Configuration de l'authentification pour Reporting Services

  • Article

Nouveau : 12 décembre 2006

Dans Reporting Services, l'authentification est gérée par les services Internet (IIS). Reporting Services utilise la méthode d'authentification qui est définie au niveau du répertoire virtuel pour authentifier les connexions utilisateur au serveur de rapports. Dans la plupart des cas, le type d'authentification est hérité du site Web parent, mais vous pouvez spécifier un type d'authentification différent sur le répertoire virtuel.

Reporting Services fonctionne avec les méthodes d'authentification suivantes dans IIS :

  • authentification Windows intégrée ;
  • authentification de base ;
  • authentification anonyme, recommandée uniquement pour le transfert d'une demande d'ouverture de session à une tierce partie ou à un fournisseur d'authentification par formulaires personnalisés.

Les authentifications Digest et .NET Passport ne sont pas prises en charge dans Reporting Services.

Si vous développez des applications qui s'intègrent à Reporting Services, vous devez savoir comment les appels au service Web Report Server sont authentifiés. Pour plus d'informations, consultez Web Service Authentication.

Paramètres d'authentification par défaut

Par défaut, les répertoires virtuels de serveur de rapports et du Gestionnaire de rapports sont configurés pour utiliser l'authentification Windows intégrée. L'accès anonyme n'est pas activé sur le répertoire virtuel. Aucune autre méthode d'authentification n'est sélectionnée.

Si vous utilisez la sécurité par défaut, chaque utilisateur qui nécessite l'accès à un serveur de rapports doit disposer d'un compte d'utilisateur Windows valide ou être membre d'un compte de groupe Windows. Vous pouvez inclure des comptes d'autres domaines tant que ces domaines sont approuvés. Les comptes doivent avoir accès au serveur Web hébergeant le serveur de rapports, et être ensuite attribués à des rôles pour pouvoir accéder à des opérations de serveur de rapports particulières.

Les paramètres par défaut sont satisfaisants si tous les ordinateurs clients et serveurs sont dans le même domaine ou dans un domaine approuvé, si le type de navigateur prend en charge l'authentification Windows intégrée et si le serveur de rapports est déployé pour l'accès intranet derrière un pare-feu d'entreprise. Si vous prenez en charge l'accès via Internet à un serveur de rapports ou si vous utilisez la sécurité des groupes de travail, vous aurez probablement besoin de personnaliser les paramètres par défaut.

Des domaines approuvés et uniques sont indispensables pour la transmission d'informations d'identification Windows. Les informations d'identification peuvent être transmises plusieurs fois seulement si vous activez le protocole Kerberos version 5 pour vos serveurs. Si Kerberos n'est pas activé, les informations d'identification peuvent uniquement être transmises une fois avant d'expirer. Pour plus d'informations sur la configuration des informations d'identification pour plusieurs connexions d'ordinateur, consultez Spécification d'informations d'identification et de connexion.

Bb283249.note(fr-fr,SQL.90).gifRemarque :
Si le site Web qui contient le répertoire virtuel du serveur de rapports est configuré pour l'authentification Kerberos et que vous utilisez un compte d'utilisateur de domaine sur le pool d'applications, vous pouvez être amené à créer un nom principal de service (SPN) pour le compte. Pour plus d'informations, consultez Configuration de la délégation contrainte pour Kerberos (IIS 6.0) sur le site Web Microsoft TechNet.

Vue d'ensemble des types d'authentification

IIS authentifie une connexion utilisateur à un serveur de rapports et au Gestionnaire de rapports. Les options d'authentification IIS que vous pouvez utiliser sont décrites ci-dessous.

  • Authentification Windows intégrée avec informations d'identification déléguées ou empruntées
    La connexion au serveur de rapports utilise les informations d'identification de domaine chiffrées de l'utilisateur en cours. L'authentification Windows (sécurité intégrée) est la méthode d'authentification par défaut pour les répertoires virtuels du serveur de rapports et du Gestionnaire de rapports. Le programme d'installation et l'outil de configuration de Reporting Services définissent toujours la sécurité des répertoires de manière à utiliser cette méthode. Si l'authentification Kerberos est activée dans le domaine, le ticket de sécurité en cours peut également être utilisé pour la connexion à des sources de données externes qui fournissent des données aux rapports.

  • Authentification de base
    La connexion au serveur de rapports utilise le nom d'utilisateur et le mot de passe du compte Windows préalablement affecté. Avec l'authentification de base, le nom d'utilisateur et le mot de passe sont transmis comme texte en clair. Toutefois, vous pouvez sécuriser davantage la transmission en utilisant le protocole SSL (Secure Sockets Layer) pour chiffrer les informations du compte d'utilisateur avant de les envoyer sur le réseau.

    Le protocole SSL fournit un canal chiffré pour l'envoi d'une demande de connexion du client au serveur de rapports via une connexion HTTP TCP/IP. Pour plus d'informations, consultez Using SSL to Encrypt Confidential Data (en anglais) sur le site Web Microsoft TechNet.

  • Accès anonyme
    La connexion au serveur de rapports s'effectue pour tous les utilisateurs sous le compte d'utilisateur Windows pour l'accès anonyme. Par défaut, dans IIS, ce compte est le compte IUSR_<nom_ordinateur>. Les utilisateurs ne sont pas invités à entrer un nom d'utilisateur et un mot de passe. L'accès anonyme doit être utilisé uniquement si vous utilisez une extension de sécurité personnalisée. Si vous n'utilisez pas une authentification personnalisée, évitez d'utiliser l'accès anonyme sur le répertoire virtuel du serveur de rapports. Vous ne pourrez pas diversifier les attributions de rôles de manière très significative. Tous les utilisateurs accéderont au serveur de rapports sous le compte d'utilisateur anonyme, et aucun utilisateur ne sera autorisé à administrer le serveur de rapports par le biais du Gestionnaire de rapports.

Modification des paramètres d'authentification

Par défaut, Reporting Services utilise l'authentification Windows intégrée. Pour utiliser un autre fournisseur d'authentification, utilisez le Gestionnaire IIS pour spécifier les propriétés de sécurité des répertoires.

  1. Ouvrez le Gestionnaire IIS.
  2. Cliquez avec le bouton droit sur le répertoire virtuel du serveur de rapports et cliquez sur Propriétés.
  3. Cliquez sur Sécurité de répertoire.
  4. Dans Authentification et contrôle d'accès, cliquez sur Modifier pour afficher la boîte de dialogue Méthodes d'authentification.
  5. (Facultatif) Désactivez la case à cocher Authentification Windows intégrée.
    Si le répertoire virtuel du serveur de rapports est configuré pour l'authentification Windows intégrée et pour l'authentification de base, le serveur de rapports essaiera l'authentification Windows en premier. Si vous voulez utiliser uniquement l'authentification de base, vous devez désactiver la case à cocher Authentification Windows intégrée.
  6. Sélectionnez Authentification de base.
  7. Définissez le domaine par défaut ou le domaine utilisé pour authentifier les clients auprès du serveur Web.

N'activez pas l'option Accès anonyme à moins que vous déployiez une extension d'authentification personnalisée ou que vous activiez l'accès au Générateur de rapports par le biais d'un serveur de rapports configuré pour l'authentification de base. N'activez pas Digest ni Passport ; ces options d'authentification ne sont pas prises en charge dans Reporting Services.

Lors de la configuration d'une méthode d'authentification pour un serveur de rapports, veillez à utiliser la même méthode pour tous les composants. Ne spécifiez pas un type d'authentification différent pour le Gestionnaire de rapports. Si vous le faites, les utilisateurs doivent fournir des informations d'identification d'ouverture de session différentes pour utiliser le Gestionnaire de rapports et le serveur de rapports. De même, le type d'authentification pour le Générateur de rapports doit être identique au fournisseur d'authentification utilisé par le serveur de rapports, sauf lorsque vous configurez le serveur de rapports pour utiliser l'authentification de base. Si vous utilisez l'authentification de base, vous devez autoriser l'accès anonyme au dossier du Générateur de rapports pour transmettre une demande de connexion au lanceur de l'application ClickOnce. Pour plus d'informations, consultez Configuration d'un serveur de rapports pour l'accès au Générateur de rapports.

Pour plus d'informations sur l'activation de l'authentification de base et la sélection d'un type d'authentification dans IIS, consultez Enabling Basic Authentication and Configuring the Realm Name et Selecting a Web Site Authentication Method (en anglais) sur le site Web Microsoft TechNet.

Configuration de l'authentification pour l'accès extranet et Internet

L'authentification Windows intégrée est rarement pratique pour les modèles de déploiement qui requièrent un accès Internet ou extranet. Si vous déployez Reporting Services sur un serveur Web exposé à Internet, vous devez remplacer l'authentification Windows par une extension d'authentification personnalisée qui vous permet de mieux contrôler l'habilitation des utilisateurs externes à accéder au serveur de rapports. La création d'une extension d'authentification personnalisée requiert du code personnalisé et des compétences en matière de sécurité ASP.NET. Pour plus d'informations, consultez Implementing a Security Extension.

Si vous ne souhaitez pas rédiger de code pour une extension d'authentification personnalisée, vous pouvez utiliser des comptes et des groupes Microsoft Active Directory, mais vous devez réduire grandement l'étendue d'un déploiement de serveur de rapports. Les conseils qui suivent indiquent comment procéder :

  • Créez un compte d'utilisateur de domaine à faible niveau de privilège et doté d'autorisations en lecture seule. Le compte doit pouvoir accéder à l'ordinateur hébergeant le serveur de rapports. Fournissez un formulaire Web personnalisé de manière à ce que les utilisateurs puissent se connecter à l'aide du compte de domaine à faible niveau de privilège.
  • Créez des attributions de rôles qui mappent le compte d'utilisateur à des éléments spécifiques de la hiérarchie de dossiers du serveur de rapports. Vous pouvez limiter l'accès à des opérations en lecture seule en choisissant le rôle prédéfini Lecteur comme attribution de rôle.
  • Configurez les rapports de manière à utiliser des informations d'identification stockées pour obtenir des données pour ceux-ci. Cette approche est utile si vous voulez effectuer une recherche dans la source de données externe à l'aide d'un compte différent du compte qui autorise l'accès au serveur de rapports. Pour plus d'informations sur ces options, consultez Spécification d'informations d'identification et de connexion.

Voir aussi

Concepts

Gestion des autorisations et de la sécurité de Reporting Services
Création, modification et suppression d'attributions de rôles
Spécification d'informations d'identification et de connexion
Connexions et comptes dans un déploiement de Reporting Services
Configuration d'un serveur de rapports pour des connexions SSL (Secure Sockets Layer)
Configuration d'un serveur de rapports pour l'accès au Générateur de rapports

Autres ressources

Implementing a Security Extension

Aide et Informations

Assistance sur SQL Server 2005