レポート サーバーで基本認証を構成する

  • [アーティクル]

既定では、SQL Server Reporting Services (SSRS) はネゴシエート認証および New Technology LAN Manager (NTLM) 認証を指定する要求を受け入れます。 基本認証を使用するクライアント アプリケーションやブラウザーが配置に含まれる場合は、サポートされる種類の一覧に基本認証を追加する必要があります。 また、レポート ビルダーを使用する場合は、レポート ビルダーのファイルへの匿名アクセスを有効にする必要もあります。

SSRS レポート サーバーで基本認証を構成するには、RSReportServer.config ファイルの XML 要素と値を編集します。 既定値を置き換える際に、この記事の例をコピーして貼り付けることもできます。 基本認証を有効にすると、レポートにデータを提供する外部データ ソースに接続のプロパティをユーザーが設定するときに [Windows 統合セキュリティ] オプションを選択できなくなります。 このオプションは、データ ソース プロパティ ページで使用できません。

前提条件

  • 構成されたネイティブ モードのレポート サーバー。
  • RSReportServer.config ファイルの書き込みアクセス許可。

基本認証のセキュリティに関する考慮事項

基本認証を有効にする前に、セキュリティ インフラストラクチャで基本認証がサポートされていることを確認します。 基本認証では、レポート サーバー Web サービスがローカル セキュリティ機関に認証情報を渡します。 認証情報でローカル ユーザー アカウントが指定されている場合、レポート サーバーのローカル セキュリティ機関がユーザーを認証します。 その後、ユーザーはローカル リソースに対して有効なセキュリティ トークンを取得します。 ドメイン ユーザー アカウントの資格情報は、ドメイン コントローラーに転送されて認証されます。 この場合は、認証が完了すると、ネットワーク リソースに対して有効なチケットが渡されます。

資格情報がネットワークのドメイン コントローラーに転送される間に傍受されるリスクを軽減するには、チャネルの暗号化 (トランスポート層セキュリティ (TLS) (旧称 Secure Sockets Layer (SSL)) など) を使用する必要があります。 基本認証のみを使用した場合、ユーザー名はクリア テキストで転送され、パスワードは Base64 エンコード形式で転送されます。 チャネルの暗号化を追加すると、パケットが読み取り不可能になります。 詳細については、「ネイティブ モードのレポート サーバーでの TLS 接続の構成」を参照してください。

Note

次に示す手順は、ネイティブ モードのレポート サーバーを対象としています。 レポート サーバーを SharePoint 統合モードで配置する場合は、Windows 統合セキュリティを指定する既定の認証設定を使用する必要があります。 レポート サーバーでは、既定の Windows 認証拡張機能の内部機能を使用して、SharePoint 統合モードのレポート サーバーがサポートされます。

レポート サーバーを構成して基本認証を使用する

  1. テキスト エディターで RSReportServer.config 構成ファイルを開きます。 構成ファイルの場所に関する詳細については、「RsReportServer.config 構成ファイル」を参照してください。

  2. ファイルで、<Authentication> 行に移動します。

  3. 次に示す XML 構造を確認し、ニーズに最も合うものをコピーします。 最初の XML 構造には、次のセクションで説明する Realm 要素と DefaultDomain 要素のプレースホルダーが含まれています。

    適用対象: SQL Server Reporting Services (2016)

    <Authentication>
      <AuthenticationTypes>
            <RSWindowsBasic>
                  <LogonMethod>3</LogonMethod>
                  <Realm></Realm>
                  <DefaultDomain></DefaultDomain>
            </RSWindowsBasic>
      </AuthenticationTypes>
      <EnableAuthPersistence>true</EnableAuthPersistence>
</Authentication>

    既定値を使用する場合は、次の構造を使用して要素の数を最小限に抑えることができます。

    <AuthenticationTypes>
      <RSWindowsBasic/>
</AuthenticationTypes>

    適用対象: SQL Server Reporting Services (2017 以降) Power BI Report Server

    <Authentication>
      <AuthenticationTypes>
            <RSWindowsBasic/>
      </AuthenticationTypes>
      <EnableAuthPersistence>true</EnableAuthPersistence>
      <RSWindowsExtendedProtectionLevel>Off</RSWindowsExtendedProtectionLevel>
      <RSWindowsExtendedProtectionScenario>Any</RSWindowsExtendedProtectionScenario>
</Authentication>

  4. 構成ファイルで、既存の <Authentication> セクションをコピーした構造に置き換えます。

    複数の認証の種類を使用する場合は、RSWindowsBasic 要素を追加して、RSWindowsNegotiateRSWindowsNTLM、および RSWindowsKerberos の各エントリは削除しないでください。

    Custom 認証の種類は他の認証の種類と併用できません。

  5. 空の <Realm> または <DefaultDomain> の値を、ご利用の環境での有効な値に置き換えます。 適切な値については、次のセクションを参照してください。

  6. ファイルを保存します。

  7. スケールアウト配置を使用した場合は、配置内の他のレポート サーバーに対してこれらの手順を繰り返します。

  8. 基本認証用に構成したすべてのレポート サーバーを再起動します。 この手順では、現在開いているセッションをすべてクリアします。

基本認証要素の値

RSWindowsBasic セクションを使用して基本認証を構成する場合は、次の要素を指定できます。

要素 必須 有効な値
LogonMethod はい

値を指定しない場合、3 が使用されます。		 ネットワーク サインインには、2 の値を使用します。 プレーンテキスト パスワードを認証するハイ パフォーマンス サーバーには、この値を使用します。

クリア テキスト サインインには、3 の値を使用します。 この値 (既定値) を使用すると、サインイン認証情報は、各 HTTP 要求で送信される認証パッケージに保持されます。 その後、サーバーは、ネットワーク内の他のサーバーに接続するときにユーザーを偽装します。

注: 値 0 (対話型サインイン) と値 1 (バッチ サインイン) は、SQL Server 2016 (13.x) Reporting Services 以降 (SSRS) ではサポートされません。
Realm 省略可能 この要素は、組織内の保護されたリソースへのアクセスを制御するための承認機能や認証機能を含んだリソース パーティションを指定します。
DefaultDomain 省略可能 この要素は、サーバーがユーザーの認証に使用するドメインを指定します。 この値はオプションです。ただし、省略した場合、レポート サーバーでは、コンピューター名がドメインとして使用されます。 コンピュータがドメインのメンバーになっている場合は、そのドメインが既定のドメインです。 レポート サーバーをドメイン コントローラーにインストールした場合、そのコンピュータによって制御されるドメインを指定します。

関連するコンテンツ