Información general de seguridad para Reporting Services en el modo de integración de SharePoint

Actualizado: 17 de noviembre de 2008

Al configurar un servidor de informes para que se ejecute en el modo integrado de SharePoint, el servidor de informes utiliza el proveedor de autenticación y los permisos definidos en la aplicación Web de SharePoint para controlar el acceso a los elementos y a las operaciones del servidor de informes.

Los permisos para obtener acceso a los elementos y a las operaciones se conceden a través de directivas de seguridad de SharePoint que asignan una cuenta de usuario o grupo a un nivel de permiso relativo a un elemento. Conceptualmente, es idéntico a la forma en que se utilizan las asignaciones de funciones en una implementación del servidor de informes en modo nativo, donde una asignación de función asigna una cuenta de usuario o grupo a un conjunto de tareas permitidas relativas a un elemento. Como ocurre con la mayoría de modelos de autorización basados en funciones, la seguridad de SharePoint proporciona herencia de permisos para reducir la complejidad y sobrecarga relacionadas con el mantenimiento de un gran número de directivas.

Si implementa tipos de contenido del servidor de informes en un sitio de SharePoint, necesitará saber lo siguiente:

Antes de poder establecer los permisos, deberá configurar cada servidor para la integración. Para obtener más información, vea Configurar Reporting Services para la integración de SharePoint 3.0.

Proveedores de autenticación en tecnologías de SharePoint

Una aplicación Web de SharePoint puede usar la autenticación de Windows o la autenticación de formularios. Un servidor de informes procesará solicitudes de cualquiera de ellas. Puede configurar la autenticación en estas combinaciones:

  • La autenticación de Windows con seguridad integrada (donde la autenticación de Kerberos está habilitada)
  • La autenticación de Windows, sin suplantación o delegación (donde la autenticación de Kerberos no está habilitada)
  • Autenticación de formularios

[!NOTA] Tanto los productos y tecnologías de SharePoint como Reporting Services admiten la autenticación de formularios. La implementación es distinta para cada grupo de productos y éstos no son compatibles. Las extensiones de autenticación personalizadas de Reporting Services no son compatibles con los servidores de informes que se ejecutan en el modo de integración de SharePoint.

En la tabla siguiente se resumen las ventajas y desventajas de cada uno de los proveedores de autenticación:

Ventajas Desventajas

Autenticación de Windows (con la autenticación Kerberos habilitada)

Funciona en los escenarios de implementación de un único servidor y multiservidor.

Admite el uso de las credenciales integradas de Windows para orígenes de datos externos.

No funciona con la autenticación NTLM en implementaciones multiservidor.

La autenticación de Windows (sin Kerberos habilitado) o la autenticación de formularios

Funciona con Kerberos y todos los escenarios sin la autenticación de Kerberos.

No admite las credenciales integradas de Windows para orígenes de datos externos.

Enviar solicitudes a un servidor de informes

Todas las solicitudes de un elemento u operación del servidor de informes deben ser solicitudes autenticadas válidas. El proveedor de autenticación que utilice determinará la forma en que se procesará la solicitud.

Seguridad integrada de Windows

Si la aplicación Web de SharePoint se configura para la autenticación de Windows con la autenticación de Kerberos, la conexión de la aplicación Web de SharePoint al servidor de informes se realizará a través de las credenciales suplantadas o delegadas del usuario actual de Windows. En el siguiente diagrama se muestran las conexiones cuando un servidor de informes está configurado para la integración de SharePoint y la aplicación Web de SharePoint utiliza la autenticación de Windows con la autenticación de Kerberos habilitada.

Conexiones en el modo integrado de SharePoint

  • Conexión 1
    Un usuario obtiene acceso a un sitio de SharePoint mediante el testigo de usuario creado cuando el usuario inició sesión en la red. Contiene la identidad del usuario y la pertenencia a grupos. La aplicación Web de SharePoint autentica al usuario. El usuario solicita un elemento o una operación del servidor de informes.
  • Conexión 2
    La aplicación Web de SharePoint envía el testigo y la solicitud al servidor de informes. La solicitud de conexión se envía mediante la identidad de Windows del usuario. El servidor de informes valida si el usuario tiene permiso para obtener acceso al servidor de informes.
  • Conexión 3
    Si la validación es correcta, el servidor de informes comprobará si el usuario tiene permiso para obtener acceso al elemento o a la operación.

    Un servidor de informes utiliza una extensión de seguridad interna para comprobar los permisos de usuario. El servidor de informes utiliza la extensión para llamar al modelo de objetos de Windows SharePoint Services con objeto de comprobar los permisos almacenados en las bases de datos de contenido de SharePoint. No puede configurar ni administrar esta extensión de seguridad. Se trata de un componente interno utilizado para servidores de informes que se ejecutan en el modo integrado de SharePoint.

    Si el usuario tiene permiso para obtener acceso al informe o a otro objeto u operación, se atiende la solicitud.

Mediante el uso de la seguridad integrada de Windows, puede eliminar el clásico problema del "salto doble", donde las credenciales de Windows caducan tras una única conexión. Su uso también permite expandir el conjunto de opciones que tiene a su disposición al configurar conexiones de orígenes de datos para informes y modelos. Si la identidad de usuario de Windows se utiliza para establecer una conexión con el servidor de informes, el servidor de informes puede utilizar dicha identidad durante el procesamiento de informes para recuperar datos de orígenes de datos externos. Esto significa que al establecer las propiedades del origen de datos en un informe, puede seleccionar la opción Seguridad integrada de Windows para la conexión al origen de datos. Para obtener más información, vea Especificar información de conexión y credenciales en los Libros en pantalla de SQL Server.

Autenticación de Windows o de formularios y cuentas de confianza

Si la aplicación Web de SharePoint se configura para la autenticación de formularios, la conexión al servidor de informes se envía a través de la red mediante una cuenta de confianza predefinida que tiene permiso para suplantar a un usuario de SharePoint en el servidor de informes. Se utiliza el mismo enfoque si la aplicación Web de SharePoint se configura para la autenticación de Windows y Kerberos no está habilitado. En el siguiente diagrama se muestran las conexiones cuando se utilizan cuentas de confianza e identidades de usuario de SharePoint.

Conexión del usuario y autenticación personalizada

  • Conexión 1
    Un usuario inicia sesión en un sitio de SharePoint. La aplicación Web de SharePoint autentica al usuario. La aplicación Web de SharePoint traduce la identidad de usuario a una identidad de usuario de SharePoint (SPUser). Se crea un nuevo testigo de usuario para dicho usuario en el contexto de SPUser. Contiene la identidad del usuario y la pertenencia a grupos. El usuario solicita un elemento o una operación del servidor de informes.
  • Conexión 2
    La aplicación Web de SharePoint suplanta la identidad de usuario de SharePoint en la solicitud al servidor de informes. La solicitud de conexión que se envía utiliza una cuenta de confianza. La cuenta es la identidad de proceso de la aplicación Web de SharePoint.

    El servidor de informes valida si la solicitud de conexión proviene de una cuenta de confianza comparándola con la información de cuenta recuperada por el servidor de informes a partir de las bases de datos de configuración de SharePoint al iniciarse el servidor de informes. En un servidor de informes, la cuenta de confianza es un usuario de Windows con permiso para suplantar la aplicación Web de SharePoint. Sólo se utiliza para suplantar a SPUser. No se permite el acceso a los elementos ni a las operaciones del servidor de informes.

  • Conexión 3
    Si la validación es correcta, el servidor de informes comprobará si SPUser tiene permiso para obtener acceso al elemento o a la operación.

    El servidor de informes utiliza una extensión de seguridad interna para comprobar los permisos de usuario, llamar al modelo de objetos de Windows SharePoint Services y comprobar los permisos almacenados en las bases de datos de contenido de SharePoint. Si el usuario tiene permiso para obtener acceso al informe o a otro objeto u operación, se atiende la solicitud.

Caducidad de la cuenta y procesamiento de suscripciones

Cuando se crea una suscripción a un informe, el servidor de informes almacena la información de cuenta de SPUser para que pueda comprobar si el usuario tiene permiso para ver el informe en el momento de entrega. Si SPUser ha caducado, se producirá un error en la suscripción y se devolverá rsSharePointError. Una propiedad del conjunto de servidores denominada TokenTimeout determina durante cuánto tiempo tiene validez SPUser.

Configurar cuentas administrativas y de servicio para que usen cuentas de usuario de dominio únicas

Una implementación de una tecnología o un producto SharePoint usa varias cuentas para ejecutar servicios y obtener acceso a servidores front-end y back-end. Si especifica cuentas de dominio para su implementación, asegúrese de seguir las prácticas recomendadas y especifique cuentas que sólo use la aplicación Web de SharePoint. No configure una cuenta de servicio para que se ejecute en la cuenta de usuario de dominio de una personal real que tendrá acceso al sitio de SharePoint. Si obtiene acceso a un sitio de SharePoint mediante credenciales de servicio, puede producirse un error de acceso al abrir informes. Para obtener más información acerca de las recomendaciones y los requisitos de las cuentas de servicio, vea el tema sobre cuentas administrativas y de servicio (puede estar en inglés) en la documentación del producto de Windows SharePoint Services 3.0.

Prácticas recomendadas para configurar proveedores de autenticación en una implementación escalada

Si tiene una implementación escalada de Reporting Services y un producto o tecnología de SharePoint, y ha configurado diferentes proveedores de autenticación para el entorno, podría encontrar problemas al autenticar a los usuarios. Por ejemplo, si el entorno de informes utiliza la autenticación de formularios para las conexiones a Internet y la autenticación de Windows para las conexiones en la intranet, la solicitud se podría enrutar a un equipo front-end Web con un proveedor de autenticación que no coincida con el tipo de autenticación de la solicitud. Esto podría hacer que Reporting Services deniegue el acceso para la solicitud o la solicitud se podría ejecutar bajo la identidad de grupo de aplicaciones en lugar del usuario que realizó la solicitud.

Como práctica recomendada, los usuarios deberían utilizar direcciones URL diferentes para tener acceso al contenido de Internet e de la intranet. O bien puede configurar el archivo de hosts en los equipos front-end Web para invalidar la búsqueda del Sistema de nombres de dominio (DNS) asignando la dirección del Protocolo Internet (IP) del sitio expuesto a Internet a la dirección URL de Internet, de modo que DNS no enrute las solicitudes de la dirección URL de Internet a la URL de la intranet.

Cómo obtiene acceso el servidor de informes a las bases de datos de contenido de SharePoint

Tanto la aplicación Web de SharePoint como el servidor de informes se conectan a sus respectivas bases de datos para almacenar el estado de la aplicación y otros datos, pero el servidor de informes también debe conectarse a las bases de datos de SharePoint para almacenar y recuperar elementos, propiedades y valores de configuración. En el siguiente diagrama se muestran las conexiones del servidor a las distintas bases de datos.

Conexiones del servidor a almacenes de datos del servidor

Una aplicación Web de SharePoint puede utilizar una base de datos local o remota para el almacenamiento interno. Si las bases de datos de SharePoint se encuentran en equipos remotos, debe utilizarse una cuenta de dominio para la conexión.

Un servidor de informes puede utilizar una base de datos local o remota para el almacenamiento interno. Para cada uno de estos tipos, la conexión de base de datos puede realizarse mediante el uso de una cuenta de dominio, un inicio de sesión de SQL Server o una cuenta integrada, como Network Service o Local System.

Conexión del servidor de informes a las bases de datos de SharePoint

En Reporting Services, tanto el servicio Web como el servicio de Windows requieren acceso a las bases de datos de SharePoint. Las cuentas de servicio para ambos servicios se ejecutan como usuarios de confianza en una aplicación Web de SharePoint y se les concede permiso automáticamente para obtener acceso a las bases de datos de SharePoint.

La conexión se administra internamente; se configura cuando se utiliza Administración central de SharePoint para que una aplicación Web de SharePoint señale a un servidor de informes y para establecer las cuentas de confianza. A diferencia de la conexión del servidor de informes a sus propias bases de datos, que se puede establecer o modificar mediante la herramienta de configuración de Reporting Services, no se puede configurar ni administrar explícitamente la conexión del servidor de informes a las bases de datos de SharePoint.

La ejecución de un servidor de informes en el modo integrado de SharePoint introduce restricciones sobre la forma de configurar las cuentas de servicio en Reporting Services. Utilice las siguientes directrices a la hora de configurar cuentas de servicio:

  • Elija cuentas que tengan permisos de inicio de sesión en red si las cuentas de servicio del servidor de informes tienen que conectarse a las bases de datos de SharePoint en un equipo remoto.
  • Evite el uso de cuentas integradas (como Sistema local o Servicio de red) si el servidor de informes y las bases de datos de SharePoint se encuentran en un mismo equipo y la aplicación Web de SharePoint se encuentra en un equipo remoto. Cuando las bases de datos de SharePoint se ejecutan en un equipo remoto, la aplicación Web de SharePoint deniega explícitamente el acceso a las bases de datos por parte de las cuentas integradas definidas en el equipo remoto. Esto significa que todos los servicios que se ejecutan mediante cuentas integradas en dicho equipo no pueden conectarse a bases de datos de SharePoint.
  • Para el resto de las topologías que colocan los servidores y las bases de datos en el mismo equipo o en equipos distintos, las cuentas de servicio de Reporting Services pueden configurarse como cuentas de dominio o cuentas integradas.

Errores de conexión a las bases de datos de SharePoint

Si el servidor de informes no puede obtener acceso a las bases de datos de SharePoint y hay un error de configuración (por ejemplo, si las cuentas o contraseñas de servicio no son válidas o si no hay instalada una instancia local del modelo de objetos Windows SharePoint), se produce un error rsServerConfigurationError. Para el resto de los errores de conexión, se devuelve el error rsSharePointError, junto con información adicional sobre el error de la instancia local de Windows SharePoint Services.

Vea también

Tareas

Cómo establecer los permisos para los elementos del servidor de informes en un sitio de SharePoint

Conceptos

Usar la seguridad integrada de Windows SharePoint Services para los elementos del servidor de informes
Comparar funciones y tareas de Reporting Services con grupos y permisos de SharePoint
Almacenar y sincronizar el contenido del servidor de informes con bases de datos de SharePoint

Ayuda e información

Obtener ayuda sobre SQL Server 2005

Historial de cambios

Versión Historial

17 de noviembre de 2008

Contenido nuevo:
  • Se agregó una tabla con las ventajas y desventajas de los proveedores de autenticación en la sección Proveedores de autenticación en tecnologías de SharePoint.
  • Se agregó la sección nueva "Prácticas recomendadas para configurar proveedores de autenticación en una implementación escalada".