Authentifizierung mit dem Berichtsserver
SQL Server Reporting Services (SSRS) bietet mehrere konfigurierbare Optionen zum Authentifizieren von Benutzern und Clientanwendungen für den Berichtsserver. Standardmäßig verwendet der Berichtsserver die integrierte Windows-Authentifizierung und geht von vertrauenswürdigen Beziehungen aus, wenn sich Client- und Netzwerkressourcen in der gleichen Domäne oder einer vertrauenswürdigen Domäne befinden. Abhängig von der Netzwerktopologie und den Anforderungen der Organisation können Sie das für die integrierte Windows-Authentifizierung verwendete Authentifizierungsprotokoll anpassen. Alternativ können Sie die Standardauthentifizierung verwenden oder eine selbst bereitgestellte und auf einem benutzerdefinierten Formular basierende Authentifizierungserweiterung nutzen. Jeder dieser Authentifizierungstypen kann individuell aktiviert oder deaktiviert werden. Sie können mehrere Authentifizierungstypen aktivieren, wenn der Berichtsserver mehrere Arten von Anforderungen akzeptieren soll.
Alle Benutzer oder Anwendungen, die Zugriff auf Berichtsserverinhalte oder -vorgänge anfordern, müssen vor Gewähren des Zugriffs authentifiziert werden.
Authentifizierungstypen
Alle Benutzer oder Anwendungen, die Zugriff auf Berichtsserverinhalte oder -vorgänge anfordern, müssen vor Gewähren des Zugriffs mit dem Authentifizierungstyp authentifiziert werden, der auf dem Berichtsserver konfiguriert ist. In der folgenden Tabelle werden die von Reporting Services unterstützten Authentifizierungstypen beschrieben.
| Name Authentifizierungstyp | Wert HTTP-Authentifizierungsebene | Standardmäßig verwendet | BESCHREIBUNG |
|---|---|---|---|
| RSWindowsNegotiate | Aushandeln | Ja | Versucht für die integrierte Windows-Authentifizierung zunächst eine Kerberos-Authentifizierung zu verwenden, greift jedoch auf NTLM zurück, wenn Active Directory kein Ticket für die Client-Anforderung auf den Berichtsserver gewähren kann. Negotiate greift nur auf NTLM zurück, wenn das Ticket nicht verfügbar ist. Wenn der erste Versuch zu einem Fehler und nicht zu einem nicht verfügbaren Ticket führt, unternimmt der Berichtsserver keinen zweiten Versuch. |
| RSWindowsNTLM | NTLM | Ja | Verwendet für die integrierte Windows-Authentifizierung NTLM. Die Anmeldedaten werden nicht delegiert oder durch einen Identitätswechsel für andere Anforderungen verwendet. Nachfolgende Anforderungen befolgen eine neue Abfrage-/Rückmeldungs-Sequenz. Je nach den Einstellungen für die Netzwerksicherheit können Benutzer aufgefordert werden, Anmeldeinformationen einzugeben, oder die Authentifizierungsanforderung wird transparent verarbeitet. |
| RSWindowsKerberos | Kerberos | Nein | Verwendet für die integrierte Windows-Authentifizierung Kerberos. Sie müssen Kerberos konfigurieren, indem Sie Dienstprinzipalnamen (Service Principle Names, SPNs) für die Dienstkonten einrichten, die Domänenadministratorberechtigungen erfordern. Sie können die Identitätsdelegierung mit Kerberos einrichten. Dann kann das Token des den Bericht anfordernden Benutzers auch für eine weitere Verbindung zu den externen Datenquellen verwendet werden, die Daten für Berichte liefern. Bevor Sie RSWindowsKerberos angeben, stellen Sie sicher, dass der von Ihnen verwendete Browsertyp diesen Authentifizierungstyp unterstützt. Wenn Sie Microsoft Edge oder Internet Explorer verwenden, wird die Kerberos-Authentifizierung nur über Negotiate unterstützt. Microsoft Edge oder Internet Explorer formuliert keine Authentifizierungsanforderung, die Kerberos direkt angibt. |
| RSWindowsBasic | Basic | Nein | Die Standardauthentifizierung wird im HTTP-Protokoll definiert und kann nur verwendet werden, um HTTP-Anforderungen an den Berichtsserver zu authentifizieren. Anmeldeinformationen werden mithilfe der Base64-Codierung an die HTTP-Anforderung übergeben. Bei der Standardauthentifizierung können Sie Transport Layer Security (TLS), früher als Secure Sockets Layer (SSL) bezeichnet, zum Verschlüsseln der Benutzerkontoinformationen verwenden, bevor die Informationen über das Netzwerk gesendet werden. SSL bietet einen verschlüsselten Kanal zum Senden einer Verbindungsanforderung vom Client an den Berichtsserver über eine HTTP TCP/IP-Verbindung. Weitere Informationen finden Sie auf der Microsoft TechNet-Website unter Using SSL to Encrypt Confidential Data. |
| Benutzerdefiniert | (Anonym) | Nein | Die anonyme Authentifizierung weist den Berichtsserver an, den Authentifizierungsheader in einer HTTP-Anforderung zu ignorieren. Der Berichtsserver akzeptiert alle Anforderungen. Führen Sie den Aufruf jedoch mit einer benutzerdefinierten ASP.NET-Formularauthentifizierung aus, die Sie zur Authentifizierung des Benutzers bereitstellen. Geben Sie Custom nur an, wenn Sie ein benutzerdefiniertes Authentifizierungsmodul bereitstellen, das alle Authentifizierungsanforderungen auf dem Berichtsserver verarbeitet. Sie können den benutzerdefinierten Authentifizierungstyp nicht mit der Standardauthentifizierungserweiterung von Windows verwenden. |
Nicht unterstützte Authentifizierungsmethoden
Die folgenden Authentifizierungsmethoden und -anforderungen werden nicht unterstützt.
| Authentifizierungsmethode | Erklärung |
|---|---|
| Anonym | Der Berichtsserver akzeptiert nur die nicht authentifizierten Anforderungen anonymer Benutzer in Bereitstellungen, die eine benutzerdefinierte Authentifizierungserweiterung enthalten. Berichts-Generator akzeptiert nicht authentifizierte Anforderungen, wenn Sie den Zugriff des Berichts-Generators auf einen Berichtsserver aktivieren, der für die Standardauthentifizierung konfiguriert ist. In allen anderen Fällen werden die anonymen Anforderungen mit dem Fehler „HTTP Status 401 Access Denied“ abgelehnt, bevor die Anforderung ASP.NET erreicht. Clients, die den Fehler '401 Access Denied' erhalten, müssen die Anforderung mit einem gültigen Authentifizierungstyp umformulieren. |
| Technologie für einmaliges Anmelden (SSO, Single sign-on technologies) | In Reporting Services gibt es keine systemeigene Unterstützung der Technologien für einmaliges Anmelden. Wenn Sie eine Technologie für einmaliges Anmelden verwenden möchten, müssen Sie eine benutzerdefinierte Authentifizierungserweiterung erstellen. Die Berichtsserver-Hostumgebung unterstützt keine ISAPI-Filter. Falls die verwendete SSO-Technologie als ISAPI-Filter implementiert ist, sollten Sie die in den ISA-Server integrierte Unterstützung für RSASecueID oder das RADIUS-Protokoll verwenden. Andernfalls können Sie eine ISA-Server-ISAPI oder ein HTTPModule für RS erstellen. Sie sollten den ISA-Server jedoch direkt verwenden. |
| Passport | Wird in SQL Server Reporting Services nicht unterstützt. |
| Digest | Wird in SQL Server Reporting Services nicht unterstützt. |
Konfigurieren von Authentifizierungseinstellungen
Authentifizierungseinstellungen werden für die Standardsicherheit konfiguriert, wenn die Berichtsserver-URL reserviert ist. Wenn Sie diese Einstellungen inkorrekt bearbeiten, gibt der Berichtsserver für Anforderungen, die nicht authentifiziert werden können, die Fehler HTTP 401 Access Denied zurück. Beim Auswählen eines Authentifizierungstyps müssen Sie bereits wissen, wie die Windows-Authentifizierung in Ihrem Netzwerk unterstützt wird. Sie müssen mindestens einen Authentifizierungstyp angeben. Für RSWindows können mehrere Authentifizierungstypen angegeben werden. RSWindows-Authentifizierungstypen (d.h. RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberosund RSWindowsNegotiate) schließen sich mit „Custom“ gegenseitig aus.
Wichtig
Reporting Services überprüft nicht, ob die von Ihnen angegebenen Einstellungen für die Computerumgebung korrekt sind. Es ist möglich, dass die Standardsicherheit für Ihre Installation nicht geeignet ist oder die von Ihnen angegebenen Konfigurationseinstellungen für Ihre Sicherheitsinfrastruktur nicht geeignet sind. Aus diesem Grund sollten Sie Ihre Berichtsserverbereitstellung in einer kontrollierten Testumgebung sorgfältig prüfen, bevor Sie sie Ihrer Organisation zur Verfügung stellen.
Der Berichtsserver-Webdienst und das Webportal verwenden stets denselben Authentifizierungstyp. Sie können keine anderen Authentifizierungstypen für die Funktionsbereiche des Berichtsserverdienstes konfigurieren. In einem Bereitstellungsmodell für horizontales Skalieren sollten Sie sicherstellen, dass alle Ihre Änderungen auf allen Knoten der Bereitstellung dupliziert werden. Sie können keine anderen Knoten in der gleichen Bereitstellung für horizontales Skalieren konfigurieren, um andere Authentifizierungstypen zu verwenden.
Die Hintergrundverarbeitung akzeptiert keine Anforderungen von Endbenutzern. Sie authentifiziert jedoch alle Anforderungen für unbeaufsichtigte Ausführungszwecke. Sie verwendet stets die Windows-Authentifizierung und authentifiziert Anforderungen mit dem Berichtsserverdienst oder dem Konto für die unbeaufsichtigte Ausführung, falls die Authentifizierung konfiguriert ist.
In diesem Abschnitt
Konfigurieren der Windows-Authentifizierung auf dem Berichtsserver
Konfigurieren der Standardauthentifizierung auf dem Berichtsserver
Konfigurieren der benutzerdefinierten oder Formularauthentifizierung auf dem Berichtsserver
Zugehörige Aufgaben
| Taskbeschreibungen | Links |
|---|---|
| Konfigurieren Sie den integrierte Windows-Authentifizierungstyp. | Konfigurieren der Windows-Authentifizierung auf dem Berichtsserver |
| Konfigurieren Sie den Standardauthentifizierungstyp. | Konfigurieren der Standardauthentifizierung auf dem Berichtsserver |
| Konfigurieren Sie die formularbasierte Authentifizierung oder andernfalls ein benutzerdefinierten Authentifizierungstyp. | Konfigurieren der benutzerdefinierten oder Formularauthentifizierung auf dem Berichtsserver |
| Aktivieren Sie das Webportal, um das benutzerdefinierte Authentifizierungsszenario zu verarbeiten. | Konfigurieren des Webportals für die Übergabe von benutzerdefinierten Authentifizierungscookies |
Zugehöriger Inhalt
Erteilen von Berechtigungen für einen Berichtsserver im nativen Modus
RsReportServer.config-Konfigurationsdatei
Erstellen und Verwalten von Rollenzuweisungen
Angabe von Anmeldeinformationen und Verbindungsinformationen für Berichtsdatenquellen
Implementieren von Sicherheitserweiterungen
Konfigurieren von TLS-Verbindungen auf einem Berichtsserver im nativen Modus
Übersicht über Sicherheitserweiterungen
Authentifizierung in Reporting Services
Authorization in Reporting Services (Autorisierung in Reporting Services)
Haben Sie dazu Fragen? Stellen Sie eine Frage im Reporting Services-Forum
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für