Authentifizierung mit dem BerichtsserverAuthentication with the Report Server

SQL ServerSQL Server Reporting ServicesReporting Services (SSRS) bietet mehrere konfigurierbare Optionen zum Authentifizieren von Benutzern und Clientanwendungen am Berichtsserver. Reporting ServicesReporting Services (SSRS) offers several configurable options for authenticating users and client applications against the report server. Standardmäßig verwendet der Berichtsserver die integrierte Windows-Authentifizierung und geht von vertrauenswürdigen Beziehungen aus, wenn sich Client- und Netzwerkressourcen in der gleichen Domäne oder einer vertrauenswürdigen Domäne befinden.By default, the report server uses Windows Integrated authentication and assumes trusted relationships where client and network resources are in the same domain or in a trusted domain. Abhängig von der Netzwerktopologie und den Anforderungen der Organisation können Sie das für die integrierte Windows-Authentifizierung verwendete Authentifizierungsprotokoll anpassen, die Standardauthentifizierung verwenden oder eine selbst bereitgestellte und auf einem benutzerdefinierten Formular basierende Authentifizierungserweiterung nutzen.Depending on your network topology and the needs of your organization, you can customize the authentication protocol that is used for Windows Integrated authentication, use Basic authentication, or use a custom forms-based authentication extension that you provide. Jeder dieser Authentifizierungstypen kann individuell aktiviert oder deaktiviert werden.Each of the authentication types can be turned on or off individually. Sie können mehrere Authentifizierungstypen aktivieren, wenn der Berichtsserver mehrere Arten von Anforderungen akzeptieren soll.You can enable more than one authentication type if you want the report server to accept requests of multiple types.

Alle Benutzer oder Anwendungen, die Zugriff auf Berichtsserverinhalte oder -vorgänge anfordern, müssen vor Gewähren des Zugriffs authentifiziert werden.All users or applications who request access to report server content or operations must be authenticated before access is allowed.

AuthentifizierungstypenAuthentication Types

Alle Benutzer oder Anwendungen, die Zugriff auf Berichtsserverinhalte oder -vorgänge anfordern, müssen vor Gewähren des Zugriffs mit dem Authentifizierungstyp authentifiziert werden, der auf dem Berichtsserver konfiguriert ist.All users or applications who request access to report server content or operations must be authenticated using the authentication type configured on the report server before access is allowed. In der folgenden Tabelle werden die von Reporting ServicesReporting Servicesunterstützten Authentifizierungstypen beschrieben.The following table describes the authentication types supported by Reporting ServicesReporting Services.

Name AuthentifizierungstypAuthenticationType Name Wert HTTP-AuthentifizierungsebeneHTTP Authentication Layer value Standardmäßig verwendetUsed by default DescriptionDescription
RSWindowsNegotiateRSWindowsNegotiate AushandelnNegotiate jaYes Versucht für die integrierte Windows-Authentifizierung zunächst eine Kerberos-Authentifizierung zu verwenden, greift jedoch auf NTLM zurück, wenn Active Directory kein Ticket für die Client-Anforderung auf den Berichtsserver gewähren kann.Attempts to use Kerberos for Windows Integrated authentication first, but falls back to NTLM if Active Directory cannot grant a ticket for the client request to the report server. Negotiate greift nur auf NTLM zurück, wenn das Ticket nicht verfügbar ist.Negotiate will only fall back to NTLM if the ticket is not available. Wenn der erste Versuch zu einem Fehler (außer einem nicht verfügbaren Ticket) führt, unternimmt der Berichtsserver keinen zweiten Versuch.If the first attempt results in an error rather than a missing ticket, the report server does not make a second attempt.
RSWindowsNTLMRSWindowsNTLM NTLMNTLM jaYes Verwendet für die integrierte Windows-Authentifizierung NTLM.Uses NTLM for Windows Integrated authentication.

Die Anmeldeinformationen werden nicht delegiert oder durch einen Identitätswechsel für andere Anforderungen verwendet.The credentials will not be delegated or impersonated on other requests. Nachfolgende Anforderungen befolgen eine neue Abfrage-/Rückmeldungs-Sequenz.Subsequent requests will follow a new challenge-response sequence. Je nach den Einstellungen für die Netzwerksicherheit können Benutzer aufgefordert werden, Anmeldeinformationen einzugeben, oder die Authentifizierungsanforderung wird transparent verarbeitet.Depending on network security settings, a user might be prompted for credentials or the authentication request will be handled transparently.
RSWindowsKerberosRSWindowsKerberos KerberosKerberos neinNo Verwendet für die integrierte Windows-Authentifizierung Kerberos.Uses Kerberos for Windows Integrated authentication. Sie müssen Kerberos konfigurieren, indem Sie Dienstprinzipalnamen (Service Principle Names, SPNs) für die Dienstkonten einrichten, die Domänenadministratorberechtigungen erfordern.You must configure Kerberos by setting up setup service principle names (SPNs) for your service accounts, which requires domain administrator privileges. Wenn Sie für Kerberos die Identitätsdelegierung aktivieren, kann das Token des den Bericht anfordernden Benutzers auch für eine zusätzliche Verbindung zu den externen Datenquellen verwendet werden, die Daten für Berichte liefern.If you set up identity delegation with Kerberos, the token of the user who is requesting a report can also be used on an additional connection to the external data sources that provide data to reports.

Bevor Sie RSWindowsKerberos angeben, stellen Sie sicher, dass der von Ihnen verwendete Browsertyp diesen Authentifizierungstyp unterstützt.Before you specify RSWindowsKerberos, be sure that the browser type you are using actually supports it. Wenn Sie Microsoft Edge oder Internet Explorer verwenden, wird die Kerberos-Authentifizierung nur über Negotiate unterstützt.If you are using Microsoft Edge, or Internet Explorer, Kerberos authentication is only supported through Negotiate. Microsoft Edge oder Internet Explorer formuliert keine Authentifizierungsanforderung, die Kerberos direkt angibt.Microsoft Edge, or Internet Explorer, will not formulate an authentication request that specifies Kerberos directly.
RSWindowsBasicRSWindowsBasic StandardBasic neinNo Die Standardauthentifizierung wird im HTTP-Protokoll definiert und kann nur verwendet werden, um HTTP-Anforderungen an den Berichtsserver zu authentifizieren.Basic authentication is defined in the HTTP protocol and can only be used to authenticate HTTP requests to the report server.

Anmeldeinformationen werden mithilfe der Base64-Codierung an die HTTP-Anforderung übergeben.Credentials are passed in the HTTP request in base64 encoding. Bei der Standardauthentifizierung können Sie SSL (Secure Sockets Layer) zum Verschlüsseln der Benutzerkontoinformationen verwenden, bevor diese über das Netzwerk gesendet werden.If you use Basic authentication, use Secure Sockets Layer (SSL) to encrypt user account information before it is sent across the network. SSL bietet einen verschlüsselten Kanal zum Senden einer Verbindungsanforderung vom Client an den Berichtsserver über eine HTTP TCP/IP-Verbindung.SSL provides an encrypted channel for sending a connection request from the client to the report server over an HTTP TCP/IP connection. Weitere Informationen finden Sie auf der TechNet-Website unter Using SSL to Encrypt Confidential Data MicrosoftMicrosoft .For more information, see Using SSL to Encrypt Confidential Data on the MicrosoftMicrosoft TechNet Web site.
BenutzerdefiniertCustom (Anonym)(Anonymous) neinNo Die anonyme Authentifizierung weist den Berichtsserver an, den Authentifizierungsheader in einer HTTP-Anforderung zu ignorieren.Anonymous authentication directs the report server to ignore authentication header in an HTTP request. Der Berichtsserver akzeptiert alle Anforderungen. Führen Sie den Aufruf jedoch mit einer benutzerdefinierten ASP.NETASP.NET Formularauthentifizierung aus, die Sie zur Authentifizierung des Benutzers bereitstellen.The report server accepts all requests, but call on a custom ASP.NETASP.NET Forms authentication that you provide to authenticate the user.

Geben Sie Custom nur an, wenn Sie ein benutzerdefiniertes Authentifizierungsmodul bereitstellen, das alle Authentifizierungsanforderungen auf dem Berichtsserver verarbeitet.Specify Custom only if you are deploying a custom authentication module that handles all authentication requests on the report server. Sie können den benutzerdefinierten Authentifizierungstyp nicht mit der Standardauthentifizierungserweiterung von Windows verwenden.You cannot use the Custom authentication type with the default Windows Authentication extension.

Nicht unterstützte AuthentifizierungsmethodenUnsupported Authentication Methods

Die folgenden Authentifizierungsmethoden und -anforderungen werden nicht unterstützt.The following authentication methods and requests are not supported.

AuthentifizierungsmethodeAuthentication method ErklärungExplanation
AnonymAnonymous Der Berichtsserver akzeptiert nur die nicht authentifizierten Anforderungen anonymer Benutzer in Bereitstellungen, die eine benutzerdefinierte Authentifizierungserweiterung enthalten.The report server will not accept unauthenticated requests from an anonymous user, except for those deployments that include a custom authentication extension.

Berichts-Generator akzeptiert nicht authentifizierte Anforderungen, wenn Sie den Zugriff des Berichts-Generators auf einen Berichtsserver aktivieren, der für die Standardauthentifizierung konfiguriert ist.Report Builder will accept unauthenticated requests if you enable Report Builder access on a report server that is configured for Basic authentication.

In allen anderen Fällen werden die anonymen Anforderungen mit dem Fehler 'HTTP Status 401 Access Denied' abgelehnt, bevor die Anforderung ASP.NETASP.NETerreicht.For all other cases, anonymous requests are rejected with an HTTP Status 401 Access Denied error before the request reaches ASP.NETASP.NET. Clients, die den Fehler '401 Access Denied' erhalten, müssen die Anforderung mit einem gültigen Authentifizierungstyp umformulieren.Clients receiving 401 Access Denied must reformulate the request with a valid authentication type.
Technologie für einmaliges Anmelden (SSO, Single sign-on technologies)Single sign-on technologies (SSO) In Reporting ServicesReporting Servicesgibt es keine systemeigene Unterstützung der Technologien für einmaliges Anmelden.There is no native support for single sign-on technologies in Reporting ServicesReporting Services. Wenn Sie eine Technologie für einmaliges Anmelden verwenden möchten, müssen Sie eine benutzerdefinierte Authentifizierungserweiterung erstellen.If you want to use a single sign-on technology, you must create a custom authentication extension.

Die Berichtsserver-Hostumgebung unterstützt keine ISAPI-Filter.The report server hosting environment does not support ISAPI filters. Falls die verwendete SSO-Technologie als ISAPI-Filter implementiert ist, sollten Sie die in den ISA-Server integrierte Unterstützung für RSASecueID oder das RADIUS-Protokoll verwenden.If the SSO technology you are using is implemented as an ISAPI filter, consider using the ISA Server built-in support for RSASecueID or the RADIUS protocol. Andernfalls können Sie eine ISA-Server-ISAPI oder ein HTTPModule für RS erstellen. Es wird jedoch die direkte Verwendung des ISA-Servers empfohlen.Otherwise, you can create an ISA Server ISAPI or an HTTPModule for RS, but it is recommended you use ISA Server directly.
PassportPassport Wird in SQL Server Reporting Services nicht unterstützt.Not supported in SQL Server Reporting Services.
DigestDigest Wird in SQL Server Reporting Services nicht unterstützt.Not supported in SQL Server Reporting Services.

Konfigurieren von AuthentifizierungseinstellungenConfiguration of Authentication Settings

Authentifizierungseinstellungen werden für die Standardsicherheit konfiguriert, wenn die Berichtsserver-URL reserviert ist.Authentication settings are configured for default security when the report server URL is reserved. Wenn Sie diese Einstellungen inkorrekt bearbeiten, gibt der Berichtsserver für Anforderungen, die nicht authentifiziert werden können, die Fehler ' HTTP 401 Access Denied' zurück.If you modify these settings incorrectly, the report server will return HTTP 401 Access Denied errors for HTTP requests that cannot be authenticated. Beim Auswählen eines Authentifizierungstyps müssen Sie bereits wissen, wie die Windows-Authentifizierung in Ihrem Netzwerk unterstützt wird.Choosing an authentication type requires that you already know how Windows Authentication is supported in your network. Sie müssen mindestens einen Authentifizierungstyp angeben.At least one authentication type must be specified. Für RSWindows können mehrere Authentifizierungstypen angegeben werden.Multiple authentication types can be specified for RSWindows. RSWindows-Authentifizierungstypen (d.h. RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberosund RSWindowsNegotiate) schließen sich mit „Custom“ gegenseitig aus.RSWindows authentication types (that is, RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberos, and RSWindowsNegotiate) are mutually exclusive with Custom.

Wichtig

Reporting Services überprüft nicht, ob die von Ihnen angegebenen Einstellungen für die Computerumgebung korrekt sind.Reporting Services does not validate the settings you specify to determine whether they are correct for your computing environment. Es ist möglich, dass die Standardsicherheit für Ihre Installation nicht geeignet ist oder die von Ihnen angegebenen Konfigurationseinstellungen für Ihre Sicherheitsinfrastruktur nicht geeignet sind.It is possible that default security will not work for your installation, or that you will specify configuration settings that are not valid for your security infrastructure. Aus diesem Grund sollten Sie Ihre Berichtsserverbereitstellung in einer kontrollierten Testumgebung sorgfältig prüfen, bevor Sie sie Ihrer Organisation zur Verfügung stellen.For this reason, it is important that you carefully test your report server deployment in controlled test environment before making it available to your larger organization.

Der Berichtsserver-Webdienst und der Webportalweb portal verwenden stets denselben Authentifizierungstyp.The Report Server Web service and the Webportalweb portal always use the same authentication type. Sie können keine anderen Authentifizierungstypen für die Funktionsbereiche des Berichtsserverdienstes konfigurieren.You cannot configure different authentication types for the feature areas of the Report Server service. In einem Bereitstellungsmodell für horizontales Skalieren sollten Sie sicherstellen, dass alle Ihre Änderungen auf allen Knoten der Bereitstellung dupliziert werden.If you have a scale-out deployment, be sure to duplicate all of your changes on all nodes in the deployment. Sie können keine anderen Knoten in der gleichen Bereitstellung für horizontales Skalieren konfigurieren, um andere Authentifizierungstypen zu verwenden.You cannot configure different nodes in the same scale-out to use different authentication types.

Die Hintergrundverarbeitung akzeptiert keine Anforderungen von Endbenutzern. Sie authentifiziert jedoch alle Anforderungen für unbeaufsichtigte Ausführungszwecke.Background processing does not accept requests from end-users, however it does authenticate all requests for unattended execution purposes. Sie verwendet stets die Windows-Authentifizierung und authentifiziert Anforderungen mit dem Berichtsserverdienst oder dem Konto für die unbeaufsichtigte Ausführung, falls konfiguriert.It always uses Windows Authentication and it authenticates requests using the Report Server service or the unattended execution account if it is configured.

In diesem AbschnittIn This Section

TaskbeschreibungenTask Descriptions LinksLinks
Konfigurieren Sie den integrierte Windows-Authentifizierungstyp.Configure the Windows Integrated authentication type. Configure Windows Authentication on the Report Server (Konfigurieren der Windows-Authentifizierung auf dem Berichtsserver)Configure Windows Authentication on the Report Server
Konfigurieren Sie den Standardauthentifizierungstyp.Configure the Basic authentication type. Konfigurieren der Standardauthentifizierung auf dem BerichtsserverConfigure Basic Authentication on the Report Server
Konfigurieren Sie die formularbasierte Authentifizierung oder andernfalls ein benutzerdefinierten Authentifizierungstyp.Configure forms authentication or otherwise a Custom authentication type. Configure Custom or Forms Authentication on the Report Server (Konfiguration der benutzerdefinierten oder Formularauthentifizierung auf dem Berichtsserver)Configure Custom or Forms Authentication on the Report Server
Ermöglichen Sie die Webportalweb portal im Berichts-Manager, um das benutzerdefinierte Authentifizierungsszenario zu verarbeiten.Enable the Webportalweb portal to handle the custom authentication scenario. Configure the Web Portal to Pass Custom Authentication Cookies (Konfigurieren des Webportals für die Übergabe von benutzerdefinierten Authentifizierungscookies)Configure the Web Portal to Pass Custom Authentication Cookies

Nächste SchritteNext steps

Erteilen von Berechtigungen für einen Berichtsserver im einheitlichen Modus Granting Permissions on a Native Mode Report Server
RsReportServer.config-Konfigurationsdatei RsReportServer.config Configuration File
Erstellen und Verwalten von Rollenzuweisungen Create and Manage Role Assignments
Angeben der Anmeldeinformationen und Verbindungsinformationen für Berichtsdatenquellen Specify Credential and Connection Information for Report Data Sources
Implementieren von Sicherheitserweiterungen Implementing a Security Extension
Konfigurieren von SSL-Verbindungen auf einem Berichtsserver im einheitlichen Modus Configure SSL Connections on a Native Mode Report Server
Konfigurieren des Berichts-Generator-Zugriffs Configure Report Builder Access
Übersicht über Sicherheitserweiterungen Security Extensions Overview
Authentifizierung in Reporting Services Authentication in Reporting Services
Authorization in Reporting Services (Autorisierung in Reporting Services)Authorization in Reporting Services

Haben Sie dazu Fragen?More questions? Stellen Sie eine Frage im Reporting Services-ForumTry asking the Reporting Services forum