Omówienie zabezpieczeń dla usługi Reporting Services w trybie zintegrowanym programu SharePoint
Podczas konfigurowania serwer raportów do uruchamiania w trybie zintegrowanym programu SharePoint server raport używa dostawca uwierzytelnianie i uprawnienia zdefiniowane w aplikacji sieci Web programu SharePoint do kontrolowania dostępu do elementów serwer raportów i operacji.
Dostęp do elementów i operacje uprawnienia za pomocą zasad zabezpieczeń programu SharePoint, które mapują konta użytkownika lub grupy z uprawnieniami poziom, względem element.Pojęciowo, jest identyczny jak przypisania ról są używane w trybie macierzystym serwer raportów wdrażania, gdzie przypisanie roli mapuje konta użytkownika lub grupy do zestaw zadań dopuszczalne względem element.Jest wspólne z większość modeli autoryzacja opartych na rolach, zabezpieczeń programu SharePoint zawiera dziedziczenia uprawnień, aby zmniejszyć złożoność i koszty utrzymania dużej liczby zasad.
Typy zawartości serwer raportów jest wdrażany w witrynie programu SharePoint, należy znać następujące:
Jak żądania i połączenia są wykonywane między dwoma serwerami.Dostawca uwierzytelnianie używany w aplikacji sieci Web programu SharePoint Określa, czy opcję zintegrowane zabezpieczenia systemu Windows później można użyć do uzyskania dostępu do zewnętrznych źródeł danych używane przez raport.
Jak używać domyślnych zabezpieczeń do dodawania, zarządzanie i dostęp do elementów serwer raportów i operacji.Aby uzyskać więcej informacji, zobacz Udzielanie uprawnień na elementy serwera raportów w witrynie programu SharePoint i Przy użyciu wbudowanych zabezpieczeń programu Windows SharePoint Services dla elementów serwera raportów w dokumentacji SQL Server Books Online.
Jak zastąpić domyślne zabezpieczenia przez ustawienie uprawnień dla określonych raportów lub operacji.Aby uzyskać więcej informacji, zobacz Jak Ustawianie uprawnień dla raportu serwera elementów w witrynie programu SharePoint (Reporting Services w trybie zintegrowanym programu SharePoint) w dokumentacji SQL Server Books Online.
Przed zestaw uprawnienia, należy skonfigurować każdy serwer integracja.Aby uzyskać więcej informacji, zobacz Konfigurowanie usług Reporting Services dla programu SharePoint 2010 integracji.
Dostawców uwierzytelniania w technologii programu SharePoint
Aplikacja sieci Web programu SharePoint można używać uwierzytelnianie systemu Windows lub uwierzytelnianie formularzy.serwer raportów będzie przetwarzać żądania z jednego.Aby skonfigurować uwierzytelnianie, w tych kombinacji:
Uwierzytelnianie systemu Windows za pomocą protokołu Kerberos
Uwierzytelnianie systemu Windows przy użyciu NT LAN Manager (NTLM)
Uwierzytelnianie formularzy
Ostrzeżenie
Obie Reporting Services i SharePoint products and technologies obsługuje uwierzytelnianie formularzy.The implementation is different for each product group and they are not compatible.Reporting Services custom authentication extensions are not supported for report servers that run in SharePoint integration mode.
W następującej tabela podsumowano zalety i wady każdego z dostawców uwierzytelnianie:
Korzyści |
Wady |
|
|---|---|---|
Uwierzytelnianie systemu Windows za pomocą protokołu Kerberos |
Działa w scenariuszach wdrażania jednego serwera i wieloserwerowe. System Windows obsługuje zintegrowane poświadczenia dla zewnętrznych źródeł danych. |
Nie działa z uwierzytelnianie NTLM w przypadku wdrożeń wieloserwerowe. Wymaga złożonego domena i konfiguracja serwera konfiguracji. |
Uwierzytelnianie systemu Windows przy użyciu uwierzytelniania NTLM lub formularzy |
Współpracuje z protokołu Kerberos i wszystkie scenariusze uwierzytelnianie Kerberos bez. |
Nie obsługuje poświadczenia zintegrowanego systemu Windows dla zewnętrznych źródeł danych. |
Uwierzytelnianie roszczeń programu SharePoint
SharePoint 2010 products support Claims Based Authentication.SQL Server 2008 R2 Reporting Services in SharePoint integrated mode will work with SharePoint Claims enabled Web applications by using Trusted Account authentication and SharePoint User tokens.Aby uzyskać więcej informacji na temat Reporting Services obsługuje uwierzytelnianie roszczeń, zobacz Uwierzytelnianie roszczeń i Reporting Services.Aby uzyskać więcej informacji dotyczących roszczeń na podstawie uwierzytelnianie, zobacz Omówienie oświadczeń tożsamości.
Wysyłanie żądania do serwera raportów
Wszystkie żądania serwer raportów towaru lub operacji musi być prawidłowe żądania uwierzytelnionego.Dostawca uwierzytelnianie używasz określa sposób przetwarzania tego żądania.
Zintegrowane zabezpieczenia systemu Windows przy użyciu protokołu Kerberos
Jeśli aplikacja sieci Web programu SharePoint jest skonfigurowany dla uwierzytelniania systemu Windows za pomocą protokołu Kerberos, personifikowanym lub delegowanych poświadczenia bieżącego użytkownika systemu Windows może używać połączenie z aplikacji sieci Web programu SharePoint serwer raportów.Przy użyciu zintegrowanych zabezpieczeń systemu Windows z delegowania Kerberos i tożsamości, można wyeliminować klasycznego "double -przeskok" problemu polegającego poświadczenia systemu Windows wygasa po jednego połączenia.Można również zwiększyć zestaw opcji, które są dostępne podczas konfigurowania połączenia źródło danych dla raportów i modeli.Poniższy diagram przedstawia połączeń, gdy serwer raportów jest skonfigurowany dla integracja programu SharePoint i aplikacji sieci Web programu SharePoint używa uwierzytelniania systemu Windows z delegacji Kerberos i tożsamości.
.gif "Połączenia w trybie zintegrowanym programu SharePoint")
Połączenia 1
Użytkownik uzyskuje dostęp do witryny programu SharePoint w obszarze tokenu użytkownika utworzone po zalogowaniu się użytkownika do sieci.Zawiera on członkostwo tożsamości i grupy użytkowników.Aplikacja sieci Web programu SharePoint uwierzytelnia użytkownika.Użytkownik żąda serwer raportów towaru lub operacji.Połączenia 2
Aplikacja sieci Web programu SharePoint wysyła tokenu i żądania serwer raportów.Delegowaną tożsamością Windows użytkownik jest wysyłane żądanie połączenia.serwer raportów uwierzytelnia użytkownika, aby sprawdzić, czy użytkownik może uzyskać dostęp do serwer raportów.Połączenia 3
Uwierzytelnianie jest pomyślne, serwer raportów użyje konta wystąpienie usług Reporting Services połączenie zawartości bazy danych programu SharePoint do sprawdzenia, czy użytkownik jest autoryzowany dostęp do element lub operacji.W przypadku pomyślnego autoryzacja serwer raportów usług żądania.Połączenia 4
Jeśli użytkownik jest przeglądanie raportu, serwer raportów można delegować Windows tożsamości użytkownika podczas przetwarzania do pobierania danych z zewnętrznych źródeł danych raportu.Oznacza to, że możesz zestaw właściwości źródło danych w raporcie, można wybrać Zintegrowane zabezpieczenia systemu Windows opcja dla połączenia źródło danych.Aby uzyskać więcej informacji, zobacz Określanie poświadczeń i informacji o połączeniu dla źródeł danych raportu (SSRS) i Jak Tworzenie i zarządzanie udostępniane źródła danych (usługi raportowania w trybie zintegrowanym programu SharePoint) w dokumentacji SQL Server Books Online.
System Windows lub uwierzytelniania formularzy i zaufanych kont
Jeśli aplikacja sieci Web programu SharePoint jest skonfigurowany dla uwierzytelniania formularzy lub uwierzytelnianie systemu Windows przy użyciu NTLM, połączenie z serwerem sprawozdanie jest przesyłane przez sieć wstępnie zdefiniowane konta zaufanych mającego uprawnienie do personifikacji użytkownika programu SharePoint serwer raportów.Poniższy diagram przedstawia połączeń, gdy używane są zaufane kont i tożsamości użytkownika programu SharePoint.
.gif "Diagram zaufanego połączenia")
Połączenia 1
Użytkownik loguje się do witryny programu SharePoint.Aplikacja sieci Web programu SharePoint uwierzytelnia użytkownika.Aplikacja sieci Web programu SharePoint tłumaczy tożsamości użytkownika do tożsamości użytkownika programu SharePoint (SPUser).Dla tego użytkownika w kontekście SPUser tworzony jest nowy token użytkownika.Zawiera on członkostwo tożsamości i grupy użytkowników.Użytkownik żąda serwer raportów towaru lub operacji.Połączenia 2
Łączy aplikacji sieci Web programu SharePoint serwer raportów przy użyciu zaufanego konta, które jest tożsamość procesu aplikacji sieci Web programu SharePoint.Następnie aplikacja sieci Web programu SharePoint personifikuje tożsamości użytkownika programu SharePoint w żądaniu element lub operacji.serwer raportów uwierzytelnia żądanie połączenia jest przez porównanie z informacji o koncie, że serwer raportów pobrane z bazy danych konfiguracja programu SharePoint po uruchomieniu serwer raportów z zaufanych konta.serwer raportów zaufanych konto jest użytkownika systemu Windows z uprawnieniami do personifikować aplikację sieci Web programu SharePoint.Służy ona również personifikować SPUser, ale nie jest dozwolony dostęp do elementów serwer raportów i operacji.
Połączenia 3
Jeśli uwierzytelnianie zakończyło się pomyślnie, serwer raportów użyje konta wystąpienie usług Reporting Services do połączenia programu SharePoint baz danych zawartości, aby zweryfikować, że SPUser jest upoważniony do dostępu do towaru lub operacji.W przypadku pomyślnego autoryzacja serwer raportów usług żądania.Połączenia 4
Jeśli użytkownik jest przeglądanie raportu, serwer raportów nie można używać do pobierania danych z zewnętrznych źródeł danych z powodu SPUser "double -przeskok" problem.Oznacza to, że możesz zestaw właściwości źródło danych w raporcie, nie można wybrać Zintegrowane zabezpieczenia systemu Windows opcji połączenia źródło danych.Można jednak skonfigurować raport, aby używać innych opcji połączenia, takich jak przechowywane poświadczenia lub prompted poświadczenia.Aby uzyskać więcej informacji, zobacz Określanie poświadczeń i informacji o połączeniu dla źródeł danych raportu (SSRS) i Jak Tworzenie i zarządzanie udostępniane źródła danych (usługi raportowania w trybie zintegrowanym programu SharePoint) w dokumentacji SQL Server Books Online.
Wygaśnięcia konta i przetwarzania subskrypcji
Podczas tworzenia subskrypcja do raportu tak, aby sprawdzić, czy użytkownik ma uprawnienia do wyświetlania raportu w serwer raportów będą przechowywane informacje o koncie SPUser czas dostawy.Jeśli wygasł SPUser subskrypcja będzie się niepowodzeniem i zwracają rsSharePointError błąd.Farmy -poziom właściwość o nazwie TokenTimeout Określa, jak długo obowiązuje SPUser.
Konfigurowanie administracyjne i usługi kont do użycia unikatowego użytkownika domeny kont
We wdrożeniu produktu lub technologii SharePoint do uruchamiania usług i uzyskiwania dostępu do serwerów aplikacji zewnętrznych i wewnętrznych są używane różne konta.Jeżeli dla wdrożenia zostaną określone konta domeny, należy upewnić się, że są stosowane zalecenia oparte na najważniejszych wskazówkach i że określono konta używane wyłącznie przez aplikację sieci Web programu SharePoint.Nie należy konfigurować konta usługi do działania na koncie użytkownika domeny należącego do osoby, która będzie uzyskiwać dostęp do witryny programu SharePoint.Jeśli dostęp do witryny programu SharePoint przy użyciu poświadczenia usługa, mogą wystąpić błędy.
Najważniejsze wskazówki dotyczące konfigurowania dostawców uwierzytelniania we wdrożeniu skalowanie
Jeśli masz wdrożenie skalowalne w poziomie z Reporting Services i produkt SharePoint i skonfigurowano uwierzytelnianie różnych dostawców dla środowiska, mogą wystąpić problemy z uwierzytelniania użytkowników.Na przykład jeśli środowiska raportowania używa uwierzytelniania formularzy dla połączeń internetowych i uwierzytelnianie systemu Windows dla połączeń sieci intranet, wniosek może być kierowane do komputera frontonu sieci Web dostawca uwierzytelniania, który nie jest zgodny z typem uwierzytelniania żądania.Może to spowodować Reporting Services można odmówić dostępu wniosek, lub na wniosek może być uruchamiane tożsamość puli aplikacji, a nie użytkownika, kto wprowadził żądania.
Najlepszym rozwiązaniem użytkownicy powinni używać różnych adresów URL do zawartości dostęp z Internetu i intranetu.Lub można skonfigurować pliku hosts na komputerach frontonu sieci Web, aby zastąpić wyszukiwania systemu nazw domen (DNS) mapowanie adresu Internet Protocol (IP) witryny Internetu do internetowego adresu URL tak, aby żądania do internetowego adresu URL nie uzyskać kierowane do Intranetowy adres URL przez serwer DNS.
Jak bazy danych zawartości programu SharePoint uzyskuje dostęp do serwera raportów
Aplikacja sieci Web programu SharePoint oraz serwer raportów połączyć odpowiednich bazach danych do przechowywania stanu aplikacji i innych danych, ale serwer raportów również musi połączyć się z bazami danych programu SharePoint do przechowywania i pobierania elementów, właściwości i ustawienia konfiguracja.Poniższy diagram przedstawia połączenia serwera do różnych baz danych.
.gif "Diagram połączenia")
Wewnętrznej pamięci masowej aplikacji sieci Web programu SharePoint można używać bazy danych lokalnych lub zdalnych.Jeśli na komputerach zdalnych baz danych programu SharePoint, konta domena należy używać dla połączenia.
Wewnętrznej pamięci masowej serwer raportów można używać bazy danych lokalnych lub zdalnych.Dla dowolnego typu połączenie bazy danych można utworzyć przy użyciu konta domena, SQL Server logowania, lub wbudowanego konta takie jak Network Service lub Local System.
Raport połączenia z serwerem bazy danych programu SharePoint
W Reporting Services, usługa sieci Web i usługa Windows wymagają dostępu do baz danych programu SharePoint.usługa Kont dla obu usługas uruchamiane jako zaufanych użytkowników w aplikacji sieci Web programu SharePoint i mają automatycznie przyznane uprawnienie dostępu do baz danych programu SharePoint.
Połączenie jest zarządzane wewnętrznie; Po pkt aplikacji sieci Web programu SharePoint do serwer raportów za pomocą administracji centralnej programu SharePoint jest skonfigurowany i zestaw zaufanych kont.W odróżnieniu od serwer raportów połączenia własnej bazy danych, które zestaw lub zmodyfikować za pomocą narzędzie Konfiguracja usług Reporting Services, nie można jawnie konfigurowania lub zarządzać serwer raportów połączenia z bazami danych programu SharePoint.
Uruchamianie serwera raportowania w trybie zintegrowanym programu SharePoint wprowadzono ograniczenia dotyczące sposobu konfigurowania usługa konta w Reporting Services.Użyj tych wytycznych, podczas konfigurowania usługa kont:
Wybierz konta, które mają uprawnienia logowania sieciowe, jeśli serwer raportowania usługa kont musi połączyć się z bazami danych programu SharePoint na komputerze zdalnym.
Nie należy używać konta wbudowane (takich jak System lokalny lub Usługa sieciowa) Jeśli serwer raportów i baz danych programu SharePoint są na jednym komputerze i aplikacji sieci Web programu SharePoint jest na komputerze zdalnym.Po uruchomieniu baz danych programu SharePoint na komputerze zdalnym, aplikacji sieci Web programu SharePoint wyraźnie odmawia dostępu bazy danych kont wbudowanych, które są zdefiniowane na komputerze zdalnym.Oznacza to, że jeśli serwer raportów jest uruchomiony w ramach wbudowanego konta, następnie go nie może połączyć bazy danych programu SharePoint, ponieważ jest uruchomiona na tym samym komputerze baz danych programu SharePoint.
Dla wszystkich topologii, które należy umieścić na tym samym komputerze lub komputerami, serwerami i bazami danych Reporting Services usługa kont można skonfigurować jako wbudowane konta lub kont domeny.
Błędy połączenia z bazami danych programu SharePoint
Jeśli serwer raportów nie może uzyskać dostępu do baz danych programu SharePoint i występuje błąd konfiguracja (na przykład, jeśli usługa kont lub hasła nie są prawidłowe lub jeśli lokalnego wystąpienia modelu obiektów programu Windows SharePoint nie jest zainstalowany), rsServerConfigurationError wystąpi błąd.Inne błędy połączenia rsSharePointError zwracany jest błąd wraz z dodatkowe informacje o błędzie z lokalnego wystąpienie programu SharePoint.
SharePoint i SSRS uwierzytelniania topologie
W poniższej tabela przedstawiono obsługiwane kombinacje metod uwierzytelnianie programu SharePoint i SSRS i użycia.
SharePoint i SSRS na tym samym komputerze. |
Uwierzytelnianie programu SharePoint |
SSRStryb integracji |
SSRSUwierzytelnianie |
Konto dostępu do usług SSRS |
Poświadczenia źródło danych |
|---|---|---|---|---|---|
Tak |
Kerberos |
Zintegrowane |
Negocjowania |
Użytkownika, można delegować w kontekście zabezpieczeń użytkownika |
Zintegrowany, przechowywane, Monituj |
Tak |
Kerberos |
Zintegrowane |
UWIERZYTELNIANIE NTLM |
Nieobsługiwana |
|
Tak |
Kerberos |
Zaufane |
Negocjować lub NTLM |
Konto usługi witryny |
Przechowywane wierszu zintegrowane (+) |
Tak |
UWIERZYTELNIANIE NTLM |
Zintegrowane |
Negocjowania |
Nieobsługiwana |
|
Tak |
UWIERZYTELNIANIE NTLM |
Zintegrowane |
UWIERZYTELNIANIE NTLM |
Użytkownika, nie można delegować kontekst zabezpieczeń użytkownika |
Zapisane, Monituj zintegrowane, lokalne |
Tak |
UWIERZYTELNIANIE NTLM |
Zaufane |
Negocjować lub NTLM |
Konto usługi witryny |
Przechowywane wierszu zintegrowane (+) |
Tak |
Formularze |
Zintegrowane |
IUSR |
Nieobsługiwana |
|
Tak |
Formularze |
Zaufane |
Negocjować lub NTLM |
Konto usługi witryny |
Przechowywane wierszu zintegrowane (+) |
Nie |
Kerberos |
Zintegrowane |
Negocjowania |
Delegatable użytkownika |
Zintegrowany, przechowywane, Monituj |
Nie |
Kerberos |
Zintegrowane |
UWIERZYTELNIANIE NTLM |
Nieobsługiwana |
|
Nie |
Kerberos |
Zaufane (*) |
Negocjowania |
Konto usługi witryny |
Przechowywane wierszu zintegrowane (+) |
Nie |
Kerberos |
Zaufane (*) |
Negocjowania |
Konto usługi witryny |
Przechowywane, wiersza, integrowanie, jeśli lokalne SSRS |
Nie |
UWIERZYTELNIANIE NTLM |
Zintegrowane |
Anonimowe |
Nieobsługiwana |
|
Nie |
UWIERZYTELNIANIE NTLM |
Zaufane (*) |
Negocjowania |
Konto usługi witryny |
Przechowywanie, Monituj, zintegrowane (+) |
Nie |
UWIERZYTELNIANIE NTLM |
Zaufane (*) |
UWIERZYTELNIANIE NTLM |
Witryna usługi Addount |
Przechowywane, Monituj, zintegrowane, jeśli lokalne |
Nie |
Formularze |
Zintegrowane |
Anonimowe |
Nieobsługiwana |
|
Nie |
Formularze |
Zaufane (*) |
Negocjowania |
Konto usługa witryny |
Przechowywane, promt, zintegrowane (+) |
Nie |
Formularze |
Zaufane |
UWIERZYTELNIANIE NTLM |
Konto usługa witryny |
Przechowywane, Monituj, zintegrowany, jeśli lokalne |
(+) Jeśli konto usługa witryny programu SharePoint jest kontem lokalnym, to źródło danych musi być lokalny komputera serwera raportów.Jeśli konto usługa witryny jest kontem domena, źródło danych może być na innym komputerze.
(*) Konto usługa witryny programu SharePoint musi być kontem domena.
Zobacz także
Zadania
Koncepcje
Historia zmian
Zaktualizowana zawartość |
|---|
Dodać tabele topologie uwierzytelnianie. |