Поделиться через


Настройка проверки подлинности для служб Reporting Services

Добавления: 12 декабря 2006 г.

В службах Reporting Services процесс проверки подлинности управляется службами IIS. Службы Reporting Services используют метод проверки подлинности, который устанавливается на уровне виртуального каталога для проверки подлинности соединений пользователя с сервером отчетов. В большинстве случаев тип проверки подлинности наследуется от родительского веб-узла, но можно указать другой тип проверки подлинности на виртуальном каталоге.

Службы Reporting Services работают со следующими методами проверки подлинности в IIS:

  • встроенная проверка подлинности Windows;
  • обычная проверка подлинности;
  • анонимная проверка подлинности, рекомендуется только для перенаправления запроса входа к стороннему или пользовательскому поставщику проверки подлинности, основанной на формах.

Дайджест-проверка подлинности и проверка подлинности .NET Passport не поддерживается в службах Reporting Services.

При разработке приложений, которые интегрируются со службами Reporting Services, необходимо знать, как выполняется проверка подлинности вызова веб-службы сервера отчетов. Дополнительные сведения см. в разделе Web Service Authentication.

Параметры проверки подлинности по умолчанию

По умолчанию сервер отчетов и виртуальные каталоги диспетчера отчетов настраиваются для использования встроенной проверки подлинности Windows. Анонимный доступ в виртуальный каталог не допускается. Никакие другие методы проверки подлинности не выбраны.

Если используется механизм обеспечения безопасности по умолчанию, каждый пользователь, обращающийся к серверу отчетов, должен иметь правильную учетную запись Windows или входить в группу Windows. В группу можно включать учетные записи, относящиеся к другим доменам, если эти домены являются доверенными. Учетные записи должны иметь доступ к веб-серверу, на котором размещен сервер отчетов. Чтобы им стали доступны специфические операции сервера отчетов, им впоследствии нужно назначить роли.

Настройки по умолчанию работают лучше всего, если клиентский и серверный компьютер находятся в одном и том же домене или в доверенном домене, тип обозревателя поддерживает встроенную проверку подлинности Windows, а сервер отчетов разворачивается для доступа из внутренней сети, защищенной корпоративным брандмауэром. Если поддерживается интернет-доступ к серверу отчетов или используется безопасность рабочих групп, то, вероятнее всего, необходимо изменить настройки по умолчанию.

Для передачи учетных данных Windows необходимо использовать доверенные и одиночные домены. Учетные данные можно передавать несколько раз только в том случае, если для серверов включен протокол Kerberos версии 5. Если протокол Kerberos не включен, учетные данные можно передать только один раз до истечения срока их действия. Дополнительные сведения о настройке учетных данных для нескольких соединений с компьютером см. в разделе Указание учетных данных и сведений о соединении.

Bb283249.note(ru-ru,SQL.90).gifПримечание.
Если веб-узел, который содержит виртуальный каталог сервера отчетов, настроен для проверки подлинности Kerberos и используется учетная запись пользователя домена в пуле приложений, то, возможно, потребуется создать основное имя службы для учетной записи. Дополнительные сведения см. на странице Настройка ограниченного делегирования для Kerberos (службы IIS 6.0) на веб-узле Microsoft TechNet.

Обзор типов проверки подлинности

Проверку подлинности при подключении пользователей к серверу отчетов и диспетчеру отчетов выполняет сервер IIS. Сервер IIS поддерживает следующие режимы проверки подлинности.

  • Встроенная проверка подлинности Windows с помощью олицетворяемых или делегированных учетных данных
    При соединении с сервером отчета используются зашифрованные учетные данные домена текущего пользователя. По умолчанию для защиты виртуальных каталогов сервера отчетов и диспетчера отчетов используется проверка подлинности Windows (встроенный механизм обеспечения безопасности). Программа установки и программа настройки служб Reporting Services всегда конфигурируют систему безопасности каталогов так, чтобы использовался этот метод. Если в домене включена проверка подлинности Kerberos, то текущий паспорт безопасности можно также использовать для соединения с внешними источниками данных, которые предоставляют данные для отчета.
  • Обычная проверка подлинности
    Соединение с сервером отчета с помощью заранее назначенного имени и пароля учетной записи Windows. При обычной проверке подлинности имя пользователя и пароль передаются в виде обычного текста. Однако можно усилить безопасность при передаче, используя протокол SSL для шифрования сведений учетной записи пользователя до того, как они отправятся по сети.

    SSL обеспечивает зашифрованный канал для отправки запроса на соединение с клиента на сервер отчетов по соединению HTTP TCP/IP. Дополнительные сведения см. в разделе Использование SSL для шифрования конфиденциальных данных на веб-узле Microsoft TechNet.

  • Анонимный доступ
    Соединение с сервером отчетов для всех пользователей выполняется под учетной записью Windows для анонимного доступа. В службах IIS это учетная запись IUSR_<имя_компьютера> по умолчанию. У пользователей не запрашивается имя пользователя или пароль. Анонимный доступ может применяться только при использовании пользовательского модуля безопасности. Если применяется нестандартная проверка подлинности, использовать анонимный доступ к виртуальному каталогу сервера отчетов не рекомендуется. Это объясняется тем, что невозможно будет изменять назначения ролей каким-либо благоразумным способом. Все пользователи будут получать доступ к серверу отчетов под анонимной учетной записью, и ни у одного не будет разрешения администрировать сервер отчетов с помощью диспетчера отчетов.

Изменение параметров проверки подлинности

Службы Reporting Services по умолчанию используют встроенную проверку подлинности Windows. Чтобы использовать другого поставщика проверки подлинности, укажите свойства безопасности каталога с помощью диспетчера служб IIS.

  1. Откройте диспетчер IIS.
  2. Щелкните правой кнопкой мыши виртуальный каталог сервера отчетов и выберите пункт Свойства.
  3. Перейдите на вкладку Безопасность каталога.
  4. В области Проверка подлинности и управление доступом нажмите кнопку Редактировать, чтобы открыть диалоговое окно «Методы проверки подлинности».
  5. (Не обязательно) Снимите флажок Встроенная проверка подлинности Windows.
    Если виртуальный каталог сервера отчетов настроен как для проверки подлинности Windows, так и для обычной проверки подлинности, то сервер отчетов сначала попробует проверку подлинности Windows. Чтобы использовать только обычную проверку подлинности, необходимо снять флажок Встроенная проверка подлинности Windows.
  6. Установите флажок Обычная проверка подлинности.
  7. Установите домен по умолчанию или область, используемую для проверки подлинности клиентов веб-сервера.

Не включайте анонимный доступ, если только не производится развертывание нестандартного модуля проверки подлинности или не включается доступ к построителю отчетов через сервер отчетов, настроенный для обычной проверки подлинности. Не включайте дайджест-проверку подлинности или проверку подлинности Passport; они не поддерживаются в службах Reporting Services.

При настройке метода проверки подлинности для сервера отчетов убедитесь, что для всех компонентов используется один и тот же метод. Не указывайте другой способ проверки подлинности для диспетчера отчетов. В этом случае пользователям придется предоставить различные учетные данные входа для операций сервера отчетов и диспетчера отчетов. Аналогично, тип проверки подлинности для построителя отчетов должен совпадать с поставщиком проверки подлинности, используемым сервером отчетов, кроме случаев, когда сервер отчетов настраивается на использование обычной проверки подлинности. При использовании обычной проверки подлинности необходимо разрешить анонимный доступ в папку построителя отчетов, чтобы перенаправить запрос на соединение средству запуска приложений ClickOnce. Дополнительные сведения см. в разделе Настройка сервера отчетов для доступа к построителю отчетов.

Дополнительные сведения о включении обычной проверки подлинности и выборе типа проверки подлинности в службах IIS см. в разделах Включение обычной проверки подлинности и настройка имени области и Выбор метода проверки подлинности веб-узла на веб-узле Microsoft TechNet.

Настройка проверки подлинности при доступе к серверу из экстрасети и Интернета

При развертывании моделей, требующих доступ к серверу из Интернета или экстрасети, применять встроенную проверку подлинности Windows в большинстве случаев непрактично. При развертывании служб Reporting Services на веб-сервере, доступном из Интернета, проверку подлинности Windows следует заменить нестандартной проверкой подлинности, обеспечивающей больший контроль предоставления доступа к серверу отчетов внешним пользователям. Чтобы создать нестандартный модуль проверки подлинности, необходимо написать определенный код и хорошо разбираться в системе безопасности ASP.NET. Дополнительные сведения см. в разделе Implementing a Security Extension.

Если не нужно создавать нестандартный модуль проверки подлинности, можно использовать группы и учетные записи Microsoft Active Directory, но это связано со значительным уменьшением области развертывания сервера отчетов. Чтобы реализовать этот подход, выполните следующее.

  • Создайте учетную запись пользователя домена с узким диапазоном прав, обладающую только разрешениями чтения данных. Эта учетная запись должна иметь доступ к компьютеру, на котором выполняется сервер отчетов. Создайте пользовательскую веб-форму, чтобы пользователи могли зарегистрироваться на сервере, используя учетную запись домена с узким диапазоном прав.
  • Создайте назначение ролей, сопоставляющее учетную запись пользователя со специфическими элементами иерархии папок на сервере отчетов. Можно ограничить доступ к серверу только операциями чтения, выбрав в качестве назначения роли предопределенную роль Обозреватель.
  • Настройте отчеты так, чтобы при получении данных отчета использовались сохраненные учетные данные. Этот подход полезен, если нужно запрашивать внешний источник данных, используя учетную запись, отличную от той, которая предоставляет доступ к серверу отчетов. Дополнительные сведения об этих параметрах см. в разделе Указание учетных данных и сведений о соединении.

См. также

Основные понятия

Управление разрешениями и безопасностью служб Reporting Services
Создание, изменение и удаление назначений ролей
Указание учетных данных и сведений о соединении
Соединения и учетные записи при развертывании служб Reporting Services
Настройка сервера отчетов для соединений по протоколу SSL
Настройка сервера отчетов для доступа к построителю отчетов

Другие ресурсы

Implementing a Security Extension

Справка и поддержка

Получение помощи по SQL Server 2005