Типы проверки подлинности в службах Reporting Services
Службы Службы Reporting Services выполняют все функции проверки подлинности для HTTP-запросов либо через модуль проверки подлинности Windows, который установлен вместе с сервером, либо через развертываемый нестандартный модуль проверки подлинности. Модуль проверки подлинности Windows поддерживает несколько типов проверки подлинности, обеспечивая управление HTTP-запросами, принимаемыми сервером отчетов. Имеются следующие типы проверки подлинности: RSWindowsNegotiate, RSWindowsKerberos, RSWindowsNTLM и RSWindowsBasic. Каждый из них может быть включен и отключен отдельно. Можно включить несколько типов одновременно, если сервер отчетов должен принимать запросы разных типов.
.gif "Примечание") Примечание |
|---|
В предыдущих версиях служб Службы Reporting Services вся поддержка проверки подлинности обеспечивалась службами IIS. Начиная с выпуска SQL Server 2008, службы IIS не используются. Службы Службы Reporting Services выполняют внутреннюю обработку всех запросов на проверку подлинности. |
Типы проверки подлинности
В следующей таблице описываются типы проверки подлинности, поддерживаемые службами Службы Reporting Services.
Имя типа проверки подлинности |
Значение уровня проверки подлинности HTTP |
Используется по умолчанию |
Описание |
|---|---|---|---|
RSWindowsNegotiate |
Negotiate |
Да |
RSWindowsNegotiate предписывает серверу отчетов обрабатывать запросы проверки подлинности, в которых задан тип Negotiate. В этом режиме сначала производится попытка выполнить проверку подлинности по протоколу Kerberos, однако производится возврат к NTLM, если служба каталогов Active Directory не может предоставить билет для клиентского запроса серверу отчетов. Проверка подлинности Negotiate возвращается к NTLM только в том случае, если не удалось получить билет. Если первая попытка завершилась ошибкой, а не отсутствием билета, то сервер отчетов вторую попытку не предпринимает. |
RSWindowsNTLM |
NTLM |
Да |
В режиме NTLM проверка подлинности пользователя производится посредством обмена личными данными, который описан как вызов-ответ. Делегирование и олицетворение учетных данных при выполнении других запросов не производится. Последующие запросы выполняются по новой последовательности вызов-ответ. В зависимости от того, как настроена безопасность сети, запрос проверки подлинности будет обрабатываться прозрачно либо пользователю может быть предложено ввести учетные данные. |
RSWindowsKerberos |
Kerberos |
Нет |
Для запросов, в которых определена проверка подлинности по протоколу Kerberos, сервер отчетов считывает разрешения из токена безопасности пользователя, от которого поступил этот запрос. Если в домене разрешено делегирование, то токен пользователя, запрашивающего отчет, может также использоваться для дополнительного соединения с внешними источниками данных, поставляющими данные для этого отчета. Прежде чем указывать RSWindowsKerberos, убедитесь, что применяемый браузер действительно поддерживает этот тип проверки подлинности. При использовании обозревателя Internet Explorer проверка подлинности по протоколу Kerberos поддерживается только через Negotiate. Internet Explorer не сможет сформулировать запрос проверки подлинности, в котором протокол Kerberos задан напрямую. |
RSWindowsBasic |
Basic |
Нет |
Обычная проверка подлинности определена протоколом HTTP и может применяться только для проверки подлинности HTTP-запросов к серверу отчетов. Учетные данные передаются в HTTP-запросе в кодировке Base 64. Если применяется обычная проверка подлинности, то необходимо обеспечить шифрование данных об учетных записях пользователя по протоколу SSL, прежде чем передавать их по сети. Протокол SSL обеспечивает защищенный канал для передачи запроса на соединение от клиента к серверу отчетов через TCP/IP-соединение. Дополнительные сведения см. в разделе Использование SSL для шифрования конфиденциальных данных на сайте Microsoft TechNet. |
Custom |
(Анонимная) |
Нет |
Анонимная проверка подлинности предписывает серверу отчетов пропускать проверки подлинности в заголовках HTTP-запросов. Сервер отчетов принимает все запросы, но вызывает пользовательскую проверку подлинности пользователя через формы ASP.NET. Режим Custom следует выбирать только при наличии пользовательского модуля проверки подлинности, который будет обрабатывать все запросы проверки подлинности на сервере отчетов. Нельзя использовать тип нестандартной проверки подлинности с модулем проверки подлинности Windows по умолчанию. |
Неподдерживаемые методы проверки подлинности
Следующие методы и запросы проверки подлинности не поддерживаются.
Метод проверки подлинности |
Пояснение |
|---|---|
Анонимный |
Сервер отчетов не принимает запросы без проверки подлинности от анонимного пользователя, за исключением конфигураций развертывания, которые включают нестандартные модули проверки подлинности. Построитель отчетов принимает запросы без проверки подлинности в том случае, если разрешен доступ к построителю отчетов на сервере отчетов, настроенном для обычной проверки подлинности. Для всех остальных случаев анонимные запросы будут отвергнуты с ошибкой «HTTP 401: Отказано в доступе» еще до того, как запрос дойдет до ASP.NET. Получив ошибку «HTTP 401: Отказано в доступе«, клиент должен переформулировать запрос, указав допустимый тип проверки подлинности. |
Технологии единого входа (SSO) |
Службы Службы Reporting Services не обеспечивают собственную поддержку для технологий единого входа. Для использования этих технологий необходимо создание нестандартного модуля проверки подлинности. Среда размещения сервера отчетов не поддерживает ISAPI-фильтры. Если используемая технология SSO реализована в виде фильтра ISAPI, попробуйте воспользоваться встроенной поддержкой сервера ISA для протокола RSASecueID или RADIUS. В противном случае можно создать сервер ISAPI ISA или HTTPModule для RS, однако рекомендуется использовать сервер ISA напрямую. |
Паспорт |
В SQL Server 2008 не поддерживается. |
Дайджест |
В SQL Server 2008 не поддерживается. |
Настройка параметров проверки подлинности
При резервировании URL-адреса для сервера отчетов для проверки подлинности настраивается уровень безопасности по умолчанию. Если в процессе настройки этих параметров допущены какие-либо ошибки, то для HTTP-запросов, подлинность которых не может быть проверена, сервер отчетов вернет ошибку «HTTP 401: Отказано в доступе». Чтобы правильно выбрать тип проверки подлинности, необходимо понимать, каким образом проверка подлинности Windows поддерживается в конкретной сети. Должен быть указан как минимум один тип проверки подлинности. Для RSWindows может быть задано несколько типов проверки подлинности. Типы проверки подлинности RSWindows (RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberos и RSWindowsNegotiate) и нестандартная проверка подлинности являются взаимоисключающими.
.gif "Важное примечание") Важно! |
|---|
Службы Reporting Services не проверяют заданные параметры на соответствие конкретной вычислительной среде. Безопасность по умолчанию может оказаться неработоспособной либо могут быть заданы параметры настройки, недопустимые для существующей инфраструктуры безопасности. Поэтому перед внедрением в рабочей среде организации необходимо очень тщательно проверить развертывание сервера отчетов в управляемой тестовой среде. |
Веб-службы сервера отчетов и диспетчер отчетов всегда используют один и тот же тип проверки подлинности. Нельзя настроить разные типы проверки подлинности для функциональных областей службы сервера отчетов. Для масштабного развертывания необходимо повторить изменения на всех узлах в конфигурации развертывания. В масштабном развертывании узлы не могут использовать различные типы проверки подлинности.
При фоновой обработке запросы от конечных пользователей не принимаются, однако выполняется проверка подлинности всех запросов на автоматическое выполнение. В ней всегда используется проверка подлинности Windows и выполняется проверка подлинности запросов с использованием учетной записи службы сервера отчетов или учетной записи автоматического выполнения, если она настроена.
Дополнительные сведения о настройке проверки подлинности в службах Reporting Services см. в следующих разделах:
Как настроить проверку подлинности в службах Reporting Services
Как настроить обычную проверку подлинности в службах Reporting Services