Condividi tramite

Configurazione dell'autenticazione in Reporting Services

  • Articolo

Data creazione: 12 dicembre 2006

In Reporting Services il processo di autenticazione viene gestito da Internet Information Services (IIS). Per autenticare le connessioni utente al server di report, viene utilizzato il metodo di autenticazione impostato a livello della directory virtuale. Nella maggior parte dei casi il tipo di autenticazione viene ereditato dal sito Web padre, ma è possibile specificare un tipo di autenticazione diverso nella directory virtuale.

Reporting Services funziona con i metodi di autenticazione seguenti in IIS:

  • Autenticazione integrata di Windows.
  • Autenticazione di base.
  • Autenticazione anonima, consigliata solo per l'inoltro di una richiesta di accesso a un provider di autenticazione personalizzata basata su form o di terze parti.

L'autenticazione digest e .NET Passport non sono supportate in Reporting Services.

Se si sviluppano applicazioni integrate con Reporting Services, è necessario conoscere il metodo di autenticazione delle chiamate al servizio Web ReportServer. Per ulteriori informazioni, vedere Web Service Authentication.

Impostazioni di autenticazione predefinite

Per impostazione predefinita, le directory virtuali del server di report e di Gestione report sono configurate per l'utilizzo dell'autenticazione integrata di Windows. Nella directory virtuale non è consentito l'accesso anonimo. Non è selezionato alcun altro metodo di autenticazione.

Se si utilizza la protezione predefinita, ogni utente che richiede l'accesso a un server di report deve disporre di un account utente di Windows valido o essere membro di un account di gruppo di Windows. È possibile includere account di altri domini, purché tali domini siano di tipo trusted. Per poter accedere a operazioni specifiche del server di report, gli account devono disporre dell'accesso al server Web che ospita il server di report e devono quindi essere assegnati a ruoli.

Le impostazioni predefinite funzionano in modo ottimale se tutti i computer client e server si trovano nello stesso dominio o in un dominio di tipo trusted, il tipo di browser supporta l'autenticazione integrata di Windows e il server di report è distribuito per l'accesso Intranet attraverso un firewall aziendale. Se si utilizza l'accesso Intranet a un server di report o la protezione del gruppo di lavoro, potrebbe essere necessario personalizzare le impostazioni predefinite.

I domini singoli e di tipo trusted sono un requisito per il passaggio delle credenziali di Windows. Le credenziali possono essere passate più volte solo se si attiva il protocollo Kerberos versione 5 per i server. Se non si attiva Kerberos, è possibile passare le credenziali una sola volta prima che scadano. Per ulteriori informazioni sulla configurazione delle credenziali per più connessioni di computer, vedere Impostazione di credenziali e informazioni di connessione.

[!NOTA] Se il sito Web contenente la directory virtuale del server di report è configurato per l'autenticazione Kerberos e si utilizza un account utente di dominio nel pool di applicazioni, potrebbe essere necessario creare un nome SPN (Service Principal Name) per l'account. Per ulteriori informazioni, vedere Configurazione della delega vincolata per Kerberos (IIS 6.0) sul sito Web Microsoft TechNet.

Panoramica dei tipi di autenticazione

IIS consente di autenticare una connessione utente a un server di report e a Gestione report. Nell'elenco seguente vengono descritte le opzioni di autenticazione IIS che possono essere utilizzate.

  • Autenticazione integrata di Windows con credenziali delegate o rappresentate
    Per la connessione al server di report vengono utilizzate le credenziali di dominio crittografate dell'utente corrente. L'autenticazione di Windows (protezione integrata) è il metodo di autenticazione predefinito per le directory virtuali del server di report e di Gestione report. Lo strumento Gestione configurazione Reporting Services e il programma di installazione configurano sempre la protezione della directory per l'utilizzo di questo metodo. Se nel dominio è attivata l'autenticazione Kerberos, il ticket di protezione corrente può essere utilizzato anche per la connessione a origini dei dati esterne che forniscono dati ai report.

  • Autenticazione di base
    Per la connessione al server di report vengono utilizzati nome utente e password di un account di Windows assegnato in precedenza. Se si utilizza l'autenticazione di base, il nome utente e la password vengono trasmessi come testo non crittografato. È tuttavia possibile aumentare la protezione della trasmissione utilizzando SSL (Secure Sockets Layer) per crittografare le informazioni relative all'account utente prima di inviarle in rete.

    SSL fornisce un canale crittografato per l'invio di una richiesta di connessione dal client al server di report mediante una connessione TCP/IP HTTP. Per ulteriori informazioni, vedere Utilizzo di SSL per crittografare dati riservati sul sito Web Microsoft TechNet.

  • Accesso anonimo
    La connessione al server di report per tutti gli utenti viene stabilita utilizzando l'account utente di Windows per l'accesso anonimo. Per impostazione predefinita, in IIS tale account è IUSR_<computername>. Agli utenti non viene richiesto un nome utente o una password. È consigliabile utilizzare l'accesso anonimo solo se si utilizza un'estensione di protezione personalizzata. Se non si utilizza un'autenticazione personalizzata, evitare di utilizzare l'accesso anonimo nella directory virtuale del server di report. Non sarebbe infatti possibile modificare in modo significativo le assegnazioni dei ruoli. Tutti gli utenti accederanno al server di report con l'account utente anonimo e nessuno disporrà delle autorizzazioni per amministrare il server di report tramite Gestione report.

Modifica delle impostazioni di autenticazione

Per impostazione predefinita, in Reporting Services viene utilizzata l'autenticazione integrata di Windows. Se si desidera utilizzare un altro provider di autenticazione, specificare le proprietà di protezione della directory in Gestione IIS.

  1. Aprire Gestione IIS.
  2. Fare clic con il pulsante destro del mouse sulla directory virtuale del server di report e scegliere Proprietà.
  3. Fare clic su Protezione directory.
  4. In Controllo autenticazione e accesso fare clic su Modifica per aprire la finestra di dialogo Metodi di autenticazione.
  5. Facoltativamente, deselezionare la casella di controllo Autenticazione integrata di Windows.
    Se la directory virtuale del server di report è configurata per l'autenticazione integrata di Windows e l'autenticazione di base, il server di report tenterà di utilizzare innanzitutto l'autenticazione di Windows. Se si desidera utilizzare solo l'autenticazione di base, è necessario deselezionare la casella di controllo Autenticazione integrata di Windows.
  6. Selezionare Autenticazione di base.
  7. Impostare l'area di autenticazione o il dominio predefinito utilizzato per l'autenticazione dei client al server Web.

Non attivare l'accesso anonimo a meno che non si stia distribuendo un'estensione di autenticazione personalizzata o non si desideri consentire l'accesso a Generatore report mediante un server di report configurato per l'autenticazione di base. Non attivare Digest o Passport. Tali opzioni di autenticazione non sono infatti supportate in Reporting Services.

Quando si configura un metodo di autenticazione per un server di report, accertarsi di utilizzare lo stesso metodo per tutti i componenti. Non specificare un altro tipo di autenticazione per Gestione report. In questo caso, gli utenti dovrebbero infatti fornire credenziali di accesso diverse per le operazioni di Gestione report e del server di report. Analogamente, il tipo di autenticazione per Generatore report deve essere uguale al provider di autenticazione utilizzato dal server di report, ad eccezione del caso in cui il server di report è configurato per l'utilizzo dell'autenticazione di base. Se si utilizza l'autenticazione di base, è necessario consentire l'accesso anonimo nella cartella di Generatore report per l'inoltro di una richiesta di connessione all'utilità di avvio delle applicazioni ClickOnce. Per ulteriori informazioni, vedere Configurazione di un server di report per l'accesso a Generatore report.

Per ulteriori informazioni sull'attivazione dell'autenticazione di base e la selezione di un tipo di autenticazione in IIS, vedere Attivazione dell'autenticazione di base e configurazione del nome dell'area di autenticazione e Selezione di un metodo di autenticazione per i siti Web sul sito Web Microsoft TechNet.

Configurazione dell'autenticazione per l'accesso tramite Internet ed Extranet

L'autenticazione integrata di Windows non è in genere consigliabile per i modelli di distribuzione che richiedono l'accesso tramite Internet o Extranet. Se si distribuisce Reporting Services in un server Web che si interfaccia a Internet, è necessario sostituire l'autenticazione di Windows con un'estensione di autenticazione personalizzata che consenta un maggiore controllo sulla modalità di concessione dell'accesso al server di report agli utenti esterni. La creazione di un'estensione di autenticazione personalizzata richiede codice personalizzato ed esperienza in materia di protezione ASP.NET. Per ulteriori informazioni, vedere Implementing a Security Extension.

Se non si desidera codificare un'estensione di autenticazione personalizzata, è possibile utilizzare gruppi e account di Microsoft Active Directory ma è necessario ridurre notevolmente l'ambito di distribuzione del server di report. Di seguito vengono riportate alcune linee guida utili a questo scopo:

  • Creare un account utente di dominio con privilegi di basso livello che disponga di autorizzazioni di sola lettura. L'account deve disporre dell'accesso al computer che ospita il server di report. Specificare un Web Form personalizzato in modo che gli utenti possano accedere utilizzando l'account di dominio con privilegi di basso livello.
  • Creare assegnazioni di ruolo che associno l'account utente a elementi specifici della gerarchia di cartelle del server di report. È possibile limitare l'accesso alle operazioni di sola lettura assegnando il ruolo predefinito Visualizzatore.
  • Configurare i report in modo che ottengano i dati per il report utilizzando le credenziali archiviate. Questa soluzione risulta utile se si desidera eseguire query nell'origine dei dati esterna utilizzando un account diverso da quello che consente di accedere al server di report. Per ulteriori informazioni su queste opzioni, vedere Impostazione di credenziali e informazioni di connessione.

Vedere anche

Concetti

Gestione delle autorizzazioni e della protezione per Reporting Services
Creazione, modifica ed eliminazione di assegnazioni di ruolo
Impostazione di credenziali e informazioni di connessione
Connessioni e account in una distribuzione di Reporting Services
Configurazione di un server di report per le connessioni SSL (Secure Sockets Layer)
Configurazione di un server di report per l'accesso a Generatore report

Altre risorse

Implementing a Security Extension

Guida in linea e informazioni

Assistenza su SQL Server 2005