Anspruchsauthentifizierung und Reporting Services
SharePoint 2010-Produkte unterstützen die anspruchsbasierte Authentifizierung. SQL Server 2008 R2 Reporting Services im integrierten SharePoint-Modus kann mit anspruchsfähigen SharePoint-Webanwendungen verwendet werden, wenn Authentifizierungen über vertrauenswürdige Konten und SharePoint-Benutzertoken eingesetzt werden. Mehr Hintergrundinformationen zur anspruchsbasierten Authentifizierung finden Sie unter Claims-Based Identity Overview. Weitere Informationen zur SharePoint 2010-Authentifizierung finden Sie unter Planen von Authentifizierungsmethoden.
Wie ein Berichtsserver mit der Anspruchsauthentifizierung kommuniziert
Im Folgenden sind die grundlegenden Schritte genannt, die abgearbeitet werden, wenn ein Berichtsserver und der Reporting Services-Proxy eine Verbindung mit einem anspruchsfähigen Web-Front-End (WFE) herstellen.
Der anspruchsfähige WFE führt die entsprechende Anspruchsauthentifizierung durch und gibt das Anspruchstoken mithilfe des sicheren Tokendiensts an den Reporting Services-Proxy weiter, der sich auf dem SharePoint-WFE befindet.
Der Reporting Services-Proxy auf dem WFE verwendet den Anspruchstoken, um ein SharePoint-Benutzertoken zu generieren, das er an den Berichtsserver weiterleitet.
Der Berichtsserver selbst unterstützt keine Ansprüche und führt keine anspruchsspezifische Authentifizierung oder Konvertierung durch. Er verwendet das SharePoint-Benutzertoken, das vom Reporting Services-Proxy gesendet wurde.
Auf Grundlage des SharePoint-Benutzertokens verwendet der Berichtsserver das lokale SharePoint-Objektmodell zum Generieren des richtigen SharePoint-Benutzerkontexts.
Der Berichtsserver sendet die angeforderten Informationen, wie z. B. ein gerenderter Bericht, wieder an SharePoint, das den entsprechenden SharePoint-Benutzerkontext verwendet.
Umwandeln von Webanwendungen für die anspruchsbasierte Authentifizierung
SharePoint 2010 lässt Benutzer vorhandene SharePoint 2010-Webanwendungen für die anspruchbasierte Authentifizierung umwandeln. Webanwendungen, die keine Windows-Authentifizierung verwenden und von einer früheren Version von SharePoint auf SharePoint 2010 aktualisiert wurden, müssen umgewandelt werden, wenn die Anspruchsauthentifizierung verwendet werden soll.
Weitere Informationen zum Umwandeln von Webanwendungen für die Anspruchsauthentifizierung finden Sie unter Konfigurieren der formularbasierten Authentifizierung für eine forderungsbasierte Webanwendung (SharePoint Server 2010).
Konfigurieren von Reporting Services für die Unterstützung von anspruchsfähigen Webanwendungen
Die folgenden Reporting Services-Konfigurationsänderungen sind erforderlich, um anspruchsfähige Webanwendungen zu unterstützen.
Konfigurieren Sie das Reporting Services-Dienstkonto, um auf die umgewandelte Webanwendung zuzugreifen. Verwenden Sie die Webseite Reporting Services-Integration in der SharePoint-Zentraladministration. Wenn Sie eine Reporting Services-Umgebung in einer Bereitstellung für horizontales Skalieren verwenden und der Berichtsserver andere Dienstkonten verwendet, verwenden Sie die Webseite Berichtsserver zur Integration hinzufügen in der SharePoint-Zentraladministration für jeden Berichtsserver.
Für vorhandene Reporting Services-Abonnements verwenden Sie rs.exe und Skripts mit ChangeSubscriptionOwnerSOAP-API, um die Abonnementbesitzer in entsprechende Benutzer zu ändern, die von der Anspruchsauthentifizierung unterstützt werden.
Für die vorhandene Modellelementsicherheit verwenden Sie die Webseite Modellelementsicherheit oder das Skript mit SetModelItemPolicies-API, um die Liste der Benutzer mit Lesezugriff für einzelne Modellelemente in Benutzer zu aktualisieren, die von der Anspruchsauthentifizierung unterstützt werden.
Authentifizierungsfallback-Verhalten des Reporting Services-Add-Ins für SharePoint 2010-Produkte
Die Reporting Services-Integrationsseite in der SharePoint-Zentraladministration ermöglicht es dem Benutzer, einen Authentifizierungsmodus zu konfigurieren: Vertrauenswürdiges Konto oder Windows-Authentifizierung. Die SharePoint-Umgebung kann jedoch unter Umständen Webanwendungen enthalten, die jeweils verschiedene Authentifizierungstypen verwenden. Eine Webanwendung kann z. B. für die anspruchsbasierte Authentifizierung konfiguriert sein, und eine andere Webanwendung kann für die klassische Authentifizierung konfiguriert sein. Der Reporting Services-Proxy, der vom Add-In installiert wurde, ist flexibel und kann in einigen Szenarien die Authentifizierungsmethoden ändern.
Wenn die Reporting Services-Integration für die Windows-Authentifizierung konfiguriert wurde, hat der Reporting Services-Proxy die Möglichkeit, auf die vertrauenswürdige Authentifizierung zurückzugreifen, wenn der Proxy eine SharePoint-Webanwendung entdeckt, die für die anspruchsbasierte Authentifizierung konfiguriert ist.
In der folgenden Tabelle wird das Reporting Services-Verhalten basierend auf der konfigurierten Authentifizierung für die Reporting Services-Integration und eine SharePoint-Webanwendung zusammengefasst.
Reporting Services-Integrationsseite |
Konfiguration der SharePoint 2010-Webanwendung |
Unterstützt |
|---|---|---|
Windows-Authentifizierung |
Klassische Authentifizierung |
Ja |
Vertrauenswürdiges Konto |
Forderungsbasierte Authentifizierung |
Ja |
Vertrauenswürdiges Konto |
Klassische Authentifizierung |
Ja |
Windows-Authentifizierung |
Forderungsbasierte Authentifizierung |
Ja, Der Reporting Services-Proxy greift auf die Authentifizierung durch ein vertrauenswürdiges Konto zurück. |
Die Nebeneffekte des Fallbackverhaltens bestehen darin, dass in einigen Fällen die Windows-Authentifizierung benötigt wird. Wenn ein Bericht z. B. eine Datenquelle verwendet, die für die integrierte Windows-Sicherheit konfiguriert ist, wird eine Fehlermeldung ähnlich der folgenden angezeigt, da der Reporting Services-Proxy erkannt hat, dass die Webanwendung die Anspruchsauthentifizierung verwendet und der Proxy die Fallbacklogik verwendet hat und die Sitzung sich im Kontext Vertrauenswürdiges Konto befindet:
Fehler bei der Berichtsverarbeitung. (rsProcessingAborted)
Identitätswechsel für Datenquelle 'MyDataSourceName' kann nicht durchgeführt werden. (rsErrorImpersonatingUser)
Diese Datenquelle ist so konfiguriert, dass die integrierte Windows-Sicherheit verwendet wird. Die integrierte Windows-Sicherheit ist entweder für diesen Berichtsserver deaktiviert, oder der Berichtsserver verwendet den Modus Vertrauenswürdiges Konto. (rsWindowsIntegratedSecurityDisabled)
Um dieses Problem zu umgehen, müssen Sie die Datenquelle ändern, um gespeicherte Anmeldeinformationen zu verwenden.
Reporting Services-Clients unterstützen keine LiveID- oder SAML-Anspruchsauthentifizierung
Die Reporting Services-Clientanwendungen: Berichts-Generator, der Berichts-Designer in Business Intelligence Development Studio und Management Studio unterstützen das Herstellen einer Verbindung und das Authentifizieren für SharePoint-Webanwendungen mit LiveID- oder SAML-Anspruchsauthentifizierung nicht. Die Clients können mit anderen Formularen der Anspruchsauthentifizierung arbeiten, da sie den Reporting Services-Authentifizierungsendpunkt verwenden. Der Endpunkt ermöglicht den Clients die Kommunikation mit SharePoint durch die Komponenten, die auch von der ASP.NET-Formularauthentifizierung verwendet werden. Die SAML-Anspruchsauthentifzierung und die LiveID-Authentifizierung arbeiten unterschiedlich und werden nicht von den Reporting Services-Clients unterstützt.