Protezione estesa per l'autenticazione con Reporting ServicesExtended Protection for Authentication with Reporting Services

La protezione estesa consiste in un set di miglioramenti apportati alle versioni recenti del sistema operativo MicrosoftMicrosoft Windows.Extended Protection is a set of enhancements to recent versions of the MicrosoftMicrosoft Windows operating system. La protezione estesa migliora la protezione di credenziali e autenticazione da parte delle applicazioni.Extended protection enhances how credentials and authentication can be protected by applications. La funzionalità non fornisce direttamente la protezione contro attacchi specifici quale l'inoltro delle credenziali, ma rende disponibile un'infrastruttura per le applicazioni, ad esempio Reporting ServicesReporting Services , per l'imposizione della protezione estesa per l'autenticazione.The feature itself does not directly provide protection against specific attacks such as credential forwarding, but it provides an infrastructure for applications such as Reporting ServicesReporting Services to enforce Extended Protection for Authentication.

I principali miglioramenti introdotti riguardanti l'autenticazione che fanno parte della protezione estesa sono l'associazione di canale e l'associazione al servizio.The main authentication enhancements that are part of extended protection are service binding and channel binding. Nell'associazione di canale è utilizzato un token CBT (Channel Binding Token) per verificare che il canale stabilito tra due endpoint non sia compromesso.Channel binding uses a channel binding token (CBT), to verify that the channel established between two end points was not compromised. Nell'associazione al servizio sono utilizzati nomi SPN (Service Principal Name) per convalidare la destinazione desiderata dei token di autenticazione.Service binding uses Service Principal Names (SPN) to validate the intended destination of authentication tokens. Per informazioni complementari sulla protezione estesa, vedere Integrated Windows Authentication with Extended Protection (autenticazione integrata di Windows con protezione estesa).For more background information about extended protection, see Integrated Windows Authentication with Extended Protection.

SQL Server Reporting Services (SSRS) supporta e applica la protezione estesa che è stato attivato nel sistema operativo e configurata in Reporting ServicesReporting Services.SQL Server Reporting Services (SSRS) supports and enforces Extended Protection that has been enabled in the operating system and configured in Reporting ServicesReporting Services. Per impostazione predefinita, Reporting ServicesReporting Services accetta le richieste che specificano l'autenticazione Negotiate o NTLM ed è pertanto in grado di usufruire del supporto della protezione estesa offerto dal sistema operativo e dalle funzionalità di protezione estesa di Reporting ServicesReporting Services .By default, Reporting ServicesReporting Services accepts requests that specify Negotiate or NTLM authentication and could therefore benefit from Extended Protection support in the operating system and the Reporting ServicesReporting Services extended protection features.

Importante

Per impostazione predefinita, Windows non abilita la protezione estesa.By default, Windows does not enable Extended Protection. Per informazioni su come abilitare la protezione estesa in Windows, vedere Protezione estesa per l'autenticazione.For information about how to enable Extended Protection in Windows, see Extended Protection for Authentication. Per garantire che l'autenticazione abbia esito positivo, è necessario che il sistema operativo e lo stack di autenticazione del client supportino entrambi la protezione estesa.Both the operating system and client authentication stack must support Extended Protection so that authentication succeeds. Per i sistemi operativi meno recenti potrebbe essere necessario installare più aggiornamenti per ottenere un computer in grado di utilizzare appieno la protezione estesa.For older operating systems you may need to install more than one update for a complete, Extended Protection ready computer. Per informazioni sugli ultimi sviluppi della protezione estesa, vedere la pagina relativa alle informazioni aggiornate sulla protezione estesa.For information on recent developments with Extended Protection, see updated information with Extended Protection.

Cenni preliminari sulla protezione estesa di Reporting ServicesReporting Services Extended Protection Overview

SSRS supporta e applica la protezione estesa che è stata abilitata nel sistema operativo.SSRS supports and enforces extended protection that has been enabled in the operating system. Se il sistema operativo non supporta la protezione estesa o la funzionalità non è stata abilitata nel sistema operativo, l'autenticazione eseguita dalla funzionalità di protezione estesa di Reporting ServicesReporting Services avrà esito negativo.If the operating system does not support extended protection or the feature in the operating system has not been enabled, the Reporting ServicesReporting Services extended protection feature will fail authentication. Reporting ServicesReporting Services La protezione estesa richiede inoltre un certificato SSL. Extended Protection also requires an SSL Certificate. Per altre informazioni, vedere Configurare connessioni SSL in un server di report in modalità nativaFor more information, see Configure SSL Connections on a Native Mode Report Server

Importante

Per impostazione predefinita Reporting ServicesReporting Services non abilita la protezione estesa.By default, Reporting ServicesReporting Services does not enable Extended Protection. La funzionalità può essere attivata modificando il file di configurazione rsreportserver.config o usando le API di WMI che consentono di aggiornare il file di configurazione.The feature can be enabled by modifying the rsreportserver.config configuration file or using WMI APIs to update the configuration file. SSRS non fornisce un'interfaccia utente per visualizzare o modificare le impostazioni di protezione di estesa.SSRS does not provide a user interface to modify or view extended protection settings. Per altre informazioni, vedere la sezione relativa alle impostazioni di configurazione in questo argomento.For more information, see the configuration settings section in this topic.

I problemi comuni che si verificano a causa della modifica delle impostazioni relative alla protezione estesa o alla configurazione non corretta delle impostazioni non vengono esposti con messaggi o finestre di dialogo di errore.Common issues that occur because of changes in extended protection settings or incorrectly configured settings are not be exposed with obvious error messages or dialog windows. I problemi correlati alla configurazione e alla compatibilità della protezione estesa causano problemi di autenticazione ed errori nei log di traccia di Reporting ServicesReporting Services .Issues related to extended protection configuration and compatibility result in authentication failures and errors in the Reporting ServicesReporting Services trace logs.

Importante

È possibile che alcune tecnologie di accesso ai dati non supportino la protezione estesa.Some data access technologies may not support extended protection. Per connettersi alle origini dati di SQL Server e al database del catalogo Reporting ServicesReporting Services viene utilizzata una tecnologia di accesso ai dati.A data access technology is used to connect to SQL Server data sources and to the Reporting ServicesReporting Services catalog database. Un errore della tecnologia di accesso ai dati per supportare la protezione estesa influisce su Reporting ServicesReporting Services nei seguenti modi:Failure of a data access technology to support extended protection impacts Reporting ServicesReporting Services in the following ways:

  • Per l'istanza di SQL Server che esegue il database del catalogo di Reporting ServicesReporting Services non è possibile abilitare la protezione estesa. In caso contrario, il server di report non sarà in grado di connettersi al database del catalogo e restituirà errori di autenticazione.The SQL Server that runs the Reporting ServicesReporting Services catalog database cannot have extended protection enabled or the report server will not successfully connect to the catalog database and return authentication errors.

    • Per le istanze di SQL Server usate come origini dati di report Reporting ServicesReporting Services non è possibile abilitare la protezione estesa. In caso contrario, i tentativi di connessione effettuati dal server di report alle origini dati dei report non riusciranno e verranno restituiti errori di autenticazione.SQL Servers that are used as Reporting ServicesReporting Services report data sources cannot have extended protection enabled or tries by the report server to connect to the report data source will fail and return authentication errors.

    La documentazione per una tecnologia di accesso ai dati deve disporre di informazioni sul supporto per la protezione estesa.The documentation for a data access technology should have information about support for extended protection.

AggiornamentoUpgrade

  • L'aggiornamento di un Reporting ServicesReporting Services server a SQL Server 2016 aggiunge le impostazioni di configurazione con i valori predefiniti per il RSReportServer. config file.Upgrading a Reporting ServicesReporting Services server to SQL Server 2016 adds configuration settings with default values to the rsreportserver.config file. Se le impostazioni sono già presenti, l'installazione di SQL Server 2016 verrà mantenute nel RSReportServer. config file.If the settings were already present, the SQL Server 2016 installation will preserve them in the rsreportserver.config file.

  • Quando le impostazioni di configurazione vengono aggiunte al file di configurazione rsreportserver.config , la funzionalità di protezione estesa di Reporting ServicesReporting Services è disattivata per impostazione predefinita ed è necessario abilitarla come descritto in questo argomento.When the configuration settings are added to the rsreportserver.config configuration file, the default behavior is for the Reporting ServicesReporting Services extended protection feature to be off and you must enable the feature as described in this topic. Per altre informazioni, vedere la sezione relativa alle impostazioni di configurazione in questo argomento.For more information, see the configuration settings section in this topic.

  • Il valore predefinito per l'impostazione RSWindowsExtendedProtectionLevel è Off.The default value for the setting RSWindowsExtendedProtectionLevel is Off.

  • Il valore predefinito per l'impostazione RSWindowsExtendedProtectionScenario è Proxy.The default value for the setting RSWindowsExtendedProtectionScenario is Proxy.

  • Upgrade Advisor non verifica se il sistema operativo o l'installazione corrente di Reporting ServicesReporting Services dispone del supporto di protezione estesa abilitato.Upgrade Advisor does not verify that the operating system or the current installation of Reporting ServicesReporting Services has Extended Protection support enabled.

Elementi non coperti dalla protezione estesa di Reporting ServicesWhat Reporting Services extended protection does not cover

Le aree e gli scenari funzionali seguenti non sono supportati dalla funzionalità di protezione estesa di Reporting ServicesReporting Services :The following feature areas and scenarios are not supported by the Reporting ServicesReporting Services extended protection feature:

  • Gli autori di estensioni di sicurezza personalizzate di Reporting ServicesReporting Services devono aggiungere il supporto per la protezione estesa all'estensione di sicurezza personalizzata.Authors of Reporting ServicesReporting Services custom security extensions must add support for extended protection to their custom security extension.

  • Per supportare la protezione estesa, i componenti di terze parti aggiunti o usati da un'installazione di Reporting ServicesReporting Services devono essere aggiornati dal fornitore di terze parti.Third-party components added to or used by a Reporting ServicesReporting Services installation must be updated by the third-party vendor, to support extended protection. Per ulteriori informazioni, contattare il fornitore di terze parti.For more information, contact the third-party vendor.

Scenari di distribuzione e indicazioniDeployment Scenarios and recommendations

Negli scenari seguenti vengono illustrate distribuzioni e topologie diverse, nonché la configurazione consigliata per proteggerle con la protezione estesa di Reporting ServicesReporting Services .The following scenarios illustrate different deployments and topologies and the recommended configuration to secure them with Reporting ServicesReporting Services Extended Protection.

Connessione direttaDirect

In questo scenario viene descritta la connessione diretta a un server di report, ad esempio un ambiente Intranet.This scenario describes directly connecting to a report server, for example, an intranet environment.

ScenarioScenario Diagramma dello scenarioScenario Diagram Modalità di protezioneHow to secure
Comunicazione SSL diretta.Direct SSL communication.

Il server di report imporrà l'associazione di canale dal client al server di report.The report server will enforce client to report server Channel Binding.
RS_ExtendedProtection_DirectSSLRS_ExtendedProtection_DirectSSL

1) Applicazione client1) Client application

2) Server di report2) Report server
Impostare RSWindowsExtendedProtectionLevel su Allow o Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Impostare RSWindowsExtendedProtectionScenario su Direct.Set RSWindowsExtendedProtectionScenario to Direct.



- L'associazione al servizio non è necessaria perché il canale SSL verrà usato per l'associazione di canale.-Service Binding is not necessary because the SSL channel will be used for Channel Binding.
Comunicazione HTTP diretta.Direct HTTP communication. Il server di report imporrà l'associazione al servizio dal client al server di report.The report server will enforce Client to report server Service Binding. RS_ExtendedProtection_DirectRS_ExtendedProtection_Direct

1) Applicazione client1) Client application

2) Server di report2) Report server
Impostare RSWindowsExtendedProtectionLevel su Allow o Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Impostare RSWindowsExtendedProtectionScenario su Any.Set RSWindowsExtendedProtectionScenario to Any.



- Non esiste alcun canale SSL, quindi non è possibile alcuna imposizione dell'associazione di canale.-There is no SSL Channel therefore no enforcement of Channel Binding is possible.

- L'associazione al servizio può essere convalidata, ma non rappresenta tuttavia una difesa completa senza l'associazione di canale. Se si usa solo l'associazione al servizio si avrà unicamente una protezione contro le minacce di base.-Service Binding can be validated, however, it is not a complete defense without Channel binding and Service Binding on its own will only protect from basic threats.

Proxy e bilanciamento del carico di reteProxy and Network Load Balancing

Le applicazioni client si connettono a un dispositivo o a un software che esegue SSL e passa le credenziali al server per l'autenticazione, ad esempio in un ambiente Extranet, Internet o in una rete Intranet sicura.Client applications connect to a device or software that performs SSL and passes through the credentials to the server for authentication, for example, an extranet, Internet, or Secure Intranet. Il client si connette a un proxy o a tutti i client che utilizzano un proxy.The client connects to a Proxy or all clients use a proxy.

La situazione è analoga quando si utilizza un dispositivo per il bilanciamento del carico di rete (NLB).The situation is the same when you are using a Network Load Balancing (NLB) device.

ScenarioScenario Diagramma dello scenarioScenario Diagram Modalità di protezioneHow to secure
Comunicazione HTTP.HTTP communication. Il server di report imporrà l'associazione al servizio dal client al server di report.The report server will enforce client to report server Service Binding. RS_ExtendedProtection_IndirectRS_ExtendedProtection_Indirect

1) Applicazione client1) Client application

2) Server di report2) Report server

3) Proxy3) Proxy
Impostare RSWindowsExtendedProtectionLevel su Allow o Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Impostare RSWindowsExtendedProtectionScenario su Any.Set RSWindowsExtendedProtectionScenario to Any.



- Non esiste alcun canale SSL, quindi non è possibile alcuna imposizione dell'associazione di canale.-There is no SSL Channel therefore no enforcement of Channel Binding is possible.

- Per garantire che l'associazione al servizio venga imposta correttamente, è necessario configurare il server di report in modo che sia a conoscenza del nome del server proxy.-The report server must be configured to know the name of the proxy server to make sure that the service binding is correctly enforced.
Comunicazione HTTP.HTTP communication.

Il server di report imporrà l'associazione di canale dal client al proxy e l'associazione al servizio dal client al server di report.The report server will enforce client to Proxy Channel Binding and client to report server Service Binding.
RS_ExtendedProtection_Indirect_SSLRS_ExtendedProtection_Indirect_SSL

1) Applicazione client1) Client application

2) Server di report2) Report server

3) Proxy3) Proxy
ImpostareSet
RSWindowsExtendedProtectionLevel su Allow o Require.RSWindowsExtendedProtectionLevel to Allow or Require.

Impostare RSWindowsExtendedProtectionScenario su Proxy.Set RSWindowsExtendedProtectionScenario to Proxy.



- Il canale SSL al proxy è disponibile, quindi l'associazione di canale al proxy può essere imposta.-SSL channel to proxy is available therefore channel binding to the proxy can be enforced.

- Anche l'associazione al servizio può essere imposta.-Service Binding can also be enforced.

- Il nome del proxy deve essere noto al server di report e a tale scopo l'amministratore del server di report deve creare una prenotazione di URL per il proxy con un'intestazione host oppure configurare il nome del proxy nella voce BackConnectionHostNamesdel Registro di sistema di Windows.-The Proxy name must be known to the report server and the report server administrator should either create a URL reservation for it, with a host header or configure the Proxy name in the Windows registry entry BackConnectionHostNames.
Comunicazione HTTPS indiretta con un proxy sicuro.Indirect HTTPS communication with a secure proxy. Il server di report imporrà l'associazione di canale dal client al proxy e l'associazione al servizio dal client al server di report.Report server will enforce client to proxy Channel Binding and Client to report server Service Binding. RS_ExtendedProtection_IndirectSSLandHTTPSRS_ExtendedProtection_IndirectSSLandHTTPS

1) Applicazione client1) Client application

2) Server di report2) Report server

3) Proxy3) Proxy
ImpostareSet
RSWindowsExtendedProtectionLevel su Allow o Require.RSWindowsExtendedProtectionLevel to Allow or Require.

Impostare RSWindowsExtendedProtectionScenario su Proxy.Set RSWindowsExtendedProtectionScenario to Proxy.



- Il canale SSL al proxy è disponibile, quindi l'associazione di canale al proxy può essere imposta.-SSL channel to proxy is available therefore channel binding to the proxy can be enforced.

- Anche l'associazione al servizio può essere imposta.-Service Binding can also be enforced.

- Il nome del proxy deve essere noto al server di report e a tale scopo l'amministratore del server di report deve creare una prenotazione di URL per il proxy con un'intestazione host oppure configurare il nome del proxy nella voce BackConnectionHostNamesdel Registro di sistema di Windows.-The Proxy name must be known to the report server and the report server administrator should either create a URL reservation for it, with a host header or configure the Proxy name in the Windows registry entry BackConnectionHostNames.

GatewayGateway

In questo scenario vengono descritte applicazioni client che si connettono a un dispositivo o a un software che esegue SSL e autentica l'utente.This scenario describes Client applications connecting to a device or software that performs SSL and authenticates the user. Il dispositivo o il software rappresenta quindi il contesto utente o un contesto utente diverso prima di inviare una richiesta al server di report.Then the device or software impersonates the user context or a different user context before it makes a request to the report server.

ScenarioScenario Diagramma dello scenarioScenario Diagram Modalità di protezioneHow to secure
Comunicazione HTTP indiretta.Indirect HTTP communication.

Il gateway imporrà l'associazione di canale dal client al gateway.Gateway will enforce Client to Gateway channel binding. È disponibile un'associazione al servizio dal gateway al server di report.There is a Gateway to report server Service Binding.
RS_ExtendedProtection_Indirect_SSLRS_ExtendedProtection_Indirect_SSL

1) Applicazione client1) Client application

2) Server di report2) Report server

3) Dispositivo del gateway3) Gateway device
Impostare RSWindowsExtendedProtectionLevel su Allow o Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Impostare RSWindowsExtendedProtectionScenario su Any.Set RSWindowsExtendedProtectionScenario to Any.



- L'associazione di canale da client a server di report non è possibile perché il gateway rappresenta un contesto e crea quindi un nuovo token NTLM.-Channel Binding from client to report server is not possible because the gateway impersonates a context and therefore creates a new NTLM token.

- Non è presente alcun SSL dal gateway al server di report, quindi l'associazione di canale non può essere imposta.-There is no SSL from the Gateway to report server therefore channel binding cannot be enforced.

- L'associazione al servizio può essere imposta.-Service Binding can be enforced.

- Per imporre l'associazione di canale, il dispositivo del gateway deve essere configurato dall'amministratore.-The Gateway device should be configured by your administrator to enforce channel binding.
Comunicazione HTTPS indiretta con un gateway sicuro.Indirect HTTPS communication with a Secure Gateway. Il gateway imporrà il binding di canale dal client al gateway e il server di report imporrà il binding di canale dal gateway al server di report.The Gateway will enforce Client to Gateway Channel Binding and the report server will enforce Gateway to report server Channel Binding. RS_ExtendedProtection_IndirectSSLandHTTPSRS_ExtendedProtection_IndirectSSLandHTTPS

1) Applicazione client1) Client application

2) Server di report2) Report server

3) Dispositivo del gateway3) Gateway device
Impostare RSWindowsExtendedProtectionLevel su Allow o Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Impostare RSWindowsExtendedProtectionScenario su Direct.Set RSWindowsExtendedProtectionScenario to Direct.



- L'associazione di canale da client a server di report non è possibile perché il gateway rappresenta un contesto e crea quindi un nuovo token NTLM.-Channel Binding from client to report server is not possible because the gateway impersonates a context and therefore creates a new NTLM token.

- SSL dal gateway al server di report indica che l'associazione di canale può essere imposta.-SSL from Gateway to the report sever means channel binding can be enforced.

- L'associazione al servizio non è necessaria.-Service Binding is not required.

- Per imporre l'associazione di canale, il dispositivo del gateway deve essere configurato dall'amministratore.-The Gateway device should be configured by your administrator to enforce channel binding.

CombinazioneCombination

In questo scenario viene descritto un ambiente Extranet o Internet in cui il client si connette a un proxy.This scenario describes Extranet or Internet environments where the client connects a Proxy. Questo in combinazione con un ambiente Intranet in cui un client si connette al server di report.This is in combination with an intranet environment where a client connects to report server.

ScenarioScenario Diagramma dello scenarioScenario Diagram Modalità di protezioneHow to secure
Accesso indiretto e diretto da client a servizio del server di report senza SSL su una delle connessioni da client a proxy o da client a server di report.Indirect and direct access from client to report server service without SSL on either of the client to proxy or client to report sever connections. 1) Applicazione client1) Client application

2) Server di report2) Report server

3) Proxy3) Proxy

4) Applicazione client4) Client application
Impostare RSWindowsExtendedProtectionLevel su Allow o Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Impostare RSWindowsExtendedProtectionScenario su Any.Set RSWindowsExtendedProtectionScenario to Any.



- L'associazione al servizio da client a server di report può essere imposta.-Service Binding from client to report server can be enforced.

- Il nome del proxy deve essere noto al server di report e a tale scopo l'amministratore del server di report deve creare una prenotazione di URL per il proxy con un'intestazione host oppure configurare il nome del proxy nella voce BackConnectionHostNamesdel Registro di sistema di Windows.-The Proxy name must be known to the report server and the report server administrator should either create a URL reservation for it, with a host header or configure the Proxy name in the Windows registry entry BackConnectionHostNames.
Accesso indiretto e diretto da client a server di report in cui il client stabilisce una connessione SSL al proxy o al server di report.Indirect and direct access from client to report server where the client establishes an SSL connection to the proxy or report server. RS_ExtendedProtection_CombinationSSLRS_ExtendedProtection_CombinationSSL

1) Applicazione client1) Client application

2) Server di report2) Report server

3) Proxy3) Proxy

4) Applicazione client4) Client application
Impostare RSWindowsExtendedProtectionLevel su Allow o Require.Set RSWindowsExtendedProtectionLevel to Allow or Require.

Impostare RSWindowsExtendedProtectionScenario su Proxy.Set RSWindowsExtendedProtectionScenario to Proxy.



- L'associazione di canale può essere usata-Channel Binding can be used

- Il nome del proxy deve essere noto al server di report e a tale scopo l'amministratore del server di report deve creare una prenotazione di URL per il proxy con un'intestazione host oppure configurare il nome del proxy nella voce BackConnectionHostNamesdel Registro di sistema di Windows.-The Proxy name must be known to the report server and the report server administrator should either create a URL reservation for the proxy, with a host header or configure the Proxy name in the Windows registry entry BackConnectionHostNames.

Configurazione della protezione estesa di Reporting ServicesConfiguring Reporting Rervices extended protection

Il file rsreportserver.config contiene i valori di configurazione che controllano il comportamento della protezione estesa di Reporting ServicesReporting Services .The rsreportserver.config file contains the configuration values that control the behavior of Reporting ServicesReporting Services extended protection.

Per altre informazioni sull'utilizzo e la modifica del file rsreportserver.config , vedere File di configurazione RsReportServer.config.For more information on using and editing the rsreportserver.config file, see RsReportServer.config Configuration File. Le impostazioni relative alla protezione estesa possono inoltre essere modificate e controllate utilizzando le API di WMI.The extended protection settings can also be changed and inspected using WMI APIs. Per altre informazioni, vedere Metodo SetExtendedProtectionSettings (MSReportServer_ConfigurationSetting WMI).For more information, see SetExtendedProtectionSettings Method (WMI MSReportServer_ConfigurationSetting).

Quando la convalida delle impostazioni di configurazione ha esito negativo, i tipi di autenticazione RSWindowsNTLM, RSWindowsKerberos e RSWindowsNegotiate vengono disabilitati nel server di report.When validation of the configuration settings fail, the authentication types RSWindowsNTLM, RSWindowsKerberos and RSWindowsNegotiate are disabled on the report server.

Impostazioni di configurazione per la protezione estesa di Reporting Services Configuration Settings for reporting services extended protection

Nella tabella seguente vengono fornite le informazioni sulle impostazioni di configurazione incluse nel file rsreportserver.config per la protezione estesa.The following table provides information about configuration settings that appear in the rsreportserver.config for extended protection.

ImpostazioneSetting DescriptionDescription
RSWindowsExtendedProtectionLevelRSWindowsExtendedProtectionLevel Specifica il grado di imposizione della protezione estesa.Specifies the degree of enforcement of extended protection. I valori validi sono:Valid values are:

Off: predefinito.Off: Default. Specifica che non viene eseguita alcuna verifica dell'associazione di canale o dell'associazione al servizio.Specifies no channel binding or service binding verification.

Allow supporta la protezione estesa ma non la richiede.Allow supports extended protection but does not require it. Specifica:Specifies:

- La protezione estesa verrà imposta per le applicazioni client in esecuzione nei sistemi operativi che supportano la protezione estesa.-Extended protection will be enforced for client applications that are running on operating systems that support extended protection. La modalità di imposizione della protezione è determinata dall'impostazione RsWindowsExtendedProtectionScenarioHow protection is enforced is determined by setting RsWindowsExtendedProtectionScenario

- L'autenticazione sarà consentita per le applicazioni client in esecuzione nei sistemi operativi che non supportano la protezione estesa.-Authentication will be allowed for applications that are running on operating systems which do not support extended protection.

Require specifica:Require specifies:

- La protezione estesa verrà imposta per le applicazioni client in esecuzione nei sistemi operativi che supportano la protezione estesa.-Extended protection will be enforced for client applications that are running on operating systems that support extended protection.

- L'autenticazione non sarà consentita per le applicazioni in esecuzione nei sistemi operativi che non supportano la protezione estesa.-Authentication will not be allowed for applications that are running on operating systems which do not support extended protection.
RsWindowsExtendedProtectionScenarioRsWindowsExtendedProtectionScenario Specifica le forme di protezione estesa da convalidare, cioè l'associazione di canale, l'associazione al servizio o entrambe.Specifies what forms of extended protection are validated: Channel binding, Service Binding, or both. I valori validi sono:Valid values are:

Proxy: predefinito.Proxy: Default. Specifica:Specifies:

- Autenticazione NTLM, Kerberos e Negotiate di Windows quando è presente un token di associazione di canale.-Windows NTLM, Kerberos, and Negotiate authentication when a channel binding token is present.

- L'associazione al servizio viene imposta.-Service Binding is enforced.

Any specifica:Any Specifies:

- L'autenticazione NTLM, Kerberos e Negotiate di Windows e l'associazione di canale non sono necessari.-Windows NTLM, Kerberos, and Negotiate authentication and a channel binding are not required.

- L'associazione al servizio viene imposta.-Service binding is enforced.

Direct specifica:Direct Specifies:

- Autenticazione NTLM, Kerberos e Negotiate quando è presente un token CBT. È inoltre presente una connessione SSL al servizio corrente e il token CBT per la connessione SSL corrisponde al token CBT del token NTLM, Kerberos o Negotiate.-Windows NTLM, Kerberos, and Negotiate authentication when a CBT is present, an SSL connection to the current service is present, and the CBT for the SSL connection matches the CBT of the NTLM, Kerberos or negotiate token.

- L'associazione al servizio non viene imposta.-Service Binding is not enforced.



Nota: L'impostazione RsWindowsExtendedProtectionScenario viene ignorata se RsWindowsExtendedProtectionLevel è impostato su OFF.Note: The RsWindowsExtendedProtectionScenario setting is ignored if RsWindowsExtendedProtectionLevel is set to OFF.

Voci di esempio nel file di configurazione rsreportserver.config :Example entries in the rsreportserver.config configuration file:

<Authentication>  
         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>  
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>  
</Authentication>  

Associazione al servizio e nomi SPN inclusiService Binding and included SPNs

L'associazione al servizio utilizza nomi SPN (Service Principal Name) per convalidare la destinazione desiderata dei token di autenticazione.Service binding uses Service Principal Names or SPN to validate the intended destination of authentication tokens. Reporting ServicesReporting Services usa le informazioni sulla prenotazione di URL esistenti per compilare un elenco di nomi SPN considerati validi. uses the existing URL reservation information to build a list of SPNs that are considered valid. L'utilizzo delle informazioni sulla prenotazione di URL per la convalida dei nomi SPN e delle prenotazioni di URL consente agli amministratori di sistema di gestire entrambi gli elementi da un'unica posizione.Using the URL reservation information for validation of both SPN and URL reservations enables system administrators to manage both from a single location.

L'elenco di nomi SPN validi viene aggiornato all'avvio del server di report, al momento della modifica delle impostazioni di configurazione per la protezione estesa o quando viene riciclato il dominio applicazione.The list of valid SPNs is updated when the report server starts, the configuration settings for extended protection are changed, or when the application domain is recycled.

L'elenco di nomi SPN validi è specifico di ogni applicazione.The valid list of SPNs is specific for each application. Ad esempio, Gestione report e il server di report necessitano ognuno di un elenco diverso di nomi SPN validi elaborati.For example, Report Manager and Report Server will each have a different list of valid SPNs calculated.

L'elenco di nomi SPN validi elaborati per un'applicazione è determinato dai fattori seguenti:The list of valid SPNs calculated for an application is determined by the following factors:

  • Ogni prenotazione di URL.Each URL reservation.

  • Ogni nome SPN recuperato dal controller di dominio per l'account del servizio Reporting Services.Each SPN retrieved from the domain controller for the reporting services service account.

  • Se una prenotazione di URL include caratteri jolly ("" o "+"), il server di report aggiungerà ogni voce dalla raccolta Host.If a URL reservation includes wildcard characters ('' or '+'), then Report Server will add each entry from the hosts collection.

Origini della raccolta Host.Hosts collection sources.

Nella tabella seguente vengono elencate le origini potenziali per la raccolta Host.The following table lists the potential sources for the Hosts collection.

Tipo di origineType of source DescriptionDescription
ComputerNameDnsDomainComputerNameDnsDomain Nome di dominio DNS assegnato al computer locale.The name of the DNS domain assigned to the local computer. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome di dominio DNS del server virtuale del cluster.If the local computer is a node in a cluster, the DNS domain name of the cluster virtual server is used.
ComputerNameDnsFullyQualifiedComputerNameDnsFullyQualified Nome DNS completo che identifica in modo univoco il computer locale.The fully qualified DNS name that uniquely identifies the local computer. Questo nome è una combinazione del nome host DNS e del nome di dominio DNS nel formato NomeHost.NomeDominio.This name is a combination of the DNS host name and the DNS domain name, using the form HostName.DomainName. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome DNS completo del server virtuale del cluster.If the local computer is a node in a cluster, the fully qualified DNS name of the cluster virtual server is used.
ComputerNameDnsHostnameComputerNameDnsHostname Nome host DNS del computer locale.The DNS host name of the local computer. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome host DNS del server virtuale del cluster.If the local computer is a node in a cluster, the DNS host name of the cluster virtual server is used.
ComputerNameNetBIOSComputerNameNetBIOS Nome del NetBIOS del computer locale.The NetBIOS name of the local computer. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome del NetBIOS del server virtuale del cluster.If the local computer is a node in a cluster, the NetBIOS name of the cluster virtual server is used.
ComputerNamePhysicalDnsDomainComputerNamePhysicalDnsDomain Nome di dominio DNS assegnato al computer locale.The name of the DNS domain assigned to the local computer. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome di dominio DNS del computer locale, anziché il nome del server virtuale del cluster.If the local computer is a node in a cluster, the DNS domain name of the local computer is used, not the name of the cluster virtual server.
ComputerNamePhysicalDnsFullyQualifiedComputerNamePhysicalDnsFullyQualified Nome DNS completo che identifica in modo univoco il computer.The fully qualified DNS name that uniquely identifies the computer. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome DNS completo del computer locale, anziché il nome del server virtuale del cluster.If the local computer is a node in a cluster, the fully qualified DNS name of the local computer, is used not the name of the cluster virtual server.

Il nome DNS completo è una combinazione del nome host DNS e del nome di dominio DNS nel formato NomeHost.NomeDominio.The fully qualified DNS name is a combination of the DNS host name and the DNS domain name, using the form HostName.DomainName.
ComputerNamePhysicalDnsHostnameComputerNamePhysicalDnsHostname Nome host DNS del computer locale.The DNS host name of the local computer. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome host DNS del computer locale, anziché il nome del server virtuale del cluster.If the local computer is a node in a cluster, the DNS host name of the local computer is used, not the name of the cluster virtual server.
ComputerNamePhysicalNetBIOSComputerNamePhysicalNetBIOS Nome del NetBIOS del computer locale.The NetBIOS name of the local computer. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome del NetBIOS del computer locale, anziché il nome del server virtuale del cluster.If the local computer is a node in a cluster, the NetBIOS name of the local computer, not the name of the cluster virtual server.

L'aggiunta di nomi SPN determina l'aggiunta al log di traccia di una voce simile alle seguenti:As SPNs are added, an entry is added to the trace log that resembles the following:

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalNetBIOS> - <theservername>.

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalDnsHostname> - <theservername>.

Per altre informazioni, vedere Registrare un nome dell'entità servizio (SPN) per un server di report e Informazioni su prenotazioni e registrazione URL (Gestione configurazione SSRS).For more information, see Register a Service Principal Name (SPN) for a Report Server and About URL Reservations and Registration (SSRS Configuration Manager).

Passaggi successiviNext steps

Connessione al motore di database mediante la protezione estesa Connect to the Database Engine Using Extended Protection
Extended Protection for Authentication Overview Extended Protection for Authentication Overview
Integrated Windows Authentication with Extended Protection (autenticazione integrata di Windows con protezione estesa) Integrated Windows Authentication with Extended Protection
Microsoft Security Advisory: Protezione estesa per l'autenticazione Microsoft Security Advisory: Extended protection for authentication
Report Server Service Trace Log Report Server Service Trace Log
File di configurazione RsReportServer.config RsReportServer.config Configuration File
Metodo SetExtendedProtectionSettings (MSReportServer_ConfigurationSetting WMI)SetExtendedProtectionSettings Method (WMI MSReportServer_ConfigurationSetting)

Ulteriori domande?More questions? Provare a porre il forum di Reporting ServicesTry asking the Reporting Services forum