Проверка подлинности с использованием сервера отчетов
SQL Server Reporting Services (SSRS) предлагает несколько настраиваемых параметров для проверки подлинности клиентов и клиентских приложений для сервера отчетов. По умолчанию сервер отчетов использует встроенную проверку подлинности Windows и предполагает доверительные связи, когда клиент и сетевые источники находятся в одном и том же домене или в надежном домене. В зависимости от топологии сети и потребностей вашей организации можно настроить протокол проверки подлинности, используемый для встроенной проверки подлинности Windows. Кроме того, можно использовать обычную проверку подлинности или расширение проверки подлинности на основе пользовательских форм. Каждый способ проверки подлинности можно включать и отключать отдельно. Можно включить одновременно несколько типов проверки подлинности, если сервер отчетов должен принимать запросы разных типов.
Подлинность всех пользователей и приложений, запрашивающих доступ к содержимому сервера отчетов или операциям, должна быть проверена до предоставления доступа.
Типы аутентификации
Подлинность всех пользователей и приложений, запрашивающих доступ к содержимому сервера отчетов или операциям, должна быть проверена до предоставления доступа способом, заданным для сервера отчетов. В следующей таблице описываются типы проверки подлинности, поддерживаемые службами Reporting Services.
| Имя типа проверки подлинности | Значение уровня проверки подлинности HTTP | Используется по умолчанию | Description |
|---|---|---|---|
| RSWindowsNegotiate | Согласование | Да | Сначала пытается использовать Kerberos для встроенной проверки подлинности Windows, но возвращается к NTLM, если Active Directory не может предоставить запрос клиента серверу отчетов. Переговоры возвращаются только в NTLM, если билет недоступен. Если первая попытка приводит к ошибке, а не отсутствуют запросы, сервер отчетов не выполняет вторую попытку. |
| RSWindowsNTLM | NTLM | Да | Использует NTLM для встроенной проверки подлинности Windows. Учетные данные не делегированы или олицетворены в других запросах. Последующие запросы соответствуют новой последовательности ответа на вызовы. В зависимости от параметров безопасности сети пользователь может запрашивать учетные данные или запрос проверки подлинности обрабатывается прозрачно. |
| RSWindowsKerberos | Kerberos | No | Использует Kerberos для встроенной проверки подлинности Windows. Необходимо настроить Kerberos, задав имена участников служб (SPN) для учетных записей, для чего потребуются права администратора домена. Вы можете настроить делегирование удостоверений с помощью Kerberos. При выполнении маркер пользователя, запрашивающего отчет, также можно использовать для другого подключения к внешним источникам данных, которые предоставляют данные отчетам. Перед указанием RSWindowsKerberos убедитесь, что тип браузера, который вы используете, фактически поддерживает его. Если вы используете Microsoft Edge или Интернет Обозреватель, проверка подлинности Kerberos поддерживается только через согласование. Microsoft Edge или Интернет Обозреватель не формулирует запрос проверки подлинности, указывающий Kerberos напрямую. |
| RSWindowsBasic | Основное | No | Обычная проверка подлинности определена протоколом HTTP и может применяться только для проверки подлинности HTTP-запросов к серверу отчетов. Учетные данные передаются в HTTP-запросе в кодировке Base 64. Если вы используете обычную проверку подлинности, используйте протокол TLS, ранее известный как SSL-протокол SSL, чтобы зашифровать сведения об учетной записи пользователя перед отправкой сведений по сети. Протокол SSL обеспечивает защищенный канал для передачи запроса на соединение от клиента к серверу отчетов через TCP/IP-соединение. Дополнительные сведения см. в разделе Использование SSL для шифрования конфиденциальных данных на сайте Microsoft TechNet. |
| Пользовательское | (Анонимная) | No | Анонимная проверка подлинности предписывает серверу отчетов пропускать проверки подлинности в заголовках HTTP-запросов. Сервер отчетов принимает все запросы, но вызывает пользовательскую проверку подлинности пользователя через формы ASP.NET. Укажите настраиваемый только при развертывании пользовательского модуля проверки подлинности, обрабатывающего все запросы проверки подлинности на сервере отчетов. Нельзя использовать тип пользовательской проверки подлинности с расширением проверки подлинности Windows по умолчанию. |
Неподдерживаемые методы проверки подлинности
Следующие методы проверки подлинности и запросы не поддерживаются.
| Authentication method | Описание |
|---|---|
| Анонимные | Сервер отчетов не принимает незавершенные запросы от анонимного пользователя, за исключением тех развертываний, которые включают пользовательское расширение проверки подлинности. построитель отчетов принимает неуправляемые запросы, если вы включите построитель отчетов доступ на сервере отчетов, настроенном для базовой проверки подлинности. Для всех остальных случаев анонимные запросы будут отвергнуты с ошибкой «HTTP 401: Отказано в доступе» еще до того, как запрос дойдет до ASP.NET. Получив ошибку «HTTP 401: Отказано в доступе«, клиент должен переформулировать запрос, указав допустимый тип проверки подлинности. |
| Технологии единого входа (SSO) | В службах Reporting Services нет собственной поддержки технологий единого входа. Для использования этих технологий необходимо создание нестандартного модуля проверки подлинности. Среда размещения сервера отчетов не поддерживает фильтры ISAPI. Если используемая технология единого входа реализована в качестве фильтра ISAPI, рассмотрите возможность использования встроенной поддержки ISA Server для RSASecueID или протокола RADIUS. В противном случае можно создать ISA Server ISAPI или HTTPModule для RS, но использовать сервер ISA непосредственно. |
| Паспорт | Не поддерживается в службах SQL Server Reporting Services. |
| Дайджест | Не поддерживается в службах SQL Server Reporting Services. |
Настройка параметров проверки подлинности
При резервировании URL-адреса для сервера отчетов для проверки подлинности настраивается уровень безопасности по умолчанию. Если эти параметры изменены неправильно, сервер отчетов возвращает ошибки HTTP 401 Access Denied для HTTP-запросов, которые не могут быть проверены. Чтобы правильно выбрать тип проверки подлинности, необходимо понимать, каким образом проверка подлинности Windows поддерживается в конкретной сети. Должен быть указан как минимум один тип проверки подлинности. Для RSWindows может быть задано несколько типов проверки подлинности. Типы проверки подлинности RSWindows (то есть RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberosи RSWindowsNegotiate) и Custom являются взаимоисключающими.
Важно!
Службы Reporting Services не проверяют заданные параметры на соответствие конкретной вычислительной среде. Безопасность по умолчанию может оказаться неработоспособной либо могут быть заданы параметры настройки, недопустимые для существующей инфраструктуры безопасности. Поэтому перед внедрением в рабочей среде организации необходимо очень тщательно проверить развертывание сервера отчетов в управляемой тестовой среде.
Веб-служба сервера отчетов и веб-портал всегда используют один и тот же тип проверки подлинности. Не удается настроить различные типы проверки подлинности для областей функций службы сервера отчетов. Для масштабного развертывания необходимо повторить изменения на всех узлах в конфигурации развертывания. Вы не можете настроить разные узлы в одном масштабируемом режиме для использования различных типов проверки подлинности.
Фоновая обработка не принимает запросы от конечных пользователей, однако она выполняет проверку подлинности всех запросов для автоматического выполнения. Он всегда использует проверку подлинности Windows и проверяет подлинность запросов с помощью службы сервера отчетов или учетной записи автоматического выполнения при настройке проверки подлинности.
В этом разделе
Связанные задачи
| Описания задач | Ссылки. |
|---|---|
| Задайте встроенную проверку подлинности Windows. | Настройка проверка подлинности Windows на сервере отчетов |
| Задайте обычную проверку подлинности. | Настройка базовой проверки подлинности на сервере отчетов |
| Задайте проверку подлинности с помощью форм или другой нестандартный тип проверки. | Настройка пользовательской проверки подлинности или форм на сервере отчетов |
| Включите веб-портал для обработки сценария пользовательской проверки подлинности. | Настройка веб-портала для передачи пользовательских файлов cookie проверки подлинности |
Связанный контент
Предоставление разрешений на сервер отчетов в собственном режиме
Файл конфигурации RsReportServer.config
Создание назначений ролей и управление ими
Указание учетных данных и сведений о подключении для источников данных отчета
Реализация расширения безопасности
Настройка TLS-соединений на сервере отчетов, работающем в собственном режиме
Общие сведения о расширениях безопасности
Проверка подлинности в службах Reporting Services
Авторизация в службах Reporting Services
Есть еще вопросы? Посетите форум служб Reporting Services.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по