Reporting Services での認証の種類

Reporting Services では、HTTP 要求のすべての認証関数を、サーバーと一緒にインストールされた Windows 認証拡張機能、または配置されたカスタム認証拡張機能のいずれかを使用して処理します。Windows 認証拡張機能は、レポート サーバーでどの HTTP 要求を受け入れるかを正確に制御できるように、複数の種類の認証をサポートしています。認証の種類には、RSWindowsNegotiate、RSWindowsKerberos、RSWindowsNTLM、および RSWindowsBasic があります。これらの認証の種類ごとに、個別にオンとオフを切り替えることができます。レポート サーバーで複数の種類の要求を受け入れる場合は、複数の種類を有効にすることができます。

注意注意

以前のバージョンの Reporting Services では、すべての認証が IIS でサポートされていました。このリリースでは、IIS は使用されなくなり、すべての認証要求が Reporting Services で内部的に処理されます。

認証の種類

次の表では、Reporting Services でサポートされている認証の種類について説明します。

認証の種類の名前

HTTP 認証レイヤの値

既定で使用

説明

RSWindowsNegotiate

Negotiate

はい

RSWindowsNegotiate は、ネゴシエートを指定する認証要求を処理するようにレポート サーバーに指示します。ネゴシエートでは、Kerberos 認証が最初に試行されますが、レポート サーバーへのクライアント要求に対して Active Directory でチケットを付与できない場合は NTLM に戻ります。ネゴシエートは、チケットが使用できない場合にのみ NTLM に戻ります。チケットがないのではなく、最初の試行でエラーになった場合は、レポート サーバーで 2 回目の試行は行われません。

RSWindowsNTLM

NTLM

はい

NTLM では、"要求/応答" と表現される個人データの交換によってユーザーを認証します。

資格情報は、他の要求で委任または権限借用されません。後続の要求は、新しい要求/応答シーケンスに従います。ネットワークのセキュリティ設定によっては、ユーザーは資格情報または認証要求を透過的に処理するように要求される場合があります。

RSWindowsKerberos

Kerberos

いいえ

Kerberos 認証を指定する要求の場合、レポート サーバーでは、要求を発行したユーザーのセキュリティ トークンに対する権限を読み取ります。ドメインで委任が有効になっている場合は、レポートを要求したユーザーのトークンを使用して、レポート データを提供する別の外部データ ソースに接続することもできます。

RSWindowsKerberos を指定する前に、使用しているブラウザの種類で実際にサポートされていることを確認してください。Internet Explorer を使用している場合、Kerberos 認証はネゴシエートを通してのみサポートされます。Internet Explorer では、Kerberos を直接指定する認証要求は作成されません。

RSWindowsBasic

Basic

いいえ

基本認証は、HTTP プロトコルで定義され、レポート サーバーへの HTTP 要求の認証にのみ使用できます。

HTTP 要求で資格情報が base64 エンコードとして渡されます。基本認証を使用した場合、ユーザー アカウント情報をネットワークで送信する前に Secure Sockets Layer (SSL) で暗号化できます。SSL は、クライアントからレポート サーバーに接続要求を送信するための暗号化されたチャネルを HTTP TCP/IP 接続で提供します。詳細については、Microsoft TechNet Web サイトの「SSL を使用して資格情報データを暗号化する」を参照してください。

Custom

(Anonymous)

いいえ

匿名認証は、HTTP 要求の認証ヘッダーを無視するようにレポート サーバーに指示します。レポート サーバーですべての要求が受け入れられますが、ユーザーを認証する場合は、カスタムの ASP.NET フォーム認証を指定する必要があります。

Custom は、レポート サーバーにすべての認証要求を処理するカスタム認証モジュールを配置している場合にのみ指定します。カスタム認証は、既定の Windows 認証拡張機能と共に使用することはできません。

サポートされない認証方法

以下の認証方法および要求はサポートされていません。

認証方法

説明

匿名

レポート サーバーでは、配置にカスタム認証拡張機能が含まれている場合以外は、匿名ユーザーからの認証されていない要求は受け入れません。

基本認証用に構成されたレポート サーバーでレポート ビルダへのアクセスを有効にした場合、レポート ビルダは認証されていない要求を受け入れます。

それ以外の場合、匿名の要求は ASP.NET に到達する前に拒否され、HTTP ステータス 401 アクセス拒否エラーが発生します。401 アクセス拒否を受信したクライアントは、有効な認証の種類を使用して要求を作成し直す必要があります。

シングル サインオン テクノロジ (SSO)

Reporting Services には、シングル サインオン テクノロジに対するネイティブ サポートはありません。シングル サインオン テクノロジを使用する場合は、カスタム認証拡張機能を作成する必要があります。

レポート サーバー ホスティング環境では、ISAPI フィルタはサポートされません。使用している SSO テクノロジが ISAPI フィルタとして実装されている場合、RSASecueID または RADIUS プロトコルの ISA Server 組み込みサポートの使用を検討してください。それ以外の場合は、RS 用に ISA Server ISAPI または HTTPModule を作成できますが、直接 ISA Server を使用することをお勧めします。

Passport

SQL Server 2008 ではサポートされていません。

ダイジェスト

SQL Server 2008 ではサポートされていません。

認証設定を構成する方法

認証設定は、レポート サーバーの URL が予約されたときに、既定のセキュリティを使用するように構成されます。これらの設定を誤って変更すると、レポート サーバーは、認証できない HTTP 要求に対して HTTP 401 アクセス拒否エラーを返します。認証の種類を選択する際は、ネットワークで Windows 認証がどのようにサポートされているかを理解している必要があります。少なくとも 1 種類の認証を指定する必要があります。RSWindows に対しては、複数の種類の認証を指定できます。RSWindows 認証の種類 (RSWindowsBasic、RSWindowsNTLM、RSWindowsKerberos、および RSWindowsNegotiate) は、カスタムと同時に指定することはできません。

重要な注意事項重要

Reporting Services では、指定した設定がコンピューティング環境に対して適切かどうかは検証されません。インストールの状況によっては既定のセキュリティが機能しない場合や、指定した構成設定がセキュリティ インフラストラクチャに対して有効ではない場合があります。そのため、レポート サーバーを配置する際は、大規模な組織で使用できるようにする前に、管理されたテスト環境で十分にテストすることが重要です。

レポート サーバー Web サービスとレポート マネージャは、常に同じ種類の認証を使用します。レポート サーバー サービスの機能領域に別の種類の認証を構成することはできません。スケールアウト配置の場合は、すべての変更を配置内の全ノードに同じように適用する必要があります。同じスケールアウト内でノードごとに異なる種類の認証を使用するように構成することはできません。

バックグラウンド処理は、エンド ユーザーからの要求は受け入れませんが、自動実行用のすべての要求を認証します。バックグラウンド処理では常に Windows 認証が使用され、レポート サーバー サービスを使用する要求、または自動実行アカウント (構成されている場合) が認証されます。

Reporting Services における認証の構成の詳細については、次のトピックを参照してください。

Reporting Services で Windows 認証を構成する方法

Reporting Services で基本認証を構成する方法

Reporting Services でカスタム認証またはフォーム認証を構成する方法