Makale
07/09/2010

Reporting Services SharePoint ile tümleşik modda için güvenlik genel bakış

Bir rapor sunucusunu SharePoint tümleşik modunda çalışacak şekilde konfigüre ettiğinizde, raporlama sunucusu kimlik doğrulaması sağlayıcı ve SharePoint Web uygulamasında tanımlanmış rapor sunucusu maddeler ve işlem erişimi denetlemek için kullanır.

öğe S ve işlem iznine sahip bir kullanıcı veya grup hesabını bir izin düzey ile ilgili eşleştirme SharePoint güvenlik ilkeleri ile bir öğe.Kavramsal olarak nasıl rol atamalarını burada bir rol ataması eşleştiren bir kullanıcı veya grup hesabına bir yerel mod rapor sunucusu dağıtım kullanıldığını için aynı bir küme bir öğesine izin verilen görevler.Çoğu rol tabanlı yetkilendirme modelleri ile ortak olduğu gibi karmaşık ve çok sayıda ilkeleri Bakımı yükünü azaltmak için izin devralmayı SharePoint güvenlik sağlar.

Rapor sunucusu içerik türlerinin bir SharePoint sitesine dağıtıyorsanız, aşağıdaki bilmeniz gerekir:

Nasıl bağlantı ve istekleri iki sunucu arasında yapılır.SharePoint Web uygulamada kullanılan kimlik doğrulaması sağlayıcı, daha sonra Windows tümleşik güvenlik seçeneği raporu için kullanılan dış veri kaynaklarına erişmek için kullanıp kullanamayacağını belirler.
Varsayılan güvenlik eklemek, yönetmek ve rapor sunucusu öğeleri ve işlemlerini nasıl.Daha fazla bilgi için bkz:Bir SharePoint sitesi rapor sunucusu öğeler izin vermeveWindows SharePoint Services rapor sunucusu öğeler için yerleşik güvenlik kullanmaSQL Server Çevrimiçi Kitapları'nda.
Nasıl özel raporlar veya işlemleri izinleri ayarlayarak, varsayılan güvenlik geçersiz kılar.Daha fazla bilgi için bkz: Nasıl Yapılır: rapor sunucusu öğeler için izinleri bir SharePoint sitesi küme (Reporting Services SharePoint tümleşik modunda) Çevrimiçi SQL Server kitapları içinde.

İzinleri ayarlamak için önce tümleştirme için her bir sunucu yapılandırmanız gerekir.Daha fazla bilgi için bkz:SharePoint 3.0 tümleştirme için raporlama Hizmetleri'ni yapılandırma.

SharePoint teknolojileri, kimlik doğrulaması sağlayıcıları

Bir SharePoint Web uygulaması, Windows kimlik doğrulaması veya Forms kimlik doğrulaması kullanabilirsiniz.rapor sunucusu ya da bir istekleri işleyecektir.Bu birleşim kimlik doğrulamayı yapılandırabilirsiniz:

Windows kimlik doğrulaması (Kerberos etkinleştirilmiş) tümleşik güvenlik
Kimliğe bürünme veya temsilci Windows kimlik doğrulaması
Form kimlik doğrulaması

Not

Her ikiReporting Servicesve SharePoint Ürünleri ve Teknolojileri Destek form kimlik doğrulaması.The implementation is different for each product group and they are not compatible.Reporting Services custom authentication extensions are not supported for report servers that run in SharePoint integration mode.

Avantajları ve dezavantajları kimlik doğrulaması sağlayıcıları için aşağıdaki tabloda özetlenmiştir:

	Avantajlar	Dezavantajları
Windows kimlik doğrulaması (Kerberos kimlik doğrulamasını etkin)	Tek sunuculu ve çok sunuculu dağıtım senaryolarında çalışır. Tümleşik olarak dış veri kaynakları için kimlik bilgileri Windows kullanılmasını destekler.	Çok sunuculu dağıtımları NTLM kimlik doğrulaması çalışmıyor.
Windows kimlik doğrulaması (Kerberos etkin) olmayan veya form kimlik doğrulaması	Kerberos ve tüm olmayan Kerberos kimlik doğrulaması senaryoları çalışır.	Windows tümleşik kimlik bilgileri için dış veri kaynakları desteklemez.

Windows kimlik doğrulaması (Kerberos kimlik doğrulamasını etkin)

Tek sunuculu ve çok sunuculu dağıtım senaryolarında çalışır.

Tümleşik olarak dış veri kaynakları için kimlik bilgileri Windows kullanılmasını destekler.

Çok sunuculu dağıtımları NTLM kimlik doğrulaması çalışmıyor.

Windows kimlik doğrulaması (Kerberos etkin) olmayan veya form kimlik doğrulaması

Kerberos ve tüm olmayan Kerberos kimlik doğrulaması senaryoları çalışır.

Windows tümleşik kimlik bilgileri için dış veri kaynakları desteklemez.

Bir rapor sunucusu isteği gönderme

Tüm istekleri bir rapor sunucusu öğe veya işlem için geçerli bir kimliği doğrulanmış isteği olması gerekir.Kullandığınız kimlik doğrulaması sağlayıcı, bu isteği nasıl işleneceğini belirler.

Windows Tümleşik Güvenliği

SharePoint Web uygulamasını Windows kimlik bilgileri doğrulama için yapılandırılmışsa ve Kerberos etkinleştirilmiş, SharePoint Web uygulamasını bağlantısını rapor sunucusu halihazırdaki Windows kullanıcısı kimliğine bürünülen veya yetki verilen kimlik bilgileri ile olur.Aşağıdaki çizimde bağlantıları gösterir, bir rapor sunucusu SharePoint bütünleştirme ve uygulamanın kullandığı Windows kimlik doğrulaması Kerberos etkin SharePoint Web için yapılandırılır.

Connections in SharePoint integrated mode

1 Bağlantısı
Bir kullanıcı bir SharePoint sitesi altında oluşturulan kullanıcı ağa oturum açan kullanıcı belirteci erişiyor.Bu, kullanıcı kimliği ve grup üyeliğini içerir.SharePoint Web uygulaması, kullanıcının kimliğini doğrular.Kullanıcı bir rapor sunucusu öğe veya işlemi ister.
2 Bağlantısı
SharePoint Web uygulamasını, rapor sunucusu için simge ve isteği gönderir.Bağlantı isteğini, kullanıcı Windows kimliği altında gönderilir.rapor sunucusu kullanıcı rapor sunucusuna erişim izni olup olmadığını doğrular.
3 Bağlantısı
Doğrulama başarılı olursa, rapor sunucusu kullanıcı öğe veya işlem erişim izniniz olduğundan emin olun.

rapor sunucusu, kullanıcı izinleri doğrulamak için bir iç güvenlik uzantısı kullanır.Rapor sunucusu arama için bu uzantıyı kullanır.Windows SharePoint ServicesSharePoint içerik veritabanlarını. depolanan izinlerini denetlemek için nesne modeliYapılandırma ya da bu güvenlik uzantısı yönetmek değiştiremezsiniz.Bu rapor sunucuları SharePoint tümleşik modunda çalıştırmak için kullanılan dahili bir bileşendir.

Kullanıcı, rapor veya diğer öğe ya da işlem erişim izni varsa, istek hizmet.

Windows tümleşik güvenliği'ni kullanarak, üstün Windows kimlik bilgileri bilgilerini sonra tek bir bağlantı süresi klasik "çift atlamalı" sorunu ortadan kaldırabilirsiniz.Aynı zamanda genişletebilirsiniz küme, raporlar ve modeller için veri kaynağı bağlantısı yapılandırırken kullanabileceğiniz seçenekleri.rapor sunucusu bağlanmak için kullanılan Windows kullanıcı kimliğini, rapor sunucusu raporu dış veri kaynaklarından veri almak için işlem sırasında kimliğe kullanabilirsiniz.Hakkında bir rapor, veri kaynağı özellikleri ayarladığınızda, seçebileceğiniz yaniWindows tümleşik güvenliği veri kaynağı bağlantı seçeneği Daha fazla bilgi için bkz: Kimlik bilgisi ve raporu veri kaynakları için bağlantı bilgilerini belirtme Çevrimiçi SQL Server kitapları içinde.

Windows Forms kimlik doğrulaması ve güvenilen hesaplar

SharePoint Web uygulamasını Forms kimlik doğrulaması için yapılandırılmışsa, rapor sunucusu bağlantısı bir rapor sunucusunu SharePoint kullanıcı kimliğine bürünmek için izni olan önceden tanımlanmış güvenilen bir hesap altında ağ üzerinden gönderilir.Aynı yaklaşım, SharePoint Web uygulamasını Windows kimlik doğrulaması için yapılandırılmışsa ve Kerberos etkin olarak kullanılır.Aşağıdaki çizimde güvenilen hesaplar ve SharePoint kullanıcı kimliklerini kullanılan bağlantıları gösterir.

Connection diagram for trusted connection

1 Bağlantısı
Bir kullanıcı SharePoint sitesinde oturum açar.SharePoint Web uygulaması, kullanıcının kimliğini doğrular.SharePoint Web uygulamasını, SharePoint kullanıcı kimliği (SPUser) için kullanıcı kimliği çevirir.Yeni bir kullanıcı belirteci, kullanıcının SPUser bağlamında oluşturulur.Bu, kullanıcı kimliği ve grup üyeliğini içerir.Kullanıcı bir rapor sunucusu öğe veya işlemi ister.
2 Bağlantısı
SharePoint Web uygulamasını rapor sunucusu isteği SharePoint kullanıcı kimliğini temsil eder.Güvenilir bir hesap kullanan bağlantı isteği gönderilir.SharePoint Web uygulamasını işlem kimliğini hesaptır.

rapor sunucusu bağlantı isteğini güvenilir bir firma olup, rapor sunucusu başlatıldığında rapor sunucusunda SharePoint Yapılandırma veritabanından alınan hesap bilgileri karşılaştırarak doğrular.Bir rapor sunucusunda güvenilir SharePoint Web uygulama kimliğine bürünmek için izni olan bir Windows kullanıcı hesaptır.Bu, yalnızca SPUser kimliğine bürünmek için kullanılır.Rapor sunucusu öğeleri ve işlem için erişim verilmiyor.
3 Bağlantısı
Doğrulama başarılı olursa, rapor sunucusu SPUser öğe veya işlem erişim izniniz olduğunu doğrulayın.

Rapor sunucusu bir iç güvenlik uzantısı kullanan kullanıcı izinlerini doğrulamak için aramaWindows SharePoint Servicesnesne modeli ve SharePoint içerik veritabanlarını. depolanan izinleri denetleyin.Kullanıcı, rapor veya diğer öğe ya da işlem erişim izni varsa, istek hizmet.

Hesap süre sonu ve abonelik işleme

Rapor için bir abonelik oluşturduğunuzda, rapor sunucusu kullanıcının teslim anında rapor görüntüleme iznine sahip olduğunu doğrulayabilir SPUser hesap bilgileri depolar., SPUser sona erdi, abonelik başarısız ve geri birrsSharePointErrorhatası.Adlı bir grup düzey özellikTokenTimeoutSPUser ne kadar süreyle geçerli olacağını belirler.

Yönetim'i yapılandırma ve kullanma benzersiz etki alanı kullanıcı hesapları için hizmet hesapları

Bir SharePoint ürün veya teknoloji dağıtımı, hizmetleri çalıştırmak ve ön uç ve son uç sunuculara erişmek için çeşitli hesaplar kullanır.Dağıtımınız için etki alanı hesapları belirtirseniz, en iyi uygulama önerilerine uymaya ve SharePoint Web uygulaması tarafından özel olarak kullanılan hesaplar belirlemeye dikkat edin.SharePoint sitesine erişecek gerçek bir kişinin etki alanı kullanıcı hesabı altında çalışan bir hizmet hesabı yapılandırmayın.hizmet kimlik bilgileri bilgilerini kullanarak bir SharePoint sitesine erişim, hatalarla karşılaşabilirsiniz.Hizmet hesabı gereksinimleri ve öneriler, hakkında daha fazla bilgi için bkz:Yönetim ve hizmet hesapları için planWindows SharePoint Services3.0 ürün belgeleri.

kimlik doğrulaması sağlayıcısı bir ölçek giden dağıtım yapılandırma en iyi yöntemler

Varsa bir genişleme dağıtımı,Reporting Servicesve SharePoint Ürün veya teknolojisi ve farklı kimlik doğrulaması sağlayıcıları ortamınız için yapılandırılmış, karşılaştığınız sorun kimliği doğrulanmış kullanıcılar.Raporlama ortamınızın Internet bağlantıları ve intranet bağlantıları için Windows kimlik doğrulaması için Forms kimlik doğrulaması kullanıyorsa, örneğin, istek kimlik doğrulama türü isteğin eşleşmeyen bir kimlik doğrulama sağlayıcı olan bir Web ön uç bilgisayara yönlendirilen.Bu nedenReporting Servicesisteği veya isteği reddetmek için çalıştırılmasına kimin yaptığını kullanıcı yerine uygulama havuzu kimliği altında isteği.

En iyi yöntem olarak, kullanıcılar farklı URL'lere içeriğe erişim Internet ve intranet kullanmanız gerekir.Veya, etki alanı adı sistemi (DNS) arama Internet'te URL isteklerini intranet URL'si DNS tarafından yönlendirilen değil, Internet'e sitenin Internet Protokolü (IP) adresi Internet URL'ye eşleyerek geçersiz kılmak için Web ön uç bilgisayarlarda hosts dosyasını yapılandırabilirsiniz.

Nasıl rapor sunucusu erişim SharePoint içerik veritabanları

SharePoint Web uygulamasını hem de rapor sunucusu, uygulama durumu ve diğer verileri saklamak için ilgili veritabanlarına bağlanmak, ancak rapor sunucusunda depolamak ve öğeleri, özellikleri ve yapılandırma ayarlarını almak için SharePoint veritabanlarında bağlanmanız gerekir.Aşağıdaki çizimde, çeşitli veritabanlarına sunucu bağlantıları gösterir.

Connection diagram

Bir SharePoint Web uygulamasının dahili depolama için bir yerel veya uzak veritabanı kullanabilirsiniz.Uzak bilgisayarlara SharePoint veritabanlarında, bir etki alanı hesabı bağlantı için kullanılmalıdır.

rapor sunucusu, yerel veya uzak bir veritabanı dahili depolama için kullanabilirsiniz.Bir etki alanı hesabını kullanarak her iki türü de veritabanı bağlantısı yapılabilir birSQL Serveroturum açma, ya da gibi yerleşik hesapNetwork ServiceorLocal System.

SharePoint veritabanı bağlantısı rapor sunucusu

InReporting Serviceserişim gerektiren Web hizmeti ve hizmet SharePoint veritabanlarında.İki hizmet için hizmet hesaplarını güvenilen kullanıcıların bir SharePoint Web uygulaması olarak çalışır ve otomatik olarak SharePoint veritabanlarına erişim için izin verilir.

Bağlantı dahili olarak yönetilir; bir rapor sunucusunu SharePoint Web uygulamasına işaret SharePoint Yönetim Merkezi'ni kullandığınızda, yapılandırılan ve küme güvenilen hesaplar.Ayarlayabilir veya Reporting Services yapılandırma aracını kullanarak, kendi veritabanı rapor sunucusu bağlantısını aksine, açıkça yapılandırın veya SharePoint veritabanlarında rapor sunucusu bağlantısını yönetmek olamaz.

Çalışan bir rapor sunucusu SharePoint tümleşik modda, hizmet hesapları olarak nasıl yapılandırmanız üzerinde kısıtlamalar getirirReporting Services.Hizmet hesaplarını yapılandırırken aşağıdaki yönergeleri kullanın:

Rapor sunucusu hizmet hesaplarını SharePoint veritabanlarına uzak bir bilgisayara bağlanması gerekiyorsa, ağ oturum açma izinlerine sahip bir hesap seçin.
Yerleşik hesaplar kaçının (gibi ya da Network hizmetYerel sistem ) rapor sunucusu ve SharePoint veritabanlarında, bir bilgisayarda bulunan ve SharePoint Web uygulaması olan bir uzak bilgisayar. SharePoint veritabanı Uzaktaki bir bilgisayarda çalıştırdığınızda, SharePoint Web uygulamasını, uzak bilgisayarda tanımlanan yerleşik hesap veritabanı erişimi açıkça reddeder.Yani, bu bilgisayarda yerleşik hesapları altında çalışan tüm hizmetleri SharePoint veritabanına bağlanamıyor.
Aynı veya farklı bilgisayarlar, sunucular ve veritabanları yerleştirmek tüm yapıları içinReporting Serviceshizmet hesapları yapılandırılmış etki alanı hesapları veya yerleşik hesaplar.

Hatalar için SharePoint veritabanlarına bağlanma

, rapor sunucusu SharePoint veritabanlarında erişemez ve bir yapılandırma hatası (örneğin, hizmet hesapları veya parolalar geçerli değilse veya Windows SharePoint nesne modeli yerel bir kopyası yüklü değilse), birrsServerConfigurationErrorhata ortaya çıkar., Diğer bağlantı hatalarırsSharePointErrorhata döndürülür, yerel ek hata bilgileri ile birlikteWindows SharePoint Servicesörnek.

Değişiklik Geçmişi

Güncelleştirilmiş içerik
Eklenen tablo avantajları ve dezavantajları SharePoint teknolojileri bölümünde kimlik doğrulaması sağlayıcısı, kimlik doğrulaması sağlayıcıları.
Eklenen yeni bölüm "Ölçek giden dağıtım, yapılandırma kimlik doğrulaması sağlayıcıları için en iyi uygulamalar."