Autenticazione con il server di report
SQL Server Reporting Services (SSRS) offre molte opzioni configurabili per l'autenticazione di utenti e applicazioni client rispetto al server di report. Per impostazione predefinita, il server di report utilizza l'autenticazione integrata di Windows e presuppone la presenza di relazioni attendibili per cui le risorse client e quelle di rete si trovano nello stesso dominio trusted. A seconda della topologia di rete e delle esigenze specifiche dell'organizzazione, è possibile personalizzare il protocollo di autenticazione usato per l'autenticazione integrata di Windows. In alternativa, è possibile usare l'autenticazione di base o un’autenticazione basata su moduli personalizzata fornita dall’utente. Ogni tipo di autenticazione può essere singolarmente abilitato o disabilitato. È possibile abilitare più di un tipo di autenticazione se si desidera che il server di report accetti richieste di più tipi.
Tutti gli utenti o le applicazioni che richiedono l'accesso al contenuto oppure a operazioni del server di report devono essere autenticati prima che ne venga consentito l'accesso.
Tipi di autenticazione
Tutti gli utenti o le applicazioni che richiedono l'accesso al contenuto oppure a operazioni del server di report devono essere autenticati utilizzando il tipo di autenticazione configurato nel server di report prima che ne venga consentito l'accesso. Nella tabella seguente vengono descritti i tipi di autenticazione supportati da Reporting Services.
| Nome del tipo di autenticazione | Valore del livello di autenticazione HTTP | Utilizzato per impostazione predefinita | Descrizione |
|---|---|---|---|
| RSWindowsNegotiate | Negotiate | Sì | Viene dapprima effettuato il tentativo di utilizzare Kerberos per l'autenticazione integrata di Windows. Se Active Directory non è in grado di concedere un ticket per la richiesta client al server di report, viene impostata nuovamente l'autenticazione NTML. L'autenticazione viene reimpostata su NTLM solo se il ticket non è disponibile. Se il primo tentativo genera un errore anziché un ticket mancante, il server di report non esegue un secondo tentativo. |
| RSWindowsNTLM | NTLM | Sì | Utilizza NTLM per l'autenticazione integrata di Windows. Le credenziali non vengono delegate né rappresentate in altre richieste. Le richieste successive seguono una nuova sequenza In attesa/Risposta. A seconda delle impostazioni di protezione della rete, è possibile che a un utente vengano richieste le credenziali o che la richiesta di autenticazione venga gestita in modo trasparente. |
| RSWindowsKerberos | Kerberos | No | Utilizza Kerberos per l'autenticazione integrata di Windows. È necessario configurare Kerberos impostando i nomi SPN (Service Principal Name) per gli account del servizio, per cui è necessario disporre dei privilegi di amministratore di dominio. È possibile configurare la delega delle identità con Kerberos. Quando si configura una delega dell'identità utilizzando Kerberos, il token dell'utente che richiede un report può essere utilizzato anche in un’altra connessione alle origini dati esterne che forniscono i dati ai report. Prima di specificare RSWindowsKerberos, assicurarsi che il tipo di browser in uso lo supporti. Se si usa Microsoft Edge o Internet Explorer, l'autenticazione Kerberos è supportata solo tramite negoziazione. Microsoft Edge o Internet Explorer non formulerà una richiesta di autenticazione che specifica direttamente Kerberos. |
| RSWindowsBasic | Di base | No | L'autenticazione di base è definita nel protocollo HTTP e può essere utilizzata solo per autenticare richieste HTTP al server di report. Le credenziali vengono passate nella richiesta HTTP in codifica in base 64. Se si usa l'autenticazione di base, applicare il protocollo TLS (Transport Layer Security), precedentemente noto come SSL (Secure Sockets Layer), per crittografare le informazioni dell'account utente prima di inviarle sulla rete. SSL fornisce un canale crittografato per l'invio di una richiesta di connessione dal client al server di report mediante una connessione TCP/IP HTTP. Per altre informazioni, vedere Using SSL to Encrypt Confidential Data (Uso di SSL per crittografare dati riservati) sul sito Web Microsoft TechNet. |
| Personalizzazione | (anonimo) | No | L'autenticazione anonima indica al server di report di ignorare l'intestazione di autenticazione nelle richieste HTTP. Il server di report accetta tutte le richieste, ma esegue una chiamata a un'autenticazione basata su form di ASP.NET fornita per autenticare l'utente. Specificare Personalizzato solo se si distribuisce un modulo di autenticazione personalizzato che gestisce tutte le richieste di autenticazione sul server di report. Non è possibile utilizzare il tipo di autenticazione Custom con l'estensione di autenticazione di Windows predefinita. |
Metodi di autenticazione non supportati
I metodi e le richieste di autenticazione seguenti non sono supportati.
| Authentication method | Spiegazione |
|---|---|
| Anonimo | Il server di report non accetterà richieste non autenticate da un utente anonimo, tranne nel caso di distribuzioni che includono un'estensione di autenticazione personalizzata. Generatore report accetterà richieste non autenticate se si abilita l'accesso a Generatore report in un server di report configurato per l'autenticazione di base. In tutti gli altri casi, le richieste anonime vengono rifiutate con un messaggio di errore di accesso negato con stato HTTP 401 prima che la richiesta raggiunga ASP.NET. I client che ricevono l'errore di accesso negato 401 devono riformulare la richiesta con un tipo di autenticazione valido. |
| Tecnologie Single Sign-On (SSO) | In Reporting Services non è disponibile il supporto nativo per le tecnologie Single Sign-On. Se si desidera utilizzare una tecnologia di questo tipo, è necessario creare un'estensione di autenticazione personalizzata. L'ambiente host del server di report non supporta i filtri ISAPI. Se la tecnologia SSO utilizzata è implementata come filtro ISAPI, utilizzare il supporto incorporato di ISA Server per RSASecueID o il protocollo RADIUS. In caso contrario, è possibile creare un filtro ISAPI di ISA Server o un modulo HTTPModule per RS. È tuttavia consigliabile utilizzare direttamente ISA Server. |
| Passaporto | Non supportato in SQL Server Reporting Services. |
| Digest | Non supportato in SQL Server Reporting Services. |
Configurare impostazioni di autenticazione
Le impostazioni di autenticazione vengono configurate per la sicurezza predefinita quando l'URL del server di report è riservato. Se queste impostazioni vengono modificate in modo errato, il server di report restituisce il messaggio di errore di accesso negato HTTP 401 per le richieste HTTP che non possono essere autenticate. Prima di scegliere un tipo di autenticazione, è necessario conoscere il tipo di supporto per l'autenticazione di Windows disponibile nella rete. È necessario specificare almeno un tipo di autenticazione. Per RSWindows, è possibile specificare più tipi di autenticazione. I tipi di autenticazione RSWindows (ovvero, RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberos, e RSWindowsNegotiate) si escludono a vicenda con Personalizzato.
Importante
In Reporting Services le impostazioni specificate non vengono convalidate per determinare se sono corrette per l'ambiente informatico in uso. È possibile che la sicurezza predefinita non funzioni in una determinata installazione o che vengano specificate impostazioni di configurazione non valide per l'infrastruttura di sicurezza implementata. Per questo motivo, è importante testare con attenzione la distribuzione del server di report in un ambiente di test controllato prima di renderla disponibile per l'organizzazione in senso lato.
Il servizio Web ReportServer e il portale Web usano sempre lo stesso tipo di autenticazione. Non è possibile configurare tipi di autenticazione diversi per le aree di caratteristiche del servizio del server di report. Se di dispone di una distribuzione con scalabilità orizzontale, duplicare tutte le modifiche in tutti i nodi della distribuzione. Non è possibile configurare nodi diversi nella stessa topologia con scalabilità orizzontale per l'utilizzo di tipi di autenticazione diversi.
L'elaborazione in background non accetta richieste degli utenti finali, ma autentica tutte le richieste ai fini dell'esecuzione automatica. Durante questo tipo di elaborazione viene sempre utilizzata l'autenticazione di Windows e le richieste vengono autenticate utilizzando il servizio del server di report o l'account di esecuzione automatica, se l’autenticazione è configurata.
In questa sezione
Configurare l'autenticazione di Windows nel server di report
Configurare l'autenticazione personalizzata o basata su form nel server di report
Attività correlate
| Descrizioni delle attività | Collegamenti |
|---|---|
| Configurare il tipo di autenticazione integrata di Windows. | Configurare l'autenticazione di Windows nel server di report |
| Configurare il tipo di autenticazione di base. | Configurare l'autenticazione di base nel server di report |
| Configurare l'autenticazione basata su form o un tipo di autenticazione personalizzata. | Configurare l'autenticazione personalizzata o basata su form nel server di report |
| Consentire al portale Web di gestire lo scenario basato su autenticazione personalizzata. | Configurare il portale Web per il passaggio di cookie di autenticazione personalizzati |
Contenuto correlato
Concessione di autorizzazioni in un server di report in modalità nativa
File di configurazione RsReportServer.config
Creare e gestire le assegnazioni di ruoli
Specificare le credenziali e le informazioni sulla connessione per le origini dati del report
Implementazione di un'estensione di sicurezza
Configurare le connessioni TLS in un server di report in modalità nativa
Informazioni generali sulle estensioni di sicurezza
Autenticazione in Reporting Services
Autorizzazione in Reporting Services
Altre domande? Visitare il forum su Reporting Services
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per