Protection étendue de l'authentification avec Reporting ServicesExtended Protection for Authentication with Reporting Services

La protection étendue est un ensemble d'améliorations apportées aux dernières versions du système d'exploitation MicrosoftMicrosoft Windows.Extended Protection is a set of enhancements to recent versions of the MicrosoftMicrosoft Windows operating system. La protection étendue améliore la manière dont les applications protègent les informations d'identification et l'authentification.Extended protection enhances how credentials and authentication can be protected by applications. La fonctionnalité ne fournit pas directement de protection contre des attaques spécifiques telles que le transfert d'informations d'identification, mais offre une infrastructure aux applications telles que Reporting ServicesReporting Services afin d'appliquer la protection étendue de l'authentification.The feature itself does not directly provide protection against specific attacks such as credential forwarding, but it provides an infrastructure for applications such as Reporting ServicesReporting Services to enforce Extended Protection for Authentication.

La liaison de service et la liaison de canal figurent parmi les améliorations d'authentification les plus importantes de la protection étendue.The main authentication enhancements that are part of extended protection are service binding and channel binding. La liaison de canal utilise un jeton de liaison de canal (FAO) afin de vérifier que le canal établi entre deux points d'arrêt n'a pas été compromis.Channel binding uses a channel binding token (CBT), to verify that the channel established between two end points was not compromised. La liaison de service utilise les noms de principaux du service (SPN) pour valider la destination prévue de jetons d'authentification.Service binding uses Service Principal Names (SPN) to validate the intended destination of authentication tokens. Pour plus d’informations générales sur la protection étendue, consultez Integrated Windows Authentication with Extended Protection(Authentification Windows intégrée avec protection étendue).For more background information about extended protection, see Integrated Windows Authentication with Extended Protection.

SQL Server Reporting Services (SSRS) prend en charge et applique la protection étendue qui a été activée dans le système d’exploitation et configurée dans Reporting ServicesReporting Services.SQL Server Reporting Services (SSRS) supports and enforces Extended Protection that has been enabled in the operating system and configured in Reporting ServicesReporting Services. Par défaut, Reporting ServicesReporting Services accepte les demandes qui spécifient l'authentification Negotiate ou NTLM et peut donc tirer parti de la prise en charge de la protection étendue dans le système d'exploitation et des fonctionnalités de la protection étendue de Reporting ServicesReporting Services .By default, Reporting ServicesReporting Services accepts requests that specify Negotiate or NTLM authentication and could therefore benefit from Extended Protection support in the operating system and the Reporting ServicesReporting Services extended protection features.

Important

Par défaut, Windows n'active pas la protection étendue.By default, Windows does not enable Extended Protection. Pour plus d'informations sur l'activation de la protection étendue dans Windows, consultez Protection étendue de l'authentification.For information about how to enable Extended Protection in Windows, see Extended Protection for Authentication. Le système d'exploitation et la pile d'authentification du client doivent tous les deux prendre en charge la protection étendue pour que l'authentification aboutisse.Both the operating system and client authentication stack must support Extended Protection so that authentication succeeds. Vous devrez peut-être installer plusieurs mises à jour sur les systèmes d'exploitation plus anciens pour bénéficier d'une protection étendue à jour et prête à l'emploi sur l'ordinateur.For older operating systems you may need to install more than one update for a complete, Extended Protection ready computer. Pour plus d’informations sur les développements les plus récents de la protection étendue, consultez les informations mises à jour relatives à la protection étendue.For information on recent developments with Extended Protection, see updated information with Extended Protection.

Vue d'ensemble de la protection étendue Reporting ServicesReporting Services Extended Protection Overview

SSRS prend en charge et applique la protection étendue qui a été activée dans le système d’exploitation.SSRS supports and enforces extended protection that has been enabled in the operating system. Si le système d'exploitation ne prend pas en charge la protection étendue ou si la fonctionnalité n'a pas été activée dans le système d'exploitation, la fonctionnalité de protection étendue de Reporting ServicesReporting Services ne parviendra pas à effectuer l'authentification.If the operating system does not support extended protection or the feature in the operating system has not been enabled, the Reporting ServicesReporting Services extended protection feature will fail authentication. Reporting ServicesReporting Services requiert également un certificat SSL. Extended Protection also requires an SSL Certificate. Pour plus d’informations, consultez Configurer des connexions SSL sur un serveur de rapports en mode natif.For more information, see Configure SSL Connections on a Native Mode Report Server

Important

Reporting ServicesReporting Services n'active pas la protection étendue par défaut.By default, Reporting ServicesReporting Services does not enable Extended Protection. La fonctionnalité peut être activée en modifiant le fichier de configuration rsreportserver.config ou en utilisant les API WMI pour mettre le fichier de configuration à jour.The feature can be enabled by modifying the rsreportserver.config configuration file or using WMI APIs to update the configuration file. SSRS ne propose pas d’interface utilisateur pour modifier ou visualiser les paramètres de protection étendus.SSRS does not provide a user interface to modify or view extended protection settings. Pour plus d'informations, consultez la section des paramètres de configuration dans cette rubrique.For more information, see the configuration settings section in this topic.

Les problèmes courants qui se produisent à cause des modifications des paramètres de protection étendue ou de paramètres mal configurés ne décrivent pas les messages d'erreur ou les boîtes de dialogue habituelles.Common issues that occur because of changes in extended protection settings or incorrectly configured settings are not be exposed with obvious error messages or dialog windows. Les problèmes sur la configuration et la compatibilité de la protection étendue aboutissent à des échecs et des erreurs d'authentification dans les journaux de trace Reporting ServicesReporting Services .Issues related to extended protection configuration and compatibility result in authentication failures and errors in the Reporting ServicesReporting Services trace logs.

Important

Certaines technologies d'accès aux données peuvent ne pas prendre en charge la protection étendue.Some data access technologies may not support extended protection. Une technologie d'accès aux données est utilisée pour se connecter aux sources de données SQL Server et à la base de données du catalogue Reporting ServicesReporting Services .A data access technology is used to connect to SQL Server data sources and to the Reporting ServicesReporting Services catalog database. L'échec d'une technologie d'accès aux données dans la prise en charge de la protection étendue a les conséquences suivantes sur Reporting ServicesReporting Services :Failure of a data access technology to support extended protection impacts Reporting ServicesReporting Services in the following ways:

  • La protection étendue ne peut être activée sur le serveur SQL Server qui exécute la base de données du catalogue Reporting ServicesReporting Services et le serveur de rapports ne parvient pas à se connecter à la base de données de catalogue et renvoie des erreurs d'authentification.The SQL Server that runs the Reporting ServicesReporting Services catalog database cannot have extended protection enabled or the report server will not successfully connect to the catalog database and return authentication errors.

    • Les serveurs SQL Server utilisés comme sources de données de rapport Reporting ServicesReporting Services ne peuvent bénéficier de la protection étendue ou essayant, par le biais du serveur de rapports, de se connecter à la source de données de rapport échouent et retournent des erreurs d'authentification.SQL Servers that are used as Reporting ServicesReporting Services report data sources cannot have extended protection enabled or tries by the report server to connect to the report data source will fail and return authentication errors.

    La documentation pour une technologie d'accès aux données doit disposer d'informations sur la prise en charge de la protection étendue.The documentation for a data access technology should have information about support for extended protection.

Mise à niveauUpgrade

  • La mise à niveau d’un serveur Reporting ServicesReporting Services vers SQL Server 2016 ajoute des paramètres de configuration avec les valeurs par défaut au fichier rsreportserver.config.Upgrading a Reporting ServicesReporting Services server to SQL Server 2016 adds configuration settings with default values to the rsreportserver.config file. Si les paramètres y figurent déjà, l’installation de SQL Server 2016 les laisse dans le fichier rsreportserver.config.If the settings were already present, the SQL Server 2016 installation will preserve them in the rsreportserver.config file.

  • Quand les paramètres de configuration sont ajoutés au fichier de configuration rsreportserver.config , le comportement par défaut de la fonctionnalité de protection étendue de Reporting ServicesReporting Services est désactivé et vous devez activer la fonction comme indiqué dans cette rubrique.When the configuration settings are added to the rsreportserver.config configuration file, the default behavior is for the Reporting ServicesReporting Services extended protection feature to be off and you must enable the feature as described in this topic. Pour plus d'informations, consultez la section des paramètres de configuration dans cette rubrique.For more information, see the configuration settings section in this topic.

  • La valeur par défaut du paramètre RSWindowsExtendedProtectionLevel est Off.The default value for the setting RSWindowsExtendedProtectionLevel is Off.

  • La valeur par défaut du paramètre RSWindowsExtendedProtectionScenario est Proxy.The default value for the setting RSWindowsExtendedProtectionScenario is Proxy.

  • ne vérifie pas que la protection étendue est activée sur le système d'exploitation ou l'installation actuelle de Reporting ServicesReporting Services .Upgrade Advisor does not verify that the operating system or the current installation of Reporting ServicesReporting Services has Extended Protection support enabled.

Champs non couverts par la protection étendue de Reporting ServicesWhat Reporting Services extended protection does not cover

Les fonctionnalités et scénarios suivants ne sont pas pris en charge par la fonctionnalité de protection étendue Reporting ServicesReporting Services :The following feature areas and scenarios are not supported by the Reporting ServicesReporting Services extended protection feature:

  • Les auteurs des extensions de sécurité personnalisées Reporting ServicesReporting Services doivent insérer la prise en charge de la protection étendue à leur extension de sécurité personnalisée.Authors of Reporting ServicesReporting Services custom security extensions must add support for extended protection to their custom security extension.

  • Les composants tiers ajoutés ou utilisés durant une installation de Reporting ServicesReporting Services doivent être mis à jour par le fournisseur tiers en vue de la prise en charge de la protection étendue.Third-party components added to or used by a Reporting ServicesReporting Services installation must be updated by the third-party vendor, to support extended protection. Pour plus d'informations, contactez le fournisseur tiers.For more information, contact the third-party vendor.

Recommandations et scénarios de déploiementDeployment Scenarios and recommendations

Les scénarios suivants illustrent plusieurs déploiements et topologies ainsi que la configuration recommandée afin de les sécuriser par la protection étendue Reporting ServicesReporting Services .The following scenarios illustrate different deployments and topologies and the recommended configuration to secure them with Reporting ServicesReporting Services Extended Protection.

DirectDirect

Ce scénario décrit la connexion directe à un serveur de rapports, par exemple, un environnement d'intranet.This scenario describes directly connecting to a report server, for example, an intranet environment.

ScénarioScenario Schéma du scénarioScenario Diagram Procédure de sécurisationHow to secure
Communication SSL directe.Direct SSL communication.

Le serveur de rapports applique la liaison du canal entre le client et le serveur de rapports.The report server will enforce client to report server Channel Binding.
RS_ExtendedProtection_DirectSSLRS_ExtendedProtection_DirectSSL

1) Application cliente1) Client application

2) Serveur de rapports2) Report server
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Définissez RSWindowsExtendedProtectionScenario sur Direct.Set RSWindowsExtendedProtectionScenario to Direct.



-La liaison de service n’est pas nécessaire, car le canal SSL est utilisé pour la liaison de canal.-Service Binding is not necessary because the SSL channel will be used for Channel Binding.
Communication HTTP directe.Direct HTTP communication. Le serveur de rapports applique la liaison de service entre le client et le serveur de rapports.The report server will enforce Client to report server Service Binding. RS_ExtendedProtection_DirectRS_ExtendedProtection_Direct

1) Application cliente1) Client application

2) Serveur de rapports2) Report server
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Définissez RSWindowsExtendedProtectionScenario sur Any.Set RSWindowsExtendedProtectionScenario to Any.



-Il n’existe aucun canal SSL et, par conséquent, toute application de la liaison de canal est impossible.-There is no SSL Channel therefore no enforcement of Channel Binding is possible.

-La liaison de service peut être validée, mais ne constitue pas une ligne de défense parfaite sans la liaison de canal ; la liaison de service à elle seule se contente de bloquer les menaces de base.-Service Binding can be validated, however, it is not a complete defense without Channel binding and Service Binding on its own will only protect from basic threats.

Équilibrage de la charge réseau et proxyProxy and Network Load Balancing

Les applications clientes se connectent à un périphérique ou un logiciel qui effectue une connexion SSL et transmet les informations d'identification au serveur en vue de l'authentification, par exemple, Internet, un réseau extranet ou intranet sécurisé.Client applications connect to a device or software that performs SSL and passes through the credentials to the server for authentication, for example, an extranet, Internet, or Secure Intranet. Le client se connecte à un serveur proxy ou à tous les clients utilisant un proxy.The client connects to a Proxy or all clients use a proxy.

La situation est la même lorsque vous utilisez un périphérique d'équilibrage de la charge réseau.The situation is the same when you are using a Network Load Balancing (NLB) device.

ScénarioScenario Schéma du scénarioScenario Diagram Procédure de sécurisationHow to secure
Communications HTTP.HTTP communication. Le serveur de rapports applique la liaison de service entre le client et le serveur de rapports.The report server will enforce client to report server Service Binding. RS_ExtendedProtection_IndirectRS_ExtendedProtection_Indirect

1) Application cliente1) Client application

2) Serveur de rapports2) Report server

3) Proxy3) Proxy
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Définissez RSWindowsExtendedProtectionScenario sur Any.Set RSWindowsExtendedProtectionScenario to Any.



-Il n’existe aucun canal SSL et, par conséquent, toute application de la liaison de canal est impossible.-There is no SSL Channel therefore no enforcement of Channel Binding is possible.

-Le serveur de rapports doit être configuré de façon à identifier le serveur proxy pour s’assurer que la liaison de service est correctement appliquée.-The report server must be configured to know the name of the proxy server to make sure that the service binding is correctly enforced.
Communications HTTP.HTTP communication.

Le serveur de rapports applique la liaison de canal entre le client et le proxy et la liaison de service entre le client et le serveur de rapports.The report server will enforce client to Proxy Channel Binding and client to report server Service Binding.
RS_ExtendedProtection_Indirect_SSLRS_ExtendedProtection_Indirect_SSL

1) Application cliente1) Client application

2) Serveur de rapports2) Report server

3) Proxy3) Proxy
DéfinissezSet
RSWindowsExtendedProtectionLevel sur Allow ou Require.RSWindowsExtendedProtectionLevel to Allow or Require.

Définissez RSWindowsExtendedProtectionScenario sur Proxy.Set RSWindowsExtendedProtectionScenario to Proxy.



-Le canal SSL vers le proxy est disponible ; par conséquent, la liaison de canal au proxy peut être appliquée.-SSL channel to proxy is available therefore channel binding to the proxy can be enforced.

-La liaison de service est également applicable.-Service Binding can also be enforced.

-Le nom du proxy doit être connu du serveur de rapports et l’administrateur du serveur de rapports doit lui créer une réservation d’URL, avec un en-tête d’hôte ou encore configurer le nom de proxy dans l’entrée BackConnectionHostNamesdu Registre Windows.-The Proxy name must be known to the report server and the report server administrator should either create a URL reservation for it, with a host header or configure the Proxy name in the Windows registry entry BackConnectionHostNames.
Communications HTTPS indirectes avec un proxy sécurisé.Indirect HTTPS communication with a secure proxy. Le serveur de rapports applique la liaison de canal entre le client et le proxy et la liaison de service entre le client et le serveur de rapports.Report server will enforce client to proxy Channel Binding and Client to report server Service Binding. RS_ExtendedProtection_IndirectSSLandHTTPSRS_ExtendedProtection_IndirectSSLandHTTPS

1) Application cliente1) Client application

2) Serveur de rapports2) Report server

3) Proxy3) Proxy
DéfinissezSet
RSWindowsExtendedProtectionLevel sur Allow ou Require.RSWindowsExtendedProtectionLevel to Allow or Require.

Définissez RSWindowsExtendedProtectionScenario sur Proxy.Set RSWindowsExtendedProtectionScenario to Proxy.



-Le canal SSL vers le proxy est disponible ; par conséquent, la liaison de canal au proxy peut être appliquée.-SSL channel to proxy is available therefore channel binding to the proxy can be enforced.

-La liaison de service est également applicable.-Service Binding can also be enforced.

-Le nom du proxy doit être connu du serveur de rapports et l’administrateur du serveur de rapports doit lui créer une réservation d’URL, avec un en-tête d’hôte ou encore configurer le nom de proxy dans l’entrée BackConnectionHostNamesdu Registre Windows.-The Proxy name must be known to the report server and the report server administrator should either create a URL reservation for it, with a host header or configure the Proxy name in the Windows registry entry BackConnectionHostNames.

PasserelleGateway

Ce scénario décrit des applications clientes qui se connectent à un dispositif ou à un logiciel qui effectue la connexion SSL et authentifie l'utilisateur.This scenario describes Client applications connecting to a device or software that performs SSL and authenticates the user. Le périphérique ou le logiciel emprunte l'identité du contexte de l'utilisateur ou d'un utilisateur différent avant que ce dernier n'émette une demande au serveur de rapports.Then the device or software impersonates the user context or a different user context before it makes a request to the report server.

ScénarioScenario Schéma du scénarioScenario Diagram Procédure de sécurisationHow to secure
Communications HTTP indirectes.Indirect HTTP communication.

La passerelle applique la liaison de canal entre le client et la passerelle.Gateway will enforce Client to Gateway channel binding. Il existe une passerelle menant à la liaison de service du serveur de rapports.There is a Gateway to report server Service Binding.
RS_ExtendedProtection_Indirect_SSLRS_ExtendedProtection_Indirect_SSL

1) Application cliente1) Client application

2) Serveur de rapports2) Report server

3) Périphérique de passerelle3) Gateway device
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Définissez RSWindowsExtendedProtectionScenario sur Any.Set RSWindowsExtendedProtectionScenario to Any.



-La liaison de canal entre le client et le serveur de rapports est impossible, car la passerelle emprunte l’identité d’un contexte, créant ainsi un autre jeton NTLM.-Channel Binding from client to report server is not possible because the gateway impersonates a context and therefore creates a new NTLM token.

-Il n’existe aucune connexion SSL entre la passerelle et le serveur de rapports ; la liaison de canal ne peut donc pas être appliquée.-There is no SSL from the Gateway to report server therefore channel binding cannot be enforced.

-La liaison de service est applicable.-Service Binding can be enforced.

-Le périphérique de passerelle doit être configuré par votre administrateur pour l’application de la liaison de canal.-The Gateway device should be configured by your administrator to enforce channel binding.
Communications HTTPS indirectes avec une passerelle sécurisée.Indirect HTTPS communication with a Secure Gateway. La passerelle applique la liaison de canal entre le client et la passerelle et le serveur de rapports applique la liaison de canal entre la passerelle et le serveur de rapports.The Gateway will enforce Client to Gateway Channel Binding and the report server will enforce Gateway to report server Channel Binding. RS_ExtendedProtection_IndirectSSLandHTTPSRS_ExtendedProtection_IndirectSSLandHTTPS

1) Application cliente1) Client application

2) Serveur de rapports2) Report server

3) Périphérique de passerelle3) Gateway device
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Définissez RSWindowsExtendedProtectionScenario sur Direct.Set RSWindowsExtendedProtectionScenario to Direct.



-La liaison de canal entre le client et le serveur de rapports est impossible, car la passerelle emprunte l’identité d’un contexte, créant ainsi un autre jeton NTLM.-Channel Binding from client to report server is not possible because the gateway impersonates a context and therefore creates a new NTLM token.

-La connexion SSL entre la passerelle et le serveur de rapports signifie qu’une liaison de canal est possible.-SSL from Gateway to the report sever means channel binding can be enforced.

-La liaison de service n’est pas obligatoire.-Service Binding is not required.

-Le périphérique de passerelle doit être configuré par votre administrateur pour l’application de la liaison de canal.-The Gateway device should be configured by your administrator to enforce channel binding.

CombinaisonCombination

Ce scénario décrit des environnements Internet ou Extranet dans lesquels le client se connecte à un proxy.This scenario describes Extranet or Internet environments where the client connects a Proxy. Il fait intervenir un intranet dans lequel un client se connecte au serveur de rapports.This is in combination with an intranet environment where a client connects to report server.

ScénarioScenario Schéma du scénarioScenario Diagram Procédure de sécurisationHow to secure
Les accès indirects et directs du client au serveur de rapports fonctionnent sans SSL pour les connexions entre le client et le proxy ou le client et le serveur de rapports.Indirect and direct access from client to report server service without SSL on either of the client to proxy or client to report sever connections. 1) Application cliente1) Client application

2) Serveur de rapports2) Report server

3) Proxy3) Proxy

4) Application cliente4) Client application
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Définissez RSWindowsExtendedProtectionScenario sur Any.Set RSWindowsExtendedProtectionScenario to Any.



-La liaison de service entre le client et le serveur de rapports est applicable.-Service Binding from client to report server can be enforced.

-Le nom du proxy doit être connu du serveur de rapports et l’administrateur du serveur de rapports doit lui créer une réservation d’URL, avec un en-tête d’hôte ou encore configurer le nom de proxy dans l’entrée BackConnectionHostNamesdu Registre Windows.-The Proxy name must be known to the report server and the report server administrator should either create a URL reservation for it, with a host header or configure the Proxy name in the Windows registry entry BackConnectionHostNames.
Accès indirects et directs du client au serveur de rapports sur lequel le client établit une connexion SSL vers le proxy ou le serveur de rapports.Indirect and direct access from client to report server where the client establishes an SSL connection to the proxy or report server. RS_ExtendedProtection_CombinationSSLRS_ExtendedProtection_CombinationSSL

1) Application cliente1) Client application

2) Serveur de rapports2) Report server

3) Proxy3) Proxy

4) Application cliente4) Client application
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Définissez RSWindowsExtendedProtectionScenario sur Proxy.Set RSWindowsExtendedProtectionScenario to Proxy.



-La liaison de canal peut être utilisée.-Channel Binding can be used

-Le nom du proxy doit être connu du serveur de rapports et l’administrateur du serveur de rapports doit lui créer une réservation d’URL, avec un en-tête d’hôte ou encore configurer le nom de proxy dans une entrée BackConnectionHostNamesdu Registre Windows.-The Proxy name must be known to the report server and the report server administrator should either create a URL reservation for the proxy, with a host header or configure the Proxy name in the Windows registry entry BackConnectionHostNames.

Configuration de la protection étendue de Reporting ServicesConfiguring Reporting Rervices extended protection

Le fichier rsreportserver.config contient les valeurs de configuration qui contrôlent le comportement de la protection étendue de Reporting ServicesReporting Services .The rsreportserver.config file contains the configuration values that control the behavior of Reporting ServicesReporting Services extended protection.

Pour plus d’informations sur l’utilisation et la modification du fichier rsreportserver.config , consultez RsReportServer.config Configuration File.For more information on using and editing the rsreportserver.config file, see RsReportServer.config Configuration File. Les paramètres de protection étendue peuvent également être modifiés et examinés à l'aide d'API WMI.The extended protection settings can also be changed and inspected using WMI APIs. Pour plus d’informations, consultez Méthode SetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting)(Authentification Windows intégrée avec protection étendue).For more information, see SetExtendedProtectionSettings Method (WMI MSReportServer_ConfigurationSetting).

Si la validation des paramètres de configuration échoue, les types d'authentification RSWindowsNTLM, RSWindowsKerberos et RSWindowsNegotiate sont désactivés sur le serveur de rapports.When validation of the configuration settings fail, the authentication types RSWindowsNTLM, RSWindowsKerberos and RSWindowsNegotiate are disabled on the report server.

Paramètres de configuration pour la protection étendue de Reporting ServicesConfiguration Settings for reporting services extended protection

Le tableau suivant donne des informations sur les paramètres de configuration qui figurent dans le fichier rsreportserver.config de protection étendue.The following table provides information about configuration settings that appear in the rsreportserver.config for extended protection.

ParamètreSetting DescriptionDescription
RSWindowsExtendedProtectionLevelRSWindowsExtendedProtectionLevel Indique le niveau d'application de la protection étendue.Specifies the degree of enforcement of extended protection. Les valeurs valides sont :Valid values are:

Off: valeur par défaut.Off: Default. Indique l’absence de vérification de la liaison de canal ou de service.Specifies no channel binding or service binding verification.

Allow prend en charge la protection étendue, mais ne l’impose pas.Allow supports extended protection but does not require it. Spécifie les points suivants :Specifies:

-La protection étendue est appliquée aux applications clientes qui s’exécutent sur les systèmes d’exploitation prenant en charge la protection étendue.-Extended protection will be enforced for client applications that are running on operating systems that support extended protection. La manière dont la protection s’applique dépend du paramètre RsWindowsExtendedProtectionScenario.How protection is enforced is determined by setting RsWindowsExtendedProtectionScenario

-L’authentification est autorisée pour les applications fonctionnant sur des systèmes d’exploitation qui ne prennent pas en charge la protection étendue.-Authentication will be allowed for applications that are running on operating systems which do not support extended protection.

Require spécifie les points suivants :Require specifies:

-La protection étendue est appliquée aux applications clientes qui s’exécutent sur les systèmes d’exploitation prenant en charge la protection étendue.-Extended protection will be enforced for client applications that are running on operating systems that support extended protection.

-L’authentification n’est pas autorisée pour les applications fonctionnant sur des systèmes d’exploitation qui ne prennent pas en charge la protection étendue.-Authentication will not be allowed for applications that are running on operating systems which do not support extended protection.
RsWindowsExtendedProtectionScenarioRsWindowsExtendedProtectionScenario Indique les formes de protection étendue validées : liaison de canal, liaison de service ou les deux à la fois.Specifies what forms of extended protection are validated: Channel binding, Service Binding, or both. Les valeurs valides sont :Valid values are:

Proxy: valeur par défaut.Proxy: Default. Spécifie les points suivants :Specifies:

-L’authentification Windows NTLM, Kerberos et Negotiate a lieu lorsqu’un jeton de liaison de canal est présent.-Windows NTLM, Kerberos, and Negotiate authentication when a channel binding token is present.

-La liaison de service est appliquée.-Service Binding is enforced.

Any spécifie les points suivants :Any Specifies:

-L’authentification Windows NTLM, Kerberos et Negotiate, ainsi qu’une liaison de canal, ne sont pas obligatoires.-Windows NTLM, Kerberos, and Negotiate authentication and a channel binding are not required.

-La liaison de service est appliquée.-Service binding is enforced.

Direct spécifie les points suivants :Direct Specifies:

-L’authentification Windows NTLM, Kerberos et Negotiate a lieu lorsqu’il existe un jeton de liaison de canal et une connexion SSL au service actuel, et lorsque le jeton de liaison de canal pour la connexion SSL correspond à celui du jeton NTLM, Kerberos ou Negotiate.-Windows NTLM, Kerberos, and Negotiate authentication when a CBT is present, an SSL connection to the current service is present, and the CBT for the SSL connection matches the CBT of the NTLM, Kerberos or negotiate token.

-La liaison de service n’est pas appliquée.-Service Binding is not enforced.



Remarque : le paramètre RsWindowsExtendedProtectionScenario est ignoré si RsWindowsExtendedProtectionLevel est défini sur OFF.Note: The RsWindowsExtendedProtectionScenario setting is ignored if RsWindowsExtendedProtectionLevel is set to OFF.

Exemples d'entrées dans le fichier de configuration rsreportserver.config :Example entries in the rsreportserver.config configuration file:

<Authentication>  
         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>  
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>  
</Authentication>  

Liaison de service et SPN inclusService Binding and included SPNs

La liaison de service utilise les noms principaux du service (SPN) pour valider la destination prévue des jetons d'authentification.Service binding uses Service Principal Names or SPN to validate the intended destination of authentication tokens. Reporting ServicesReporting Services utilise les informations de réservation d'URL existantes pour générer la liste des SPN considérés comme valides. uses the existing URL reservation information to build a list of SPNs that are considered valid. L'utilisation des informations de réservation d'URL pour la validation des réservations SPN et URL permet aux administrateurs système de gérer les deux à la fois à partir d'un seul emplacement.Using the URL reservation information for validation of both SPN and URL reservations enables system administrators to manage both from a single location.

La liste des SPN valides est mise à jour au démarrage du serveur de rapports démarre, à la modification des paramètres de configuration de la protection étendue ou au recyclage du domaine d'application.The list of valid SPNs is updated when the report server starts, the configuration settings for extended protection are changed, or when the application domain is recycled.

La liste valide des SPN est spécifique à chaque application.The valid list of SPNs is specific for each application. Par exemple, le Gestionnaire de rapports et le serveur de rapports auront chacun leur propre liste de SPN.For example, Report Manager and Report Server will each have a different list of valid SPNs calculated.

La liste de SPN valides générée pour une application est déterminée par les facteurs suivants :The list of valid SPNs calculated for an application is determined by the following factors:

  • Réservations d'URL.Each URL reservation.

  • Ensemble des SPN extraits du contrôleur de domaine pour le compte de service Reporting Services.Each SPN retrieved from the domain controller for the reporting services service account.

  • Si une réservation d'URL inclut des caractères génériques (« * » ou « + »), le serveur de rapports ajoutera chaque entrée de la collection d'hôtes.If a URL reservation includes wildcard characters ('*' or '+'), then Report Server will add each entry from the hosts collection.

Sources de collection d'hôtes.Hosts collection sources.

Le tableau suivant répertorie les sources potentielles de la collection d'hôtes.The following table lists the potential sources for the Hosts collection.

Type de la sourceType of source DescriptionDescription
ComputerNameDnsDomainComputerNameDnsDomain Nom du domaine DNS affecté à l'ordinateur local.The name of the DNS domain assigned to the local computer. Si l'ordinateur local est un nœud dans un cluster, le nom de domaine DNS du serveur virtuel de cluster est utilisé.If the local computer is a node in a cluster, the DNS domain name of the cluster virtual server is used.
ComputerNameDnsFullyQualifiedComputerNameDnsFullyQualified Nom DNS complet qui identifie de manière unique l'ordinateur local.The fully qualified DNS name that uniquely identifies the local computer. Ce nom est une combinaison du nom d'hôte DNS et du nom de domaine DNS présentée sous la forme Nom d'hôte.Nom de domaine.This name is a combination of the DNS host name and the DNS domain name, using the form HostName.DomainName. Si l'ordinateur local est un nœud dans un cluster, le nom DNS complet du serveur virtuel de cluster est utilisé.If the local computer is a node in a cluster, the fully qualified DNS name of the cluster virtual server is used.
ComputerNameDnsHostnameComputerNameDnsHostname Nom d'hôte DNS de l'ordinateur local.The DNS host name of the local computer. Si l'ordinateur local est un nœud dans un cluster, le nom d'hôte DNS du serveur virtuel de cluster est utilisé.If the local computer is a node in a cluster, the DNS host name of the cluster virtual server is used.
ComputerNameNetBIOSComputerNameNetBIOS Nom NetBIOS de l'ordinateur local.The NetBIOS name of the local computer. Si l'ordinateur local est un nœud dans un cluster, le nom NetBIOS du serveur virtuel de cluster est utilisé.If the local computer is a node in a cluster, the NetBIOS name of the cluster virtual server is used.
ComputerNamePhysicalDnsDomainComputerNamePhysicalDnsDomain Nom du domaine DNS affecté à l'ordinateur local.The name of the DNS domain assigned to the local computer. Si l'ordinateur local est un nœud dans un cluster, le nom de domaine DNS de l'ordinateur local est utilisé, mais pas le nom du serveur virtuel de cluster.If the local computer is a node in a cluster, the DNS domain name of the local computer is used, not the name of the cluster virtual server.
ComputerNamePhysicalDnsFullyQualifiedComputerNamePhysicalDnsFullyQualified Nom DNS complet qui identifie de manière unique l'ordinateur.The fully qualified DNS name that uniquely identifies the computer. Si l'ordinateur local est un nœud dans un cluster, le nom DNS complet de l'ordinateur local est utilisé, mais pas le nom du serveur virtuel de cluster.If the local computer is a node in a cluster, the fully qualified DNS name of the local computer, is used not the name of the cluster virtual server.

Le nom DNS complet est une combinaison du nom d'hôte DNS et du nom de domaine DNS présentée sous la forme Nom d'hôte.Nom de domaine.The fully qualified DNS name is a combination of the DNS host name and the DNS domain name, using the form HostName.DomainName.
ComputerNamePhysicalDnsHostnameComputerNamePhysicalDnsHostname Nom d'hôte DNS de l'ordinateur local.The DNS host name of the local computer. Si l'ordinateur local est un nœud dans un cluster, le nom d'hôte DNS de l'ordinateur local est utilisé, mais pas le nom du serveur virtuel de cluster.If the local computer is a node in a cluster, the DNS host name of the local computer is used, not the name of the cluster virtual server.
ComputerNamePhysicalNetBIOSComputerNamePhysicalNetBIOS Nom NetBIOS de l'ordinateur local.The NetBIOS name of the local computer. Si l'ordinateur local est un nœud dans un cluster, le nom NetBIOS de l'ordinateur local est utilisé, mais pas le nom du serveur virtuel de cluster.If the local computer is a node in a cluster, the NetBIOS name of the local computer, not the name of the cluster virtual server.

Lorsque les SPN sont ajoutés, une entrée est ajoutée au journal de suivi semblable au suivant :As SPNs are added, an entry is added to the trace log that resembles the following:

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalNetBIOS> - <theservername>.

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalDnsHostname> - <theservername>.

Pour plus d’informations, consultez Inscrire un nom de principal du service (SPN) pour un serveur de rapports et À propos des réservations et de l’inscription d’URL (Gestionnaire de configuration de SSRS).For more information, see Register a Service Principal Name (SPN) for a Report Server and About URL Reservations and Registration (SSRS Configuration Manager).

Étapes suivantesNext steps

Se connecter au moteur de base de données à l'aide de la protection étendue Connect to the Database Engine Using Extended Protection
Extended Protection for Authentication Overview (en anglais) Extended Protection for Authentication Overview
Integrated Windows Authentication with Extended Protection Integrated Windows Authentication with Extended Protection
Microsoft Security Advisory: Extended protection for authentication (en anglais) Microsoft Security Advisory: Extended protection for authentication
Report Server Service Trace Log Report Server Service Trace Log
RsReportServer.config Configuration File RsReportServer.config Configuration File
Méthode SetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting)SetExtendedProtectionSettings Method (WMI MSReportServer_ConfigurationSetting)

D’autres questions ?More questions? Essayez de poser une question dans le forum Reporting ServicesTry asking the Reporting Services forum