有効な Windows ユーザー アカウントを持っているか、または Windows グループ アカウントのメンバである必要があります。信頼されている他のドメインのアカウントを含めることもできます。そのアカウントは、レポート サーバーをホストしている Web サーバーにアクセスできる必要があります。また、レポート サーバーの特定の操作を行うためには、後でロールに割り当てられる必要があります。

この既定の設定は、すべてのクライアント コンピュータとサーバー コンピュータが同じドメインまたは信頼されているドメインにあり、ブラウザの種類で統合 Windows 認証がサポートされていて、レポート サーバーがイントラネット アクセス用に企業のファイアウォールの内側に配置されている場合に最も適しています。レポート サーバーへのインターネット アクセスをサポートする場合や、ワークグループ セキュリティを使用している場合は、通常、既定の設定をカスタマイズする必要があります。

信頼されている単一のドメインは、Windows 資格情報を渡すための必要条件です。サーバーで Kerberos Version 5 プロトコルを有効にした場合にのみ、資格情報を複数回渡すことができます。Kerberos が無効である場合は、有効期限が切れる前に一度だけ資格情報を渡すことができます。複数のコンピュータ接続に対する資格情報の構成の詳細については、「資格情報と接続情報の指定」を参照してください。

Bb283249.note(ja-jp,SQL.90).gifメモ :
レポート サーバーの仮想ディレクトリを含む Web サイトが Kerberos 認証用に構成されていて、アプリケーション プールでドメイン ユーザー アカウントを使用している場合は、そのアカウントのサービス プリンシパル名 (SPN) を作成する必要が生じる場合があります。詳細については、Microsoft TechNet Web サイトの「Configuring Constrained Delegation for Kerberos (IIS 6.0) (Kerberos の制限された委任を構成する)」を参照してください。

認証の種類の概要

IIS では、レポート サーバーおよびレポート マネージャへのユーザー接続を認証します。次の一覧で、使用できる IIS 認証オプションについて説明します。

  • 委任または借用された資格情報を使用する統合 Windows 認証
    現在のユーザーの暗号化されたドメイン資格情報を使用してレポート サーバーに接続します。Windows 認証 (統合認証) は、レポート サーバーおよびレポート マネージャの仮想ディレクトリに使用される既定の認証方法です。Reporting Services の構成ツールとセットアップでは、常にこの方法を使用するようにディレクトリ セキュリティが構成されます。ドメインで Kerberos 認証が有効になっている場合は、現在のセキュリティ チケットを使用して、レポートにデータを提供する外部データ ソースに接続することもできます。

  • 基本認証
    以前に割り当てられた Windows アカウントのユーザー名とパスワードを使用してレポート サーバーに接続します。基本認証では、ユーザー名とパスワードがクリア テキストで送信されます。ただし、ユーザー アカウント情報をネットワークで送信する前に Secure Sockets Layer (SSL) で暗号化することにより、通信のセキュリティを高めることができます。

    SSL は、クライアントからレポート サーバーに接続要求を送信するための暗号化されたチャネルを HTTP TCP/IP 接続で提供します。詳細については、Microsoft TechNet Web サイトの「Using SSL to Encrypt Confidential Data (SSL を使用して資格情報データを暗号化する)」を参照してください。

  • 匿名アクセス
    すべてのユーザーが匿名アクセス用の Windows ユーザー アカウントでレポート サーバーに接続します。IIS の既定の匿名アクセス用アカウントは、IUSR_<computername> です。ユーザーは、ユーザー名やパスワードの入力を要求されません。匿名アクセスを使用するのは、カスタム セキュリティ拡張機能を使用している場合のみに限定する必要があります。カスタム認証を使用していない場合は、レポート サーバーの仮想ディレクトリで匿名アクセスを使用しないでください。この場合、有用なさまざまなロール割り当てを設定することができません。すべてのユーザーが匿名ユーザー アカウントでレポート サーバーにアクセスし、レポート マネージャでレポート サーバーを管理する権限を持つユーザーが存在しない状況になります。

認証設定の変更

Reporting Services では、既定で統合 Windows 認証が使用されます。別の認証プロバイダを使用する場合は、IIS マネージャを使用してディレクトリ セキュリティのプロパティを指定します。

  1. IIS マネージャを開きます。
  2. レポート サーバーの仮想ディレクトリを右クリックして、[プロパティ] をクリックします。
  3. [ディレクトリ セキュリティ] をクリックします。
  4. [認証とアクセス制御][編集] をクリックして、[認証方法] ダイアログ ボックスを開きます。
  5. (省略可) [統合 Windows 認証] チェック ボックスをオフにします。
    レポート サーバー の仮想ディレクトリが統合 Windows 認証と基本認証の両方に対して構成されている場合、レポート サーバーは先に Windows 認証を試行します。基本認証のみが使用されるようにしたい場合は、[統合 Windows 認証] チェック ボックスをオフにする必要があります。
  6. [基本認証] を選択します。
  7. Web サーバーに対してクライアントを認証するために使用する既定のドメインまたは領域を設定します。

カスタム認証拡張機能を配置する場合や、基本認証用に構成されているレポート サーバーからレポート ビルダにアクセスできるようにする場合以外は、匿名アクセスを有効にしないでください。ダイジェスト認証やパスポート認証は有効にしないでください。これらの認証オプションは Reporting Services ではサポートされていません。

レポート サーバーの認証方法を構成する際には、すべてのコンポーネントに対して同じ認証方法を使用するようにしてください。レポート マネージャに対して別の認証の種類を指定しないでください。別の認証の種類を指定すると、ユーザーがレポート マネージャとレポート サーバーの両方を操作する場合に異なるログオン資格情報を指定しなければならなくなります。同様に、レポート ビルダの認証の種類は、レポート サーバーを基本認証を使用するように構成する場合を除き、レポート サーバーで使用されている認証プロバイダと同じである必要があります。基本認証を使用する場合は、接続要求を ClickOnce アプリケーション ランチャーに転送するために、レポート ビルダ フォルダで匿名アクセスを許可する必要があります。詳細については、「レポート サーバーでのレポート ビルダへのアクセスの構成」を参照してください。

IIS で基本認証を有効にする方法および認証の種類を選択する方法の詳細については、Microsoft TechNet Web サイトの「Enabling Basic Authentication and Configuring the Realm Name (基本認証の有効化と領域名を構成する)」および「Selecting a Web Site Authentication Method (Web サイト認証方法を選択する)」を参照してください。

エクストラネット アクセスおよびインターネット アクセスのための認証の構成

インターネット アクセスまたはエクストラネット アクセスを必要とする配置モデルには、統合 Windows 認証はあまり実用的ではありません。インターネットに接続する Web サーバー上に Reporting Services を配置する場合は、Windows 認証の代わりにカスタム認証拡張機能を使用し、外部ユーザーに対してレポート サーバーへのアクセスを許可する方法を、より細かく制御する必要があります。カスタム認証拡張機能を作成するには、カスタム コードと、ASP.NET セキュリティに関する専門知識が必要です。詳細については、「セキュリティ拡張機能の実装」を参照してください。

カスタム認証拡張機能のコードを作成したくない場合は、Microsoft Active Directory のグループとアカウントを使用できます。ただし、レポート サーバーの配置のスコープを大幅に縮小する必要があります。次のガイドラインで、このシナリオをサポートする方法を説明します。

  • 読み取り専用権限を持つ、権限の低いドメイン ユーザー アカウントを作成します。このアカウントは、レポート サーバーをホストしているコンピュータへのアクセス権が必要です。カスタム Web フォームを提供し、権限の低いドメイン アカウントを使用してユーザーがログオンできるようにします。
  • レポート サーバーのフォルダ階層内の特定のアイテムにユーザー アカウントをマップするロールの割り当てを作成します。事前定義された閲覧者ロールをロールの割り当てとして選択すると、アクセス権を読み取り専用に制限できます。
  • レポート用のデータを取得する際に、保存された資格情報が使用されるように、レポートを構成します。レポート サーバーへのアクセスを許可するアカウントとは別のアカウントを使用して、外部データ ソースへのクエリを実行する場合は、この方法が便利です。これらのオプションの詳細については、「資格情報と接続情報の指定」を参照してください。

参照

概念

Reporting Services の権限とセキュリティの管理
ロールの割り当ての作成、変更、および削除
資格情報と接続情報の指定
Reporting Services の配置における接続とアカウント
Secure Socket Layer (SSL) 接続用レポート サーバーの構成
レポート サーバーでのレポート ビルダへのアクセスの構成

その他の技術情報

セキュリティ拡張機能の実装

ヘルプおよび情報

SQL Server 2005 の参考資料の入手