Autenticação em um servidor de relatório

O SSRS (SQL Server Reporting Services) oferece várias opções configuráveis para autenticar usuários e aplicativos cliente em um servidor de relatório. Por padrão, um servidor de relatório usa a Autenticação Integrada do Windows e supõe relações de confiança onde os recursos do cliente e da rede estão no mesmo domínio ou em um domínio confiável. Dependendo da sua topologia de rede e das necessidades da sua organização, você pode personalizar o protocolo de autenticação usado para a Autenticação Integrada do Windows. Caso contrário, use a autenticação Básica ou uma extensão fornecida por você da autenticação personalizada baseada em formulários. Cada um dos tipos de autenticação pode ser ativado ou desativado individualmente. Você poderá habilitar mais de um tipo de autenticação se desejar que o servidor de relatório aceite solicitações de vários tipos.

Tipos de autenticação

Todos os usuários ou aplicativos que solicitam acesso a conteúdo ou operações do servidor de relatório são autenticados usando o tipo de autenticação configurado no servidor de relatório, antes que eles obtenham acesso. A tabela a seguir descreve os tipos de autenticação com suporte no Reporting Services.

Nome do Tipo de Autenticação Valor da Camada de Autenticação HTTP Usado por padrão Descrição
RSWindowsNegotiate Negotiate Sim Esse tipo tenta usar Kerberos para a Autenticação Integrada do Windows primeiro, mas reverterá para NTLM (NT LAN Manager) se o Active Directory não puder conceder um tíquete para a solicitação do cliente ao servidor de relatório. Negotiate só reverte para NTLM caso o ticket não esteja disponível. Se a primeira tentativa resultar em um erro e não em um tíquete ausente, o servidor de relatório não fará uma segunda tentativa.
RSWindowsNTLM NTLM Sim Esse tipo usa NLTM para a Autenticação Integrada do Windows.

As credenciais não são delegadas ou representadas em outras solicitações. As solicitações subsequentes seguem uma nova sequência de desafio/resposta. Dependendo das configurações de segurança da rede, talvez o usuário poderá ter que informar as credenciais ou a solicitação de autenticação deverá ser processada de forma transparente.
RSWindowsKerberos Kerberos Não Esse tipo usa Kerberos para a Autenticação Integrada do Windows. Configure o Kerberos usando SPNs (nomes de entidade de serviço) de instalação para as contas de serviço. A instalação requer privilégios de administrador do domínio. É possível configurar a delegação de identidade com Kerberos. Quando fizer isso, o token do usuário que estiver solicitando um relatório também poderá ser usado em outra conexão. Essa conexão seria com as fontes de dados externas que fornecem dados aos relatórios.

Antes de especificar RSWindowsKerberos, certifique-se de que o navegador usado dá suporte a esse tipo de autenticação. Se você estiver usando o Microsoft Edge ou Internet Explorer, a autenticação Kerberos só terá suporte por meio do Negotiate. O Microsoft Edge ou Internet Explorer não formula uma solicitação de autenticação que especifica o Kerberos diretamente.
RSWindowsBasic Basic Não A autenticação Básica é definida no protocolo HTTP e só pode ser usada para autenticar solicitações HTTP no servidor de relatório.

As credenciais são transmitidas na solicitação HTTP em codificação base64. Se for usar a autenticação básica, use o protocolo TLS, anteriormente conhecido como protocolo SSL, para criptografar as informações da conta de usuário antes de enviá-las pela rede. O SSL é um canal criptografado usado para enviar uma solicitação de conexão do cliente ao servidor de relatório por meio de uma conexão HTTP TCP/IP. Para obter mais informações, consulte Usar SSL para criptografar dados confidenciais.
Personalizado (Anônima) Não A autenticação Anônima orienta o servidor de relatório a ignorar o cabeçalho de autenticação em uma solicitação HTTP. O servidor de relatório aceita todas as solicitações, mas chama uma autenticação do ASP.NET Forms personalizada fornecida por você para autenticar o usuário.

Especifique Personalizado somente se estiver implantando um módulo de autenticação personalizada que processe todas as solicitações de autenticação no servidor de relatório. Não é possível usar o tipo de autenticação Personalizada com a extensão de Autenticação do Windows padrão.

Métodos de autenticação sem-suporte

Os métodos de autenticação e solicitações a seguir não têm suporte:

Método de autenticação Explicação
Anônima O servidor de relatório não aceita solicitações não autenticadas de um usuário anônimo, a menos naquelas implantações que incluem uma extensão de autenticação personalizada.

O Report Builder aceita solicitações não autenticadas se você habilitar o acesso a ele em um servidor de relatório configurado para a autenticação Básica.

Em todos os outros casos, as solicitações anônimas são rejeitadas com um erro Status HTTP 401 – Acesso Negado antes que a solicitação chegue ao ASP.NET. Os clientes que recebem o erro 401 de Acesso negado devem reformular a solicitação com um tipo de autenticação válido.
Tecnologias de logon único (SSO) Não há suporte nativo para tecnologias de logon único no Reporting Services. Se quiser usar uma tecnologia de logon único, crie uma extensão de autenticação personalizada.

O ambiente de hospedagem do servidor de relatório não oferece suporte a filtros ISAPI (Internet Server Application Programming Interface). Se a tecnologia SSO que você estiver usando estiver implementada como um filtro ISAPI, considere usar o suporte interno do Servidor ISA (Internet Security and Acceleration Server) para RSASecurID ou o protocolo RADIUS. Caso contrário, você poderá criar um filtro ISAPI do ISA Server ou HTTPModule para RS, mas é necessário usar o ISA Server diretamente.
Passport Sem suporte no SQL Server Reporting Services.
Digest Sem suporte no SQL Server Reporting Services.

Definir configurações de autenticação

Configurações de autenticação são definidas para segurança padrão quando a URL do servidor de relatório é reservada. Se essas configurações forem modificadas incorretamente, o servidor de relatório retorna erros HTTP 401 – Acesso Negado para solicitações HTTP que não podem ser autenticadas. Para escolher um tipo de autenticação, você deverá saber de que forma a Autenticação do Windows tem suporte na rede. Especifique pelo menos um tipo de autenticação. Podem ser especificados vários tipos de autenticação para RSWindows. Os tipos de autenticação do RSWindows (RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberos e RSWindowsNegotiate) se excluem mutuamente com Personalizado.

Importante

O Reporting Services não valida as configurações especificadas para determinar se elas estão corretas para o ambiente de computação. É possível que a segurança padrão não funcione para a sua instalação ou que você especifique parâmetros de configuração inválidos para sua infraestrutura de segurança. É importante testar a implantação do servidor de relatório com cautela no ambiente de teste controlado antes de disponibilizá-la para sua organização de uma maneira mais ampla.

O serviço Web e o portal da Web do Servidor de Relatórios sempre usam o mesmo tipo de autenticação. Não é possível configurar tipos de autenticação diferentes para as áreas de recurso do serviço Servidor de Relatórios. Se você tiver uma implantação em expansão, duplique todas as alterações feitas em todos os nós da implantação. Não é possível configurar nós diferentes na mesma implantação em expansão para usar tipos de autenticação diferentes.

O processamento em segundo plano não aceita solicitações de usuários finais, mas autentica todas as solicitações para fins de execução autônoma. Ele sempre usa a Autenticação do Windows e autentica solicitações usando o serviço do Servidor de Relatório ou a conta de execução não assistida se a autenticação estiver configurada.