Configurar la autenticación para Reporting Services

  • Artículo

Nuevo: 12 de diciembre de 2006

En Reporting Services, los Servicios de Internet Information Server (IIS) controlan la autenticación. Reporting Services utiliza el método de autenticación establecido en el nivel de directorio virtual para autenticar las conexiones del usuario al servidor de informes. En la mayoría de los casos, el tipo de autenticación se hereda del sitio Web primario, pero puede especificar un tipo de autenticación distinto en el directorio virtual.

Reporting Services funciona con los siguientes métodos de autenticación en IIS:

  • Autenticación de Windows integrada.
  • Autenticación básica.
  • Autenticación anónima, recomendada únicamente para enviar una solicitud de inicio de sesión a terceros o a un proveedor de autenticación basada en formularios personalizada.

En Reporting Services no se admite la autenticación implícita ni la autenticación de .NET Passport.

Si está desarrollando aplicaciones que se integran con Reporting Services, necesitará saber la forma en que se autentican las llamadas al servicio Web del servidor de informes. Para obtener más información, vea Web Service Authentication.

Configuración de autenticación predeterminada

De forma predeterminada, los directorios virtuales del servidor de informes y del Administrador de informes se configuran para utilizar la autenticación de Windows integrada. No se permite el acceso anónimo al directorio virtual. No hay ningún otro método de autenticación seleccionado.

Si utiliza la seguridad predeterminada, cada usuario que requiera acceso a un servidor de informes debe poseer una cuenta de usuario de Windows válida o formar parte de una cuenta de grupo de Windows. Puede incluir cuentas de otros dominios siempre que sean de confianza. Las cuentas deben tener acceso al servidor Web que aloje el servidor de informes y deben asignarse posteriormente a funciones con el fin de lograr acceso a operaciones específicas del servidor de informes.

La configuración predeterminada funciona mejor si todos los equipos cliente y servidor se encuentran en el mismo dominio o en un dominio de confianza, si el tipo de explorador admite la autenticación de Windows integrada y si el servidor de informes se implementa para el acceso a la intranet detrás de un firewall corporativo. Si admite el acceso vía Internet a un servidor de informes o si utiliza la seguridad de grupo de trabajo, lo más probable es que tenga que personalizar la configuración predeterminada.

Los dominios únicos y de confianza son un requisito para enviar credenciales de Windows. Las credenciales sólo podrán pasarse más de una vez si se habilita la versión 5 del protocolo Kerberos para los servidores. Si Kerberos no está habilitado, las credenciales sólo se envían una vez antes de que caduquen. Para obtener más información acerca de la configuración de credenciales para conexiones de varios equipos, vea Especificar información de conexión y credenciales.

[!NOTA] Si el sitio Web que contiene el directorio virtual del servidor de informes se configura para la autenticación Kerberos y está utilizando una cuenta de usuario de dominio en el grupo de aplicaciones, puede que necesite crear un Nombre principal de servicio (SPN) para la cuenta. Para obtener más información, vea el artículo acerca de la configuración de la delegación limitada para Kerberos (IIS 6.0) en el sitio Web de Microsoft TechNet.

Información general sobre los tipos de autenticación

IIS autentica una conexión de usuario a un servidor de informes y al Administrador de informes. En la siguiente lista, se describen las opciones de autenticación IIS que puede utilizar:

  • Autenticación de Windows integrada con credenciales delegadas o suplantadas
    La conexión al servidor de informes utiliza las credenciales de dominio cifradas del usuario actual. La autenticación de Windows (seguridad integrada) es el método de autenticación predeterminado de los directorios virtuales del servidor de informes y del Administrador de informes. La herramienta de configuración de Reporting Services y el programa de instalación configuran siempre la seguridad de directorio para utilizar este método. Si la autenticación Kerberos está habilitada en el dominio, el vale de seguridad actual también podrá utilizarse para conectarse a orígenes de datos externos que proporcionen datos a los informes.

  • Autenticación básica
    La conexión al servidor de informes utiliza un nombre de usuario y contraseña de una cuenta de Windows previamente asignada. Con la autenticación básica, el nombre de usuario y la contraseña se transmiten en forma de texto no cifrado. Sin embargo, puede proteger aún más la transmisión utilizando la Capa de sockets seguros (SSL) para cifrar la información de cuenta del usuario antes de que se envíe a través de la red.

    SSL proporciona un canal cifrado para enviar una solicitud de conexión del cliente al servidor de informes a través de una conexión HTTP TCP/IP. Para obtener más información, vea el tema sobre el uso de SSL para cifrar datos confidenciales en el sitio Web de Microsoft TechNet.

  • Acceso anónimo
    La conexión al servidor de informes para todos los usuarios se realiza con la cuenta de usuario de Windows para el acceso anónimo. En IIS, se trata de la cuenta IUSR_<nombreDeEquipo> de forma predeterminada. A los usuarios no se les pide un nombre de usuario y contraseña. Sólo deberá utilizar el acceso anónimo si usa una extensión de seguridad personalizada. Si no utiliza la autenticación personalizada, debe evitar el uso del acceso anónimo en el directorio virtual del servidor de informes. No podrá cambiar las asignaciones de funciones de forma coherente. Todos los usuarios tendrán acceso al servidor de informes con la cuenta de usuario anónimo y ninguno tendrá permiso para administrar el servidor de informes a través del Administrador de informes.

Modificar la configuración de autenticación

Reporting Services utiliza la autenticación de Windows integrada de forma predeterminada. Si desea utilizar un proveedor de autenticación distinto, utilice el Administrador de IIS para especificar las propiedades de seguridad del directorio.

  1. Abra el Administrador de IIS.
  2. Haga clic con el botón secundario en el directorio virtual del servidor de informes y haga clic en Propiedades.
  3. Haga clic en Seguridad de directorios.
  4. En Autenticación y control de acceso, haga clic en Editar para abrir el cuadro de diálogo Métodos de autenticación.
  5. (Opcional) Desactive la casilla de verificación Autenticación de Windows integrada.
    Si el directorio virtual del servidor de informes está configurado tanto para la autenticación de Windows integrada como para la autenticación básica, el servidor de informes probará primero con la autenticación de Windows. Si sólo desea utilizar la autenticación básica, deberá desactivar la casilla de verificación Autenticación de Windows integrada.
  6. Seleccione Autenticación básica.
  7. Establezca el dominio o territorio predeterminado utilizado para autenticar clientes en el servidor Web.

No habilite el acceso anónimo salvo que esté implementando una extensión de autenticación personalizada o esté habilitando el acceso al Generador de informes a través de un servidor de informes que esté configurado para la autenticación básica. No habilite la autenticación implícita ni la autenticación de Passport; se trata de opciones de autenticación que no se admiten en Reporting Services.

Al configurar un método de autenticación para un servidor de informes, asegúrese de utilizar el mismo método para todos los componentes. No especifique un tipo de autenticación distinto para el Administrador de informes. Si lo hace, los usuarios deberán proporcionar distintas credenciales de inicio de sesión tanto para las operaciones del Administrador de informes como para las operaciones del servidor de informes. Del mismo modo, el tipo de autenticación del Generador de informes deberá ser idéntico al proveedor de autenticación utilizado por el servidor de informes, salvo cuando configure el servidor de informes para que utilice la autenticación básica. Si utiliza la autenticación básica, deberá permitir el acceso anónimo a la carpeta del Generador de informes para enviar una solicitud de conexión al iniciador de la aplicación ClickOnce. Para obtener más información, vea Configurar un servidor de informes para el acceso al Generador de informes.

Para obtener más información acerca de cómo habilitar la autenticación básica y seleccionar un tipo de autenticación en IIS, vea el tema sobre la forma de habilitar la autenticación básica y configurar el nombre de territorio y seleccionar un método de autenticación de sitio Web en el sitio Web de Microsoft TechNet.

Configurar la autenticación para el acceso a una extranet e Internet

La autenticación de Windows integrada rara vez resulta práctica para modelos de implementación que requieren acceso a Internet o una extranet. Si implementa Reporting Services en un servidor Web para Internet, deberá reemplazar la autenticación de Windows por una extensión de autenticación personalizada que le conceda más control sobre la forma de conceder acceso a los usuarios externos al servidor de informes. La creación de una extensión de autenticación personalizada requiere código personalizado y conocimientos en materia de seguridad de ASP.NET. Para obtener más información, vea Implementing a Security Extension.

Si no desea codificar una extensión de autenticación personalizada, puede utilizar grupos y cuentas de Microsoft Active Directory, pero tendrá que reducir en gran parte el ámbito de implementación de un servidor de informes. Las siguientes directrices describen los requisitos necesarios para admitir este escenario:

  • Cree una cuenta de usuario de dominio con privilegios reducidos y permisos de sólo lectura. La cuenta debe tener acceso al equipo que aloja el servidor de informes. Proporcione un formulario Web personalizado para que los usuarios puedan iniciar sesión utilizando la cuenta de dominio con pocos privilegios.
  • Cree asignaciones de funciones que asignen la cuenta de usuario a elementos específicos en la jerarquía de carpetas del servidor de informes. Puede limitar el acceso a operaciones de sólo lectura eligiendo como asignación de funciones la función predeterminada Explorador.
  • Configure los informes para que utilicen credenciales almacenadas para obtener datos para el informe. Este enfoque resulta útil si desea realizar una consulta al origen de datos externo utilizando una cuenta diferente de la que permite el acceso al servidor de informes. Para obtener más información sobre estas opciones, vea Especificar información de conexión y credenciales.

Vea también

Conceptos

Administrar permisos y seguridad para Reporting Services
Crear, modificar y eliminar asignaciones de funciones
Especificar información de conexión y credenciales
Conexiones y cuentas de una implementación de Reporting Services
Configurar un servidor de informes para conexiones SSL
Configurar un servidor de informes para el acceso al Generador de informes

Otros recursos

Implementing a Security Extension

Ayuda e información

Obtener ayuda sobre SQL Server 2005