Authentifizierungstypen in Reporting Services
Reporting Services verarbeitet alle Authentifizierungsfunktionen für HTTP-Anforderungen über die mit dem Server installierte Windows-Authentifizierungserweiterung oder eine von Ihnen bereitgestellte Authentifizierungserweiterung. Die Windows-Authentifizierungserweiterung unterstützt mehrere Authentifizierungstypen, so dass Sie genau steuern können, welche HTTP-Anforderungen ein Berichtsserver akzeptiert. Authentifizierungstypen: RSWindowsNegotiate, RSWindowsKerberos, RSWindowsNTLM und RSWindowsBasic. Jeder dieser Authentifizierungstypen kann individuell aktiviert oder deaktiviert werden. Sie können mehrere Typen aktivieren, wenn der Berichtsserver mehrere Arten von Anforderungen akzeptieren soll.
.gif "Hinweis") Hinweis |
|---|
In vorherigen Versionen von Reporting Services wurde die gesamte Authentifizierungsunterstützung von IIS bereitgestellt. Ab der Version SQL Server 2008 wird IIS nicht mehr verwendet. Reporting Services verarbeitet alle Authentifizierungsanforderungen intern. |
Authentifizierungstypen
In der folgenden Tabelle werden die von Reporting Services unterstützten Authentifizierungstypen beschrieben.
Name Authentifizierungstyp |
Wert HTTP-Authentifizierungsebene |
Standardmäßig verwendet |
Beschreibung |
|---|---|---|---|
RSWindowsNegotiate |
Negotiate |
Ja |
RSWindowsNegotiate weist den Berichtsserver an, Authentifizierungsanforderungen zu verarbeiten, die Negotiate angeben. Negotiate versucht zunächst eine Kerberos-Authentifizierung, greift jedoch auf NTLM zurück, wenn Active Directory kein Ticket für die Client-Anforderung auf den Berichtsserver gewähren kann. Negotiate greift nur auf NTLM zurück, wenn das Ticket nicht verfügbar ist. Wenn der erste Versuch zu einem Fehler (außer einem nicht verfügbaren Ticket) führt, unternimmt der Berichtsserver keinen zweiten Versuch. |
RSWindowsNTLM |
NTLM |
Ja |
NTLM authentifiziert einen Benutzer durch einen Austausch von als Abfrage/Rückmeldung beschriebenen privaten Daten. Die Anmeldeinformationen werden nicht delegiert oder durch einen Identitätswechsel für andere Anforderungen verwendet. Nachfolgende Anforderungen befolgen eine neue Abfrage-/Rückmeldungs-Sequenz. Je nach den Einstellungen für die Netzwerksicherheit können Benutzer aufgefordert werden, Anmeldeinformationen einzugeben oder die Authentifizierungsanforderung wird transparent verarbeitet. |
RSWindowsKerberos |
Kerberos |
Nein |
Für Anforderungen, die die Kerberos-Authentifizierung angeben, liest der Berichtsserver die Berechtigungen auf dem Sicherheitstoken des Benutzers, der die Anforderung ausgegeben hat. Wenn in der Domäne die Delegierung aktiviert ist, kann das Token des den Bericht anfordernden Benutzers auch für eine zusätzliche Verbindung zu den externen Datenquellen verwendet werden, die Daten für Berichte liefern. Bevor Sie RSWindowsKerberos angeben, stellen Sie sicher, dass der von Ihnen verwendete Browsertyp diesen Authentifizierungstyp unterstützt. Wenn Sie Internet Explorer verwenden, wird die Kerberos-Authentifizierung nur über Negotiate unterstützt. Internet Explorer formuliert keine Authentifizierungsanforderung, die Kerberos direkt angibt. |
RSWindowsBasic |
Standard |
Nein |
Die Standardauthentifizierung wird im HTTP-Protokoll definiert und kann nur verwendet werden, um HTTP-Anforderungen an den Berichtsserver zu authentifizieren. Anmeldeinformationen werden mithilfe der Base64-Codierung an die HTTP-Anforderung übergeben. Bei der Standardauthentifizierung können Sie SSL (Secure Sockets Layer) zum Verschlüsseln der Benutzerkontoinformationen verwenden, bevor diese über das Netzwerk gesendet werden. SSL bietet einen verschlüsselten Kanal zum Senden einer Verbindungsanforderung vom Client an den Berichtsserver über eine HTTP TCP/IP-Verbindung. Weitere Informationen finden Sie auf der Microsoft TechNet-Website unter Using SSL to Encrypt Confidential Data. |
Benutzerdefiniert |
(Anonym) |
Nein |
Die anonyme Authentifizierung weist den Berichtsserver an, den Authentifizierungsheader in einer HTTP-Anforderung zu ignorieren. Der Berichtsserver akzeptiert alle Anforderungen. Führen Sie den Aufruf jedoch mit einer benutzerdefinierten ASP.NET Formularauthentifizierung aus, die Sie zur Authentifizierung des Benutzers bereitstellen. Geben Sie Custom nur an, wenn Sie ein benutzerdefiniertes Authentifizierungsmodul bereitstellen, das alle Authentifizierungsanforderungen auf dem Berichtsserver verarbeitet. Sie können den benutzerdefinierten Authentifizierungstyp nicht mit der Standardauthentifizierungserweiterung von Windows verwenden. |
Nicht unterstützte Authentifizierungsmethoden
Die folgenden Authentifizierungsmethoden und -anforderungen werden nicht unterstützt.
Authentifizierungsmethode |
Erklärung |
|---|---|
Anonym |
Der Berichtsserver akzeptiert nur die nicht authentifizierten Anforderungen anonymer Benutzer in Bereitstellungen, die eine benutzerdefinierte Authentifizierungserweiterung enthalten. Berichts-Generator akzeptiert nicht authentifizierte Anforderungen, wenn Sie den Zugriff des Berichts-Generators auf einen Berichtsserver aktivieren, der für die Standardauthentifizierung konfiguriert ist. In allen anderen Fällen werden die anonymen Anforderungen mit dem Fehler 'HTTP Status 401 Access Denied' abgelehnt, bevor die Anforderung ASP.NET erreicht. Clients, die den Fehler '401 Access Denied' erhalten, müssen die Anforderung mit einem gültigen Authentifizierungstyp umformulieren. |
Technologie für einmaliges Anmelden (SSO, Single sign-on technologies) |
In Reporting Services gibt es keine systemeigene Unterstützung der Technologien für einmaliges Anmelden. Wenn Sie eine Technologie für einmaliges Anmelden verwenden möchten, müssen Sie eine benutzerdefinierte Authentifizierungserweiterung erstellen. Die Berichtsserver-Hostumgebung unterstützt keine ISAPI-Filter. Falls die verwendete SSO-Technologie als ISAPI-Filter implementiert ist, sollten Sie die in den ISA-Server integrierte Unterstützung für RSASecueID oder das RADIUS-Protokoll verwenden. Andernfalls können Sie eine ISA-Server-ISAPI oder ein HTTPModule für RS erstellen. Es wird jedoch die direkte Verwendung des ISA-Servers empfohlen. |
Passport |
Wird in SQL Server 2008 nicht unterstützt. |
Digest |
Wird in SQL Server 2008 nicht unterstützt. |
Vorgehensweise: Konfigurieren von Authentifizierungseinstellungen
Authentifizierungseinstellungen werden für die Standardsicherheit konfiguriert, wenn die Berichtsserver-URL reserviert ist. Wenn Sie diese Einstellungen inkorrekt bearbeiten, gibt der Berichtsserver für Anforderungen, die nicht authentifiziert werden können, die Fehler ' HTTP 401 Access Denied' zurück. Beim Auswählen eines Authentifizierungstyps müssen Sie bereits wissen, wie die Windows-Authentifizierung in Ihrem Netzwerk unterstützt wird. Sie müssen mindestens einen Authentifizierungstyp angeben. Für RSWindows können mehrere Authentifizierungstypen angegeben werden. RSWindows-Authentifizierungstypen (RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberos und RSWindowsNegotiate) schließen sich mit dem benutzerdefinierten Authentifizierungstyp gegenseitig aus.
.gif "Wichtiger Hinweis") Wichtig |
|---|
Reporting Services überprüft nicht, ob die von Ihnen angegebenen Einstellungen für die Computerumgebung korrekt sind. Es ist möglich, dass die Standardsicherheit für Ihre Installation nicht geeignet ist oder die von Ihnen angegebenen Konfigurationseinstellungen für Ihre Sicherheitsinfrastruktur nicht geeignet sind. Aus diesem Grund sollten Sie Ihre Berichtsserverbereitstellung in einer kontrollierten Testumgebung sorgfältig prüfen, bevor Sie sie Ihrer Organisation zur Verfügung stellen. |
Der Berichtsserver-Webdienst und der Berichts-Manager verwenden stets denselben Authentifizierungstyp. Sie können keine anderen Authentifizierungstypen für die Funktionsbereiche des Berichtsserverdienstes konfigurieren. In einem Bereitstellungsmodell für horizontales Skalieren sollten Sie sicherstellen, dass alle Ihre Änderungen auf allen Knoten der Bereitstellung dupliziert werden. Sie können keine anderen Knoten in der gleichen Bereitstellung für horizontales Skalieren konfigurieren, um andere Authentifizierungstypen zu verwenden.
Die Hintergrundverarbeitung akzeptiert keine Anforderungen von Endbenutzern. Sie authentifiziert jedoch alle Anforderungen für unbeaufsichtigte Ausführungszwecke. Sie verwendet stets die Windows-Authentifizierung und authentifiziert Anforderungen mit dem Berichtsserverdienst oder dem unbeaufsichtigten Ausführungskonto, falls konfiguriert.
Weitere Informationen zum Konfigurieren der Authentifizierung in Reporting Services finden Sie unter:
Vorgehensweise: Konfigurieren der Windows-Authentifizierung in Reporting Services
Vorgehensweise: Konfigurieren der Standardauthentifizierung in Reporting Services