SharePoint 集成模式下的 Reporting Services 安全性概述

如果 SharePoint Web 应用程序配置为使用 Kerberos 的 Windows 身份验证，则 SharePoint Web 应用程序与报表服务器之间的连接可使用当前 Windows 用户的模拟凭据或委托凭据。通过使用具有 Kerberos 和标识委托的 Windows 集成安全性，可以消除典型的“双跃点”问题，即 Windows 凭证在单次连接后便过期。它还可以扩充为报表和模型配置数据源连接时可用的一组选项。下图显示的是当报表服务器配置为与 SharePoint 集成，且 SharePoint Web 应用程序使用具有 Kerberos 和标识委托的 Windows 身份验证时的连接情况。

• 连接 1
  用户使用登录网络时创建的用户令牌访问 SharePoint 站点。它包含用户标识和组成员身份。SharePoint Web 应用程序验证用户身份。用户请求报表服务器项或操作。

• 连接 2
  SharePoint Web 应用程序将令牌和请求发送到报表服务器。发送连接请求时使用用户的委托的 Windows 标识。报表服务器验证用户的身份，以便查看是否允许该用户访问报表服务器。

• 连接 3
  如果身份验证成功，则报表服务器将使用 Reporting Services 实例的用户帐户来建立与 SharePoint 内容数据库的连接，以便确认已授权该用户访问该项或操作。如果授权成功，则报表服务器将对请求提供服务。

• 连接 4
  如果用户正在查看某个报表，则报表服务器可以在报表处理期间委托用户的 Windows 标识，以便从外部数据源检索数据。也就是说，在为报表设置数据源属性时，可以为数据源连接选择**“Windows 集成安全性”**选项。有关详细信息，请参阅 SQL Server 联机丛书中的为报表的数据源指定凭据和连接信息和如何创建和管理共享数据源（SharePoint 集成模式下的 Reporting Services）。

如果 SharePoint Web 应用程序配置为使用窗体身份验证或者使用 NTLM 的 Windows 身份验证，则使用有权模拟报表服务器上的 SharePoint 用户的预定义可信帐户来通过网络发送到报表服务器的连接。下图显示的是使用可信帐户和 SharePoint 用户标识时的连接。

• 连接 1
  用户登录到 SharePoint 站点。SharePoint Web 应用程序验证用户身份。SharePoint Web 应用程序将用户标识转换为 SharePoint 用户标识 (SPUser)。在 SPUser 的上下文中为该用户创建新的用户令牌。它包含用户标识和组成员身份。用户请求报表服务器项或操作。

• 连接 2
  SharePoint Web 应用程序使用可信帐户连接到报表服务器，这是 SharePoint Web 应用程序的进程标识。然后，SharePoint Web 应用程序在针对某一项或某一操作的请求中模拟该 SharePoint 用户标识。

  报表服务器将连接请求与报表服务器启动时从 SharePoint 配置数据库中检索到的帐户信息进行比较，验证连接请求是否来自可信帐户。在报表服务器上，可信帐户是拥有模拟 SharePoint Web 应用程序权限的 Windows 用户。它还用于模拟 SPUser，但不允许访问报表服务器项和操作。

• 连接 3
  如果身份验证成功，则报表服务器将使用 Reporting Services 实例的用户帐户来建立与 SharePoint 内容数据库的连接，以便确认已授权该 SPUser 访问该项或操作。如果授权成功，则报表服务器将对请求提供服务。

• 连接 4
  如果用户正在查看某个报表，则报表服务器由于“双跃点”问题，无法使用 SPUser 从外部数据源检索数据。也就是说，在为报表设置数据源属性时，无法为数据源连接选择**“Windows 集成安全性”**选项。但是，您可以配置该报表以便使用其他连接选项，例如存储凭据或提示的凭据。有关详细信息，请参阅 SQL Server 联机丛书中的为报表的数据源指定凭据和连接信息和如何创建和管理共享数据源（SharePoint 集成模式下的 Reporting Services）。

创建报表订阅时，报表服务器将存储 SPUser 帐户信息，以验证用户在传递时是否拥有查看报表的权限。如果 SPUser 已过期，订阅将失败并返回 rsSharePointError 错误。名为 TokenTimeout 的场级属性决定着 SPUser 的有效期。

SharePoint 产品或技术的部署使用多种帐户来运行服务以及访问前端和后端服务器。如果您为部署指定域帐户，一定要遵循建议的最佳方法并指定由 SharePoint Web 应用程序独占使用的帐户。请勿将服务帐户配置为以将要访问 SharePoint 站点的实际用户的域用户帐户运行。如果使用服务凭据访问 SharePoint 站点，则可能会遇到错误。

如果您具有 Reporting Services 和 SharePoint 产品的扩展部署，并且为自己的环境配置了不同的身份验证提供程序，则您在验证用户身份时可能会遇到问题。例如，如果您的报告环境使用窗体身份验证进行 Internet 连接，使用 Windows 身份验证用于 Intranet 连接，则该请求可能会被路由到 Web 前端计算机，所使用的身份验证提供程序与请求的身份验证类型不匹配。这可能会导致 Reporting Services 拒绝访问请求，或该请求可能会在应用程序池标识而不是发出请求的用户下运行。

作为最佳做法，用户应使用不同的 URL 从 Internet 和 Intranet 访问内容。或者，您可以通过将面向 Internet 的网站的 Internet 协议 (IP) 地址映射到 Internet URL，在 Web 前端计算机上配置主机文件以覆盖域名系统 (DNS) 查找，这样针对 Internet URL 发出的请求就不会被 DNS 路由到 Intranet URL。

在 Reporting Services 中，Web 服务和 Windows 服务均需访问 SharePoint 数据库。两个服务的服务帐户在 SharePoint Web 应用程序中作为可信用户运行，且自动授予了访问 SharePoint 数据库的权限。

连接在内部进行管理；在使用 SharePoint 管理中心将 SharePoint Web 应用程序指向报表服务器并设置可信帐户时，会对连接进行配置。与从报表服务器到报表服务器数据库的连接不同（您可以使用 Reporting Services 配置工具进行设置或修改），您不能明确配置或管理从报表服务器到 SharePoint 数据库的连接。

以 SharePoint 集成模式运行报表服务器将给在 Reporting Services 中配置服务帐户的方式带来限制。配置服务帐户时应采用下列原则：

• 如果报表服务器服务帐户必须连接到远程计算机上的 SharePoint 数据库，则应选择拥有网络登录权限的帐户。

• 如果报表服务器和 SharePoint 数据库在同一台计算机上，而 SharePoint Web 应用程序在远程计算机上，则不要使用内置帐户（如 Local System 或 Network Service）。当 SharePoint 数据库在远程计算机上运行时，SharePoint Web 应用程序将显式拒绝在远程计算机上定义的内置帐户对数据库的访问。这意味着，如果报表服务器正在基于某一内置帐户运行，则它无法连接到 SharePoint 数据库，因为它正在与 SharePoint 数据库相同的计算机上运行。

• 对于所有其他将服务器和数据库放置在同一计算机或不同计算机上的拓扑结构而言，Reporting Services 服务帐户可配置为域帐户或内置帐户。

如果报表服务器不能访问 SharePoint 数据库且存在配置错误（例如，如果服务帐户或密码无效或未安装 Windows SharePoint 对象模型的本地实例），将出现 rsServerConfigurationError 错误。对于所有其他连接错误而言，将返回 rsSharePointError 错误，以及从本地 SharePoint 实例返回其他错误信息。