Security Overview for Reporting Services in SharePoint Integrated Mode
Podczas konfigurowania serwer raportów do uruchamiania w trybie zintegrowanym programu SharePoint, serwer raportów używa dostawca uwierzytelnianie i uprawnienia zdefiniowane w aplikacji sieci Web programu SharePoint do kontrolowania dostępu do elementów serwer raportów i operacji.
Za pomocą zasad zabezpieczeń programu SharePoint, które są mapowane konto użytkownika lub grupy z poziom uprawnień w odniesieniu do element jest udzielić uprawnienia dostępu do elementów i operacji.Koncepcyjnie jest identyczne jak przypisania ról są używane w trybie macierzystym rozmieszczania serwerów raportu, gdy przypisanie roli mapuje konto użytkownika lub grupy do zestaw zadań dopuszczalne względem element.Tak jak z większość modeli autoryzacja opartych na rolach, zabezpieczeń programu SharePoint zawiera dziedziczenia uprawnień w celu zmniejszenia złożoności kosztem dodatkowego obciążenia związanego z dużą liczbą zasad zachowania.
Typy zawartości serwer raportów w przypadku rozmieszczania w witrynie programu SharePoint, trzeba znać następujące czynności:
W jaki sposób żądania i połączenia są wykonywane między dwoma serwerami.Dostawca uwierzytelnianie, używany w aplikacji sieci Web programu SharePoint decyduje o tym, czy opcja zintegrowanych zabezpieczeń systemu Windows można później używane dostęp do źródeł danych zewnętrznych, używane przez raport.
Jak używać domyślnych zabezpieczeń można dodawać, zarządzać i uzyskiwać dostęp do elementów serwer raportów i operacji.Aby uzyskać więcej informacji zobacz Granting Permissions on Report Server Items on a SharePoint Site i Using Built-in Security in Windows SharePoint Services for Report Server Items w dokumentacji programu SQL Server Books Online.
Jak zastąpić domyślne zabezpieczenia przez ustawienie uprawnień dla określonych raportów lub operacji.Aby uzyskać więcej informacji zobacz How to: Set Permissions for Report Server Items on a SharePoint Site (Reporting Services in SharePoint Integrated Mode) w dokumentacji programu SQL Server Books Online.
Przed ustawieniem uprawnienia, należy skonfigurować każdy serwer w celu integracja.Aby uzyskać więcej informacji zobacz Configuring Reporting Services for SharePoint 3.0 Integration.
Dostawcy uwierzytelnianie w technologii programu SharePoint
Aplikacja sieci Web programu SharePoint za pomocą uwierzytelnianie systemu Windows lub uwierzytelnianie formularzy.serwer raportów będzie przetwarzać żądań z dowolnej z nich.Aby skonfigurować uwierzytelnianie, w tych kombinacjach:
Uwierzytelnianie systemu Windows z zabezpieczeniami zintegrowanymi (protokół Kerberos jest włączone)
Uwierzytelnianie systemu Windows, bez Personifikacja lub delegowanie
Uwierzytelnianie formularzy
Uwaga
Oba Reporting Services i SharePoint produktów i technologii obsługuje uwierzytelnianie formularzy. The implementation is different for each product group and they are not compatible.Reporting Services custom authentication extensions are not supported for report servers that run in SharePoint integration mode.
Poniższa tabela zawiera zestawienie zalet i wad każdego z dostawców uwierzytelnianie:
Korzyści |
Niedogodności |
|
|---|---|---|
Uwierzytelnianie systemu Windows (z włączone uwierzytelnianie Kerberos) |
Działa w jednym serwerem i wieloserwerowym wdrożeń. Korzystanie z systemu Windows obsługuje zintegrowane poświadczenia dla zewnętrznych źródeł danych. |
Nie działa z uwierzytelnianie NTLM w przypadku wdrożeń wieloserwerowym. |
Uwierzytelnianie systemu Windows (bez Kerberos jest włączone) lub formularze uwierzytelniania |
Program Works z protokołu Kerberos i wszystkie scenariusze uwierzytelnianie Kerberos bez. |
Nie obsługuje zintegrowane poświadczenia systemu Windows do zewnętrznych źródeł danych. |
Wysyłanie żądania do serwer raportów
Wszystkie żądania serwer raportów element lub operacji musi być prawidłowym uwierzytelnione żądanie.Dostawca uwierzytelnianie używana określa sposób przetwarzania tego żądania.
Zintegrowane zabezpieczenia systemu Windows
Jeśli aplikacja sieci Web programu SharePoint jest skonfigurowana do uwierzytelnianie systemu Windows i protokół Kerberos jest włączone, połączenie z aplikacji sieci Web programu SharePoint serwer raportów za pośrednictwem personifikowanego lub delegowanych poświadczenia bieżącego użytkownika systemu Windows.Poniższy diagram przedstawia połączeń, gdy serwer raportów jest skonfigurowany do integracja programu SharePoint i aplikacji sieci Web programu SharePoint korzysta z protokołu Kerberos włączone uwierzytelnianie systemu Windows.
.gif "Connections in SharePoint integrated mode")
Połączenie 1
Użytkownik uzyskuje dostęp do witryny programu SharePoint w obszarze tokenu użytkownika utworzone w czasie, gdy użytkownik zalogowany do sieci.Zawiera on członkostwa użytkownika tożsamości i grupy.Aplikacja sieci Web programu SharePoint uwierzytelnia użytkownika.Żądania użytkowników serwer raportów element lub operacji.Połączenie 2
Aplikacja sieci Web programu SharePoint wysyła tokenu i żądania serwer raportów.Systemu Windows z tożsamością użytkownika jest wysyłane żądanie połączenia.Serwer sprawdza, czy użytkownik posiada uprawnienia dostępu do serwer raportów.Połączenie 3
Jeśli sprawdzanie zakończy się pomyślnie, serwer raportów sprawdzi, czy użytkownik ma uprawnienia dostępu element lub operacji.serwer raportów używa rozszerzenie zabezpieczeń wewnętrznych do weryfikacji uprawnienia użytkownika.serwer raportów używa wywołanie celu rozszerzenia Windows SharePoint Services model obiektów, aby sprawdzić uprawnienia, które są przechowywane w bazach danych zawartości programu SharePoint. Nie można konfigurować ani zarządzać tego rozszerzenie zabezpieczeń.Jest składnikiem wewnętrznej używany z serwerami raportu, które są uruchamiane w trybie zintegrowanym programu SharePoint.
Jeśli użytkownik ma uprawnienia dostępu, raport lub inny element lub operacji, żądanie jest obsługiwane.
Przy użyciu zintegrowanych zabezpieczeń systemu Windows, można wyeliminować klasyczny problem "podwójny skok" którym wygasa poświadczenia systemu Windows po jednej sesji.Można również rozwinąć zestaw opcji, które są dostępne podczas konfigurowania połączenia ze źródłami danych dla raportów i modeli.Jeśli konto użytkownika systemu Windows jest używany do łączenia się z serwerem raportu, serwer raportów można użyć tej tożsamości podczas przetwarzania, aby pobierać dane z zewnętrznych źródeł danych raportu.Oznacza to, że gdy użytkownik zestaw właściwości urządzenie źródłowe danych w raporcie, można wybrać Zintegrowane zabezpieczenia systemu Windows opcja połączenie urządzenie źródłowe danych.Aby uzyskać więcej informacji zobacz Specifying Credential and Connection Information for Report Data Sources w dokumentacji programu SQL Server Books Online.
System Windows lub uwierzytelnianie formularzy i zaufane konta
Jeśli aplikacja sieci Web programu SharePoint jest skonfigurowany dla uwierzytelnianie formularzy, połączenia serwer raportów są przesyłane przez sieć przy użyciu wstępnie zdefiniowanych zaufanych konta mającego uprawnienie do personifikacji użytkownika programu SharePoint serwer raportów.Samo podejście jest używana, jeśli aplikacja sieci Web programu SharePoint jest skonfigurowana do uwierzytelnianie systemu Windows i protokół Kerberos nie jest włączony.Poniższy diagram przedstawia połączeń, gdy używane są zaufane kont i tożsamości użytkowników programu SharePoint.
.gif "Connection diagram for trusted connection")
Połączenie 1
Użytkownik loguje się do witryny programu SharePoint.Aplikacja sieci Web programu SharePoint uwierzytelnia użytkownika.Aplikacja sieci Web programu SharePoint tłumaczy tożsamości użytkownika do tożsamości użytkownika programu SharePoint (SPUser).Uzyskać nowy token użytkownika jest tworzony dla danego użytkownika w kontekście SPUser.Zawiera on członkostwa użytkownika tożsamości i grupy.Żądania użytkowników serwer raportów element lub operacji.Połączenie 2
Aplikacja sieci Web programu SharePoint personifikuje tożsamości użytkownika programu SharePoint, w oknie żądania serwer raportów.Żądanie połączenia jest wysyłane, używającym konta zaufanych.Konto jest tożsamość procesu aplikacji sieci Web programu SharePoint.Serwer sprawdza, czy żądanie połączenia pochodzi z zaufanego konta przez porównanie z informacji o koncie, że serwer raportów pobierane z baz danych konfiguracja programu SharePoint podczas uruchamiania serwer raportów.serwer raportów zaufanych konto jest użytkownika systemu Windows z uprawnieniami do personifikować aplikację sieci Web programu SharePoint.Służy ona jedynie do podszycia się pod SPUser.Nie jest dozwolony dostęp do elementów serwer raportów i operacji.
Połączenie 3
Jeśli sprawdzanie zakończy się pomyślnie, serwer raportów sprawdzi, czy SPUser ma uprawnienia do dostępu do element lub operacji.serwer raportów używa do weryfikacji uprawnienia użytkownika, wywołanie celu rozszerzenie zabezpieczeń wewnętrznych Windows SharePoint Services Obiekt modelu, a następnie zaznacz pole wyboru uprawnień, które są przechowywane w bazach danych zawartości programu SharePoint. Jeśli użytkownik ma uprawnienia dostępu, raport lub inny element lub operacji, żądanie jest obsługiwane.
Data wygaśnięcia konta i przetwarzanie subskrypcja
Podczas tworzenia subskrypcja do raportu serwer raportów będą przechowywane informacje o koncie SPUser, dzięki czemu można sprawdzić, czy użytkownik ma uprawnienia do wyświetlania raportu w momencie dostawy.Po wygaśnięciu ważności SPUser subskrypcja będzie nie powiedzie się i zwraca rsSharePointError Wystąpił błąd. Właściwość farmy poziom o nazwie TokenTimeout Określa, jak długo SPUser jest prawidłowa.
Konfigurowanie administracyjna i usługa konta do kont użytkowników domena unikatowy Użyj
We wdrożeniu produktu lub technologii SharePoint do uruchamiania usług i uzyskiwania dostępu do serwerów aplikacji zewnętrznych i wewnętrznych są używane różne konta.Jeżeli dla wdrożenia zostaną określone konta domeny, należy upewnić się, że są stosowane zalecenia oparte na najważniejszych wskazówkach i że określono konta używane wyłącznie przez aplikację sieci Web programu SharePoint.Nie należy konfigurować konta usługi do działania na koncie użytkownika domeny należącego do osoby, która będzie uzyskiwać dostęp do witryny programu SharePoint.Jeśli dostęp do witryny programu SharePoint przy użyciu poświadczenia usługa, mogą wystąpić błędy.Aby uzyskać więcej informacji na temat wymagań dotyczących konta usług i zalecenia zobacz Plan kont administracyjnych i usługa in the Windows SharePoint Services Dokumentacja produktu w wersji 3.0.
Najważniejsze wskazówki dla Konfigurowanie dostawców uwierzytelnianie w wdrożenie skalowalne w poziomie
Jeśli masz wdrożenie skalowalne w poziomie z Reporting Services i SharePoint produktu lub technologii, a skonfigurowano dostawców uwierzytelnianie inny w danym środowisku, które mogą wystąpić problemy z uwierzytelnianie użytkowników. Na przykład jeśli środowiska raportowania używa uwierzytelniania formularzy do połączenia z Internetem i uwierzytelnianie systemu Windows dla połączeń sieci intranet, żądanie może być kierowane do komputera w sieci Web typu front-end z dostawca uwierzytelniania, która nie jest zgodna z typem uwierzytelniania żądania.Może to spowodować, że Reporting Services Aby odmówić dostępu dla żądania lub żądanie może być uruchamiana tożsamość puli aplikacji, a nie użytkownika, który zgłosił żądanie.
Zgodnie z zaleceniami dotyczącymi użytkowników należy używać różnych adresów URL dla dostępu zawartości z sieci Internet i intranet.Lub można skonfigurować w pliku hosts na komputerach frontonu sieci Web, aby zastąpić wyszukiwania systemu nazw domen (DNS) mapowanie adresu Internet protokół (IP) witrynę internetową do internetowego adresu URL tak, aby żądania do internetowego adresu URL nie uzyskać kierowane do Intranetowy adres URL przez serwer DNS.
W jaki sposób dostępów serwer raportów SharePoint zawartości bazy danych
Zarówno w aplikacji sieci Web programu SharePoint, jak i serwer raportów połączyć odpowiednich bazach danych do przechowywania stanu aplikacji i inne dane, ale serwer raportów również musi połączyć się z bazami danych programu SharePoint do przechowywania i pobierania elementów, właściwości i ustawienia konfiguracja.Poniższy diagram przedstawia połączenia z serwerem do różnych baz danych.
.gif "Connection diagram")
Aplikację sieci Web programu SharePoint można użyć lokalnej lub zdalnej bazy danych do przechowywania wewnętrznych.W przypadku baz danych programu SharePoint na komputerach zdalnych, należy używać konta domena, dla połączenia.
serwer raportów można użyć lokalnej lub zdalnej bazy danych do wewnętrznego przechowywania.Dla każdego typu połączenie bazy danych można utworzyć przy użyciu konta domena, SQL Server Identyfikator logowania lub konto wbudowane, takie jak Network Service lub Local System.
Połączenie serwer raportów do baz danych programu SharePoint
W Reporting Services, usługa sieci Web i usług systemu Windows wymagają dostępu do baz danych programu SharePoint. usługa kont dla obydwu usług należy uruchomić jako zaufanych użytkowników w aplikacji sieci Web programu SharePoint i mają automatycznie przyznane uprawnienia dostępu do baz danych programu SharePoint.
Połączenie jest zarządzane wewnętrznie; jest on skonfigurowany po punkcie aplikacji sieci Web programu SharePoint serwer raportów za pomocą administracji centralnej programu SharePoint i zestaw zaufanych kont.W odróżnieniu od serwer raportów połączenia do własnej bazy danych, które można ustawiać i modyfikować za pomocą narzędzie Konfiguracja usług Reporting Services, można jawnie konfigurowania ani zarządzać serwer raportów połączenia z bazami danych programu SharePoint.
Uruchamianie serwera raportowania w trybie zintegrowanym programu SharePoint wprowadzono ograniczeń, w jaki sposób skonfigurować usługa konta w Reporting Services. Użyj poniższych wskazówek, podczas konfigurowania usługa kont:
Wybierz konta, które mają uprawnienia logowania sieciowe, jeśli serwer raportowania usługa kont musi połączyć się z bazami danych programu SharePoint na komputerze zdalnym.
(Takie jak uniknąć konta wbudowane System lokalny or Usługa sieciowa) Jeśli serwer raportów i baz danych programu SharePoint znajdują się na jednym komputerze i aplikacji sieci Web programu SharePoint znajduje się na komputerze zdalnym.Po uruchomieniu baz danych programu SharePoint na komputerze zdalnym, aplikacji sieci Web programu SharePoint jawnie powoduje zablokowanie dostępu bazy danych dla wbudowanego konta, które są zdefiniowane na komputerze zdalnym.Oznacza to, że wszystkie usługi, która uruchamiana wbudowanych kont na tym komputerze nie może połączyć się z bazami danych programu SharePoint.
Dla innych topologii serwerów i baz danych należy umieścić na tym samym komputerze lub w różnych komputerów Reporting Services usługa kont może być skonfigurowana jako wbudowane konta lub kont domena.
Błędy podłączania do baz danych programu SharePoint
Jeśli serwer raportów nie może uzyskać dostępu do baz danych programu SharePoint i występuje błąd konfiguracja (na przykład, jeśli konta usług i hasła nie są prawidłowe lub jeśli nie zainstalowano lokalnego wystąpienie modelu obiektów programu Windows SharePoint), rsServerConfigurationError występuje błąd. Dla wszystkich innych błędów połączenia rsSharePointError zwracany jest błąd, oraz dodatkowe informacje o błędzie z lokalnym Windows SharePoint Services wystąpienie.
Historia zmian
Microsoft Learning |
|---|
Dodano tabela z zalet i wad dostawców uwierzytelnianie w dostawców uwierzytelnianie w sekcji technologii programu SharePoint. |
Dodano nową sekcję „ Best Practices for Konfigurowanie dostawców uwierzytelnianie w danym wdrożeniu Skala out. „ |
See Also