Проверка подлинности на основе утверждений и службы Reporting Services
Продукты SharePoint 2010 поддерживают проверку подлинности, основанную на утверждениях. Службы SQL Server 2008 R2 Службы Reporting Services в режиме интеграции с SharePoint будут работать с веб-приложениями с включенными утверждениями SharePoint, используя проверку подлинности с доверенной учетной записью и токены пользователя SharePoint. Дополнительные сведения о проверке подлинности, основанной на утверждениях, см. в разделе Обзор удостоверений, основанных на утверждениях. Дополнительные сведения о проверке подлинности SharePoint 2010 см. в разделе Планирование методов проверки подлинности.
Взаимодействие сервера отчетов с проверкой подлинности на основе утверждений
Далее приводятся основные этапы подключения сервера отчетов и прокси-сервера служб Reporting Services к клиентскому веб-интерфейсу (WFE) с включенными утверждениями.
Клиентский веб-интерфейс с включенными утверждениями выполняет соответствующую проверку подлинности на основе утверждений и, используя службу безопасного токена SharePoint, передает токены утверждений прокси-серверу служб Reporting Services клиентского веб-интерфейса SharePoint.
Прокси-сервер служб Reporting Services в клиентском веб-интерфейсе использует эти токены для создания пользовательского токена SharePoint, который перенаправляется на сервер отчетов.
Сервер отчетов сам по себе не поддерживает обработку утверждений и не выполняет проверку подлинности или преобразование на основе утверждений. Он использует пользовательский токен SharePoint, переданный прокси-сервером служб Reporting Services.
Сервер отчетов использует локальную объектную модель SharePoint для создания правильного пользовательского контекста SharePoint на основе пользовательского токена SharePoint.
Сервер отчетов отправляет запрошенные сведения, например подготовленный к просмотру отчет, обратно на сервер SharePoint, используя соответствующий пользовательский контекст SharePoint.
Преобразование веб-приложений для проверки подлинности на основе утверждений
SharePoint 2010 позволяет пользователям преобразовывать существующие веб-приложения SharePoint 2010 для проверки подлинности на основе утверждений. Веб-приложения, использующие проверку подлинности, отличную от Windows, которые были обновлены с более ранней версии SharePoint до SharePoint 2010, должны быть преобразованы, если необходима проверка подлинности на основе утверждений.
Дополнительные сведения о преобразовании веб-приложений для проверки подлинности на основе утверждений см. в разделе Настройка проверки подлинности на основе форм для веб-приложений на основе утверждений (сервер SharePoint 2010).
Настройка проверки подлинности в службах Reporting Services для поддержки веб-приложений с включенными утверждениями
Ниже приводятся изменения в конфигурации служб Reporting Services, необходимые для поддержки веб-приложений с включенными утверждениями.
Настройка учетных записей служб Reporting Services для доступа к преобразованному веб-приложению. Используйте веб-страницу Интеграция со службами Reporting Services в центре администрирования SharePoint. Если службы Reporting Services используются в масштабном развертывании, а сервер отчетов использует другие учетные записи служб, используйте веб-страницу Добавить к интеграции сервер отчетов в центре администрирования для каждого сервера отчетов.
Для существующих подписок служб Reporting Services используйте программу rs.exe и скрипты с API-интерфейсом ChangeSubscriptionOwnerSOAP для изменения владельцев подписки на соответствующих пользователей, поддерживаемых проверкой подлинности на основе утверждений.
Для существующей системы безопасности элементов модели используйте веб-страницу «Безопасность элементов модели» или скрипт с API-интерфейсом SetModelItemPolicies для обновления списка пользователей, имеющих права доступа на чтение отдельных элементов модели, и включения в него пользователей, поддерживаемых проверкой подлинности на основе утверждений.
Поведение надстройки служб Reporting Services, связанное с регрессией проверки подлинности, для продуктов SharePoint 2010
Страница «Интеграция со службами Reporting Services» в центре администрирования SharePoint позволяет настроить один режим проверки подлинности — доверенную учетную запись или проверку подлинности Windows. Однако среда SharePoint может содержать веб-приложения, которые работают на основе разных типов проверки подлинности. Например, одно веб-приложение может быть настроено для проверки подлинности на основе утверждений, а другое — для проверки подлинности в обычном режиме. Прокси-сервер служб Reporting Services, установленный надстройкой, очень гибкий и может в некоторых случаях изменять методы проверки подлинности.
Если интеграция служб Reporting Services была настроена на проверку подлинности Windows, прокси-сервер служб Reporting Services может выполнить регрессию до доверенной проверки подлинности, если обнаружит веб-приложение SharePoint, настроенное для проверки подлинности на основе утверждений.
В следующей таблице приводится общее описание поведения служб Reporting Services в зависимости от настроенной проверки подлинности для интеграции служб Reporting Services и веб-приложения SharePoint.
Страница «Интеграция со службами Reporting Services» |
Настройка веб-приложения SharePoint 2010 |
Поддерживается |
|---|---|---|
Проверка подлинности Windows |
Обычная проверка подлинности |
Да |
Доверенная учетная запись |
Проверка подлинности на основе утверждений |
Да |
Доверенная учетная запись |
Обычная проверка подлинности |
Да |
Проверка подлинности Windows |
Проверка подлинности на основе утверждений |
Да. Прокси-сервер служб Reporting Services выполняет регрессию для использования проверки подлинности на основе доверенной учетной записи. |
Побочные эффекты поведения, связанного с регрессией, заключаются в том, что в некоторых случаях требуется проверка подлинности Windows. Например, если отчет использует источник данных, настроенный для встроенной безопасности Windows, пользователь увидит сообщение об ошибке, похожее на следующее сообщение, потому что прокси-сервер служб Reporting Services обнаружил веб-приложение, которое использовало проверку подлинности на основе утверждений, а прокси-сервер использовал логику регрессии, при этом сеанс был запущен в контексте доверенной учетной записи:
Произошла ошибка при обработке отчета. (rsProcessingAborted)
Невозможно олицетворить пользователя для источника данных «MyDataSourceName». (rsErrorImpersonatingUser)
Этот источник данных настроен на использование встроенной безопасности Windows. Встроенная безопасность Windows отключена для этого сервера отчетов, либо сервер отчетов использует режим доверенной учетной записи. (rsWindowsIntegratedSecurityDisabled)
Чтобы избежать этой ошибки, необходимо изменить источник данных и настроить его на использование хранимых учетных данных.
Клиенты служб Reporting Services не поддерживают проверку подлинности на основе утверждений LiveID или SAML
Клиентские приложения служб Службы Reporting Services: Построитель отчетов и конструкторы отчетов среды Business Intelligence Development Studio и Management Studio не поддерживают соединение и проверку подлинности SharePoint на основе утверждений LiveID или SAML. Эти клиентские приложения могут работать с другими формами проверки подлинности на основе утверждений, потому что они используют конечную точку проверки подлинности служб Службы Reporting Services. Конечная точка позволяет клиентским приложениям взаимодействовать с SharePoint через общие компоненты, используемые проверкой подлинности на основе форм ASP.NET. Проверка подлинности на основе утверждений SAML и LiveID работает иначе и не поддерживается клиентскими приложениями служб Службы Reporting Services.