レポート サーバーでの認証

SQL Server Reporting Services (SSRS) には、レポート サーバーに対してユーザーおよびクライアント アプリケーションを認証する構成可能なオプションがいくつか用意されています。 既定では、レポート サーバーは Windows 統合認証を使用し、クライアントとネットワーク リソースが同じドメインまたは信頼される側のドメインに属している場合は、信頼関係があると見なされます。 ネットワーク トポロジおよび組織のニーズに応じて、Windows 統合認証に使用される認証プロトコルをカスタマイズすることができます。 それ以外の場合は、基本認証または指定したカスタム フォーム ベース認証拡張機能を使用できます。 認証の種類ごとに、個別にオンとオフを切り替えることができます。 レポート サーバーで複数の種類の要求を受け入れる場合は、複数の種類の認証を有効にすることができます。

認証のタイプ

レポート サーバーのコンテンツまたは操作へのアクセスを要求するすべてのユーザーまたはアプリケーションは、レポート サーバーで構成されている認証の種類を使用して認証を受けると、アクセス権を取得します。 次の表では、Reporting Services でサポートされている認証の種類について説明します。

認証の種類の名前 HTTP 認証レイヤーの値 既定で使用 説明
RSWindowsNegotiate ネゴシエート はい この種類では、Windows 統合認証に対して Kerberos を最初に試行しますが、レポート サーバーへのクライアント要求に対して Active Directory でチケットを付与できない場合は NTLM (NT LAN Manager) に戻ります。 ネゴシエートは、チケットが使用できない場合にのみ NTLM に戻ります。 チケットがないのではなく、最初の試行でエラーになった場合は、レポート サーバーで 2 回目の試行は行われません。
RSWindowsNTLM NTLM はい この種類では、Windows 統合認証に NTLM を使用します。

資格情報は、他の要求で委任または権限借用されません。 後続の要求は、新しい要求/応答シーケンスに従います。 ネットワークのセキュリティの設定によっては、ユーザーは資格情報の入力を求められたり、認証要が透過的に処理される場合があります。
RSWindowsKerberos Kerberos いいえ この種類では、Windows 統合認証に Kerberos を使用します。 サービス アカウントのセットアップ サービス プリンシパル名 (SPN) を使用して Kerberos を構成します。 セットアップにはドメイン管理者特権が必要です。 Kerberos を使用して ID 委任を設定できます。 これを行うと、レポートを要求したユーザーのトークンを、別の接続でも使用することができます。 これは、レポートにデータを提供する外部データ ソースへの接続になります。

RSWindowsKerberos を指定する前に、使用しているブラウザーの種類で実際にサポートされていることを確認してください。 Microsoft Edge、または Internet Explorer を使用している場合、Kerberos 認証はネゴシエートを通してのみサポートされます。 Microsoft Edge、または Internet Explorer では、Kerberos を直接指定する認証要求は作成されません。
RSWindowsBasic Basic いいえ 基本認証は、HTTP プロトコルで定義され、レポート サーバーへの HTTP 要求の認証にのみ使用できます。

HTTP 要求で資格情報が base64 エンコードとして渡されます。 基本認証を使用する場合は、トランスポート層セキュリティ (TLS) (旧称 Secure Sockets Layer (SSL)) を使用して、ユーザー アカウント情報をネットワーク経由で情報を送信する前に暗号化します。 SSL は、クライアントからレポート サーバーに接続要求を送信するための暗号化されたチャネルを HTTP TCP/IP 接続で提供します。 詳細については、「SSL を使用して機密データを暗号化する」を参照してください。
Custom (Anonymous) いいえ 匿名認証は、HTTP 要求の認証ヘッダーを無視するようにレポート サーバーに指示します。 レポート サーバーですべての要求が受け入れられますが、ユーザーを認証するために提供するカスタムの ASP.NET フォーム認証を呼び出します。

Custom は、レポート サーバーにすべての認証要求を処理するカスタム認証モジュールを配置している場合にのみ指定します。 カスタム認証は、既定の Windows 認証拡張機能と共に使用することはできません。

サポートされない認証方法

以下の認証方法および要求はサポートされていません。

認証方法 説明
Anonymous レポート サーバーでは、配置にカスタム認証拡張機能が含まれている場合以外は、匿名ユーザーからの認証されていない要求は受け入れません。

基本認証用に構成されたレポート サーバーでレポート ビルダーへのアクセスを有効にした場合、レポート ビルダーは非認証要求を受け入れます。

それ以外の場合、匿名の要求は ASP.NET に到達する前に拒否され、HTTP ステータス 401 アクセス拒否エラーが発生します。 401 アクセス拒否を受信したクライアントは、有効な認証の種類を使用して要求を作成し直す必要があります。
シングル サインオン テクノロジ (SSO) Reporting Services には、シングル サインオン テクノロジに対するネイティブ サポートはありません。 シングル サインオン テクノロジを使用する場合は、カスタム認証拡張機能を作成します。

レポート サーバー ホスティング環境では、ISAPI (Internet Server Application Programming Interface) フィルターはサポートされていません。 使用している SSO テクノロジが ISAPI フィルターとして実装されている場合、RSASecueID または RADIUS プロトコルの ISA Server (Internet Security and Acceleration Server) 組み込みサポートの使用を検討してください。 それ以外の場合は、RS 用に ISA Server ISAPI または HTTPModule を作成できますが、直接 ISA Server を使用する必要があります。
Passport SQL Server Reporting Services ではサポートされていません。
ダイジェスト SQL Server Reporting Services ではサポートされていません。

認証設定を構成する

認証設定は、レポート サーバーの URL が予約されたときに、既定のセキュリティを使用するように構成されます。 これらの設定を誤って変更すると、レポート サーバーは、認証できない HTTP 要求に対して HTTP 401 アクセス拒否エラーを返します。 認証の種類を選択する際は、ネットワークで Windows 認証がどのようにサポートされているかを理解している必要があります。 少なくとも 1 種類の認証を指定する必要があります。 RSWindows に対しては、複数の種類の認証を指定できます。 RSWindows 認証の種類 (RSWindowsBasicRSWindowsNTLMRSWindowsKerberos、および RSWindowsNegotiate) は、カスタムと同時に指定することはできません。

重要

Reporting Services では、指定した設定がコンピューティング環境に対して適切かどうかは検証されません。 インストールの状況によっては既定のセキュリティが機能しない場合や、指定した構成設定がセキュリティ インフラストラクチャに対して有効ではない場合があります。 レポート サーバーを配置する際は、大規模な組織で使用できるようにする前に、管理されたテスト環境で十分にテストすることが重要です。

レポート サーバー Web サービスと Web ポータルは、常に同じ種類の認証を使用します。 レポート サーバー サービスの機能領域に別の種類の認証を構成することはできません。 スケールアウト配置の場合は、すべての変更を配置内の全ノードに同じように適用する必要があります。 同じスケールアウト内でノードごとに異なる種類の認証を使用するように構成することはできません。

バックグラウンド処理は、エンド ユーザーからの要求は受け入れませんが、自動実行用のすべての要求を認証します。 バックグラウンド処理では常に Windows 認証が使用され、レポート サーバー サービスを使用する要求、または自動実行アカウント (認証が構成されている場合) が認証されます。