セキュリティ拡張機能のサンプル

[アーティクル]
12/15/2008

更新 : 2005 年 12 月 5 日

CustomSecurity サンプルセキュリティ拡張機能は、SQL Server とフォーム認証を使用して、Reporting Services と連動するカスタムセキュリティモデルを提供します。このサンプルは、Itanium ベースのオペレーティングシステムではサポートされていません。

SQL Server サンプルは、セットアップ中に自動的にインストールされません。これらのサンプルをインストールする方法の詳細については、「サンプルのインストール」を参照してください。

セキュリティメモ :
セキュリティ拡張機能のサンプルは、運用環境での配置やテストを行わないでください。異なるセキュリティ拡張機能に移行した後で Windows 認証に戻ることは、一般に推奨されません。これを行った場合、Windows 認証のセキュリティ記述子ではない、カスタムのセキュリティ記述子を持つレポートサーバーデータベースのアイテムにアクセスしようとしたときにエラーが発生する可能性があり、Windows 認証に戻るには、Reporting Services を再インストールして、Windows ユーザーのすべてのロールベースのセキュリティを手動で適用し直す必要が生じます。このサンプルを使用する前に、構成ファイルをバックアップしてください。

セキュリティ拡張機能のサンプルは、運用環境での配置やテストを行わないでください。異なるセキュリティ拡張機能に移行した後で Windows 認証に戻ることは、一般に推奨されません。これを行った場合、Windows 認証のセキュリティ記述子ではない、カスタムのセキュリティ記述子を持つレポートサーバーデータベースのアイテムにアクセスしようとしたときにエラーが発生する可能性があり、Windows 認証に戻るには、Reporting Services を再インストールして、Windows ユーザーのすべてのロールベースのセキュリティを手動で適用し直す必要が生じます。このサンプルを使用する前に、構成ファイルをバックアップしてください。

重要 :
サンプルは、学習に使用することのみを目的に提供されています。これらは、運用環境での使用を目的としたものではなく、運用環境でのテストも実施されていません。マイクロソフトからは、これらのサンプルについてのテクニカルサポートは提供されません。サンプルアプリケーションおよびサンプルアセンブリは、システム管理者の許可なしに、運用中の SQL Server データベースやレポートサーバーに接続しないようにしてください。

サンプルは、学習に使用することのみを目的に提供されています。これらは、運用環境での使用を目的としたものではなく、運用環境でのテストも実施されていません。マイクロソフトからは、これらのサンプルについてのテクニカルサポートは提供されません。サンプルアプリケーションおよびサンプルアセンブリは、システム管理者の許可なしに、運用中の SQL Server データベースやレポートサーバーに接続しないようにしてください。

必要条件

CustomSecurity サンプルを実行するには、Visual Studio および Visual C# または Visual Basic について理解し、次のアプリケーションをインストールしておく必要があります。

Microsoft Visual Studio 2005 または互換性のある開発環境 (プロジェクトファイル表示用)。
Microsoft .NET Framework Version 2.0。
SQL Server 2005 (Reporting Services を含む)。
Reporting Services のサンプル。
アクセス権を持つネットワーク上のレポートサーバー (このサンプル拡張機能を使用して、他のデータ処理機能をサーバーに追加する場合)。

場所

既定では、このサンプルは Reporting Services サンプルディレクトリの Extension Samples\FormsAuthentication Sample サブディレクトリにあります。

C:\Program Files\Microsoft SQL Server\90\Samples\Reporting Services\Extension Samples\FormsAuthentication Sample

サンプルのビルド

まず、拡張機能のコンパイルとインストールを行う必要があります。この手順は、Reporting Services が既定の場所である C:\Program Files\Microsoft SQL Server\MSSQL.3\Reporting Services にインストールされていることを前提としています。このトピックではこれ以降、この場所を <インストール> と呼びます。

強力な名前のキーファイルをまだ作成していない場合は、次の指示に従ってキーファイルを生成してください。

厳密な名前のキーファイルを生成するには

Microsoft Visual Studio 2005 コマンドプロンプトを開きます。[スタート] メニューの [すべてのプログラム] をポイントし、[Microsoft .NET Framework SDK 2.0] をポイントします。次に、[SDK コマンドプロンプト] をクリックします。

-- または --

Microsoft .NET Framework コマンドプロンプトを開きます。[スタート] メニューの [すべてのプログラム] をポイントし、[Microsoft .NET Framework SDK 2.0] をポイントします。次に、[SDK コマンドプロンプト] をクリックします。

ディレクトリの移動コマンド (CD) を使用して、コマンドプロンプトウィンドウの現在のディレクトリから、サンプルがインストールされているフォルダに移動します。

注 :
サンプルが配置されているフォルダを調べるには、[スタート] ボタンをクリックし、[すべてのプログラム]、[Microsoft SQL Server]、[マニュアルとチュートリアル] の順にポイントして、[サンプルディレクトリ] をクリックします。既定のインストール場所を使用している場合、サンプルは <system_drive>:\Program Files\Microsoft SQL Server\100\Samples にあります。

サンプルが配置されているフォルダを調べるには、[スタート] ボタンをクリックし、[すべてのプログラム]、[Microsoft SQL Server]、[マニュアルとチュートリアル] の順にポイントして、[サンプルディレクトリ] をクリックします。既定のインストール場所を使用している場合、サンプルは <system_drive>:\Program Files\Microsoft SQL Server\100\Samples にあります。

コマンドプロンプトで、次のコマンドを実行してキーファイルを生成します。

sn -k SampleKey.snk

重要 :
厳密な名前のキーペアの詳細については、MSDN の .NET Development Center にある「Security Briefs: Strong Names and Security in the .NET Framework」を参照してください。

Visual Studio 2005 を使用してこのサンプルをコンパイルするには

Microsoft Visual Studio 2005 で CustomSecurity.sln を開きます。サンプルを既定の場所にインストールした場合、このファイルは C:\Program Files\Microsoft SQL Server\MSSQL\Reporting Services\Samples\Extensions に配置されています。
ソリューションエクスプローラで、CustomSecurity プロジェクトを選択します。
[プロジェクト] メニューの [参照の追加] をクリックします。

[参照の追加] ダイアログボックスが表示されます。
[.NET] タブをクリックします。
[参照] をクリックし、ローカルドライブにある Microsoft.ReportingServices.Interfaces に移動します。既定では、アセンブリは <インストール>\ReportServer\bin ディレクトリにあります。[OK] をクリックします。

選択した参照が、プロジェクトに追加されます。
[ビルド] メニューの [ソリューションのビルド] をクリックします。

サンプルの配置

サンプルがコンパイルされた後、レポートサーバーの適切なサブディレクトリに DLL と ASPX ページをコピーする必要があります。

サンプルを配置するには

Microsoft.Samples.ReportingServices.CustomSecurity.dll と Microsoft.Samples.ReportingServices.CustomSecurity.pdb を <インストール>\ReportServer\bin ディレクトリにコピーします。
Microsoft.Samples.ReportingServices.CustomSecurity.dll と Microsoft.Samples.ReportingServices.CustomSecurity.pdb を <インストール>\ReportManager\bin ディレクトリにコピーします。
Logon.aspx ページを <インストール>\ReportServer ディレクトリにコピーし、UILogon.aspx ページを <インストール>\ReportManager\Pages ディレクトリにコピーします。

アセンブリとログオンページがサーバーにコピーされた後、レポートサーバーとレポートマネージャの構成ファイルにいくつかの変更を行う必要があります。

重要 :
変更を行う前に、すべての構成ファイルのバックアップコピーを作成してください。

RSReportServer.config ファイルを変更するには

Visual Studio 2005 またはメモ帳などのシンプルテキストエディタを使って RSReportServer.config ファイルを開きます。RSReportServer.config は <インストール>\ReportServer ディレクトリにあります。

<Security> 要素と <Authentication> 要素を検索して、次のように設定を変更します。

<Security>
   <Extension Name="Forms" 
Type="Microsoft.Samples.ReportingServices.CustomSecurity.Authorization, 
Microsoft.Samples.ReportingServices.CustomSecurity" >
      <Configuration>
         <AdminConfiguration>
            <UserName>username</UserName>
         </AdminConfiguration>
      </Configuration>
   </Extension>
</Security>
<Authentication>
   <Extension Name="Forms" 
Type="Microsoft.Samples.ReportingServices.CustomSecurity.AuthenticationExtension,
 Microsoft.Samples.ReportingServices.CustomSecurity" />
</Authentication>

.NET Framework セキュリティと Reporting Services の詳細については、「Reporting Services のコードアクセスセキュリティの理解」を参照してください。

RSWebApplication.config ファイルを変更するには

次に、<インストール>\ReportManager ディレクトリにある、レポートマネージャ構成ファイルの RSWebApplication.config を開きます。

<UI> 要素を検索して、次のように変更します。

<UI>
   <CustomAuthenticationUI>
      <loginUrl>/Pages/UILogon.aspx</loginUrl>
         <UseSSL>True</UseSSL>
   </CustomAuthenticationUI>
   <ReportServerUrl>http://<server>/ReportServer</ReportServerUrl>
</UI>

メモ :
Secure Sockets Layer (SSL) 証明書がインストールされていない開発環境でサンプルセキュリティ拡張機能を実行する場合、上記の構成エントリの <UseSSL> 要素の値を False に変更する必要があります。Reporting Services とフォーム認証を組み合わせる場合、常に SSL を使用することを推奨します。

拡張機能に対して FullTrust 権限を付与するカスタムセキュリティ拡張機能にコードグループを追加する必要があります。これは、rssrvpolicy.config ファイルにコードグループを追加することによって行います。

RSSrvPolicy.config ファイルを変更するには

<インストール>\ReportServer ディレクトリにある rssrvpolicy.config ファイルを開きます。

セキュリティポリシーファイル内で、以下に示すように URL メンバシップが $CodeGen である既存のコードグループを探し、下のエントリを rssrvpolicy.config に追加します。

メモ :
Analysis Services がインストールされている場合は、`Url="C:\Program Files\Microsoft SQL Server\MSSQL.2\Reporting Services\ReportServer\bin\Microsoft.Samples.ReportingServices.CustomSecurity.dll` を `MSSQL.3` に変更する必要があります。

<CodeGroup
   class="UnionCodeGroup"
   version="1"
   PermissionSetName="FullTrust">
   <IMembershipCondition 
      class="UrlMembershipCondition"
      version="1"
      Url="$CodeGen$/*"
   />
</CodeGroup>
<CodeGroup
   class="UnionCodeGroup"
   version="1"
   Name="SecurityExtensionCodeGroup"
   Description="Code group for the sample security extension"
   PermissionSetName="FullTrust">
   <IMembershipCondition 
      class="UrlMembershipCondition"
      version="1"
      Url="C:\Program Files\Microsoft SQL Server\MSSQL.2\Reporting Services\ReportServer\bin\Microsoft.Samples.ReportingServices.CustomSecurity.dll"
   />
</CodeGroup>

メモ :
単純にするために、フォーム認証サンプルは弱い名前が付けられ、セキュリティポリシーファイルに簡単な URL メンバシップエントリが必要とされます。実稼働セキュリティ拡張機能実装では、アセンブリにセキュリティポリシーを追加するときに、厳密な名前のアセンブリを作成して、厳密な名前のメンバシップ条件を使用する必要があります。厳密な名前のアセンブリの詳細については、MSDN の「厳密な名前付きアセンブリの作成と使用」を参照してください。

単純にするために、フォーム認証サンプルは弱い名前が付けられ、セキュリティポリシーファイルに簡単な URL メンバシップエントリが必要とされます。実稼働セキュリティ拡張機能実装では、アセンブリにセキュリティポリシーを追加するときに、厳密な名前のアセンブリを作成して、厳密な名前のメンバシップ条件を使用する必要があります。厳密な名前のアセンブリの詳細については、MSDN の「厳密な名前付きアセンブリの作成と使用」を参照してください。

次に、レポートマネージャポリシーファイルで "My Computer " コードグループの権限を増やす必要があります。

RSMgrPolicy.config ファイルを変更するには

<インストール>\ReportManager ディレクトリにある、レポートマネージャポリシーファイルの rsmgrpolicy.config を開きます。

rsmgrpolicy.config で次のコードグループを検索し、次のようにして、Execution から FullTrust に PermissionSetName 属性を変更します。

<CodeGroup 
        class="FirstMatchCodeGroup" 
        version="1" 
        PermissionSetName="FullTrust"
        Description="This code group grants MyComputer code Execution 
permission. ">
    <IMembershipCondition 
            class="ZoneMembershipCondition"
            version="1"
            Zone="MyComputer" />

フォーム認証を使用するには、認証モードの変更と権限の借用の無効化を行うため、レポートマネージャとレポートサーバーの Web.config ファイルを変更する必要があります。

レポートサーバーの Web.config ファイルを変更するには

テキストエディタで Web.config ファイルを開きます。既定では、ファイルは <インストール>\ReportServer ディレクトリにあります。
<identity> 要素を検索して、Impersonate 属性を false に設定します。
```
<identity impersonate="false" />
```
<authentication> 要素を検索して、Mode 属性を Forms に変更します。
次の <forms> 要素を <authentication> 要素の子要素として追加し、loginUrl、name、timeout、および path 属性を次のように変更します。
```
<authentication mode="Forms">
   <forms loginUrl="logon.aspx" name="sqlAuthCookie" timeout="60" 
               path="/"></forms>
   </authentication>
```
<authentication> 要素の直後に、次の <authorization> 要素を追加します。
```
<authorization> 
   <deny users="?" />
</authorization>
```
これにより、レポートサーバーへのアクセス権が認証されていないユーザーを拒否します。上で設定した <authentication> 要素の loginUrl 属性により、認証されていない要求が Logon.aspx ページにリダイレクトされます。

レポートマネージャの Web.config ファイルを変更するには

レポートマネージャの Web.config を開きます。これは、<インストール>\ReportManager ディレクトリにあります。
セクション <identity impersonate= "true" /> を検索して <identity impersonate="false" /> に変更することによって、権限の借用を無効化します。

匿名認証の構成

既定では、Windows ユーザーグループの Guest には、IUSR_computername アカウントが含まれます。このアカウントは、最初のログオンでローカルに使用され、Logon.aspx ページに表示されます。フォーム認証をサポートするには、ReportServer 仮想ディレクトリへの匿名アクセスを有効にする必要があります。既定では、匿名アクセスは無効です。

匿名認証を有効にするには

インターネットインフォメーションサービスで、ReportServer 仮想ディレクトリ (通常は [既定の Web サイト] のメンバ) を選択し、[プロパティ] ダイアログボックスを表示します。
[ディレクトリセキュリティ] タブをクリックします。
[匿名アクセスおよび認証コントロール] セクションで、[編集] をクリックします。

[認証方法] ダイアログボックスが表示されます。
[匿名アクセス] チェックボックスをオンにします。
[OK] をクリックします。

Reports 仮想ディレクトリで、上記の手順を繰り返します。

UserAccounts データベースの作成

サンプルには、SQL Server データベースの Forms サンプルに対してユーザーストアをセットアップできるようにする、データベーススクリプトの createuserstore.sql が含まれています。

UserAccounts データベースを作成するには

SQL Server Management Studio を起動して、SQL Server のローカルインスタンスに接続します。
createuserstore.sql SQL スクリプトファイルを探します。スクリプトファイルは、サンプルプロジェクトファイル内に含まれます。
スクリプトの終わりにある "LocalMachine" を探し、ユーザーのコンピュータ名に置き換えます。Windows 2003 ユーザーの場合は、LocalMachine\ASPNET を NT AUTHORITY\NETWORK SERVICE に置き換えます (IIS 5 互換モードの場合を除く)。
クエリを実行して UserAccounts データベースを作成します。
SQL Server Management Studio を終了します。

サンプルのテスト

次の手順で、サンプル拡張機能をテストします。UserAccounts データベースの users テーブルに、ユーザー名、パスワードハッシュ、および salt 値を追加するための管理者ユーザーを登録する必要があります。レポートサーバー構成ファイルにユーザー名を入力する必要もあります。パスワード検証ルーチンの正しい操作と、レポートサーバーによる拡張機能アセンブリの正しい読み込みを確実に行うため、同じユーザーでログオンします。

レポートプロジェクトを作成するには

コマンドプロンプトで Iisreset.exe を実行して IIS を再起動します。
レポートマネージャを開きます。これは、Reporting Services のプログラムメニュー、またはブラウザから Reports 仮想ディレクトリにアクセスすることによって行います。
ユーザー名とパスワードを入力し、[ユーザーの登録] をクリックして accounts データベースにユーザーを追加します。

RSReportServer.config ファイルを開きます。<Security> 要素を検索して、上で登録したユーザー名を次のように追加します。

<Security>
   <Extension Name="Forms" 
Type="Microsoft.Samples.ReportingServices.CustomSecurity.Authorization, 
Microsoft.Samples.ReportingServices.CustomSecurity" >
      <Configuration>
         <AdminConfiguration>
            <UserName>username</UserName>
         </AdminConfiguration>
      </Configuration>
   </Extension>
</Security>

UILogon.aspx ページに戻り、ユーザー名とパスワードを再入力して、[ログオン] をクリックします。

レポートマネージャとレポートサーバーには制限なくアクセスできる必要があります。作成する管理者ユーザーは、ローカルコンピュータのこれらの組み込み管理者アカウントに対して、レポートサーバー上の権限と同じ権限を持ちます。このサンプルでは、管理者として指定できるのは 1 人のユーザーだけです。組み込み管理者アカウントを持つと、レポートサーバーでの追加ユーザーの登録やロールの割り当てを行うことができます。

メモ :
レポートサーバーの公式なシステム管理者とコンテンツマネージャ (ルートフォルダ) のロールに管理者ユーザーを追加する必要があります。これにより、空のセキュリティ記述子がレポートサーバーデータベースに存在することを防ぎます。システム管理者とコンテンツマネージャのロールの詳細については、「定義済みロールの概要」を参照してください。

レポートサーバーの公式なシステム管理者とコンテンツマネージャ (ルートフォルダ) のロールに管理者ユーザーを追加する必要があります。これにより、空のセキュリティ記述子がレポートサーバーデータベースに存在することを防ぎます。システム管理者とコンテンツマネージャのロールの詳細については、「定義済みロールの概要」を参照してください。

カスタムセキュリティでの Web サービスの使用

Windows 認証と同様に、フォーム認証で Web サービス API を使用できます。ただし、Web サービスコードで LogonUser を呼び出して、現在のユーザーの資格情報を渡す必要があります。さらに、Web サービスクライアントは、Internet Explorer や他の Web ブラウザによって提供される、自動 Cookie 管理を利用できません。Cookie 管理を含めるには、Microsoft.ReportingServices プロキシクラスを拡張します。これは、Web サービスクラスの GetWebRequest メソッドと GetWebResponse メソッドを上書きすることによって行います。

サンプル拡張機能のデバッグ

デバッガでのサンプル拡張機能の実行は、問題のトラブルシューティングを行うための優れた方法であるだけでなく、コードのステップ実行や、レポートサーバーの認証と承認プロセスで何が起こっているかを参照するための効果的な方法でもあります。

Microsoft .NET Framework は、サンプルコードの分析に役立つ、いくつかのデバッグツールを提供しています。次の手順では、Visual Studio 2005 を使用して上記のサンプルをデバッグします。

フォーム認証サンプルコードをデバッグするには

Visual Studio を起動し、テストレポートサーバーの CustomSecurity.sln を開きます。
Visual Studio でサンプルコードを開いたまま、Internet Explorer を開いて Report Manager に移動します。
Visual Studio に切り換えて、カスタムセキュリティ拡張機能プロジェクトコードにいくつかのブレークポイントを設定します。
アクティブウィンドウのままの拡張機能プロジェクトで、[デバッグ] メニューから [処理] をクリックします。

[処理] ダイアログボックスが表示されます。
処理の一覧から、Aspnet_wp.exe (アプリケーションが IIS 6.0 で配置されている場合は W3wp.exe) 処理を選択し、[アタッチ] をクリックします。
[プロセスにアタッチ] ダイアログボックスで、プログラムの種類に [共通言語ランタイム] を選択して [OK] をクリックします。デバッグパフォーマンスを向上させるには、プログラムの種類に [ネイティブ] を選択しないようにしてください。
サンプルを実行するときに、ログオンフォームが表示されます。ログオンフォームにユーザー資格情報を入力して、[ログオン] をクリックします。

デバッガは、処理中にブレークポイントを検出すると、その時点で実行を停止します。
F11 キーを使用して、コードをステップ実行します。Visual Studio を使用するデバッグの詳細については、Visual Studio 2005 のドキュメントを参照してください。

メモ :
この方法のデバッグには、多くのリソースとプロセッサ時間が必要です。問題が発生した場合、Visual Studio を終了して IIS をリセットし、ASP.NET ワーカープロセスへの CustomSecurity ソリューションのアタッチと、レポートマネージャへのログオンを行って再開します。

サンプル拡張機能の削除

一般には推奨されませんが、サンプルを試した後で Windows 認証に戻すことも可能です。

Windows セキュリティに戻すには

バックアップコピーから、Web.config、RSReportServer.config、および RSWebApplication.config ファイルを復元します。これらのファイルの、レポートサーバーの認証と承認の方法を既定の Windows セキュリティに設定します。また、これらのファイルの、レポートサーバーまたはレポートマネージャの構成ファイルの拡張機能のために作成したすべてのエントリを削除します。
レポートサーバー仮想ディレクトリに対するインターネットインフォメーションサービスの匿名アクセスを無効にします。

構成ファイルが削除された後、セキュリティ拡張機能はレポートサーバーに対して使用できなくなります。サンプルセキュリティ拡張機能でレポートサーバーを実行している間は、作成したセキュリティ記述子を削除しないでください。Windows 認証が有効になったとき、レポートサーバーは、レポートサーバーがホストするコンピュータの BUILTIN\Administrator グループにシステム管理者ロールを自動的に割り当てます。ただし、Windows ユーザーのすべてのロールベースのセキュリティを手動で適用し直すことになります。

異なるセキュリティ拡張機能に移行した後で Windows 認証に戻ることは、一般に推奨されないことに注意してください。これを行った場合、Windows 認証のセキュリティ記述子ではない、カスタムのセキュリティ記述子を持つレポートサーバーデータベースのアイテムにアクセスしようとしたときにエラーが発生する可能性があります。

参照

変更履歴

リリース	履歴
2005 年 12 月 5 日	変更内容 : キーファイルの名前や場所など、キーファイルを生成する手順を変更しました。