Authentifizierung mit dem Berichtsserver
SQL Server Reporting Services (SSRS) bietet mehrere konfigurierbare Optionen zum Authentifizieren von Benutzern und Clientanwendungen am Berichtsserver. Standardmäßig verwendet der Berichtsserver die integrierte Windows-Authentifizierung und geht von vertrauenswürdigen Beziehungen aus, wenn sich Client- und Netzwerkressourcen in der gleichen Domäne oder einer vertrauenswürdigen Domäne befinden. Abhängig von der Netzwerktopologie und den Anforderungen der Organisation können Sie das für die integrierte Windows-Authentifizierung verwendete Authentifizierungsprotokoll anpassen, die Standardauthentifizierung verwenden oder eine selbst bereitgestellte und auf einem benutzerdefinierten Formular basierende Authentifizierungserweiterung nutzen. Jeder dieser Authentifizierungstypen kann individuell aktiviert oder deaktiviert werden. Sie können mehrere Authentifizierungstypen aktivieren, wenn der Berichtsserver mehrere Arten von Anforderungen akzeptieren soll.
.gif "Hinweis") Hinweis |
|---|
In vorherigen Versionen von Reporting Services wurde die gesamte Authentifizierungsunterstützung von IIS bereitgestellt. Ab SQL Server 2008 wird IIS nicht mehr verwendet. Reporting Services verarbeitet alle Authentifizierungsanfragen intern. |
Alle Benutzer oder Anwendungen, die Zugriff auf Berichtsserverinhalte oder -vorgänge anfordern, müssen vor Gewähren des Zugriffs authentifiziert werden.
Authentifizierungstypen
Alle Benutzer oder Anwendungen, die Zugriff auf Berichtsserverinhalte oder -vorgänge anfordern, müssen vor Gewähren des Zugriffs mit dem Authentifizierungstyp authentifiziert werden, der auf dem Berichtsserver konfiguriert ist. In der folgenden Tabelle werden die von Reporting Services unterstützten Authentifizierungstypen beschrieben.
Name Authentifizierungstyp |
Wert HTTP-Authentifizierungsebene |
Standardmäßig verwendet |
Beschreibung |
|---|---|---|---|
RSWindowsNegotiate |
Aushandeln |
Ja |
Versucht für die integrierte Windows-Authentifizierung zunächst eine Kerberos-Authentifizierung zu verwenden, greift jedoch auf NTLM zurück, wenn Active Directory kein Ticket für die Client-Anforderung auf den Berichtsserver gewähren kann. Negotiate greift nur auf NTLM zurück, wenn das Ticket nicht verfügbar ist. Wenn der erste Versuch zu einem Fehler (außer einem nicht verfügbaren Ticket) führt, unternimmt der Berichtsserver keinen zweiten Versuch. |
RSWindowsNTLM |
NTLM |
Ja |
Verwendet für die integrierte Windows-Authentifizierung NTLM. Die Anmeldeinformationen werden nicht delegiert oder durch einen Identitätswechsel für andere Anforderungen verwendet. Nachfolgende Anforderungen befolgen eine neue Abfrage-/Rückmeldungs-Sequenz. Je nach den Einstellungen für die Netzwerksicherheit können Benutzer aufgefordert werden, Anmeldeinformationen einzugeben, oder die Authentifizierungsanforderung wird transparent verarbeitet. |
RSWindowsKerberos |
Kerberos |
Nein |
Verwendet für die integrierte Windows-Authentifizierung Kerberos. Sie müssen Kerberos konfigurieren, indem Sie Dienstprinzipalnamen (Service Principle Names, SPNs) für die Dienstkonten einrichten, die Domänenadministratorberechtigungen erfordern. Wenn Sie für Kerberos die Identitätsdelegierung aktivieren, kann das Token des den Bericht anfordernden Benutzers auch für eine zusätzliche Verbindung zu den externen Datenquellen verwendet werden, die Daten für Berichte liefern. Bevor Sie RSWindowsKerberos angeben, stellen Sie sicher, dass der von Ihnen verwendete Browsertyp diesen Authentifizierungstyp unterstützt. Wenn Sie Internet Explorer verwenden, wird die Kerberos-Authentifizierung nur über Negotiate unterstützt. Internet Explorer formuliert keine Authentifizierungsanforderung, die Kerberos direkt angibt. |
RSWindowsBasic |
Standardwert |
Nein |
Die Standardauthentifizierung wird im HTTP-Protokoll definiert und kann nur verwendet werden, um HTTP-Anforderungen an den Berichtsserver zu authentifizieren. Anmeldeinformationen werden mithilfe der Base64-Codierung an die HTTP-Anforderung übergeben. Bei der Standardauthentifizierung können Sie SSL (Secure Sockets Layer) zum Verschlüsseln der Benutzerkontoinformationen verwenden, bevor diese über das Netzwerk gesendet werden. SSL bietet einen verschlüsselten Kanal zum Senden einer Verbindungsanforderung vom Client an den Berichtsserver über eine HTTP TCP/IP-Verbindung. Weitere Informationen finden Sie auf der Microsoft TechNet-Website unter Using SSL to Encrypt Confidential Data. |
Benutzerdefiniert |
(Anonym) |
Nein |
Die anonyme Authentifizierung weist den Berichtsserver an, den Authentifizierungsheader in einer HTTP-Anforderung zu ignorieren. Der Berichtsserver akzeptiert alle Anforderungen. Führen Sie den Aufruf jedoch mit einer benutzerdefinierten ASP.NET Formularauthentifizierung aus, die Sie zur Authentifizierung des Benutzers bereitstellen. Geben Sie Custom nur an, wenn Sie ein benutzerdefiniertes Authentifizierungsmodul bereitstellen, das alle Authentifizierungsanforderungen auf dem Berichtsserver verarbeitet. Sie können den benutzerdefinierten Authentifizierungstyp nicht mit der Standardauthentifizierungserweiterung von Windows verwenden. |
Nicht unterstützte Authentifizierungsmethoden
Die folgenden Authentifizierungsmethoden und -anforderungen werden nicht unterstützt.
Authentifizierungsmethode |
Erklärung |
|---|---|
Anonym |
Der Berichtsserver akzeptiert nur die nicht authentifizierten Anforderungen anonymer Benutzer in Bereitstellungen, die eine benutzerdefinierte Authentifizierungserweiterung enthalten. Berichts-Generator akzeptiert nicht authentifizierte Anforderungen, wenn Sie den Zugriff des Berichts-Generators auf einen Berichtsserver aktivieren, der für die Standardauthentifizierung konfiguriert ist. In allen anderen Fällen werden die anonymen Anforderungen mit dem Fehler 'HTTP Status 401 Access Denied' abgelehnt, bevor die Anforderung ASP.NET erreicht. Clients, die den Fehler '401 Access Denied' erhalten, müssen die Anforderung mit einem gültigen Authentifizierungstyp umformulieren. |
Technologie für einmaliges Anmelden (SSO, Single sign-on technologies) |
In Reporting Services gibt es keine systemeigene Unterstützung der Technologien für einmaliges Anmelden. Wenn Sie eine Technologie für einmaliges Anmelden verwenden möchten, müssen Sie eine benutzerdefinierte Authentifizierungserweiterung erstellen. Die Berichtsserver-Hostumgebung unterstützt keine ISAPI-Filter. Falls die verwendete SSO-Technologie als ISAPI-Filter implementiert ist, sollten Sie die in den ISA-Server integrierte Unterstützung für RSASecueID oder das RADIUS-Protokoll verwenden. Andernfalls können Sie eine ISA-Server-ISAPI oder ein HTTPModule für RS erstellen. Es wird jedoch die direkte Verwendung des ISA-Servers empfohlen. |
Passport |
Wird in SQL Server 2012 nicht unterstützt. |
Digest |
Wird in SQL Server 2012 nicht unterstützt. |
Konfigurieren von Authentifizierungseinstellungen
Authentifizierungseinstellungen werden für die Standardsicherheit konfiguriert, wenn die Berichtsserver-URL reserviert ist. Wenn Sie diese Einstellungen inkorrekt bearbeiten, gibt der Berichtsserver für Anforderungen, die nicht authentifiziert werden können, die Fehler ' HTTP 401 Access Denied' zurück. Beim Auswählen eines Authentifizierungstyps müssen Sie bereits wissen, wie die Windows-Authentifizierung in Ihrem Netzwerk unterstützt wird. Sie müssen mindestens einen Authentifizierungstyp angeben. Für RSWindows können mehrere Authentifizierungstypen angegeben werden. RSWindows-Authentifizierungstypen (RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberos und RSWindowsNegotiate) schließen sich mit dem benutzerdefinierten Authentifizierungstyp gegenseitig aus.
.gif "Wichtiger Hinweis") Wichtig |
|---|
Reporting Services überprüft nicht, ob die von Ihnen angegebenen Einstellungen für die Computerumgebung korrekt sind. Es ist möglich, dass die Standardsicherheit für Ihre Installation nicht geeignet ist oder die von Ihnen angegebenen Konfigurationseinstellungen für Ihre Sicherheitsinfrastruktur nicht geeignet sind. Aus diesem Grund sollten Sie Ihre Berichtsserverbereitstellung in einer kontrollierten Testumgebung sorgfältig prüfen, bevor Sie sie Ihrer Organisation zur Verfügung stellen. |
Der Berichtsserver-Webdienst und der Berichts-Manager verwenden stets denselben Authentifizierungstyp. Sie können keine anderen Authentifizierungstypen für die Funktionsbereiche des Berichtsserverdienstes konfigurieren. In einem Bereitstellungsmodell für horizontales Skalieren sollten Sie sicherstellen, dass alle Ihre Änderungen auf allen Knoten der Bereitstellung dupliziert werden. Sie können keine anderen Knoten in der gleichen Bereitstellung für horizontales Skalieren konfigurieren, um andere Authentifizierungstypen zu verwenden.
Die Hintergrundverarbeitung akzeptiert keine Anforderungen von Endbenutzern. Sie authentifiziert jedoch alle Anforderungen für unbeaufsichtigte Ausführungszwecke. Sie verwendet stets die Windows-Authentifizierung und authentifiziert Anforderungen mit dem Berichtsserverdienst oder dem Konto für die unbeaufsichtigte Ausführung, falls konfiguriert.
In diesem Abschnitt
Konfigurieren der Windows-Authentifizierung auf dem Berichtsserver
Konfigurieren der Standardauthentifizierung auf dem Berichtsserver
Konfiguration der benutzerdefinierten oder Formularauthentifizierung auf dem Berichtsserver
Verwandte Tasks
Taskbeschreibungen |
Links |
|---|---|
Konfigurieren Sie den integrierte Windows-Authentifizierungstyp. |
Konfigurieren der Windows-Authentifizierung auf dem Berichtsserver |
Konfigurieren Sie den Standardauthentifizierungstyp. |
Konfigurieren der Standardauthentifizierung auf dem Berichtsserver |
Konfigurieren Sie die formularbasierte Authentifizierung oder andernfalls ein benutzerdefinierten Authentifizierungstyp. |
Konfiguration der benutzerdefinierten oder Formularauthentifizierung auf dem Berichtsserver |
Ermöglichen Sie die Verarbeitung des benutzerdefinierte Authentifizierungsszenarios im Berichts-Manager. |
Siehe auch
Aufgaben
Konfigurieren des Berichts-Generator-Zugriffs
Konzepte
Erteilen von Berechtigungen für einen Berichtsserver im einheitlichen Modus
RSReportServer-Konfigurationsdatei
Erstellen und Verwalten von Rollenzuweisungen
Angeben der Anmeldeinformationen und Verbindungsinformationen für Berichtsdatenquellen
Implementieren von Sicherheitserweiterungen
Konfigurieren von SSL-Verbindungen auf einem Berichtsserver im einheitlichen Modus
Übersicht über Sicherheitserweiterungen
Authentifizierung in Reporting Services
Autorisierung in Reporting Services
Andere Ressourcen
Konfigurieren der Kerberos-Authentifizierung in einer Reporting Services-Umgebung