Übersicht zur Reporting Services-Sicherheit im integrierten SharePoint-Modus
Wenn Sie einen Berichtsserver für die Ausführung im integrierten SharePoint-Modus konfigurieren, verwendet der Berichtsserver den Authentifizierungsanbieter und die Berechtigungen, die in der SharePoint-Webanwendung definiert sind, um den Zugriff auf Berichtsserverelemente und -vorgänge zu steuern.
Die Berechtigung zum Zugriff auf Elemente und Vorgänge wird mithilfe von SharePoint-Sicherheitsrichtlinien erteilt, mit denen ein Benutzer- oder Gruppenkonto einer Berechtigungsebene, relativ zu einem Element, zugeordnet wird. Im Prinzip entspricht dies der Verwendung von Rollenzuweisungen in einer Berichtsserverbereitstellung im systemeigenen Modus. Hierbei ordnet eine Rollenzuweisung ein Benutzer- oder Gruppenkonto zu einer Menge zulässiger Aufgaben zu, die relativ zu einem Element sind. Wie bei den meisten rollenbasierten Authentifizierungsmodellen üblich, bietet die SharePoint-Sicherheit die Berechtigungsvererbung, um die Komplexität und den Aufwand der Verwaltung einer großen Anzahl von Richtlinien zu reduzieren.
Wenn Sie Berichtsserver-Inhaltstypen auf einer SharePoint-Website bereitstellen, müssen Sie Folgendes wissen:
Wie werden Verbindungen und Anforderungen zwischen den beiden Servern hergestellt bzw. gesendet? Der in der SharePoint-Webanwendung verwendete Authentifizierungsanbieter bestimmt, ob Sie anschließend die Option für die integrierte Sicherheit von Windows für den Zugriff auf externe Datenquellen verwenden können, die von einem Bericht verwendet werden.
Wie werden Standardsicherheitsmechanismen zum Hinzufügen, Verwalten und Zugreifen von bzw. auf Berichtsserverelemente und -vorgänge verwendet? Weitere Informationen finden Sie unter Erteilen von Berechtigungen für Berichtsserverelemente auf einer SharePoint-Website und Verwenden der integrierten Sicherheit in Windows SharePoint Services für Berichtsserverelemente in der SQL Server-Onlinedokumentation.
Wie werden Standardsicherheitseinstellungen außer Kraft gesetzt, indem Berechtigungen für bestimmte Berichte oder Vorgänge festgelegt werden? Weitere Informationen finden Sie in der SQL Server-Onlinedokumentation unter Vorgehensweise: Festlegen von Berechtigungen für Berichtsserverelemente auf einer SharePoint-Website (Reporting Services im integrierten SharePoint-Modus).
Bevor Sie Berechtigungen festlegen können, müssen Sie jeden Server für die Integration konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von Reporting Services für die Integration in SharePoint 3.0.
Authentifizierungsanbieter in SharePoint-Technologien
Eine SharePoint-Webanwendung kann die Windows-Authentifizierung oder die Formularauthentifizierung verwenden. Ein Berichtsserver verarbeitet Anforderungen beider Anbieter. Sie können die Authentifizierung in den folgenden Kombinationen konfigurieren:
Windows-Authentifizierung mit integrierter Sicherheit (Kerberos ist aktiviert)
Windows-Authentifizierung ohne Identitätswechsel oder Delegierung
Formularauthentifizierung
.gif "Hinweis") Hinweis |
|---|
Sowohl Reporting Services als auch SharePoint-Produkte und -Technologien bieten Unterstützung für die Formularauthentifizierung. Die Implementierungen für die einzelnen Produktgruppen unterscheiden sich und sind nicht kompatibel. Benutzerdefinierte Reporting Services-Authentifizierungserweiterungen werden für Berichtsserver nicht unterstützt, die im integrierten SharePoint-Modus ausgeführt werden. |
In der folgenden Tabelle werden die Vor- und Nachteile der einzelnen Authentifizierungsanbieter zusammengefasst:
Vorteile |
Nachteile |
|
|---|---|---|
Windows-Authentifizierung (mit aktivierter Kerberos-Authentifizierung) |
Möglich für Bereitstellungsszenarien mit einem oder mehreren Servern. Unterstützt die Verwendung integrierter Windows-Anmeldeinformationen für externe Datenquellen. |
Kann in Bereitstellungen mit mehreren Servern nicht mit der NTLM-Authentifizierung verwendet werden. |
Windows-Authentifizierung (ohne Kerberos) oder Formularauthentifizierung |
Kann mit Kerberos und in allen Nicht-Kerberos-Authentifizierungsszenarien verwendet werden. |
Unterstützt integrierte Windows-Anmeldeinformationen für externe Datenquellen nicht. |
Senden von Anforderungen an einen Berichtsserver
Alle Anforderungen für Berichtsserverelemente oder -vorgänge müssen in Form einer gültigen, authentifizierten Anforderung erfolgen. Der verwendete Authentifizierungsanbieter bestimmt, wie diese Anforderung verarbeitet wird.
Integrierte Sicherheit von Windows
Wenn die SharePoint-Webanwendung so konfiguriert ist, dass die Windows-Authentifizierung verwendet wird, und Kerberos aktiviert ist, wird die Verbindung von der SharePoint-Webanwendung zum Berichtsserver über die angenommenen oder delegierten Anmeldeinformationen des aktuellen Windows-Benutzers hergestellt. Das folgende Diagramm zeigt die Verbindungen, wenn ein Berichtsserver für die SharePoint-Integration konfiguriert ist und die SharePoint-Webanwendung die Windows-Authentifizierung mit aktiviertem Kerberos verwendet.
.gif "Verbindungen im integrierten SharePoint-Modus")
Verbindung 1
Ein Benutzer greift über das Benutzertoken, das bei der Netzwerkanmeldung des Benutzers erstellt wird, auf eine SharePoint-Website zu. Das Token enthält die Benutzeridentität und die Gruppenmitgliedschaft. Die SharePoint-Webanwendung authentifiziert den Benutzer. Der Benutzer fordert ein Berichtsserverelement oder einen Vorgang an.Verbindung 2
Die SharePoint-Webanwendung sendet das Token und die Anforderung an den Berichtsserver. Die Verbindungsanforderung wird unter der Windows-Identität des Benutzers gesendet. Der Berichtsserver überprüft, ob der Benutzer berechtigt ist, auf den Berichtsserver zuzugreifen.Verbindung 3
Wenn die Überprüfung erfolgreich ist, überprüft der Berichtsserver, ob der Benutzer berechtigt ist, auf das Element oder den Vorgang zuzugreifen.Ein Berichtsserver verwendet eine interne Sicherheitserweiterung, um Benutzerberechtigungen zu überprüfen. Mithilfe der Erweiterung sendet der Berichtsserver einen Aufruf an das Windows SharePoint Services-Objektmodell, um die Berechtigungen zu überprüfen, die in der SharePoint-Inhaltsdatenbank gespeichert sind. Sie können diese Sicherheitserweiterung nicht konfigurieren oder verwalten. Es handelt sich um eine interne Komponente, die für Berichtsserver verwendet wird, die im integrierten SharePoint-Modus ausgeführt werden.
Wenn der Benutzer berechtigt ist, auf den Bericht oder ein anderes Element oder einen anderen Vorgang zuzugreifen, wird die Anforderung beantwortet.
Durch die Verwendung der integrierten Sicherheit von Windows können Sie das klassische "Doppelhop"-Problem vermeiden, bei dem Anmeldeinformationen bereits nach einer einzigen Verbindung verfallen. Darüber hinaus kann die Menge der Optionen erweitert werden, die Ihnen bei der Konfiguration von Datenquellenverbindungen für Berichte und Modelle zur Verfügung stehen. Wenn die Windows-Benutzeridentität verwendet wird, um eine Verbindung mit dem Berichtsserver herzustellen, kann der Berichtsserver diese Identität während der Berichtsverarbeitung verwenden, um Daten von externen Datenquellen abzurufen. Das bedeutet, dass Sie beim Festlegen von Datenquelleneigenschaften für einen Bericht die Option Integrierte Sicherheit von Windows für die Datenquellenverbindung auswählen können. Weitere Informationen finden Sie in der SQL Server-Onlinedokumentation unter Angeben der Anmeldeinformationen und Verbindungsinformationen für Berichtsdatenquellen.
Windows- oder Formularauthentifizierung und vertrauenswürdige Konten
Wenn die Konfiguration der SharePoint-Webanwendung die Formularauthentifizierung vorsieht, wird die Verbindung mit dem Berichtsserver mithilfe eines vordefinierten vertrauenswürdigen Kontos, das berechtigt ist, die Identität eines SharePoint-Benutzers auf dem Berichtsserver anzunehmen, über das Netzwerk gesendet. Derselbe Ansatz wird verwendet, wenn die Konfiguration der SharePoint-Webanwendung die Windows-Authentifizierung vorsieht und Kerberos nicht aktiviert ist. Das folgende Diagramm zeigt die Verbindungen, wenn vertrauenswürdige Konten und SharePoint-Benutzeridentitäten verwendet werden.
.gif "Verbindungsdiagramm für vertrauenswürdige Verbindung")
Verbindung 1
Ein Benutzer meldet sich an einer SharePoint-Website an. Die SharePoint-Webanwendung authentifiziert den Benutzer. Die SharePoint-Webanwendung übersetzt die Benutzeridentität in eine SharePoint-Benutzeridentität (SPUser). Für diesen Benutzer wird ein neues Benutzertoken im Kontext von SPUser erstellt. Das Token enthält die Benutzeridentität und die Gruppenmitgliedschaft. Der Benutzer fordert ein Berichtsserverelement oder einen Vorgang an.Verbindung 2
Die SharePoint-Webanwendung nimmt im Rahmen der Anforderung an den Berichtsserver die Identität des SharePoint-Benutzers an. Die Verbindungsanforderung wird gesendet, wobei ein vertrauenswürdiges Konto verwendet wird. Das Konto entspricht der Prozessidentität der SharePoint-Webanwendung.Der Berichtsserver überprüft, ob die Verbindungsanforderung von einem vertrauenswürdigen Konto stammt, indem sie mit den Kontoinformationen verglichen werden, die der Berichtsserver beim Start aus der SharePoint-Konfigurationsdatenbank abgerufen hat. Auf einem Berichtsserver entspricht das vertrauenswürdige Konto einem Windows-Benutzer mit der Berechtigung, die Identität der SharePoint-Webanwendung anzunehmen. Es wird nur verwendet, um die Identität von SPUser anzunehmen. Es erhält keinen Zugriff auf Berichtsserverelemente und -vorgänge.
Verbindung 3
Wenn die Überprüfung erfolgreich ist, überprüft der Berichtsserver, ob SPUser berechtigt ist, auf das Element oder den Vorgang zuzugreifen.Der Berichtsserver verwendet eine interne Sicherheitserweiterung, um die Benutzerberechtigungen zu überprüfen, einen Aufruf an das Windows SharePoint Services-Objektmodell zu senden und die Berechtigungen zu überprüfen, die in der SharePoint-Inhaltsdatenbank gespeichert sind. Wenn der Benutzer berechtigt ist, auf den Bericht oder ein anderes Element oder einen anderen Vorgang zuzugreifen, wird die Anforderung beantwortet.
Kontoablauf und Abonnementverarbeitung
Wenn Sie ein Abonnement für einen Bericht erstellen, speichert der Berichtsserver die Kontoinformationen für SPUser, sodass überprüft werden kann, ob der Benutzer berechtigt ist, den Bericht zum Zeitpunkt der Zustellung anzuzeigen. Wenn SPUser abgelaufen ist, führt dies zu einem Abonnementfehler, und es wird ein rsSharePointError-Fehler zurückgegeben. Durch eine Eigenschaft auf Farmebene, die TokenTimeout-Eigenschaft, wird bestimmt, wie lange SPUser gültig ist.
Konfigurieren von Verwaltungs- und Dienstkonten, um eindeutige Domänenbenutzerkonten zu verwenden
Eine Bereitstellung von SharePoint-Produkten oder -Technologien verwendet eine Vielzahl von Konten, um Dienste auszuführen und um auf Front-End- und Back-End-Server zuzugreifen. Wenn Sie ein Domänenkonto für die Bereitstellung angeben, stellen Sie sicher, dass Sie empfohlene bewährte Methoden berücksichtigen und Konten angeben, die ausschließlich von der SharePoint-Webanwendung verwendet werden. Konfigurieren Sie ein Dienstkonto nicht so, dass es unter dem Domänenbenutzerkonto einer tatsächlichen Person ausgeführt wird, die auf die SharePoint-Website zugreift. Wenn Sie unter Verwendung der Anmeldeinformationen des Dienstes auf eine SharePoint-Website zugreifen, können Fehler auftreten. Weitere Informationen zu Anforderungen und Empfehlungen an das Dienstkonto finden Sie im Thema Planen von Administrator- und Dienstkonten in der Windows SharePoint Services 3.0-Produktdokumentation.
Bewährte Methoden für das Konfigurieren von Authentifizierungsanbietern in einer Bereitstellung für dezentrales Skalieren
Wenn Sie über eine Reporting Services-Bereitstellung für dezentrales Skalieren sowie ein SharePoint-Produkt verfügen und für Ihre Umgebung andere Authentifizierungsanbieter konfiguriert sind, können beim Authentifizieren von Benutzern Probleme auftreten. Wenn z. B. in der Berichterstellungsumgebung Formularauthentifizierungen für Internetverbindungen und Windows-Authentifizierungen für Intranetverbindungen verwendet werden, wird die Anfrage möglicherweise an einen Web-Front-End-Computer mit einem Authentifizierungsanbieter weitergeleitet, der nicht dem Authentifizierungstyp der Anforderung entspricht. Dadurch wird in Reporting Services möglicherweise der Zugriff für die Anforderung verweigert, oder die Anforderung wird statt unter dem entsprechenden Benutzer unter der Anwendungspoolidentität ausgeführt.
Es wird empfohlen, dass Benutzer verschiedene URLs verwenden, um Inhalte aus dem Internet oder Intranet abzurufen. Alternativ können Sie die Hostdatei auf den Web-Front-End-Computern so konfigurieren, dass die DNS-Suche (Domain Name System) durch Zuordnen der Internetprotokolladresse (IP) der internetseitigen Site zur Internet-URL überschrieben wird, damit Anforderungen an die Internet-URL nicht über DNS an die Intranet-URL weitergeleitet werden.
Zugriff des Berichtsservers auf SharePoint-Inhaltsdatenbanken
Sowohl die SharePoint-Webanwendung als auch der Berichtsserver stellen Verbindungen mit ihren jeweiligen Datenbanken her, um Anwendungsdaten und andere Daten zu speichern. Der Berichtsserver muss jedoch zudem eine Verbindung mit den SharePoint-Datenbanken herstellen, um Elemente, Eigenschaften und Konfigurationseinstellungen zu speichern und abzurufen. Das folgende Diagramm zeigt die Serververbindungen mit den verschiedenen Datenbanken.
.gif "Verbindungsdiagramm")
Eine SharePoint-Webanwendung kann eine lokale oder eine Remotedatenbank für die interne Speicherung verwenden. Wenn sich die SharePoint-Datenbanken auf Remotecomputern befinden, muss für die Verbindung ein Domänenkonto verwendet werden.
Ein Berichtsserver kann eine lokale oder eine Remotedatenbank für die interne Speicherung verwenden. Für beide Datenbankarten kann die Datenbankverbindung über ein Domänenkonto, einen SQL Server-Anmeldenamen oder ein integriertes Konto wie Network Service oder Local System hergestellt werden.
Berichtsserververbindung mit den SharePoint-Datenbanken
In Reporting Services benötigen sowohl der Webdienst als auch der Windows-Dienst Zugriff auf SharePoint-Datenbanken. Die Dienstkonten für beide Dienste werden als vertrauenswürdige Benutzer in einer SharePoint-Webanwendung ausgeführt und erhalten automatisch die Berechtigung zum Zugriff auf die SharePoint-Datenbanken.
Die Verbindung wird intern verwaltet. Sie wird konfiguriert, wenn Sie die SharePoint-Zentraladministration verwenden, um eine SharePoint-Webanwendung auf einen Berichtsserver zu verweisen und die vertrauenswürdigen Konten festzulegen. Anders als bei der Berichtsserververbindung mit der eigenen Datenbank, die Sie mit dem Reporting Services-Konfigurationstool festlegen oder ändern können, ist es nicht möglich, die Berichtsserververbindung mit den SharePoint-Datenbanken explizit zu konfigurieren oder zu verwalten.
Wenn ein Berichtsserver im integrierten SharePoint-Modus ausgeführt wird, führt dies zu Einschränkungen hinsichtlich der Konfiguration der Dienstkonten in Reporting Services. Halten Sie sich beim Konfigurieren von Dienstkonten an die folgenden Richtlinien:
Wählen Sie Konten aus, die über Netzwerkanmeldeberechtigungen verfügen, falls die Berichtsserver-Dienstkonten eine Verbindung mit den SharePoint-Datenbanken auf einem Remotecomputer herstellen müssen.
Vermeiden Sie die Verwendung integrierter Konten (beispielsweise Lokales System oder Netzwerkdienst), wenn sich der Berichtsserver und die SharePoint-Datenbanken auf demselben Computer und die SharePoint-Webanwendung auf einem Remotecomputer befinden. Wenn SharePoint-Datenbanken auf einem Remotecomputer ausgeführt werden, wird integrierten Konten, die auf diesem Remotecomputer definiert sind, der Datenbankzugriff explizit durch die SharePoint-Webanwendung verweigert. Das bedeutet, dass alle Dienste, die auf diesem Computer unter integrierten Konten ausgeführt werden, keine Verbindung mit SharePoint-Datenbanken herstellen können.
Bei allen anderen Topologien, in denen die Server und Datenbanken auf demselben Computer oder verschiedenen Computern platziert werden, können die Reporting Services-Dienstkonten als Domänenkonten oder integrierte Konten konfiguriert werden.
Fehler beim Herstellen von Verbindungen mit den SharePoint-Datenbanken
Wenn der Berichtsserver nicht auf die SharePoint-Datenbanken zugreifen kann und ein Konfigurationsfehler vorliegt (wenn beispielsweise die Dienstkonten oder Kennwörter nicht gültig sind oder wenn keine lokale Instanz des Windows SharePoint-Objektmodells installiert ist), tritt ein rsServerConfigurationError-Fehler auf. Für alle anderen Verbindungsfehler wird der rsSharePointError-Fehler zusammen mit zusätzlichen Fehlerinformationen von der lokalen Windows SharePoint Services-Instanz zurückgegeben.
Änderungsverlauf
Aktualisierter Inhalt |
|---|
Im Abschnitt "Authentifizierungsanbieter in SharePoint-Technologien" wurde eine Tabelle mit Vorteilen und Nachteilen der Authentifizierungsanbieter hinzugefügt. |
Neuer Abschnitt "Bewährte Methoden für das Konfigurieren von Authentifizierungsanbietern in einer Bereitstellung für dezentrales Skalieren" wurde hinzugefügt. |
Siehe auch