Konfigurieren der Authentifizierung für Reporting Services

  • Artikel

Neu: 12. Dezember 2006

Die Authentifizierung erfolgt in Reporting Services durch Internetinformationsdienste (Internet Information Services, IIS). In Reporting Services wird die Authentifizierungsmethode verwendet, die auf der Ebene des virtuellen Verzeichnisses festgelegt wird, um Benutzerverbindungen mit dem Berichtsserver zu authentifizieren. In den meisten Fällen wird der Authentifizierungstyp von der übergeordneten Website geerbt, aber Sie können auch einen anderen Authentifizierungstyp im virtuellen Verzeichnis angeben.

Reporting Services kann mit den folgenden Authentifizierungsmethoden in IIS verwendet werden:

  • Integrierte Windows-Authentifizierung.
  • Standardauthentifizierung.
  • Anonyme Authentifizierung (wird nur beim Weiterleiten einer Anmeldeanforderung an einen Drittanbieter oder einen benutzerdefinierten formularbasierten Authentifizierungsanbieter empfohlen).

Die Digestauthentifizierung und die .NET-Authentifizierung werden in Reporting Services nicht unterstützt.

Wenn Sie Anwendungen entwickeln, die in Reporting Services integriert werden können, müssen Sie wissen, wie Aufrufe des Berichtsserver-Webdienstes authentifiziert werden. Weitere Informationen finden Sie unter Web Service Authentication.

Standardmäßige Authentifizierungseinstellungen

Die virtuellen Verzeichnisse des Berichtsservers und des Berichts-Managers sind standardmäßig so konfiguriert, dass die integrierte Windows-Authentifizierung verwendet wird. Der anonyme Zugriff ist für die virtuellen Verzeichnisse nicht aktiviert. Es sind keine anderen Authentifizierungsmethoden ausgewählt.

Wenn Sie die Standardsicherheit verwenden, muss jeder Benutzer, der Zugriff auf einen Berichtsserver benötigt, über ein gültiges Windows-Benutzerkonto verfügen oder Mitglied eines Windows-Gruppenkontos sein. Sie können Konten aus anderen Domänen einschließen, vorausgesetzt, diese Domänen sind vertrauenswürdig. Die Konten benötigen Zugriff auf den Webserver, der den Berichtsserver hostet, und müssen demzufolge Rollen zugewiesen sein, um auf bestimmte Berichtsservervorgänge zugreifen zu können.

Die Standardeinstellungen eignen sich am besten, wenn sich die Client- und Servercomputer in derselben Domäne oder in einer vertrauenswürdigen Domäne befinden, die integrierte Windows-Authentifizierung vom Browsertyp unterstützt wird und der Berichtsserver für den Intranetzugriff hinter einer Unternehmensfirewall bereitgestellt wird. Wenn Sie den Internetzugriff auf einen Berichtsserver unterstützen oder wenn Sie Arbeitsgruppensicherheit verwenden, müssen Sie die Standardeinstellungen höchstwahrscheinlich anpassen.

Vertrauenswürdige Domänen und Einzeldomänen sind eine Voraussetzung, damit Windows-Anmeldeinformationen übergeben werden. Die Anmeldeinformationen können nur dann mehrfach übergeben werden, wenn Sie das Kerberos-Protokoll, Version 5, für die Server aktivieren. Wenn Kerberos nicht aktiviert ist, können Anmeldeinformationen nur einmal übergeben werden, bevor sie ablaufen. Weitere Informationen zum Konfigurieren von Anmeldeinformationen für mehrere Computerverbindungen finden Sie unter Angeben von Anmelde- und Verbindungsinformationen.

Bb283249.note(de-de,SQL.90).gifHinweis:
Wenn die Website, die das virtuelle Verzeichnis für den Berichtsserver enthält, für die Kerberos-Authentifizierung konfiguriert ist und Sie ein Domänenbenutzerkonto für den Anwendungspool verwenden, müssen Sie möglicherweise einen Dienstprinzipalnamen (Service Principal Name, SPN) für das Konto erstellen. Weitere Informationen finden Sie auf der Microsoft TechNet-Website unter Configuring Constrained Delegation for Kerberos (IIS 6.0) (in Englisch).

Übersicht über Authentifizierungstypen

Eine Benutzerverbindung mit einem Berichtsserver und mit dem Berichts-Manager wird mithilfe von IIS authentifiziert. In der folgenden Liste sind die IIS-Authentifizierungsoptionen beschrieben, die Sie verwenden können:

  • Integrierte Windows-Authentifizierung mit delegierten Anmeldeinformationen oder mit Anmeldeinformationen, deren Identität übernommen wurde
    Für die Verbindung mit dem Berichtsserver werden verschlüsselte Domänenanmeldeinformationen des aktuellen Benutzers verwendet. Die Windows-Authentifizierung (integrierte Sicherheit) ist die Standardauthentifizierungsmethode für die virtuellen Verzeichnisse des Berichtsservers und des Berichts-Managers. Bei einer Konfiguration durch das Reporting Services-Konfigurationstool oder das Setupprogramm ist stets die Verwendung dieser Methode für die Verzeichnissicherheit vorgesehen. Wenn die Kerberos-Authentifizierung in der Domäne aktiviert ist, kann das aktuelle Sicherheitsticket auch verwendet werden, um eine Verbindung mit externen Datenquellen herzustellen, die Daten für Berichte bereitstellen.

  • Standardauthentifizierung
    Eine Verbindung mit dem Berichtsserver, bei der ein zuvor zugewiesener Benutzername und ein Kennwort für ein Windows-Konto verwendet wird. Bei der Standardauthentifizierung werden der Benutzername und das Kennwort in Klartext übertragen. Sie können die Sicherheit für die Übertragung jedoch erhöhen, indem Sie SSL (Secure Sockets Layer) zum Verschlüsseln der Benutzerkontoinformationen verwenden, bevor sie über das Netzwerk gesendet werden.

    SSL bietet einen verschlüsselten Kanal zum Senden einer Verbindungsanforderung vom Client an den Berichtsserver über eine HTTP TCP/IP-Verbindung. Weitere Informationen finden Sie auf der Microsoft TechNet-Website unter Using SSL to Encrypt Confidential Data (in Englisch).

  • Anonymer Zugriff
    Die Verbindung mit dem Berichtsserver wird für alle Benutzer unter dem Windows-Konto für anonymen Zugriff hergestellt. In IIS ist dies standardmäßig das Konto IUSR_<computername>. Die Benutzer werden nicht aufgefordert, einen Benutzernamen oder ein Kennwort einzugeben. Der anonyme Zugriff sollte nur verwendet werden, wenn Sie benutzerdefinierte Sicherheitserweiterungen verwenden. Wenn Sie keine benutzerdefinierte Authentifizierung verwenden, sollten Sie den anonymen Zugriff auf das virtuelle Verzeichnis des Berichtsservers vermeiden. Sie werden nicht in der Lage sein, die Rollenzuweisungen sinnvoll zu variieren. Alle Benutzer greifen über das anonyme Benutzerkonto auf den Berichtsserver zu, und niemand ist berechtigt, den Berichtsserver über den Berichts-Manager zu verwalten.

Ändern von Authentifizierungseinstellungen

Für Reporting Services wird standardmäßig die integrierte Windows-Authentifizierung verwendet. Wenn Sie einen anderen Authentifizierungsanbieter verwenden möchten, geben Sie mit dem IIS-Manager Verzeichnissicherheitseinstellungen an.

  1. Öffnen Sie den IIS-Manager.
  2. Klicken Sie mit der rechten Maustaste auf das virtuelle Verzeichnis des Berichtsservers, und klicken Sie auf Eigenschaften.
  3. Klicken Sie auf Verzeichnissicherheit.
  4. Klicken Sie unter Authentifizierung und Zugriffsteuerung auf Bearbeiten, um das Dialogfeld Authentifizierungsmethoden zu öffnen.
  5. (Optional) Deaktivieren Sie das Kontrollkästchen Integrierte Windows-Authentifizierung.
    Wenn das virtuelle Verzeichnis des Berichtsservers für die integrierte Windows-Authentifizierung und die Standardauthentifizierung konfiguriert ist, wird vom Berichtsserver zuerst versucht, die Windows-Authentifizierung auszuführen. Wenn Sie nur die Standardauthentifizierung verwenden möchten, müssen Sie das Kontrollkästchen Integrierte Windows-Authentifizierung deaktivieren.
  6. Wählen Sie die Option Standardauthentifizierung aus.
  7. Legen Sie die Standarddomäne oder den Bereich fest, die zum Authentifizieren von Clients auf dem Webserver verwendet werden.

Aktivieren Sie den anonymen Zugriff nur, wenn Sie eine benutzerdefinierte Authentifizierungserweiterung bereitstellen oder wenn Sie den Zugriff auf den Berichts-Generator über einen Berichtsserver ermöglichen, der für die Standardauthentifizierung aktiviert ist. Aktivieren Sie die Digest- oder Passport-Authentifizierung nicht. Diese Authentifizierungsoptionen werden in Reporting Services nicht unterstützt.

Stellen Sie beim Konfigurieren einer Authentifizierungsmethode für einen Berichtsserver sicher, dass für alle Komponenten dieselbe Methode verwendet wird. Geben Sie für den Berichts-Manager keinen anderen Authentifizierungstyp an. Andernfalls müssen Benutzer für Vorgänge im Berichts-Manager und auf dem Berichtsserver unterschiedliche Anmeldeinformationen bereitstellen. Analog dazu sollte der Authentifizierungstyp für den Berichts-Generator mit dem vom Berichtsserver verwendeten Authentifizierungsanbieter identisch sein. Dies gilt nicht, wenn der Berichtsserver so konfiguriert ist, dass die Standardauthentifizierung verwendet wird. Wenn Sie die Standardauthentifizierung verwenden, müssen Sie für den Berichts-Generator-Ordner anonymen Zugriff ermöglichen, um eine Verbindungsanforderung an das Anwendungsstartprogramm ClickOne weiterzuleiten. Weitere Informationen finden Sie unter Konfigurieren eines Berichtsservers für den Zugriff auf den Berichts-Generator.

Weitere Informationen zum Aktivieren der Standardauthentifizierung und zum Auswählen eines Authentifizierungstyps in IIS finden Sie auf der Microsoft TechNet-Website unter Enabling Basic Authentication and Configuring the Realm Name (in Englisch) und Selecting a Web Site Authentication Method (in Englisch).

Konfigurieren der Authentifizierung für den Extranet- und Internetzugriff

Die integrierte Windows-Authentifizierung eignet sich nur selten für Bereitstellungsmodelle, in denen der Zugriff auf das Internet oder ein Extranet erforderlich ist. Wenn Sie Reporting Services auf einem Webserver mit Internetanbindung bereitstellen, sollten Sie die Windows-Authentifizierung durch eine benutzerdefinierte Authentifizierungserweiterung ersetzen. Hierdurch können Sie besser steuern, welche Formen des Zugriffs auf den Berichtsserver externen Benutzern gewährt werden. Zum Erstellen einer benutzerdefinierten Authentifizierungserweiterung sind benutzerdefinierter Code und Kenntnisse der ASP.NET-Sicherheit erforderlich. Weitere Informationen finden Sie unter Implementing a Security Extension.

Wenn Sie keine benutzerdefinierte Authentifizierungserweiterung schreiben möchten, können Sie Microsoft Active Directory-Gruppen und -Konten verwenden, aber Sie sollten den Rahmen einer Berichtsserverbereitstellung deutlich verringern. Die folgenden Richtlinien beschreiben, wie dieses Szenario unterstützt wird:

  • Erstellen Sie ein Domänenbenutzerkonto, das nur schreibgeschützte Berechtigungen auf niedriger Ebene aufweist. Dieses Konto benötigt Zugriff auf den Computer, der den Berichtsserver hostet. Stellen Sie ein benutzerdefiniertes Webformular bereit, damit die Benutzer sich mit dem Domänenkonto mit stark eingeschränkten Rechten anmelden können.
  • Erstellen Sie Rollenzuweisungen, die das Benutzerkonto bestimmten Elementen in der Ordnerhierarchie des Berichtsservers zuordnen. Sie können den Zugriff auf schreibgeschützte Vorgänge beschränken, indem Sie die vordefinierte Rolle Browser für die Rollenzuweisung auswählen.
  • Konfigurieren Sie Berichte so, dass gespeicherte Anmeldeinformationen verwendet werden, wenn Daten für den Bericht abgerufen werden. Diese Vorgehensweise ist sinnvoll, wenn Sie die externe Datenquelle mithilfe eines Kontos abfragen möchten, das sich von dem Konto unterscheidet, das den Zugriff auf den Berichtsserver ermöglicht. Weitere Informationen zu diesen Optionen finden Sie unter Angeben von Anmelde- und Verbindungsinformationen.

Siehe auch

Konzepte

Verwalten von Berechtigungen und Sicherheit für Reporting Services
Erstellen, Ändern und Löschen von Rollenzuweisungen
Angeben von Anmelde- und Verbindungsinformationen
Verbindungen und Konten in einer Reporting Services-Bereitstellung
Konfigurieren eines Berichtsservers für SSL-Verbindungen (Secure Sockets Layer)
Konfigurieren eines Berichtsservers für den Zugriff auf den Berichts-Generator

Andere Ressourcen

Implementing a Security Extension

Hilfe und Informationen

Informationsquellen für SQL Server 2005