Authentification par revendications et Reporting Services
Les produits SharePoint 2010 prennent en charge l'authentification par revendications. SQL Server 2008 R2 Reporting Services en mode intégré SharePoint fonctionnera avec une application Web compatible avec les revendications SharePoint, à l'aide de l'authentification Compte approuvé et des jetons utilisateur SharePoint. Pour plus d'informations générales sur l'authentification basée sur les revendications, consultez Vue d'ensemble de l'identité basée sur les revendications (en anglais). Pour plus d'informations sur l'authentification SharePoint 2010, consultez Planifier des méthodes d'authentification.
Comment un serveur de rapports communique-t-il avec l'authentification par revendications ?
Les étapes de base suivantes se produisent lorsqu'un serveur de rapports et le proxy Reporting Services se connectent à un serveur Web frontal (WFE) compatible avec les revendications.
Le WFE compatible avec les revendications effectue l'authentification par revendications appropriée et, à l'aide du Service d'émission de jetons sécurisé de SharePoint, communique les jetons de revendications au proxy Reporting Services qui se trouve sur le WFE SharePoint.
Le proxy Reporting Services sur le WFE utilise les jetons de revendications pour générer un jeton utilisateur SharePoint qu'il envoie au serveur de rapports.
Le serveur de rapports lui-même demeure incompatible avec les revendications et n'effectue aucune authentification par revendications ni conversion aux revendications particulière. Il utilise le jeton utilisateur SharePoint que le proxy Reporting Services lui a envoyé.
En fonction du jeton utilisateur SharePoint, le serveur de rapports utilise le modèle objet local de SharePoint pour générer le contexte correct utilisateur SharePoint.
Le serveur de rapports renvoie à SharePoint les informations demandées, un rapport rendu par exemple, à l'aide du contexte utilisateur SharePoint approprié.
Conversion d'applications Web à l'authentification basée sur les revendications
SharePoint 2010 permet aux utilisateurs de convertir les applications Web SharePoint 2010 existantes à l'authentification basée sur les revendications. Les applications Web qui utilisent l'authentification non-Windows et qui ont été mises à niveau en SharePoint 2010 à partir d'une version antérieure de SharePoint devront être converties si l'authentification basée sur les revendications est nécessaire.
Pour plus d'informations sur la conversion d'applications Web à l'authentification par revendications, consultez Configurer l'authentification basée sur les formulaires pour une application Web basée sur les revendications (SharePoint Server 2010).
Configuration de Reporting Services pour prendre en charge les applications Web compatibles avec les revendications
Les modifications suivantes dans la configuration de Reporting Services sont requises pour prendre en charge les applications Web compatibles avec les revendications.
Configurez le ou les comptes de service Reporting Services pour accéder à l'application Web convertie. Utilisez la page Web Intégration de Reporting Services dans l'Administration centrale de SharePoint. Si vous utilisez un environnement Reporting Services dans un déploiement avec montée en puissance parallèle et si le serveur de rapports utilise des comptes de service différents, utilisez la page Web Ajouter le serveur de rapports à l'intégration dans l'Administration centrale de SharePoint, pour chaque serveur de rapports.
Pour les abonnements Reporting Services existants, utilisez rs.exe et des scripts avec l'API ChangeSubscriptionOwnerSOAP pour modifier les propriétaires d'abonnement en utilisateurs appropriés, pris en charge par l'authentification par revendications.
Pour la sécurité de l'élément de modèle existant, utilisez la page Web Sécurité de l'élément de modèle ou un script avec l'API SetModelItemPolicies pour mettre à jour la liste des utilisateurs qui peuvent accéder en lecture aux éléments de modèles individuels, afin de les modifier en utilisateurs pris en charge par l'authentification par revendications.
Comportement de secours de l'authentification du complément Reporting Services pour les produits SharePoint 2010
La page d'intégration Reporting Services dans l'Administration centrale de SharePoint permet à l'utilisateur de configurer un mode d'authentification, Compte approuvé ou Authentification Windows. Cependant, l'environnement SharePoint peut contenir des applications Web qui reposent chacune sur des types d'authentification différents. Par exemple, une application Web peut être configurée pour l'authentification basée sur les revendications et une autre application Web pour l'authentification en mode classique. Le proxy Reporting Services installé par le complément est flexible et peut, dans certains scénarios, modifier les méthodes d'authentification.
Si l'intégration Reporting Services a été configurée pour l'authentification Windows, le proxy Reporting Services peut recourir à l'authentification approuvée lorsque le proxy détecte une application Web SharePoint configurée pour l'authentification basée sur les revendications.
Le tableau suivant récapitule le comportement de Reporting Services en fonction de l'authentification configurée pour l'intégration Reporting Services et une application Web SharePoint.
Page Intégration Reporting Services |
Configuration de l'application Web SharePoint 2010 |
Pris en charge |
|---|---|---|
Authentification Windows |
Authentification en mode classique |
Oui |
Compte approuvé |
Authentification basée sur les revendications |
Oui |
Compte approuvé |
Authentification en mode classique |
Oui |
Authentification Windows |
Authentification basée sur les revendications |
Oui. Le proxy Reporting Services recourra à l'utilisation de l'authentification Compte approuvé. |
Ce comportement de secours a pour effet secondaire que, dans certaines circonstances, l'authentification Windows est exigée. Par exemple, si un rapport utilise une source de données configurée pour la sécurité intégrée de Windows, un message d'erreur similaire à l'exemple suivant s'affiche. Le proxy Reporting Services a en effet détecté que l'application Web utilise l'authentification par revendications ; il a donc utilisé la solution de secours logique et la session se trouve dans le contexte de Compte approuvé :
Une erreur s'est produite lors du traitement du rapport. (rsProcessingAborted)
Impossible d'emprunter l'identité de l'utilisateur pour la source de données « MyDataSourceName ». (rsErrorImpersonatingUser)
Cette source de données est configurée pour utiliser la sécurité intégrée de Windows. La sécurité intégrée de Windows est désactivée pour ce serveur de rapports ou votre serveur de rapports utilise le mode Compte approuvé. (rsWindowsIntegratedSecurityDisabled)
Pour corriger ce problème, vous devez modifier la source de données pour utiliser des informations d'identification stockées.
Les clients Reporting Services ne prennent pas en charge l'authentification LiveID ni l'authentification par revendications SAML.
Les applications clientes Reporting Services : le Générateur de rapports, le Concepteur de rapports dans Business Intelligence Development Studio et Management Studio, ne prennent pas en charge la connexion et l'authentification avec des applications Web SharePoint basées sur LiveID ou sur les revendications SAML. Les clients peuvent fonctionner avec d'autres formes d'authentification par revendications, parce qu'ils utilisent le point de terminaison de l'authentification Reporting Services. Le point de terminaison autorise les clients à communiquer avec SharePoint par le biais des mêmes composants que ceux utilisés par l'authentification par formulaire ASP.NET. L'authentification par revendications SAML et l'authentification LiveID fonctionnent différemment et ne sont pas prises en charge par les clients Reporting Services.