要求認証と Reporting Services
SharePoint 2010 製品は、要求ベースの認証をサポートしています。SharePoint 統合モードの SQL Server 2008 R2 Reporting Services は、信頼できるアカウント認証と SharePoint ユーザー トークンを使用することで、SharePoint 要求に対応した Web アプリケーションと機能します。 要求ベースの認証の詳細については、「要求ベースの ID の概要」を参照してください。SharePoint 2010 認証の詳細については、「認証方法を計画する」を参照してください。
レポート サーバーの要求認証との通信方法
レポート サーバーと Reporting Services プロキシが要求に対応する Web フロントエンド (WFE) に接続したときに行われる基本的な手順を次に示します。
要求に対応する WFE は適切な要求認証を実行し、SharePoint Secure Token Service を使用して、要求トークンを SharePoint WFE 上の Reporting Services プロキシに伝えます。
WFE 上の Reporting Services プロキシは要求トークンを使用して、レポート サーバーに転送する SharePoint ユーザー トークンを生成します。
レポート サーバー自体は要求を認識しないままであり、要求固有の認証や変換を行いません。また、Reporting Services プロキシによって送信された SharePoint ユーザー トークンを使用します。
レポート サーバーは、SharePoint ユーザー トークンに基づいてローカル SharePoint オブジェクト モデルを使用し、正しい SharePoint ユーザー コンテキストを生成します。
レポート サーバーは適切な SharePoint ユーザー コンテキストを使用して、表示レポートなどの要求された情報を SharePoint に送り返します。
Web アプリケーションの要求ベースの認証への変換
SharePoint 2010 では、既存の SharePoint 2010 Web アプリケーションを要求ベースの認証に変換できます。Windows 以外の認証を使用し、以前のバージョンの SharePoint から SharePoint 2010 にアップグレードされた Web アプリケーションは、要求認証が必要な場合に変換する必要があります。
Web アプリケーションを要求認証に変換する方法の詳細については、「クレーム ベースの Web アプリケーション用にフォームベースの認証を構成する (SharePoint Server 2010)」を参照してください。
要求に対応する Web アプリケーションをサポートするための Reporting Services の構成
要求に対応する Web アプリケーションをサポートするには、次の Reporting Services 構成の変更が必要です。
Reporting Services のサービス アカウントを構成して、変換した Web アプリケーションにアクセスします。SharePoint サーバーの全体管理の [Reporting Services 統合] Web ページを使用します。スケールアウト配置で Reporting Services 環境を使用しており、レポート サーバーで異なるサービス アカウントを使用中の場合は、レポート サーバーごとに SharePoint サーバーの全体管理の [レポート サーバーを統合に追加] Web ページを使用します。
既存の Reporting Services サブスクリプションの場合、rs.exe および ChangeSubscriptionOwnerSOAP API と共にスクリプトを使用して、サブスクリプション所有者を要求認証でサポートされている適切なユーザーに変更します。
既存のモデル アイテムのセキュリティの場合は、[モデル アイテムのセキュリティ] Web ページ、または SetModelItemPolicies API と共にスクリプトを使用して、要求認証でサポートされているユーザーにより、個々のモデル アイテムの読み取りアクセス権を持つユーザーのリストを更新します。
SharePoint 2010 製品用の Reporting Services アドインの認証フォールバック動作
SharePoint サーバーの全体管理の [Reporting Services 統合] ページでは、信頼済みアカウントまたは Windows 認証のいずれかの認証モードを構成できます。ただし SharePoint 環境には、別の認証の種類を使用する Web アプリケーションが含まれている場合があります。たとえば、1 つの Web アプリケーションで要求ベースの認証を使用するように設定し、別の Web アプリケーションでクラシック モード認証を使用するように設定されている場合があります。アドインによってインストールされた Reporting Services プロキシは柔軟性があり、状況に応じて認証方法を変更することもできます。
Reporting Services 統合が Windows 認証を使用するように設定されている場合、Reporting Services プロキシには、要求ベースの認証を使用するように設定された SharePoint Web アプリケーションが検出されたときに信頼できる認証にフォールバックできる機能があります。
Reporting Services 統合と SharePoint Web アプリケーションに対して構成された認証に応じた Reporting Services の動作の概要を次の表に示します。
[Reporting Services 統合] ページ |
SharePoint 2010 Web アプリケーションの構成 |
サポート |
|---|---|---|
Windows 認証 |
クラシック ベース認証 |
はい |
信頼済みアカウント |
要求ベース認証 |
はい |
信頼済みアカウント |
クラシック ベース認証 |
はい |
Windows 認証 |
要求ベース認証 |
はい。Reporting Services プロキシは信頼できるアカウント認証を使用するようにフォールバックします。 |
このフォールバック動作の副作用は、場合によって Windows 認証が必要になることです。たとえば、レポートで Windows 統合セキュリティを使用するように設定されたデータ ソースを使用していると、次に示すようなエラー メッセージが表示されます。これは Web アプリケーションが要求認証を使用していたときに、プロキシがフォールバック ロジックを使用したため、セッションが信頼できるアカウントのコンテキストになったことを Reporting Services プロキシが検出したためです。
レポートの処理中にエラーが発生しました。(rsProcessingAborted)
データ ソース 'MyDataSourceName' ではユーザーの権限を借用できません。(rsErrorImpersonatingUser)
このデータ ソースは Windows 統合セキュリティを使用するように構成されています。このレポート サーバーでは、Windows 統合セキュリティが無効になっているか、[信頼済みアカウント] モードが使用されています。(rsWindowsIntegratedSecurityDisabled)
この問題を回避するには、保存されている資格情報を使用するようにデータ ソースを変更する必要があります。
Reporting Services クライアントは LiveID または SAML 要求認証をサポートしていません
Reporting Services クライアント アプリケーション: Business Intelligence Development Studio の Report Builder、Report Designer 、および Management Studio では、LiveID または SAML 要求ベースの SharePoint Web アプリケーションへの接続および認証をサポートしていません。これらのクライアントでは他の種類の要求認証が使用できますが、これはこれらのクライアントで Reporting Services 認証エンドポイントが使用されているからです。このエンドポイントを使用すると、クライアントは ASP.NET 形式の認証で使用されているのと同じコンポーネント経由で SharePoint と通信できます。SAML 要求および LiveID 認証では別の形式が使用されているため、Reporting Services クライアントでサポートされていません。