Información general de seguridad para Reporting Services en el modo integrado de SharePoint
Al configurar un servidor de informes para que se ejecute en el modo integrado de SharePoint, el servidor de informes utiliza el proveedor de autenticación y los permisos definidos en la aplicación web de SharePoint para controlar el acceso a los elementos y a las operaciones del servidor de informes.
Los permisos para obtener acceso a los elementos y a las operaciones se conceden a través de directivas de seguridad de SharePoint que asignan una cuenta de usuario o grupo a un nivel de permiso relativo a un elemento. Conceptualmente, es idéntico a la forma en que se utilizan las asignaciones de roles en una implementación del servidor de informes en modo nativo, donde una asignación de rol asigna una cuenta de usuario o grupo a un conjunto de tareas permitidas relativas a un elemento. Como ocurre con la mayoría de modelos de autorización basados en roles, la seguridad de SharePoint proporciona herencia de permisos para reducir la complejidad y sobrecarga relacionadas con el mantenimiento de un gran número de directivas.
Si implementa tipos de contenido del servidor de informes en un sitio de SharePoint, necesitará saber lo siguiente:
Cómo se realizan las conexiones y solicitudes entre los dos servidores. El proveedor de autenticación utilizado en la aplicación web de SharePoint determina si puede usar posteriormente la opción de seguridad integrada de Windows para obtener acceso a los orígenes de datos externos utilizados por un informe.
Cómo se utiliza la seguridad predeterminada para agregar, administrar y obtener acceso a los elementos y operaciones del servidor de informes. Para obtener más información, vea Conceder permisos sobre elementos del servidor de informes en un sitio de SharePoint y Usar la seguridad integrada de Windows SharePoint Services para los elementos del servidor de informes en los Libros en pantalla de SQL Server.
Cómo se invalida la seguridad predeterminada mediante el establecimiento de permisos en operaciones e informes específicos. Para obtener más información, vea Cómo establecer permisos para elementos del servidor de informes en un sitio de SharePoint (Reporting Services en el modo integrado de SharePoint) en los Libros en pantalla de SQL Server.
Antes de poder establecer los permisos, deberá configurar cada servidor para la integración. Para obtener más información, vea Configurar Reporting Services para la integración de SharePoint 2010.
Proveedores de autenticación en tecnologías de SharePoint
Una aplicación web de SharePoint puede usar la autenticación de Windows o la autenticación de formularios. Un servidor de informes procesará solicitudes de cualquiera de ellas. Puede configurar la autenticación en estas combinaciones:
Autenticación de Windows mediante Kerberos
Autenticación de Windows mediante NT LAN Manager (NTLM)
Autenticación de formularios
Nota
Tanto Reporting Services como los productos y tecnologías de SharePoint admiten la autenticación de formularios. La implementación es distinta para cada grupo de productos y estos no son compatibles. Las extensiones de autenticación personalizadas de Reporting Services no son compatibles con los servidores de informes que se ejecutan en el modo de integración de SharePoint.
En la tabla siguiente se resumen las ventajas y desventajas de cada uno de los proveedores de autenticación:
Ventajas |
Desventajas |
|
|---|---|---|
Autenticación de Windows mediante Kerberos |
Funciona en los escenarios de implementación de un único servidor y multiservidor. Admite el uso de las credenciales integradas de Windows para orígenes de datos externos. |
No funciona con la autenticación NTLM en implementaciones multiservidor. Requiere configuración de servidor y dominio compleja. |
Autenticación de Windows mediante NTLM o autenticación de formularios |
Funciona con Kerberos y todos los escenarios sin la autenticación de Kerberos. |
No es compatible con las credenciales integradas de Windows para orígenes de datos externos. |
SharePoint exige la autenticación
Los productos de SharePoint 2010 admiten la autenticación basada en notificaciones. SQL Server 2008 R2 Reporting Services en modo integrado de SharePoint funcionará con las aplicaciones web habilitadas para notificaciones de SharePoint mediante la autenticación de la cuenta de confianza y tokens de usuario de SharePoint. Para obtener más información sobre cómo admite Reporting Services la autenticación de notificaciones, vea Autenticación de notificaciones y Reporting Services. Para obtener más información acerca de la autenticación basada en notificaciones, vea Introducción a las identidades basadas en notificaciones.
Enviar solicitudes a un servidor de informes
Todas las solicitudes de un elemento u operación del servidor de informes deben ser solicitudes autenticadas válidas. El proveedor de autenticación que utilice determinará la forma en que se procesará la solicitud.
Seguridad integrada de Windows mediante Kerberos
Si la aplicación web de SharePoint se configura para la autenticación de Windows mediante Kerberos, la conexión de la aplicación web de SharePoint al servidor de informes puede usar las credenciales suplantadas o delegadas del usuario actual de Windows. Mediante el uso de la seguridad integrada de Windows con Kerberos y delegación de identidad, puede eliminar el clásico problema del "salto doble", donde las credenciales de Windows expiran tras una única conexión. Su uso también permite expandir el conjunto de opciones que tiene a su disposición al configurar conexiones de orígenes de datos para informes y modelos. En el siguiente diagrama se muestran las conexiones cuando un servidor de informes está configurado para la integración de SharePoint y la aplicación web de SharePoint utiliza la autenticación de Windows con Kerberos y delegación de identidad.
.gif "Conexiones en el modo integrado de SharePoint")
Conexión 1
Un usuario obtiene acceso a un sitio de SharePoint mediante el token de usuario creado cuando el usuario inició sesión en la red. Contiene la identidad del usuario y la pertenencia a grupos. La aplicación web de SharePoint autentica al usuario. El usuario solicita un elemento o una operación del servidor de informes.Conexión 2
La aplicación web de SharePoint envía el token y la solicitud al servidor de informes. La solicitud de conexión se envía mediante la identidad delegada de Windows del usuario. El servidor de informes autentica el usuario para ver si se le permite el acceso al servidor de informes.Conexión 3
Si la autenticación se realiza correctamente, el servidor de informes utilizará la cuenta de usuario de la instancia de Reporting Services para hacer una conexión a la base de datos de contenido de SharePoint y comprobar que el usuario tiene autorizado el acceso al elemento o la operación. Si la autorización es correcta, el servidor de informes sirve la solicitud.Conexión 4
Si el usuario está viendo un informe, el servidor de informes puede delegar la identidad de Windows del usuario durante el procesamiento del informe para recuperar datos de los orígenes de datos externos. Esto significa que al establecer las propiedades del origen de datos en un informe, puede seleccionar la opción Seguridad integrada de Windows para la conexión al origen de datos. Para obtener más información, vea Especificar información de credenciales y conexión para los orígenes de datos de informes y Cómo crear y administrar orígenes de datos compartidos (Reporting Services en el modo integrado de SharePoint) en los Libros en pantalla de SQL Server.
Autenticación de Windows o de formularios y cuentas de confianza
Si la aplicación web de SharePoint se configura para la autenticación de formularios o para la Autenticación de Windows mediante NTLM, la conexión al servidor de informes se envía por red por una cuenta de confianza predefinida que tenga permiso para suplantar a un usuario de SharePoint en el servidor de informes. En el siguiente diagrama se muestran las conexiones cuando se utilizan cuentas de confianza e identidades de usuario de SharePoint.
.gif "Diagrama de conexiones para una conexión de confianza")
Conexión 1
Un usuario inicia sesión en un sitio de SharePoint. La aplicación web de SharePoint autentica al usuario. La aplicación web de SharePoint traduce la identidad de usuario a una identidad de usuario de SharePoint (SPUser). Se crea un nuevo token de usuario para dicho usuario en el contexto de SPUser. Contiene la identidad del usuario y la pertenencia a grupos. El usuario solicita un elemento o una operación del servidor de informes.Conexión 2
La aplicación web de SharePoint conecta con el servidor de informes usando una cuenta de confianza que es la identidad de proceso de la aplicación web de SharePoint. La aplicación web de SharePoint suplanta después la identidad de usuario de SharePoint en la solicitud de un elemento o una operación.El servidor de informes autentica que la solicitud de conexión proviene de una cuenta de confianza comparándola con la información de cuenta recuperada por el servidor de informes a partir de las bases de datos de configuración de SharePoint al iniciarse el servidor de informes. En un servidor de informes, la cuenta de confianza es un usuario de Windows con permiso para suplantar la aplicación web de SharePoint. También se usa para suplantar el SPUser, pero no permite el acceso a los elementos y operaciones del servidor de informes.
Conexión 3
Si la autenticación se realiza correctamente, el servidor de informes utilizará la cuenta de usuario de la instancia de Reporting Services para hacer una conexión a la base de datos de contenido de SharePoint y comprobar que el SPUser tiene autorizado el acceso al elemento o la operación. Si la autorización es correcta, el servidor de informes sirve la solicitud.Conexión 4
Si el usuario está viendo un informe, el servidor de informes no puede usar el SPUser para recuperar datos de los orígenes de datos externos por causa del problema del "doble salto". Esto significa que al establecer las propiedades del origen de datos en un informe, no puede seleccionar la opción Seguridad integrada de Windows para la conexión al origen de datos. Sin embargo, puede configurar el informe para usar otras opciones de conexión, como credenciales almacenadas o credenciales solicitadas. Para obtener más información, vea Especificar información de credenciales y conexión para los orígenes de datos de informes y Cómo crear y administrar orígenes de datos compartidos (Reporting Services en el modo integrado de SharePoint) en los Libros en pantalla de SQL Server.
Expiración de la cuenta y procesamiento de suscripciones
Cuando se crea una suscripción a un informe, el servidor de informes almacena la información de cuenta de SPUser para que pueda comprobar si el usuario tiene permiso para ver el informe en el momento de entrega. Si SPUser ha expirado, se producirá un error en la suscripción y se devolverá rsSharePointError. Una propiedad del conjunto de servidores denominada TokenTimeout determina durante cuánto tiempo tiene validez SPUser.
Configurar cuentas administrativas y de servicio para que usen cuentas de usuario de dominio únicas
Una implementación de una tecnología o un producto SharePoint usa varias cuentas para ejecutar servicios y obtener acceso a servidores front-end y back-end. Si especifica cuentas de dominio para su implementación, asegúrese de seguir las prácticas recomendadas y especifique cuentas que solo use la aplicación web de SharePoint. No configure una cuenta de servicio para que se ejecute en la cuenta de usuario de dominio de una personal real que tendrá acceso al sitio de SharePoint. Si obtiene acceso a un sitio de SharePoint mediante credenciales de servicio, pueden producirse errores.
Prácticas recomendadas para configurar proveedores de autenticación en una implementación escalada
Si tiene una implementación escalada de Reporting Services y un producto de SharePoint, y ha configurado diferentes proveedores de autenticación para su entorno, podría encontrar problemas con los usuarios que se autentican. Por ejemplo, si el entorno de informes utiliza la autenticación de formularios para las conexiones a Internet y la autenticación de Windows para las conexiones en la intranet, la solicitud se podría enrutar a un equipo front-end web con un proveedor de autenticación que no coincida con el tipo de autenticación de la solicitud. Esto podría hacer que Reporting Services deniegue el acceso para la solicitud o la solicitud se podría ejecutar bajo la identidad de grupo de aplicaciones en lugar del usuario que realizó la solicitud.
Como práctica recomendada, los usuarios deberían utilizar direcciones URL diferentes para tener acceso al contenido de Internet e de la intranet. O bien puede configurar el archivo de hosts en los equipos front-end web para invalidar la búsqueda del Sistema de nombres de dominio (DNS) asignando la dirección del Protocolo Internet (IP) del sitio expuesto a Internet a la dirección URL de Internet, de modo que DNS no enrute las solicitudes de la dirección URL de Internet a la de la intranet.
Cómo obtiene acceso el servidor de informes a las bases de datos de contenido de SharePoint
Tanto la aplicación web de SharePoint como el servidor de informes se conectan a sus respectivas bases de datos para almacenar el estado de la aplicación y otros datos, pero el servidor de informes también debe conectarse a las bases de datos de SharePoint para almacenar y recuperar elementos, propiedades y valores de configuración. En el siguiente diagrama se muestran las conexiones del servidor a las distintas bases de datos.
.gif "Diagrama de conexión")
Una aplicación web de SharePoint puede utilizar una base de datos local o remota para el almacenamiento interno. Si las bases de datos de SharePoint se encuentran en equipos remotos, debe utilizarse una cuenta de dominio para la conexión.
Un servidor de informes puede utilizar una base de datos local o remota para el almacenamiento interno. Para cada uno de estos tipos, la conexión de base de datos puede realizarse mediante el uso de una cuenta de dominio, un inicio de sesión de SQL Server o una cuenta integrada, como Network Service o Local System.
Conexión del servidor de informes a las bases de datos de SharePoint
En Reporting Services, tanto el servicio web como el servicio de Windows requieren acceso a las bases de datos de SharePoint. Las cuentas de servicio para ambos servicios se ejecutan como usuarios de confianza en una aplicación web de SharePoint y se les concede permiso automáticamente para obtener acceso a las bases de datos de SharePoint.
La conexión se administra internamente; se configura cuando se utiliza Administración central de SharePoint para que una aplicación web de SharePoint señale a un servidor de informes y para establecer las cuentas de confianza. A diferencia de la conexión del servidor de informes a sus propias bases de datos, que se puede establecer o modificar mediante la herramienta de configuración de Reporting Services, no se puede configurar ni administrar explícitamente la conexión del servidor de informes a las bases de datos de SharePoint.
La ejecución de un servidor de informes en el modo integrado de SharePoint introduce restricciones sobre la forma de configurar las cuentas de servicio en Reporting Services. Utilice las siguientes directrices a la hora de configurar cuentas de servicio:
Elija cuentas que tengan permisos de inicio de sesión en red si las cuentas de servicio del servidor de informes tienen que conectarse a las bases de datos de SharePoint en un equipo remoto.
No use cuentas integradas (como Sistema local o Servicio de red) si el servidor de informes y las bases de datos de SharePoint se encuentran en un mismo equipo y la aplicación web de SharePoint se encuentra en un equipo remoto. Cuando las bases de datos de SharePoint se ejecutan en un equipo remoto, la aplicación web de SharePoint deniega explícitamente el acceso a las bases de datos por parte de las cuentas integradas definidas en el equipo remoto. Eso significa que si el servidor de informes se está ejecutando bajo una cuenta integrada, entonces no puede conectar con la base de datos de SharePoint, porque se está ejecutando en el mismo equipo que las bases de datos de SharePoint.
Para el resto de las topologías que colocan los servidores y las bases de datos en el mismo equipo o en equipos distintos, las cuentas de servicio de Reporting Services pueden configurarse como cuentas de dominio o cuentas integradas.
Errores de conexión a las bases de datos de SharePoint
Si el servidor de informes no puede obtener acceso a las bases de datos de SharePoint y hay un error de configuración (por ejemplo, si las cuentas o contraseñas de servicio no son válidas o si no hay instalada una instancia local del modelo de objetos Windows SharePoint), se produce un error rsServerConfigurationError. Para el resto de los errores de conexión, se devuelve el error rsSharePointError, junto con información adicional sobre el error de la instancia local de SharePoint.
Topologías de autenticación de SharePoint y SSRS
En la tabla siguiente se muestran combinaciones admitidas de métodos de autenticación y uso de SharePoint y SSRS.
SharePoint y SSRS en el mismo equipo |
Autenticación de SharePoint |
Modo de integración de SSRS |
Autenticación de SSRS |
Acceso a cuentas de SSRS |
Credenciales de origen de datos |
|---|---|---|---|---|---|
Sí |
Kerberos |
Integrated |
Negotiate |
Usuario, se puede delegar el contexto de seguridad del usuario |
Integrated, Stored, Prompt |
Sí |
Kerberos |
Integrated |
NTLM |
No compatible |
|
Sí |
Kerberos |
Trusted |
Negotiate o NTLM |
Cuenta de servicio del sitio |
Stored, Prompt, Integrated (+) |
Sí |
NTLM |
Integrated |
Negotiate |
No compatible |
|
Sí |
NTLM |
Integrated |
NTLM |
Usuario, NO se puede delegar el contexto de seguridad del usuario |
Stored, Prompt, Integrated, Local |
Sí |
NTLM |
Trusted |
Negotiate o NTLM |
Cuenta de servicio del sitio |
Stored, Prompt, Integrated (+) |
Sí |
Formularios |
Integrated |
IUSR |
No compatible |
|
Sí |
Formularios |
Trusted |
Negotiate o NTLM |
Cuenta de servicio del sitio |
Stored, Prompt, Integrated (+) |
No |
Kerberos |
Integrated |
Negotiate |
Usuario delegable |
Integrated, Stored, Prompt |
No |
Kerberos |
Integrated |
NTLM |
No compatible |
|
No |
Kerberos |
Trusted (*) |
Negotiate |
Cuenta de servicio del sitio |
Stored, Prompt, Integrated (+) |
No |
Kerberos |
Trusted (*) |
Negotiate |
Cuenta de servicio del sitio |
Stored, Prompt, Integrate, solo si es local para SSRS |
No |
NTLM |
Integrated |
Anónimo |
No compatible |
|
No |
NTLM |
Trusted (*) |
Negotiate |
Cuenta de servicio del sitio |
Store, Prompt, Integrated (+) |
No |
NTLM |
Trusted (*) |
NTLM |
Cuenta de servicio de sitio |
Stored, Prompt, Integrated, solo si es local para SSRS |
No |
Formularios |
Integrated |
Anónimo |
No compatible |
|
No |
Formularios |
Trusted (*) |
Negotiate |
Cuenta de servicio del sitio |
Stored, Prompt, Integrated (+) |
No |
Formularios |
Trusted |
NTLM |
Cuenta de servicio del sitio |
Stored, Prompt, Integrated, solo si es local para SSRS |
(+) Si la cuenta de servicio del sitio de SharePoint es una cuenta local, el origen de datos debe ser local para el equipo del servidor de informes. Si la cuenta de servicio del sitio es una cuenta de dominio, el origen de datos puede estar en otro equipo.
(*) La cuenta de servicio del sitio de SharePoint debe ser una cuenta de dominio.
Vea también
Tasks
Conceptos
Historial de cambios
Contenido actualizado |
|---|
Se han agregado tablas de topologías de autenticación. |