Общие сведения о безопасности для служб Reporting Services в режиме интеграции с SharePoint
Изменения: 17 ноября 2008 г.
Сервер отчетов, настроенный на работу в режиме интеграции с SharePoint, использует поставщика проверки подлинности и разрешения, определенные в веб-приложении SharePoint, для управления доступом к элементам и операциям сервера отчетов.
Разрешение на доступ к элементам и операциям предоставляется в соответствии с политиками безопасности SharePoint, сопоставляющими учетную запись пользователя или группы с уровнем разрешения, соответствующим элементу. По сути, этот процесс полностью аналогичен использованию назначений ролей для работы сервера отчетов в собственном режиме, когда назначение роли сопоставляет учетную запись пользователя или группы с набором допустимых задач, соответствующим элементу. Как и с большинством других моделей проверки подлинности на основе ролей, система безопасности SharePoint обеспечивает наследование разрешений, что позволяет упростить использование и сократить затраты на обслуживание большого количества политик.
При развертывании типов содержимого сервера отчетов на веб-узле SharePoint необходимо учитывать следующее:
- Каким образом создаются соединения и передаются запросы между двумя серверами. Поставщик проверки подлинности, используемый в веб-приложении SharePoint, определяет, можно ли в дальнейшем применять встроенную безопасность Windows для доступа к внешним источникам данных, используемых отчетом.
- Каким образом используется система безопасности по умолчанию для добавления, управления и доступа к элементам и операциям сервера отчетов. Дополнительные сведения см. в разделах Управление разрешениями и безопасностью элементов сервера отчетов на узле SharePoint и Использование встроенных средств безопасности служб Windows SharePoint при работе с элементами сервера отчетов электронной документации по SQL Server.
- Каким образом переопределяется система безопасности по умолчанию с помощью настройки разрешений для конкретных отчетов или операций. Дополнительные сведения см. в разделе Как задать разрешения для элементов сервера отчетов на узле SharePoint электронной документации по SQL Server.
Перед назначением разрешений необходимо настроить каждый сервер для работы в режиме интеграции. Дополнительные сведения см. в разделе Настройка служб Reporting Services для интеграции с SharePoint 3.0.
Поставщики проверки подлинности в технологиях SharePoint
Для веб-приложения SharePoint может использоваться проверка подлинности Windows или проверка подлинности с помощью форм. Сервером отчетов могут обрабатываться запросы по любой из схем. Можно настроить проверку подлинности в таких сочетаниях:
- проверка подлинности Windows со встроенной безопасностью (протокол Kerberos включен);
- проверка подлинности Windows без олицетворения и делегирования (протокол Kerberos отключен);
- проверка подлинности с помощью форм.
.gif "Bb283324.note(ru-ru,SQL.90).gif") Примечание. |
|---|
| Продуктами и технологиями служб Reporting Services и SharePoint поддерживается проверка подлинности с помощью форм. Реализации, применяемые для каждой группы продуктов, различны и несовместимы между собой. Нестандартные модули проверки подлинности служб Reporting Services не поддерживаются для серверов отчетов, работающих в режиме интеграции с SharePoint. |
В следующей таблице кратко представлены преимущества и недостатки каждого поставщика проверки подлинности:
| Преимущества | Недостатки | |
|---|---|---|
Проверка подлинности Windows (протокол Kerberos включен) |
Работает в сценариях развертывания с одним сервером и с несколькими серверами. Поддерживает использование встроенных учетных данных Windows для внешних источников данных. |
Не работает с проверкой подлинности NTLM в многосерверных сценариях развертывания. |
Проверка подлинности Windows (без протокола Kerberos) или проверка подлинности с помощью форм |
Работает в сценарии проверка подлинности по протоколу Kerberos и во всех вариантах проверки подлинности без протокола Kerberos. |
Не поддерживает встроенные учетные данные Windows для внешних источников данных. |
Отправка запросов на сервер отчетов
Все запросы на элемент или операцию сервера отчетов должны быть действительными проверенными запросами. Используемым поставщиком проверки подлинности определяется способ обработки запроса.
Встроенная безопасность Windows
Если веб-приложение SharePoint настроено на использование проверки подлинности Windows и протокол Kerberos включен, соединение между веб-приложением SharePoint и сервером отчетов осуществляется с помощью олицетворяемых или делегированных учетных данных текущего пользователя Windows. На приведенной ниже схеме показаны соединения при настройке сервера отчетов для работы в режиме интеграции с SharePoint и при использовании веб-приложением SharePoint проверки подлинности Windows (протокол Kerberos включен).
.gif "Соединения в режиме интеграции с SharePoint")
- Соединение 1
Пользователь осуществляет доступ к веб-узлу SharePoint с помощью маркера пользователя, созданного при входе пользователя в сеть. Маркер содержит идентификатор пользователя и сведения о принадлежности к группе. Веб-приложение SharePoint выполняет проверку подлинности пользователя. Пользователь запрашивает элемент или операцию сервера отчетов.
- Соединение 2
Веб-приложение SharePoint направляет маркер и запрос на сервер отчетов. Запрос на соединение направляется с использованием идентификатора пользователя Windows. Сервер отчетов проверяет наличие у пользователя разрешения на доступ к серверу отчетов.
Соединение 3
Если проверка завершилась успешно, сервер отчетов подтверждает наличие у пользователя разрешения на доступ к элементу или операции.Сервер отчетов использует внутренний модуль безопасности для проверки разрешений пользователя. С помощью модуля сервер отчетов вызывает объектную модель Windows SharePoint Services для проверки разрешений, хранящихся в базах данных содержимого SharePoint. Невозможно настраивать или управлять этим модулем безопасности. Он является внутренним компонентом, используемым для серверов отчетов, работающих в режиме интеграции с SharePoint.
Если пользователь обладает разрешением на доступ к отчету, другому элементу или операции, запрос обрабатывается.
Используя встроенную безопасность Windows, можно решить известную проблему «двойного прыжка», связанную с тем, что срок действия учетных данных Windows истекает после одного соединения. Это также расширяет возможности выбора вариантов, доступных при настройке соединений с источниками данных для отчетов и моделей. Если идентификатор пользователя Windows используется для подключения к серверу отчетов, сервер отчетов может использовать этот идентификатор в ходе обработки отчета для получения данных из внешних источников данных. Таким образом, при настройке свойств источника данных для отчета можно выбрать параметр Встроенная безопасность Windows для соединения с источником данных. Дополнительные сведения см. в разделе Указание учетных данных и сведений о соединении электронной документации по SQL Server.
Проверка подлинности Windows или с помощью форм и доверенные учетные записи
Если веб-приложение SharePoint настроено на применение проверки подлинности с помощью форм, соединение с сервером отчетов направляется по сети под стандартной учетной записью, имеющей разрешение на олицетворение пользователя SharePoint на сервере отчетов. Тот же подход используется в том случае, когда веб-приложение SharePoint настроено для применения проверки подлинности Windows, и при этом не включен протокол Kerberos. На следующей схеме показаны соединения при использовании доверенных учетных записей и идентификаторов пользователей SharePoint.
.gif "Соединения пользователей и нестандартная проверка подлинности")
- Соединение 1
Пользователь входит в систему на веб-узле SharePoint. Веб-приложение SharePoint выполняет проверку подлинности пользователя. Веб-приложение SharePoint преобразует идентификатор пользователя в идентификатор пользователя SharePoint (SPUser). Новый маркер пользователя создается для этого пользователя в контексте SPUser. Маркер содержит идентификатор пользователя и сведения о принадлежности к группе. Пользователь запрашивает элемент или операцию сервера отчетов.
Соединение 2
Веб-приложение SharePoint олицетворяет идентификатор пользователя SharePoint в запросе к серверу отчетов. Запрос на соединение направляется под доверенной учетной записью. Для этого используется идентификатор процесса веб-приложения SharePoint.Сервер отчетов проверяет, является ли поступивший запрос на соединение запросом от доверенной учетной записи, сравнивая эту запись с данными учетной записи, полученными из баз данных конфигурации SharePoint при запуске сервера отчетов. На сервере отчетов доверенной учетной записью является учетная запись пользователя Windows с разрешением на олицетворение веб-приложения SharePoint. Она используется только для олицетворения SPUser. Ей не разрешается доступ к элементам и операциям сервера отчетов.
Соединение 3
Если проверка завершилась успешно, сервер отчетов подтверждает наличие у пользователя SPUser разрешения на доступ к элементу или операции.С помощью модуля сервер отчетов проверяет разрешения пользователя, вызывая объектную модель Windows SharePoint Services для проверки разрешений, хранящихся в базах данных содержимого SharePoint. Если пользователь обладает разрешением на доступ к отчету, другому элементу или операции, запрос обрабатывается.
Истечение срока действия учетной записи и обработка подписки
При создании подписки на отчет сервер отчетов сохраняет данные учетной записи пользователя SPUser, чтобы с их помощью проверить наличие у пользователя разрешения на просмотр отчета в момент доставки. Если срок действия учетной записи SPUser истек, подписка завершится неуспешно и возвратит ошибку rsSharePointError. Свойством уровня фермы, именуемым TokenTimeout, определяется продолжительность срока действия учетной записи SPUser.
Настройка административной учетной записи и учетной записи службы для использования уникальных учетных записей домена
При развертывании продукта или технологии SharePoint используются разнообразные учетные записи для запуска служб, а также для доступа к серверам, обслуживающим клиентские запросы, и к внутренним серверам. Если для развертывания указываются учетные записи домена, обязательно следуйте рекомендациям и указывайте учетные записи, которые используются исключительно веб-приложением SharePoint. Не настраивайте учетные записи служб для работы под учетной записью пользователя домена, который в настоящее время имеет доступ к узлу SharePoint. При обращении к узлу SharePoint с использованием учетных данных служб могут возникать ошибки. Дополнительные сведения о требованиях и рекомендациях к учетным записям служб см. в разделе Plan for administrative and service accounts (Планирование административных учетных записей и учетных записей служб) документации по службам Windows SharePoint Services 3.0.
Рекомендации по настройке поставщиков проверки подлинности в масштабном развертывании
Если используются масштабное развертывание служб Reporting Services и продукт или технология SharePoint, а для среды настроены различные поставщики проверки подлинности, то при проверке подлинности пользователей могут возникать проблемы. Например, если в среде работы с отчетами используется проверка подлинности с помощью форм для соединения с Интернетом и проверка подлинности Windows для соединений в интрасети, то запрос может быть направлен на компьютер с клиентской частью веб-сервера, которая использует поставщик проверки подлинности, не совпадающий с типом проверки подлинности запроса. В результате службы Reporting Services могут запретить доступ к запросу либо запрос будет выполняться от имени пула приложений, а не пользователя, сделавшего запрос.
Рекомендуется использовать различные URL-адреса для доступа к содержимому из Интернета и из интрасети. Также можно настроить файл hosts на компьютерах с клиентской частью веб-сервера, чтобы переопределить поиск в DNS, сопоставив IP-адрес узла, имеющего структуру веб-узла, с URL-адресом в Интернете. В результате запросы к URL-адресу в Интернете не будут направляться системой DNS на URL-адрес в интрасети.
Доступ сервера отчетов к базам данных содержимого SharePoint
И веб-приложение SharePoint, и сервер отчетов подключаются к соответствующим базам данных, чтобы сохранить данные о состоянии приложения и другие данные, однако серверу отчетов необходимо также подключаться к базам данных SharePoint для сохранения и получения элементов, свойств и настроек конфигурации. На следующей схеме показаны серверные соединения с различными базами данных.
.gif "Соединения серверов с обслуживающими хранилищами данных")
Веб-приложением SharePoint для внутреннего хранения может использоваться локальная или удаленная база данных. Если базы данных SharePoint расположены на удаленных компьютерах, для соединения необходимо использовать учетную запись домена.
Сервером отчетов для внутреннего хранения может использоваться локальная или удаленная база данных. В обоих случаях соединение с базой данных может быть создано с использованием учетной записи домена, имени входа SQL Server или встроенной учетной записи, например Network Service или Local System.
Соединение сервера отчетов с базами данных SharePoint
В службах Reporting Services как для веб-служб, так и для служб Windows требуется доступ к базам данных SharePoint. Учетные записи служб для обеих служб рассматриваются как доверенные пользователи в веб-приложении SharePoint и автоматически получают разрешение на доступ к базам данных SharePoint.
Соединение управляется внутренне; оно настраивается при использовании центра администрирования SharePoint для определения сервера отчетов для веб-приложения SharePoint и задания доверенных учетных записей. В отличие от соединения сервера отчетов с его собственными базами данных, которое можно задать или изменить с помощью программы настройки служб Reporting Services, соединение сервера отчетов с базами данных SharePoint не подлежит настройке или управлению явным образом.
Работа сервера отчетов в режиме интеграции с SharePoint связана с ограничениями в возможностях настройки учетных записей служб в Reporting Services. При настройке учетных записей служб следуйте приведенным ниже рекомендациям:
- Выбирайте учетные записи, имеющие разрешения на вход в сеть, если учетные записи служб сервера отчетов будут использоваться для подключения к базам данных SharePoint на удаленном компьютере.
- Избегайте использования встроенных учетных записей (например, Локальная система или Сетевая служба), если сервер отчетов и базы данных SharePoint располагаются на одном компьютере, а веб-приложение SharePoint — на другом, удаленном компьютере. Если базы данных SharePoint находятся на удаленном компьютере, веб-приложение SharePoint явно отказывает в доступе к базе данных встроенным учетным записям, определенным на удаленном компьютере. Это означает, что все службы, выполняющиеся под встроенными учетными записями на этом компьютере, не могут подключиться к базам данных SharePoint.
- Для любой другой топологии, предусматривающей размещение серверов и баз данных на одном и том же компьютере или на разных компьютерах, учетные записи служб Reporting Services могут настраиваться как учетные записи домена или как встроенные учетные записи.
Ошибки при подключении к базам данных SharePoint
Если серверу отчетов не удается получить доступ к базам данных SharePoint и имеется ошибка конфигурации (например, если учетные записи служб или пароли недействительны, или если локальный экземпляр объектной модели Windows SharePoint не установлен), возникает ошибка rsServerConfigurationError. Для всех остальных ошибок при соединении возвращается ошибка rsSharePointError вместе с дополнительными сведениями об ошибке из локального экземпляра Windows SharePoint Services.
См. также
Задачи
Как задать разрешения для элементов сервера отчетов на узле SharePoint
Основные понятия
Использование встроенных средств безопасности служб Windows SharePoint при работе с элементами сервера отчетов
Сравнение ролей и задач служб Reporting Services с группами и разрешениями SharePoint
Хранение и синхронизация содержимого сервера отчетов с помощью баз данных SharePoint
Справка и поддержка
Получение помощи по SQL Server 2005
Журнал изменений
| Версия | Журнал |
|---|---|
17 ноября 2008 г. |
|