Raporlama Servisleri SharePoint tümleşik modda için güvenlik Özet
SharePoint ile tümleşik modda çalıştırmak için rapor sunucusu yapılandırma rapor sunucusu kimlik doğrulaması kullanır sağlayıcı ve rapor sunucusu öğeleri ve işlemleri için erişimi denetlemek için SharePoint Web uygulamasında tanımlanan izinleri.
Erişim izni öğes ve işlemleri göreli olarak kullanıcı veya grup hesabı bir izin düzey ile eşleştirmek SharePoint güvenlik ilkeleri aracılığıyla verilen bir öğe.Kavramsal olarak, nasıl rol atamaları yerel mod rapor sunucusu dağıtımında burada rol ataması bir kullanıcı veya grup hesabı izin verilen görevlere göre bir öğe küme eşleştirir kullanıldığı için aynıdır.Çoğu rol tabanlı yetkilendirme modelleri ile ortak olarak, karmaşıklığı ve ilkeleri, çok sayıda saklama yükü azaltmak için izin devralmayı SharePoint güvenliğini sağlar.
Rapor sunucusu içerik türleri için bir SharePoint sitesi dağıtımı yapıyorsanız, aşağıdaki konuları bilmek gerekir:
Nasıl bağlantıları ve istekleri iki sunucu arasında yapılır.SharePoint Web uygulamasında kullanılan kimlik doğrulaması sağlayıcı, sonradan Windows tümleşik güvenlik seçeneği tarafından bir raporda kullanılan dış veri kaynaklarına erişmek için kullanıp kullanamayacağını belirler.
Varsayılan güvenlik eklemek, yönetmek ve rapor sunucusu öğeleri ve işlemleri erişmek için nasıl kullanılacağı.Daha fazla bilgi için bkz: Bir SharePoint sitesinde rapor sunucusu öğeleri üzerinde izinleri verme ve Windows SharePoint Services rapor sunucusu öğeleri için yerleşik güvenlik kullanma sql Server Books Online.
Nasıl varsayılan güvenlik izinlerini ayarlayarak belirli raporlar veya işlemi geçersiz kılar.Daha fazla bilgi için bkz: Nasıl yapılır: Rapor sunucusu öğeleri SharePoint sitesinde (Raporlama Hizmetleri SharePoint tümleşik modda) izinleri sql Server Books Online.
Önce küme izinleri, tümleştirme için her bir sunucu yapılandırmanız gerekir.Daha fazla bilgi için bkz: SharePoint 2010 tümleştirme için Raporlama Hizmetleri Yapılandırma.
SharePoint teknolojileri, kimlik doğrulama sağlayıcıları
Bir SharePoint Web uygulamasını Windows kimlik doğrulaması veya Forms kimlik doğrulaması kullanabilirsiniz.A rapor sunucusu herhangi birini gelen istekleri işleyecektir.Yapılandırabileceğiniz kimlik doğrulaması , bu kombinasyonlar:
Windows Kerberos kullanarak kimlik doğrulama
Windows nt lan Yöneticisi (ntlm) kullanarak kimlik doğrulaması
Forms kimlik doğrulaması
Not
Her ikisi de Reporting Services ve SharePoint ürünleri ve teknolojileri destek forms kimlik doğrulaması.The implementation is different for each product group and they are not compatible.Reporting Services custom authentication extensions are not supported for report servers that run in SharePoint integration mode.
Aşağıdaki tablo avantajları ve dezavantajları kimlik doğrulaması sağlayıcıları için özetler:
Faydaları |
Dezavantajları |
|
|---|---|---|
Windows Kerberos kullanarak kimlik doğrulama |
Tek sunuculu ve çok sunuculu dağıtım senaryoları çalışır. Dış veri kaynakları için kimlik bilgileri bilgilerinin kullanılmasını destekler Windows tümleşik. |
Çok sunuculu dağıtımları ntlm kimlik doğrulaması çalışmıyor. Karmaşık bir etki alanı ve yapılandırma sunucusu yapılandırması gerektirir. |
Windows ntlm veya Forms kimlik doğrulaması kullanarak kimlik doğrulaması |
Kerberos ve tüm olmayan Kerberos kimlik doğrulaması senaryoları ile çalışır. |
Windows tümleşik kimlik bilgileri için dış veri kaynaklarını desteklemiyor. |
SharePoint talepleri kimlik doğrulama
SharePoint 2010 products support Claims Based Authentication.SQL Server 2008 R2 Reporting Services in SharePoint integrated mode will work with SharePoint Claims enabled Web applications by using Trusted Account authentication and SharePoint User tokens.Hakkında daha fazla bilgi için Reporting Services desteklediği kimlik talepleri, bkz: Kimlik talepleri ve Raporlama Servisleri.Talepleri temel kimlik doğrulaması hakkında daha fazla bilgi için bkz: Talep tabanlı kimlik genel bakış.
Bir rapor sunucusu isteği gönderme
Tüm istekleri rapor sunucusu öğe veya işlemi için geçerli bir istek olması gerekir.kimlik doğrulaması sağlayıcı kullanmakta olduğunuz bu isteği nasıl işleneceğini belirler.
Windows tümleşik güvenliği kullanarak Kerberos
SharePoint Web uygulamasını Windows Kerberos kullanarak kimlik bilgileri doğrulama için yapılandırılmışsa, SharePoint Web uygulamasından rapor sunucusu bağlantısını geçerli Windows kullanıcı kimliğine bürünülen veya temsilci seçilen kimlik bilgileri bilgilerini kullanabilirsiniz.Windows tümleşik güvenlik ile temsilci seçme Kerberos ve kimliğini kullanarak Klasik ortadan kaldırabilir "çift -atlama" Windows kimlik bilgileri tek bir bağlantıdan sonra sergilerler sona sorunu.Raporlar ve modeller için veri kaynak bağlantılarını yapılandırdığınızda kullanabileceğiniz seçenekler küme genişletebilirsiniz.SharePoint için rapor sunucusu yapılandırılmışsa, aşağıdaki diyagramda bağlantılarını gösterir tümleştirme, ve SharePoint Web uygulamasını Windows kimlik doğrulaması Kerberos ve kimlik temsilci ile kullanır.
.gif "SharePoint tümleşik modunda bağlantılar")
1 Bağlantısı
Bir kullanıcı, bir SharePoint sitesi altında oluşturulan kullanıcı ağa oturum açtıklarında kullanıcı belirteci erişiyor.Bu kullanıcı kimliği ve grup üyeliğini içerir.SharePoint Web uygulaması kullanıcının kimliğini doğrular.Kullanıcı bir rapor sunucusu öğe veya işlemi ister.2 Bağlantısı
SharePoint Web uygulaması belirteci ve isteği gönderir rapor sunucusu.Temsilci olarak atanan Windows kullanıcı kimliği altında bağlantı isteği gönderilir.Rapor sunucusu rapor sunucusu erişimi için kullanıcı izin verilip verilmediğini görmek için kullanıcı kimliğini doğrular.3 Bağlantısı
kimlik doğrulaması başarılı olursa, rapor sunucusu kullanıcı öğe veya işlem erişim yetkisi olduğunu doğrulamak için SharePoint içerik veritabanı bağlantısı için Reporting Services örnek kullanıcı hesabını kullanır.Yetkilendirme başarılı olursa, rapor sunucusu isteği Hizmetleri.4 Bağlantısı
Kullanıcı bir raporu görüntülerken, rapor sunucusu raporu dış veri kaynağından veri almak için işleme sırasında kullanıcının kimliğini Windows temsilci seçebilirsiniz.O zaman yani, küme veri kaynak özelliklerini seçebileceğiniz bir raporda Windows tümleşik güvenlik veri kaynak bağlantısı için seçeneği.Daha fazla bilgi için bkz: Kimlik bilgisi ve raporu veri kaynakları (ssrs) için bağlantı bilgilerini belirtme ve Nasıl yapılır: Oluştur ve Yönet (SharePoint tümleşik modda Raporlama Hizmetleri) paylaşılan veri kaynakları sql Server Books Online.
Windows veya Forms kimlik doğrulaması ve güvenilen hesapları
SharePoint Web uygulamasını veya Windows kimlik doğrulaması ntlm kullanarak form kimlik doğrulaması için yapılandırılmışsa, rapor sunucusu bağlantı rapor sunucusunda SharePoint kullanıcı kimliğine bürünmek için izni olan bir önceden tanımlanmış güvenilen hesap altında ağ üzerinden gönderilir.Güvenilen hesapları ve SharePoint kullanıcı kimliklerini kullanıldığında Aşağıdaki diyagramda bağlantılarını gösterir.
.gif "Güvenilen bağlantı için bağlantı diyagramı")
1 Bağlantısı
Bir SharePoint sitesi için bir kullanıcı oturum açar.SharePoint Web uygulaması kullanıcının kimliğini doğrular.SharePoint Web uygulaması kullanıcı kimliği için bir SharePoint kullanıcı kimliği (SPUser) çevirir.Yeni bir kullanıcı belirteci, kullanıcının SPUser bağlamında oluşturulur.Bu kullanıcı kimliği ve grup üyeliğini içerir.Kullanıcı bir rapor sunucusu öğe veya işlemi ister.2 Bağlantısı
SharePoint Web uygulamasını bağlandığı rapor sunucusu SharePoint Web uygulaması'nın işlem kimliği olan güvenilir bir hesap kullanarak.SharePoint Web uygulamasını daha sonra öğe veya bir işlem isteği SharePoint kullanıcı kimliğini temsil eder.Rapor sunucusu rapor sunucusu başlatıldığında rapor sunucusunda SharePoint Yapılandırma veritabanlarından alınan hesap bilgileri karşılaştırarak bağlantı isteğini güvenilir bir hesaptan olduğunu doğrular.Üzerinde bir rapor sunucusu, SharePoint Web uygulamasını kimliğine bürünmek için izni olan bir Windows kullanıcı güvenilir hesabıdır.SPUser taklit için de kullanılır, ancak rapor sunucusu öğeleri ve işlemleri için erişim izin verilmez.
3 Bağlantısı
kimlik doğrulaması başarılı olursa, rapor sunucusu SPUser öğe veya işlem erişim yetkisi olduğunu doğrulamak için SharePoint içerik veritabanı bağlantısı için Reporting Services örnek kullanıcı hesabını kullanır.Yetkilendirme başarılı olursa, rapor sunucusu isteği Hizmetleri.4 Bağlantısı
Kullanıcı bir raporu görüntülerken, rapor sunucusu SPUser nedeniyle dış veri kaynağından veri almak için kullanamazsınız "çift -atlama" sorunu.O zaman yani, küme veri kaynak özellikleri hakkında bir rapor seçemezsiniz Windows tümleşik güvenlik veri kaynak bağlantısı için seçeneği.Bununla birlikte, rapor depolanan kimlik bilgilerini veya kimlik bilgileri istendiğinde gibi diğer bağlantı seçenekleri kullanmak üzere yapılandırabilirsiniz.Daha fazla bilgi için bkz: Kimlik bilgisi ve raporu veri kaynakları (ssrs) için bağlantı bilgilerini belirtme ve Nasıl yapılır: Oluştur ve Yönet (SharePoint tümleşik modda Raporlama Hizmetleri) paylaşılan veri kaynakları sql Server Books Online.
Hesabı süre sonu ve abonelik işleme
Rapor için bir abonelik oluşturduğunuzda, böylece kullanıcının raporu aşağıdaki adresten görüntüleme iznine sahip olduğunu doğrulamak rapor sunucusu SPUser hesap bilgilerini depolar saat teslimat.SPUser süresi dolmuşsa, abonelik başarısız dönmek ve bir rsSharePointError hata.Adlı bir grup düzey özellik TokenTimeout SPUser ne kadar süreyle geçerli olacağını belirler.
Yönetimsel yapılandırmak ve hizmet hesapları için benzersiz bir etki alanı kullanıcı hesaplarını kullan
Bir SharePoint ürün veya teknoloji dağıtımı, hizmetleri çalıştırmak ve ön uç ve son uç sunuculara erişmek için çeşitli hesaplar kullanır.Dağıtımınız için etki alanı hesapları belirtirseniz, en iyi uygulama önerilerine uymaya ve SharePoint Web uygulaması tarafından özel olarak kullanılan hesaplar belirlemeye dikkat edin.SharePoint sitesine erişecek gerçek bir kişinin etki alanı kullanıcı hesabı altında çalışan bir hizmet hesabı yapılandırmayın.Hizmet kimlik bilgileri bilgilerini kullanarak bir SharePoint sitesine erişiyorsanız, hatalarla karşılaşabilirsiniz.
Kimlik doğrulama sağlayıcıları bir ölçek-giden dağıtım yapılandırmak için en iyi yöntemler
Eğer bir genişleme dağıtımı , Reporting Services ve bir SharePoint Ürün ve farklı kimlik doğrulama sağlayıcıları ortamınız için yapılandırılmış, kimlik doğrulaması yapan sorunları karşılaştığınızkullanıcıların. Örneğin, raporlama ortamınızı Forms kimlik doğrulaması Internet bağlantıları ve Windows kimlik doğrulaması için intranet bağlantıları için kullanıyorsa, istek isteğinin kimlik doğrulama türüyle eşleşmeyen bir kimlik doğrulama sağlayıcı olan bir Web ön uç bilgisayara yönlendirilmiş.Bu neden olabilir Reporting Services erişim için istek veya isteği reddetmek için çalışmasına kimin yaptığını kullanıcı yerine uygulama havuzu kimliği altındaisteği.
En iyi yöntem, kullanıcılar farklı URL'lere içeriğe erişim Internet ve intranet kullanmalısınız.Veya, etki alanı adı sistemi (dns) arama Internet url isteklerini intranet URL'si için dns tarafından yönlendirilen değil, Internet Protokolü (IP) adresi Internet'e açık sitenin Internet URL'sini eşleme tarafından geçersiz kılmak için Web ön uç bilgisayarlarda hosts dosyasını yapılandırabilirsiniz.
Nasıl rapor sunucusu erişim SharePoint içerik veritabanları
SharePoint Web uygulamasını hem de rapor sunucu uygulama durumu ve diğer verileri depolamak için ilgili kendi veritabanlarına bağlanmak, ancak rapor sunucusu da depolamak ve öğeleri, özellikleri ve yapılandırma ayarlarını almak için SharePoint veritabanlarına bağlanmak gerekir.Aşağıdaki diyagramda, çeşitli veritabanları sunucu bağlantılarını gösterir.
.gif "Bağlantı diyagramı")
Bir SharePoint Web uygulamasını bir yerel veya uzak veritabanı için dahili depolama kullanabilirsiniz.SharePoint veritabanları uzak bilgisayarlarda, bağlantı için bir etki alanı hesabı kullanılması gerekir.
Rapor sunucusu iç depolama için bir yerel veya uzak veritabanı kullanabilirsiniz.Her iki türü de bir etki alanı hesabı kullanarak veritabanı bağlantısı yapılabilir bir SQL Server , oturumu veya yerleşik bir hesap gibi Network Service veya Local System.
SharePoint veritabanları için rapor sunucu bağlantısı
De Reporting Services, Web hizmet ve Windows hizmet gerektiren erişim SharePoint veritabanları.Her iki hizmet için hizmet hesapları güvenilen kullanıcıların SharePoint Web uygulaması olarak çalışır ve otomatik olarak SharePoint veritabanlarına erişim izni vardır.
Bağlantı dahili olarak yönetilir; rapor sunucusu SharePoint Web uygulamasına işaret edecek şekilde SharePoint Yönetim Merkezi'ni kullandığınızda, yapılandırılan ve küme güvenilen hesaplar.Rapor sunucu bağlantısı ayarlayabilir veya Raporlama Hizmetleri Yapılandırması'nı kullanarak değiştirebilir, kendi veritabanlarına aksine araç, açıkça yapılandıramaz veya rapor sunucu bağlantısı için SharePoint veritabanlarını yönetme.
Rapor sunucusu SharePoint tümleşik modda çalışan tanıtır, hizmet hesaplarını nasıl yapılandırmanız üzerinde kısıtlamalar Reporting Services.Hizmet hesaplarını yapılandırırken aşağıdaki yönergeleri kullanın:
Rapor sunucusu hizmet hesaplarını SharePoint veritabanlarına uzak bir bilgisayara bağlanması gerekiyorsa, ağ oturum açma izinlerine sahip hesaplar'ı seçin.
Yerleşik hesaplar kullanın (gibi Yerel sistem veya Network Service) rapor sunucusu ve SharePoint veritabanları tek bir bilgisayarda ve SharePoint Web uygulamasını uzak bilgisayarda olup olmadığını.SharePoint veritabanları uzak bir bilgisayarda çalıştırdığınızda, SharePoint Web uygulamasını açıkça o uzak bilgisayarda tanımlanan yerleşik hesap veritabanı erişimini engeller.Bu rapor sunucusu yerleşik hesabı altında çalışıyorsa, SharePoint veritabanları ile aynı bilgisayarda çalıştığı için sonra SharePoint veritabanlarına bağlantısı yapamadığını anlamına gelir.
Aynı veya farklı bilgisayarlarda, sunucular ve veritabanları yerleştirdiğiniz tüm diğer Topolojileri için Reporting Services hizmet hesaplarını, etki alanı hesapları veya olarak yapılandırılabiliryerleşik hesapları.
SharePoint veritabanlarına bağlanma hataları
Rapor sunucusu SharePoint veritabanları erişemez ve bir yapılandırma hatası varsa (örneğin, hizmet hesapları veya parolalar geçerli değil veya yerel örnek Windows SharePoint nesne modeli yüklü değil), bir rsServerConfigurationError hata oluşur.Diğer tüm bağlantı hataları, rsSharePointError hata döndürülür, birlikte ek hata bilgileri yerel SharePoint örnek.
SharePoint ve ssrs kimlik doğrulama topolojiler
Aşağıdaki tablo listeleri SharePoint ve ssrs kimlik doğrulaması yöntemi bileşimleri ve kullanım desteklenen.
SharePoint ve aynı bilgisayarda ssrs |
SharePoint kimlik doğrulama |
ssrs tümleştirme modu |
ssrs kimlik doğrulama |
Hesap ssrs erişme |
Veri kaynak kimlik bilgileri |
|---|---|---|---|---|---|
Evet |
Kerberos |
Tümleşik |
Anlaşma |
Kullanıcı, kullanıcının güvenlik bağlamı temsilci seçme |
Tümleşik, saklanan, sor |
Evet |
Kerberos |
Tümleşik |
NTLM |
Desteklenmiyor |
|
Evet |
Kerberos |
Güvenilir |
Anlaşma veya ntlm |
Site hizmet hesabı |
Depolanan, entegre istemi, (+) |
Evet |
NTLM |
Tümleşik |
Anlaşma |
Desteklenmiyor |
|
Evet |
NTLM |
Tümleşik |
NTLM |
Kullanıcı, değil kullanıcının güvenlik bağlamı temsilci |
Saklı, komut istemi, tümleşik ve yerel |
Evet |
NTLM |
Güvenilir |
Anlaşma veya ntlm |
Site hizmet hesabı |
Depolanan, entegre istemi, (+) |
Evet |
Formları |
Tümleşik |
IUSR |
Desteklenmiyor |
|
Evet |
Formları |
Güvenilir |
Anlaşma veya ntlm |
Site hizmet hesabı |
Depolanan, entegre istemi, (+) |
Hayır |
Kerberos |
Tümleşik |
Anlaşma |
Kullanıcı Delegatable |
Tümleşik, saklanan, sor |
Hayır |
Kerberos |
Tümleşik |
NTLM |
Desteklenmiyor |
|
Hayır |
Kerberos |
Güvenilir (*) |
Anlaşma |
Site hizmet hesabı |
Depolanan, entegre istemi, (+) |
Hayır |
Kerberos |
Güvenilir (*) |
Anlaşma |
Site hizmet hesabı |
, İstemi, tümleştirme, yalnızca yerel ssrs için saklanır, yoksa |
Hayır |
NTLM |
Tümleşik |
Anonim |
Desteklenmiyor |
|
Hayır |
NTLM |
Güvenilir (*) |
Anlaşma |
Site hizmet hesabı |
Saklamak, sor, tümleşik (+) |
Hayır |
NTLM |
Güvenilir (*) |
NTLM |
Site hizmeti Addount |
Depolanan, sor, tümleşik, yalnızca yerel ise |
Hayır |
Formları |
Tümleşik |
Anonim |
Desteklenmiyor |
|
Hayır |
Formları |
Güvenilir (*) |
Anlaşma |
Site hizmet hesabı |
Tümleşik saklı, promt, (+) |
Hayır |
Formları |
Güvenilir |
NTLM |
Site hizmet hesabı |
Saklanan, entegre, yalnızca yerel istemek |
(+) SharePoint sitesi hizmet hesabı yerel hesabı ise, veri kaynak rapor sunucusu bilgisayarda yerel olmalıdır.Daha sonra site hizmet hesabı bir etki alanı hesabı ise, veri kaynak başka bir bilgisayarda olabilir.
(*) SharePoint sitesi hizmet hesabı bir etki alanı hesabı olmalıdır.
Ayrıca bkz.
Görevler
Kavramlar
Değişiklik Geçmişi
Güncelleştirilmiş içerik |
|---|
kimlik doğrulaması topolojiler tablolar eklendi. |