Проверка подлинности на сервере отчетов
SQL Server Reporting Services (SSRS) предлагает несколько настраиваемых вариантов проверки подлинности пользователей и клиентских приложений на сервере отчетов. По умолчанию сервер отчетов использует встроенную проверку подлинности Windows и предполагает доверенные связи, в которых клиентские и сетевые ресурсы находятся в одном домене или в доверенном домене. В зависимости от топологии сети и потребностей вашей организации можно настроить протокол проверки подлинности, используемый для встроенной проверки подлинности Windows. В противном случае можно использовать обычную проверку подлинности или расширение проверки подлинности на основе пользовательских форм. Каждый способ проверки подлинности можно включать и отключать отдельно. Можно включить одновременно несколько типов проверки подлинности, если сервер отчетов должен принимать запросы разных типов.
Типы аутентификации
Все пользователи или приложения, запрашивающие доступ к содержимому или операциям сервера отчетов, проходят проверку подлинности с помощью типа проверки подлинности, настроенного на сервере отчетов перед получением доступа. В следующей таблице описываются типы проверки подлинности, поддерживаемые службами Reporting Services.
Имя типа проверки подлинности | Значение уровня проверки подлинности HTTP | Используется по умолчанию | Description |
---|---|---|---|
RSWindowsNegotiate | Согласование | Да | Этот тип пытается использовать Kerberos для встроенной проверки подлинности Windows, но сначала возвращается к NTLM (NT LAN Manager), если Active Directory не может предоставить запрос клиента серверу отчетов. Переговоры возвращаются только в NTLM, если билет недоступен. Если первая попытка приводит к ошибке вместо отсутствующих билетов, сервер отчетов не выполняет вторую попытку. |
RSWindowsNTLM | NTLM | Да | Этот тип использует NTLM для встроенной проверки подлинности Windows. Учетные данные не делегированы или олицетворены в других запросах. Последующие запросы соответствуют новой последовательности ответа на вызовы. В зависимости от параметров безопасности сети пользователь может запрашивать учетные данные или запрос проверки подлинности обрабатывается прозрачно. |
RSWindowsKerberos | Kerberos | No | Этот тип использует Kerberos для встроенной проверки подлинности Windows. Настройте Kerberos с помощью имен субъектов-служб (SPN) для учетных записей служб. Для установки требуются права администратора домена. Вы можете настроить делегирование удостоверений с помощью Kerberos. При выполнении маркер пользователя, запрашивающего отчет, также можно использовать для другого подключения. Это соединение будет с внешними источниками данных, которые предоставляют данные отчетам. Перед указанием RSWindowsKerberos убедитесь, что тип браузера, который вы используете, фактически поддерживает его. Если вы используете Microsoft Edge или Internet Explorer, проверка подлинности Kerberos поддерживается только через согласование. Microsoft Edge и Internet Explorer не формулируют запрос проверки подлинности, указывающий Kerberos напрямую. |
RSWindowsBasic | Основное | No | Обычная проверка подлинности определена протоколом HTTP и может применяться только для проверки подлинности HTTP-запросов к серверу отчетов. Учетные данные передаются в HTTP-запросе в кодировке Base 64. Если вы используете обычную проверку подлинности, используйте протокол TLS, ранее известный как SSL-протокол SSL, чтобы зашифровать сведения об учетной записи пользователя перед отправкой сведений по сети. Протокол SSL обеспечивает защищенный канал для передачи запроса на соединение от клиента к серверу отчетов через TCP/IP-соединение. Дополнительные сведения см. в статье "Использование SSL для шифрования конфиденциальных данных". |
Пользовательское | (Анонимная) | No | Анонимная проверка подлинности предписывает серверу отчетов пропускать проверки подлинности в заголовках HTTP-запросов. Сервер отчетов принимает все запросы, но вызывает пользовательскую проверку подлинности ASP.NET Forms, которую вы предоставляете для проверки подлинности пользователя. Укажите настраиваемый только при развертывании пользовательского модуля проверки подлинности, обрабатывающего все запросы проверки подлинности на сервере отчетов. Нельзя использовать тип пользовательской проверки подлинности с расширением проверка подлинности Windows по умолчанию. |
Неподдерживаемые методы проверки подлинности
Следующие методы проверки подлинности и запросы не поддерживаются.
Authentication method | Описание |
---|---|
Анонимные | Сервер отчетов не принимает незавершенные запросы от анонимного пользователя, за исключением тех развертываний, которые включают пользовательское расширение проверки подлинности. построитель отчетов принимает запросы, не прошедшие проверку подлинности, если вы включите построитель отчетов доступ на сервере отчетов, настроенном для базовой проверки подлинности. Для всех остальных случаев анонимные запросы будут отвергнуты с ошибкой «HTTP 401: Отказано в доступе» еще до того, как запрос дойдет до ASP.NET. Клиенты, получающие отказ в доступе 401, должны переформатировать запрос с допустимым типом проверки подлинности. |
Технологии единого входа (SSO) | В службах Reporting Services нет собственной поддержки технологий единого входа. Если вы хотите использовать технологию единого входа, создайте пользовательское расширение проверки подлинности. Среда размещения сервера отчетов не поддерживает фильтры ISAPI (интерфейс программирования приложений Internet Server). Если используемая технология единого входа реализована в качестве фильтра ISAPI, рекомендуется использовать встроенную поддержку RSASecueID или протокола RADIUS. В противном случае можно создать ISA Server ISAPI или HTTPModule для RS, но использовать сервер ISA непосредственно. |
Паспорт | Не поддерживается в службах SQL Server Reporting Services. |
Дайджест | Не поддерживается в службах SQL Server Reporting Services. |
Настройка параметров проверки подлинности
При резервировании URL-адреса для сервера отчетов для проверки подлинности настраивается уровень безопасности по умолчанию. Если эти параметры изменены неправильно, сервер отчетов возвращает ошибки HTTP 401 Access Denied для HTTP-запросов, которые не могут быть проверены. Выбор типа проверки подлинности требует, чтобы вы уже знали, как проверка подлинности Windows поддерживается в сети. Должен быть указан как минимум один тип проверки подлинности. Для RSWindows может быть задано несколько типов проверки подлинности. Типы RS проверка подлинности Windows (RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberos и RSWindowsNegotiate) являются взаимоисключающими с Custom.
Внимание
Службы Reporting Services не проверяют заданные параметры, чтобы определить, правильно ли они для вычислительной среды. Возможно, что безопасность по умолчанию не будет работать для установки или вы укажете параметры конфигурации, недопустимые для инфраструктуры безопасности. Важно тщательно протестировать развертывание сервера отчетов в управляемой тестовой среде, прежде чем сделать ее доступной для вашей крупной организации.
Веб-служба сервера отчетов и веб-портал всегда используют один и тот же тип проверки подлинности. Не удается настроить различные типы проверки подлинности для областей функций службы сервера отчетов. Для масштабного развертывания необходимо повторить изменения на всех узлах в конфигурации развертывания. Вы не можете настроить разные узлы в одном масштабируемом режиме для использования различных типов проверки подлинности.
Фоновая обработка не принимает запросы от конечных пользователей, но выполняет проверку подлинности всех запросов для автоматического выполнения. Он всегда использует проверка подлинности Windows и выполняет проверку подлинности запросов с помощью службы сервера отчетов или учетной записи автоматического выполнения при настройке проверки подлинности.