Panoramica sulla protezione per Reporting Services utilizzato in modalità di integrazione con SharePoint
Se si configura un server di report per l'esecuzione in modalità di integrazione con SharePoint, il server di report utilizzerà le autorizzazioni e il provider di autenticazione definiti nell'applicazione Web di SharePoint per controllare l'accesso agli elementi e alle operazioni del server di report.
L'autorizzazione per l'accesso a elementi e operazioni viene concessa tramite criteri di protezione di SharePoint che eseguono il mapping di un account utente o di gruppo a un determinato livello di autorizzazione, relativamente a un elemento specifico. Il meccanismo è concettualmente identico all'utilizzo delle assegnazioni di ruolo in una distribuzione di server di report in modalità nativa, in cui ogni assegnazione di ruolo esegue il mapping di un account utente o di gruppo a un set di attività consentite per un determinato elemento. Come avviene per la maggior parte dei modelli di autorizzazione basati sui ruoli, la protezione di SharePoint consente di utilizzare l'ereditarietà delle autorizzazioni per limitare la complessità e l'overhead derivanti dalla gestione di un numero di criteri molto elevato.
Per distribuire i tipi di contenuto di un server di report in un sito di SharePoint, sono necessarie le informazioni seguenti:
Modalità con cui vengono effettuate le connessioni e le richieste tra i due server. Il provider di autenticazione utilizzato nell'applicazione Web di SharePoint determina se in seguito sarà possibile o meno utilizzare l'opzione relativa alla protezione integrata di Windows per accedere alle origini dei dati esterne utilizzate da un report.
Modalità di utilizzo della protezione predefinita per l'aggiunta, la gestione e l'accesso alle operazioni e agli elementi del server di report. Per ulteriori informazioni, vedere Concessione di autorizzazioni per elementi del server di report in un sito di SharePoint e Utilizzo della protezione incorporata in Windows SharePoint Services per gli elementi del server di report nella documentazione in linea di SQL Server.
Modalità di sostituzione della protezione predefinita tramite l'impostazione di autorizzazioni per operazioni o report specifici. Per ulteriori informazioni, vedere Procedura: Impostazione delle autorizzazioni per gli elementi del server di report in un sito di SharePoint (Reporting Services in modalità integrata SharePoint) nella documentazione in linea di SQL Server.
Affinché sia possibile impostare le autorizzazioni, è necessario configurare i singoli server per l'integrazione. Per ulteriori informazioni, vedere Configurazione di Reporting Services per l'integrazione con SharePoint 3.0.
Provider di autenticazione nelle tecnologie SharePoint
Le applicazioni Web di SharePoint possono utilizzare l'autenticazione di Windows o l'autenticazione basata su form. Il server di report elaborerà le richieste per entrambi i tipi di autenticazione. È possibile configurare l'autenticazione nelle combinazioni seguenti:
Autenticazione di Windows con protezione integrata (Kerberos è abilitato)
Autenticazione di Windows, senza delega o rappresentazione
Autenticazione basata su form
[!NOTA]
L'autenticazione basata su form è supportata sia in Reporting Services che nei prodotti e nelle tecnologie SharePoint. L'implementazione è tuttavia diversa per i due gruppi di prodotti, che sono pertanto incompatibili. Le estensioni di autenticazione personalizzate di Reporting Services non sono supportate per i server di report eseguiti in modalità di integrazione SharePoint.
Nella tabella seguente vengono riepilogati i vantaggi e gli svantaggi di ciascun provider di autenticazione.
Vantaggi |
Svantaggi |
|
|---|---|---|
Autenticazione di Windows (autenticazione Kerberos abilitata) |
Utilizzata in scenari di distribuzione a server singolo o multiserver. Supporta credenziali integrate di Windows per le origini dati esterne. |
Non supporta l'autenticazione NTLM in distribuzioni multiserver. |
Autenticazione di Windows (autenticazione Kerberos non abilitata) o autenticazione basata su form |
Supporta scenari di autenticazione Kerberos e tutti gli scenari di autenticazione non Kerberos. |
Non supporta credenziali integrate di Windows per le origini dati esterne. |
Invio di richieste a un server di report
Tutte le richieste relative a un'operazione o a un elemento di un server di report devono essere richieste autenticate valide. La modalità di elaborazione di tali richieste è determinata dal provider di autenticazione in uso.
Protezione integrata di Windows
Se l'applicazione Web di SharePoint è configurata per l'autenticazione di Windows e Kerberos è abilitato, la connessione dall'applicazione Web di SharePoint al server di report avverrà tramite le credenziali rappresentate o delegate dell'utente di Windows corrente. Nella figura seguente vengono illustrate le connessioni utilizzate quando il server di report è configurato per l'integrazione con SharePoint e l'applicazione Web di SharePoint utilizza l'autenticazione di Windows con Kerberos abilitato.
.gif "Connessioni nella modalità integrata SharePoint")
Connessione 1
Un utente accede a un sito di SharePoint tramite il token utente creato quando l'utente ha effettuato l'accesso alla rete. Il token utente contiene informazioni sull'appartenenza ai gruppi e sull'identità dell'utente. L'applicazione Web di SharePoint autentica l'utente. L'utente richiede un'operazione o un elemento del server di report.Connessione 2
L'applicazione Web di SharePoint invia il token e la richiesta al server di report. La richiesta di connessione viene inviata utilizzando l'identità di Windows dell'utente. Il server di report verifica se l'utente è autorizzato ad accedere al server di report.Connessione 3
Se la convalida ha esito positivo, il server di report verificherà se l'utente è autorizzato ad accedere all'operazione o all'elemento specificato.Per verificare le autorizzazioni dell'utente, il server di report utilizza un'estensione di protezione interna. Tale estensione viene utilizzata per eseguire una chiamata al modello di oggetti di Windows SharePoint Services al fine di controllare le autorizzazioni archiviate nei database del contenuto di SharePoint. L'estensione di protezione non può essere configurata o gestita manualmente, poiché si tratta di un componente interno utilizzato per i server di report eseguiti in modalità di integrazione con SharePoint.
Se l'utente è autorizzato ad accedere al report o a un altro elemento o operazione, la richiesta verrà soddisfatta.
Utilizzando la protezione integrata di Windows è possibile eliminare il consueto problema del "doppio hop", che provoca la scadenza delle credenziali di Windows dopo una singola connessione. Consente inoltre di estendere l'insieme di opzioni disponibile per la configurazione delle connessioni alle origini dei dati per report e modelli. Se per la connessione al server di report viene utilizzata l'identità dell'utente di Windows, durante l'elaborazione dei report il server di report potrà utilizzare tale identità per recuperare dati da origini dei dati esterne. Quando si impostano le proprietà relative all'origine dei dati per un report è pertanto possibile selezionare l'opzione Protezione integrata di Windows per la connessione all'origine dei dati. Per ulteriori informazioni, vedere Specifica di credenziale e informazioni sulla connessione per le origini dati del report nella documentazione in linea di SQL Server.
Autenticazione di Windows o basata su form e account attendibili
Se l'applicazione Web di SharePoint è configurata per l'autenticazione basata su form, la connessione al server di report verrà inviata in rete tramite un account attendibile predefinito, dotato dell'autorizzazione necessaria per rappresentare un utente di SharePoint nel server di report. Viene utilizzato lo stesso approccio anche se l'applicazione Web di SharePoint è configurata per l'autenticazione di Windows e Kerberos non è abilitato. Nella figura seguente vengono illustrate le connessioni stabilite quando vengono utilizzati account attendibili e identità utente di SharePoint.
.gif "Diagramma di connessione per la connessione trusted")
Connessione 1
Un utente accede a un sito di SharePoint. L'applicazione Web di SharePoint autentica l'utente. L'applicazione Web di SharePoint converte l'identità utente in un'identità utente di SharePoint (SPUser). Per l'utente viene creato un nuovo token utente nel contesto di SPUser. Il token utente contiene informazioni sull'appartenenza ai gruppi e sull'identità dell'utente. L'utente richiede un'operazione o un elemento del server di report.Connessione 2
L'applicazione Web di SharePoint rappresenta l'identità utente di SharePoint per la richiesta inviata al server di report. Viene inviata una richiesta di connessione che utilizza un account attendibile, costituito dall'identità del processo dell'applicazione Web di SharePoint.Il server di report verifica se la richiesta di connessione è stata inviata da un account attendibile, confrontando l'account con le informazioni sugli account che ha recuperato dai database di configurazione di SharePoint quando è stato avviato. In un server di report l'account attendibile è costituito da un utente di Windows autorizzato a rappresentare un'applicazione Web di SharePoint. Tale account viene utilizzato solo per rappresentare SPUser, ma non è autorizzato ad accedere a operazioni ed elementi del server di report.
Connessione 3
Se la convalida ha esito positivo, il server di report verificherà se SPUser dispone dell'autorizzazione necessaria per accedere all'operazione o all'elemento specificato.Il server di report utilizza un'estensione di protezione interna per verificare le autorizzazioni dell'utente, effettuare chiamate al modello di oggetti di Windows SharePoint Services e controllare le autorizzazioni archiviate nei database del contento di SharePoint. Se l'utente è autorizzato ad accedere al report o a un altro elemento o operazione, la richiesta verrà soddisfatta.
Scadenza degli account ed elaborazione delle sottoscrizioni
Quando si crea una sottoscrizione a un report, il server di report archivia le informazioni relative all'account SPUser per essere in grado di verificare che l'utente sia autorizzato a visualizzare il report al momento del recapito. Se l'account SPUser è scaduto, la creazione della sottoscrizione non riuscirà e verrà restituito un errore rsSharePointError. La durata della validità dell'account SPUser è determinata dalla proprietà a livello di farm TokenTimeout.
Configurazione degli account amministrativi e di servizio in modo che utilizzino account utente di dominio univoci
In una distribuzione di un prodotto o una tecnologia SharePoint viene utilizzata un'ampia gamma di account per l'esecuzione dei servizi e l'accesso ai server front-end e back-end. Se per la distribuzione in uso si specificano account di dominio, seguire le procedure consigliate e specificare account che vengono utilizzati esclusivamente dall'applicazione Web di SharePoint. Non configurare alcun account di servizio in modo che venga eseguito con l'account di dominio di un utente reale, che potrebbe effettivamente accedere al sito di SharePoint. Se si accede a un sito di SharePoint utilizzando le credenziali di un servizio, potrebbe verificarsi un errore. Per ulteriori informazioni sui requisiti relativi agli account del servizio e altre indicazioni, vedere Pianificare gli account amministrativi e di servizio nella documentazione di Windows SharePoint Services 3.0.
Procedure consigliate per la configurazione di provider di autenticazione in una distribuzione con scalabilità orizzontale
Se si dispone di una distribuzione con scalabilità orizzontale di Reporting Services e di un prodotto o una tecnologia SharePoint ed è stata eseguita la configurazione di diversi provider di autenticazione per l'ambiente, è possibile che si verifichino problemi durante l'autenticazione degli utenti. Se ad esempio l'ambiente di gestione dei report utilizza l'autenticazione basata su form per le connessioni Internet e l'autenticazione di Windows per le connessioni Intranet, è possibile che la richiesta venga reindirizzata a un computer front-end Web con un provider di autenticazione che non corrisponde al tipo di autenticazione della richiesta. Ciò può causare il rifiuto dell'accesso per la richiesta in Reporting Services o l'esecuzione della richiesta nell'identità del pool di applicazioni e non in relazione all'utente che ha eseguito la richiesta.
In base alla procedura consigliata, è necessario che gli utenti utilizzino URL diversi per accedere al contenuto da Internet e dalla rete Intranet. In alternativa, è possibile configurare il file hosts nei computer front-end Web in modo da ignorare la ricerca DNS (Domain Name System) eseguendo il mapping dell'indirizzo IP (Internet Protocol) del sito Internet all'indirizzo URL Internet, in modo che le richieste all'URL Internet non vengano reindirizzate all'URL Intranet mediante DNS.
Modalità di accesso ai database del contenuto di SharePoint da parte del server di report
Sia l'applicazione Web di SharePoint che il server di report si connettono ai rispettivi database per memorizzare lo stato dell'applicazione e altri dati, ma il server di report deve connettersi anche ai database di SharePoint per archiviare e recuperare elementi, proprietà e impostazioni di configurazione. Nella figura seguente vengono illustrate le connessioni tra il server e i vari database.
.gif "Diagramma di connessione")
Un'applicazione Web di SharePoint può utilizzare un database locale o remoto per l'archiviazione interna. Se i database di SharePoint risiedono su computer remoti, per la connessione sarà necessario utilizzare un account di dominio.
Un server di report può utilizzare un database locale o remoto per l'archiviazione interna. In entrambi i casi, per la connessione al database è necessario utilizzare un account di dominio, un account di accesso di SQL Server o un account predefinito quale Network Service o Local System.
Connessione di un server di report ai database di SharePoint
In Reporting Services hanno l'esigenza di accedere ai database di SharePoint sia il servizio Web che il servizio Windows. Gli account di servizio per entrambi i servizi vengono eseguiti come utenti attendibili in un'applicazione Web di SharePoint e ricevono automaticamente l'autorizzazione ad accedere ai database di SharePoint.
La connessione è gestita internamente. Viene configurata quando si utilizza lo strumento Amministrazione centrale SharePoint per associare un'applicazione Web di SharePoint a un server di report e impostare gli account attendibili. Diversamente da quanto avviene per la connessione tra il server di report e i relativi database, che può essere impostata o modificata tramite lo strumento di configurazione di Reporting Services, la connessione tra il server di report e i database di SharePoint non può essere configurata o gestita esplicitamente.
Se il server di report viene eseguito in modalità di integrazione con SharePoint, la configurazione degli account dei servizi in Reporting Services è soggetta ad alcuni vincoli. Per la configurazione degli account dei servizi, seguire le linee guida seguenti:
Se gli account del servizio ReportServer devono connettersi ai database di SharePoint su un computer remoto, scegliere account dotati di autorizzazioni di accesso alla rete.
Se il server di report e i database di SharePoint si trovano sullo stesso computer, mentre l'applicazione Web di SharePoint si trova su un computer remoto, non utilizzare account predefiniti quali l'account Sistema locale e l'account Servizio di rete. Quando i database di SharePoint vengono eseguiti in un computer remoto, l'applicazione Web di SharePoint nega esplicitamente l'accesso ai database agli account predefiniti configurati sul computer remoto. I servizi eseguiti tramite gli account predefiniti in tale computer non possono pertanto connettersi ai database di SharePoint.
Per tutte le altre topologie, in cui i server e i database risiedono sullo stesso computer o in computer diversi, gli account dei servizi di Reporting Services possono essere configurati come account di dominio o account predefiniti.
Errori di connessione ai database di SharePoint
Se il server di report non riesce ad accedere ai database di SharePoint ed è presente un errore di configurazione (ad esempio, gli account o le password dei servizi non sono valide o non è installata un'istanza locale del modello di oggetti di Windows SharePoint), si verifica un errore di rsServerConfigurationError. Per tutti gli altri errori di connessione, viene restituito l'errore rsSharePointError, insieme a ulteriori informazioni sull'errore inviate dall'istanza locale di Windows SharePoint Services.
Cronologia modifiche
Aggiornamento del contenuto |
|---|
Aggiunta della tabella con i vantaggi e gli svantaggi di ciascun provider di autenticazione nella sezione Provider di autenticazione nelle tecnologie SharePoint. |
Aggiunta della nuova sezione "Procedure consigliate per la configurazione di provider di autenticazione in una distribuzione con scalabilità orizzontale". |
Vedere anche