Общие сведения о безопасности служб Reporting Services в режиме интеграции с SharePoint

Сервер отчетов, настроенный на работу в режиме интеграции с SharePoint, использует поставщика проверки подлинности и разрешения, определенные в веб-приложении SharePoint, для управления доступом к элементам и операциям сервера отчетов.

Разрешение на доступ к элементам и операциям предоставляется в соответствии с политиками безопасности SharePoint, сопоставляющими учетную запись пользователя или группы с уровнем разрешения, соответствующим элементу. По сути, этот процесс полностью аналогичен использованию назначений ролей для работы сервера отчетов в собственном режиме, когда назначение ролей сопоставляет учетную запись пользователя или группы с набором допустимых задач, соответствующим элементу. Как и с большинством других моделей проверки подлинности на основе ролей система безопасности SharePoint обеспечивает наследование разрешений, что позволяет упростить использование и сократить затраты на обслуживание большого количества политик.

При развертывании типов содержимого сервера отчетов на сайте SharePoint необходимо учитывать следующее:

Перед назначением разрешений необходимо настроить каждый сервер для работы в режиме интеграции. Дополнительные сведения см. в разделе Настройка служб Reporting Services для интеграции с SharePoint 2010.

Поставщики проверки подлинности в технологиях SharePoint

Для веб-приложения SharePoint может использоваться проверка подлинности Windows или проверка подлинности с помощью форм. Сервером отчетов могут обрабатываться запросы по любой из схем. Можно настроить проверку подлинности в таких сочетаниях:

  • проверка подлинности Windows с использованием Kerberos;

  • проверка подлинности Windows с использованием диспетчера NT LAN (NTLM);

  • проверка подлинности с помощью форм.

ПримечаниеПримечание

Продукты и технологии служб Службы Reporting Services и SharePoint поддерживают проверку подлинности с помощью форм. Реализации, применяемые для каждой группы продуктов, различны и несовместимы между собой. Нестандартные модули проверки подлинности служб Службы Reporting Services не поддерживаются для серверов отчетов, работающих в режиме интеграции с SharePoint.

В следующей таблице кратко представлены преимущества и недостатки каждого поставщика проверки подлинности:

Преимущества

Недостатки

Проверка подлинности Windows с использованием Kerberos

Работает в сценариях развертывания с одним сервером и с несколькими серверами.

Поддерживает использование встроенных учетных данных Windows для внешних источников данных.

Не работает с проверкой подлинности NTLM в многосерверных сценариях развертывания.

Требует сложной конфигурации домена и сервера конфигурации.

Проверка подлинности Windows с использованием NTLM или форм

Работает в сценарии проверка подлинности по протоколу Kerberos и во всех вариантах проверки подлинности без протокола Kerberos.

Не поддерживает встроенные учетные данные Windows для внешних источников данных.

Добавлены таблицы топологий проверки подлинности.

Продукты SharePoint 2010 поддерживают проверку подлинности, основанную на утверждениях. Службы SQL Server 2008 R2 Службы Reporting Services в режиме интеграции с SharePoint будут работать с веб-приложениями, поддерживающими утверждения SharePoint, используя проверку подлинности с доверенной учетной записью и токены пользователя SharePoint. Дополнительные сведения о поддержке проверки подлинности на основе утверждений в службах Службы Reporting Services см. в разделе Проверка подлинности на основе утверждений и службы Reporting Services. Дополнительные сведения о поддержке проверки подлинности на основе утверждений см. в разделе Общие сведения об удостоверениях, основанных на утверждениях.

Отправка запросов на сервер отчетов

Все запросы на элемент или операцию сервера отчетов должны быть действительными проверенными запросами. Используемым поставщиком проверки подлинности определяется способ обработки запроса.

Встроенная безопасность Windows (с использованием Kerberos)

Если веб-приложение SharePoint настроено для проверки подлинности Windows с помощью протокола Kerberos, для связи веб-приложения SharePoint с сервером отчетов могут использоваться олицетворяемые или делегированные учетные данные текущего пользователя Windows. Используя встроенную безопасность Windows с протоколом Kerberos и делегированием идентификатора, можно решить известную проблему «двойного прыжка», когда срок действия учетных данных Windows истекает после одного соединения. Это также расширяет возможности выбора вариантов, доступных при настройке соединений с источниками данных для отчетов и моделей. На следующей диаграмме показаны соединения, когда сервер отчетов настроен для интеграции SharePoint, а веб-приложение SharePoint использует проверку подлинности Windows с протоколом Kerberos и делегированием идентификатора.

Соединения в режиме интеграции с SharePoint

  • Соединение 1
    Пользователь осуществляет доступ к сайту SharePoint с помощью токена пользователя, созданного при входе пользователя в сеть. Маркер содержит идентификатор пользователя и сведения о принадлежности к группе. Веб-приложение SharePoint выполняет проверку подлинности пользователя. Пользователь запрашивает элемент или операцию сервера отчетов.

  • Соединение 2
    Веб-приложение SharePoint направляет токен и запрос на сервер отчетов. Для отправки запроса на соединение используется делегированный идентификатор пользователя Windows. Сервер отчетов выполняет проверку подлинности пользователя, чтобы определить, есть ли у пользователя право доступа к серверу отчетов.

  • Соединение 3
    Если проверка подлинности успешно пройдена, сервер отчетов использует учетную запись пользователя экземпляра служб Reporting Services для подключения к базам данных содержимого SharePoint, чтобы выяснить, есть ли у пользователя право доступа к элементу или операции. Если авторизация завершилась успешно, службы сервера отчетов обрабатывает запрос.

  • Соединение 4
    Если пользователь просматривает отчет, сервер отчетов может делегировать идентификатор пользователя Windows во время обработки отчета, чтобы извлечь данные из внешних источников данных. Это означает, что при настройке свойств источника данных для отчета можно выбрать параметр Встроенная безопасность Windows для соединения с источником данных. Дополнительные сведения см. в разделах Задание учетных данных и сведений о соединении для источников данных отчета и Как создавать общие источники данных и управлять ими (службы Reporting Services в режиме интеграции с SharePoint) электронной документации по SQL Server.

Проверка подлинности Windows или с помощью форм и доверенные учетные записи

Если веб-приложение SharePoint настроено на проверку подлинности с помощью форм или проверку подлинности Windows с помощью NTLM, запрос на соединение с сервером отчетов направляется по сети доверенной учетной записью, которая уполномочена олицетворять пользователя SharePoint на сервере отчетов. На следующей диаграмме показаны соединения при использовании доверенных учетных записей и идентификаторов пользователей SharePoint.

Диаграмма для доверенного соединения

  • Соединение 1
    Пользователь входит в систему на сайт SharePoint. Веб-приложение SharePoint выполняет проверку подлинности пользователя. Веб-приложение SharePoint преобразует идентификатор пользователя в идентификатор пользователя SharePoint (SPUser). Новый токен пользователя создается для этого пользователя в контексте SPUser. Маркер содержит идентификатор пользователя и сведения о принадлежности к группе. Пользователь запрашивает элемент или операцию сервера отчетов.

  • Соединение 2
    Веб-приложение SharePoint подключается к серверу отчетов с помощью доверенной учетной записи, т. е. с помощью идентификатора процесса веб-приложения SharePoint. Затем веб-приложение SharePoint олицетворяет идентификатор пользователя SharePoint в запросе на элемент или операцию.

    Сервер отчетов выполняет проверку подлинности, чтобы определить, поступил ли полученный запрос на соединение от доверенной учетной записи, сравнивая эту запись с данными учетной записи, полученной сервером отчетов из баз данных конфигурации SharePoint при запуске. Доверенная учетная запись на сервере отчетов — это учетная запись пользователя Windows с разрешением на олицетворение веб-приложения SharePoint. Используется также для олицетворения SPUser, но без права доступа к элементам и операциям сервера отчетов.

  • Соединение 3
    Если проверка подлинности успешно пройдена, сервер отчетов использует учетную запись пользователя экземпляра служб Reporting Services для соединения с базами данных содержимого SharePoint, чтобы определить, есть ли у SPUser право доступа к элементу или операции. Если авторизация завершилась успешно, службы сервера отчетов обрабатывает запрос.

  • Соединение 4
    Если пользователь просматривает отчет, сервер отчетов не может использовать SPUser для извлечения данных из внешних источников данных из-за проблемы «двойного прыжка». Это означает, что при настройке свойств источника данных для отчета нельзя выбрать параметр Встроенная безопасность Windows для соединения с источником данных. Однако можно настроить отчет для использования других параметров соединения (например, сохраненных или запрашиваемых учетных данных). Дополнительные сведения см. в разделах Задание учетных данных и сведений о соединении для источников данных отчета и Как создавать общие источники данных и управлять ими (службы Reporting Services в режиме интеграции с SharePoint) электронной документации по SQL Server.

Истечение срока действия учетной записи и обработка подписки

При создании подписки на отчет сервер отчетов сохраняет данные учетной записи пользователя SPUser, чтобы с их помощью проверить наличие у пользователя разрешения на просмотр отчета в момент доставки. Если срок действия учетной записи SPUser истек, подписка завершится неуспешно и возвратит ошибку rsSharePointError. Свойством уровня фермы, именуемым TokenTimeout, определяется продолжительность срока действия учетной записи SPUser.

Настройка административной учетной записи и учетной записи службы для использования уникальных учетных записей домена

При развертывании продукта или технологии SharePoint используются разнообразные учетные записи для запуска служб и доступа к серверам, обслуживающим клиентские запросы. Если для развертывания указываются учетные записи домена, обязательно следуйте рекомендациям и указывайте учетные записи, которые используются исключительно веб-приложением SharePoint. Не настраивайте учетные записи служб для работы под учетной записью пользователя домена, который в настоящее время имеет доступ к сайту SharePoint. При обращении к сайту SharePoint с использованием учетных данных служб могут возникать ошибки.

Рекомендации по настройке поставщиков проверки подлинности в масштабном развертывании

Если используются масштабное развертывание служб Службы Reporting Services и продукт SharePoint, а для среды настроены различные поставщики проверки подлинности, то при проверке подлинности пользователя могут возникнуть проблемы. Например, если в среде работы с отчетами используется проверка подлинности с помощью форм для соединений с Интернетом и проверка подлинности Windows для соединений в интрасети, то запрос может быть направлен на компьютер с клиентским веб-интерфейсом, на котором используется поставщик проверки подлинности с другим типом проверки подлинности запроса. В результате службы Службы Reporting Services могут запретить доступ к запросу либо запрос будет выполняться от имени пула приложений, а не пользователя, сделавшего запрос.

Рекомендуется использовать различные URL-адреса для доступа к содержимому из Интернета и из интрасети. Также можно настроить файл hosts на компьютерах с клиентской частью веб-сервера, чтобы переопределить поиск в службе доменных имен (DNS), сопоставив IP-адрес узла, имеющего структуру веб-узла, с URL-адресом в Интернете. В результате запросы к URL-адресу в Интернете не будут направляться системой DNS на URL-адрес в интрасети.

Доступ сервера отчетов к базам данных содержимого SharePoint

И веб-приложение SharePoint, и сервер отчетов подключаются к соответствующим базам данных, чтобы сохранить данные о состоянии приложения и другие данные, однако серверу отчетов необходимо также подключаться к базам данных SharePoint для сохранения и получения элементов, свойств и настроек конфигурации. На следующей диаграмме показаны серверные соединения с различными базами данных.

Диаграмма соединения

Веб-приложением SharePoint для внутреннего хранения может использоваться локальная или удаленная база данных. Если базы данных SharePoint расположены на удаленных компьютерах, для соединения необходимо использовать учетную запись домена.

Сервером отчетов для внутреннего хранения может использоваться локальная или удаленная база данных. В обоих случаях соединение с базой данных может быть создано с использованием учетной записи домена, имени входа SQL Server или встроенной учетной записи, например, Network Service или Local System.

Соединение сервера отчетов с базами данных SharePoint

В службах Службы Reporting Services как для веб-служб, так и для служб Windows требуется доступ к базам данных SharePoint. Учетные записи служб для обеих служб рассматриваются как доверенные пользователи в веб-приложении SharePoint и автоматически получают разрешение на доступ к базам данных SharePoint.

Соединение управляется внутренне; оно настраивается при использовании центра администрирования SharePoint для определения сервера отчетов для веб-приложения SharePoint и задания доверенных учетных записей. В отличие от соединения сервера отчетов с его собственными базами данных, которое можно задать или изменить с помощью программы настройки служб Reporting Services, соединение сервера отчетов с базами данных SharePoint не подлежит настройке или управлению явным образом.

Работа сервера отчетов в режиме интеграции с SharePoint связана с ограничениями в возможностях настройки учетных записей служб в Службы Reporting Services. При настройке учетных записей служб следуйте приведенным ниже рекомендациям.

  • Выбирайте учетные записи, имеющие разрешения на вход в сеть, если учетные записи служб сервера отчетов будут использоваться для подключения к базам данных SharePoint на удаленном компьютере.

  • Не рекомендуется использовать встроенные учетные записи (например, Локальная система или Сетевая служба), если сервер отчетов и базы данных SharePoint находятся на одном компьютере, а веб-приложение SharePoint — на другом, удаленном. Если базы данных SharePoint находятся на удаленном компьютере, веб-приложение SharePoint явно отказывает в доступе к базе данных встроенным учетным записям, определенным на удаленном компьютере. Это означает, что, если для запуска сервера отчетов использовалась встроенная учетная запись, сервер отчетов не может подключиться к базам данных SharePoint, поскольку работает на том же компьютере, что и базы данных SharePoint.

  • Для любой другой топологии, где серверы и базы данных находятся на одном и том же компьютере или на разных компьютерах, учетные записи служб Службы Reporting Services могут быть заданы как учетные записи домена или встроенные учетные записи.

Ошибки при подключении к базам данных SharePoint

Если серверу отчетов не удается получить доступ к базам данных SharePoint и имеется ошибка конфигурации (например, если учетные записи служб или пароли недействительны, или если локальный экземпляр объектной модели Windows SharePoint не установлен), возникает ошибка rsServerConfigurationError. Для всех остальных ошибок при соединении возвращается ошибка rsSharePointError вместе с дополнительными сведениями об ошибке из локального экземпляра SharePoint.

Топологии проверки подлинности SharePoint и SSRS

В следующей таблице перечисляются поддерживаемые методы проверки подлинности SharePoint и SSRS, а также показано их применение.

Применение SharePoint и SSRS на одном и том же компьютере.

Проверка подлинности SharePoint

Режим интеграции со службами SSRS

Проверка подлинности SSRS

Службы SSRS с доступом к учетной записи

Учетные данные источника данных

Да

Kerberos

Integrated

Negotiate

User; позволяет делегировать контекст безопасности пользователя

Integrated, Stored, Prompt

Да

Kerberos

Integrated

NTLM

Не поддерживается

Да

Kerberos

Trusted

Negotiate или NTLM

Учетная запись службы узла

Stored, Prompt, Integrated (+)

Да

NTLM

Integrated

Negotiate

Не поддерживается

Да

NTLM

Integrated

NTLM

User; НЕ позволяет делегировать контекст безопасности пользователя

Stored, Prompt, Integrated, Local

Да

NTLM

Trusted

Negotiate или NTLM

Учетная запись службы узла

Stored, Prompt, Integrated (+)

Да

Forms

Integrated

IUSR

Не поддерживается

Да

Forms

Trusted

Negotiate или NTLM

Учетная запись службы узла

Stored, Prompt, Integrated (+)

Нет

Kerberos

Integrated

Negotiate

Делегируемая пользователем

Integrated, Stored, Prompt

Нет

Kerberos

Integrated

NTLM

Не поддерживается

Нет

Kerberos

Trusted (*)

Negotiate

Учетная запись службы узла

Stored, Prompt, Integrated (+)

Нет

Kerberos

Trusted (*)

Negotiate

Учетная запись службы узла

Stored, Prompt, Integrated, только если является локальной по отношению к службам SSRS

Нет

NTLM

Integrated

Анонимный

Не поддерживается

Нет

NTLM

Trusted (*)

Negotiate

Учетная запись службы узла

Stored, Prompt, Integrated (+)

Нет

NTLM

Trusted (*)

NTLM

Учетная запись службы узла

Stored, Prompt, Integrated, только если является локальной

Нет

Forms

Integrated

Анонимный

Не поддерживается

Нет

Forms

Trusted (*)

Negotiate

Учетная запись службы узла

Stored, Prompt, Integrated (+)

Нет

Forms

Trusted

NTLM

Учетная запись службы узла

Stored, Prompt, Integrated, только если является локальной

(+) Если учетная запись службы узла SharePoint является локальной, то источник данных должен быть локальным для компьютера с сервером отчетов. Если учетная запись службы узла является доменной, то источник данных может находиться на другом компьютере.

(*) Учетная запись службы узла SharePoint должна быть доменной.

Журнал изменений

Обновленное содержимое

Добавлены таблицы топологий проверки подлинности.