Types d'authentification dans Reporting Services
Reporting Services traite toutes les fonctions d'authentification pour les requêtes HTTP à l'aide soit de l'extension d'authentification Windows installée avec le serveur, soit d'une extension d'authentification personnalisée que vous déployez. L'extension d'authentification Windows prend en charge plusieurs types d'authentification pour vous permettre de contrôler précisément quelles requêtes HTTP un serveur de rapports accepte. Les types d'authentification incluent : RSWindowsNegotiate, RSWindowsKerberos, RSWindowsNTLM, et RSWindowsBasic. Chacun de ces types d'authentification peut être activé ou désactivé individuellement. Vous pouvez activer plusieurs types si vous souhaitez que le serveur de rapports accepte des demandes de plusieurs types.
Notes
Dans les versions antérieures de Reporting Services, l'ensemble de la prise en charge de l'authentification était fournie par IIS. Depuis SQL Server 2008, IIS n'est plus utilisé. Reporting Services gère toutes les demandes d'authentification en interne.
Types d'authentification
Le tableau suivant décrit les types d'authentification pris en charge par Reporting Services.
Nom de type d'authentification |
Valeur de la couche d'authentification HTTP |
Utilisé par défaut |
Description |
|---|---|---|---|
RSWindowsNegotiate |
Negotiate |
Oui |
RSWindowsNegotiate dirige le serveur de rapports pour traiter les demandes d'authentification qui spécifient Negotiate. Negotiate tente l'authentification Kerberos en premier, mais revient à NTLM si Active Directory ne peut pas accorder de ticket pour la demande du client au serveur de rapports. Negotiate revient à NTLM uniquement si le ticket n'est pas disponible. Si les premières tentatives entraînent une erreur plutôt qu'un ticket manquant, le serveur de rapports n'effectue pas de deuxième tentative. |
RSWindowsNTLM |
NTLM |
Oui |
NTLM authentifie un utilisateur par l'intermédiaire d'un échange de données privées appelé une stimulation/réponse. Les informations d'identification ne seront pas déléguées ou empruntées sur d'autres demandes. Les demandes suivantes suivent une nouvelle séquence de stimulation/réponse. Selon les paramètres de sécurité du réseau, le système peut demander à un utilisateur des informations d'identification ou la demande d'authentification est gérée de façon transparente. |
RSWindowsKerberos |
Kerberos |
Non |
Pour les demandes qui spécifient l'authentification Kerberos, le serveur de rapports lit les autorisations sur le jeton de sécurité de l'utilisateur qui a émis la demande. Si la délégation est activée dans le domaine, le jeton de l'utilisateur qui demande un rapport peut également être utilisé sur une connexion supplémentaire aux sources de données externes qui fournissent des données aux rapports. Avant de spécifier RSWindowsKerberos, vérifiez que le type de navigateur que vous utilisez prend bien en charge ce dernier. Si vous utilisez Internet Explorer, l'authentification Kerberos est prise en charge uniquement par l'intermédiaire de Negotiate. Internet Explorer ne formule pas de demande d'authentification qui spécifie Kerberos directement. |
RSWindowsBasic |
De base |
Non |
L'authentification de base est définie dans le protocole HTTP et peut être utilisée uniquement pour authentifier des requêtes HTTP au serveur de rapports. Les informations d'identification sont passées dans la requête HTTP à l'aide de l'encodage en base 64. Si vous avez recours à l'authentification de base, utilisez le protocole SSL (Secure Sockets Layer) pour chiffrer les informations du compte d'utilisateur avant de les envoyer sur le réseau. Le protocole SSL fournit un canal chiffré pour l'envoi d'une demande de connexion du client au serveur de rapports via une connexion HTTP TCP/IP. Pour plus d'informations, consultez Using SSL to Encrypt Confidential Data (en anglais) sur le site Web Microsoft TechNet. |
Personnalisé |
(Anonyme) |
Non |
L'authentification anonyme dirige le serveur de rapports pour ignorer l'en-tête d'authentification dans une requête HTTP. Le serveur de rapports accepte toutes les demandes, mais appelle une authentification par formulaire ASP.NET personnalisée que vous fournissez pour authentifier l'utilisateur. Spécifiez Custom uniquement si vous déployez un module d'authentification personnalisé qui gère toutes les demandes d'authentification sur le serveur de rapports. Vous ne pouvez pas utiliser le type d'authentification Personnalisé avec l'extension d'authentification Windows par défaut. |
Méthodes d'authentification non prises en charge
Les méthodes et demandes d'authentification suivantes ne sont pas prises en charge.
Méthode d'authentification |
Explication |
|---|---|
Anonyme |
Le serveur de rapports n'accepte pas de demandes non authentifiées d'un utilisateur anonyme, à l'exception des déploiements qui incluent une extension d'authentification personnalisée. Le Générateur de rapports accepte des demandes non authentifiées si vous activez l'accès au Générateur de rapports sur un serveur de rapports configuré pour l'authentification de base. Pour tous les autres cas, les demandes anonymes sont rejetées avec une erreur État HTTP 401 Accès Refusé avant que la demande ne parvienne à ASP.NET. Les clients qui reçoivent cette erreur doivent reformuler la demande avec un type d'authentification valide. |
Technologies d'authentification uniques (SSO) |
Il n'y a pas de prise en charge native pour les technologies d'authentification unique dans Reporting Services. Pour utiliser cette technologie, vous devez créer une extension d'authentification personnalisée. L'environnement d'hébergement du serveur de rapports ne prend pas en charge les filtres ISAPI. Si la technologie SSO que vous utilisez est implémentée sous la forme d'un filtre ISAPI, vous pouvez envisager d'utiliser la prise en charge intégrée ISA Server pour RSASecueID ou le protocole RADIUS. Sinon, vous pouvez créer un ISA Server ISAPI ou un HTTPModule pour RS, mais il est recommandé d'utiliser ISA Server directement. |
Passport |
Non pris en charge dans SQL Server 2008. |
Digest |
Non pris en charge dans SQL Server 2008. |
Comment configurer les paramètres d'authentification
Les paramètres d'authentification sont configurés pour la sécurité par défaut lorsque l'URL du serveur de rapports est réservée. Si vous modifiez ces paramètres de manière incorrecte, le serveur de rapports retourne des erreurs HTTP 401 Accès Refusé pour les requêtes HTTP qui ne peuvent pas être authentifiées. Le choix d'un type d'authentification nécessite de savoir comment l'authentification Windows est prise en charge sur votre réseau. Vous devez spécifier au moins un type d'authentification. Plusieurs types d'authentification peuvent être spécifiés pour RSWindows. Les types d'authentification RSWindows (autrement dit, RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberos et RSWindowsNegotiate) s'excluent mutuellement avec Personnalisé.
Important
Reporting Services ne valide pas les paramètres que vous spécifiez pour déterminer s'ils sont corrects pour votre environnement d'informatique. Il est possible que la sécurité par défaut ne fonctionne pas pour votre installation, ou que vous spécifiez des paramètres de configuration qui ne sont pas valides pour votre infrastructure de sécurité. Pour cette raison, il est important de tester prudemment votre déploiement de serveur de rapports dans un environnement de test contrôlé avant de le déployer à plus grande échelle dans votre organisation.
Le service Web Report Server et le Gestionnaire de rapports font toujours appel au même type d'authentification. Vous ne pouvez pas configurer d'autres types d'authentification pour les fonctionnalités du service Report Server. Si vous disposez d'un déploiement par montée en puissance parallèle, veillez à dupliquer toutes vos modifications sur tous les nœuds dans le déploiement. Vous ne pouvez pas configurer d'autres nœuds dans le même déploiement pour utiliser des types d'authentification différents.
Le traitement en arrière-plan n'accepte pas de demandes d'utilisateurs finaux, cependant il authentifie toutes les demandes à des fins d'exécution sans assistance. Il utilise toujours l'authentification Windows et authentifie des demandes à l'aide du service Report Server ou du compte d'exécution sans assistance s'il est configuré.
Pour plus d'informations sur la configuration de l'authentification dans Reporting Services, consultez les rubriques suivantes :
Procédure : configurer l'authentification Windows dans Reporting Services
Procédure : configurer l'authentification de base dans Reporting Services
Procédure : configurer une authentification par formulaires ou personnalisée dans Reporting Services