Credenciales y conexiones para orígenes de datos de informes
Un servidor de informes utiliza credenciales para conectarse a orígenes de datos externos que proporcionan contenido a informes o información de destinatarios a una suscripción controlada por datos. Puede especificar credenciales que utilicen la autenticación de Windows, la autenticación de la base de datos, la autenticación personalizada o que no utilicen autenticación. Cuando el servidor de informes envía una solicitud de conexión por la red, suplanta una cuenta de usuario o la cuenta de ejecución desatendida. Para más información sobre el contexto de seguridad en el que se realiza una solicitud de conexión, vea Configuración de orígenes de datos y conexiones de red en este artículo.
Nota:
Las credenciales también sirven para autenticar a usuarios que tengan acceso a un servidor de informes. Para más información sobre la autenticación de usuarios a un servidor de informes, consulte Autenticación en un servidor de informes.
La conexión a un origen de datos externo se define cuando se crea el informe. Una vez publicado el informe, se puede administrar por separado. Puede especificar una cadena de conexión estática o una expresión que permita a los usuarios seleccionar un origen de datos de una lista dinámica. Para más información sobre cómo especificar un tipo de origen de datos y una cadena de conexión, vea Creación de cadenas de conexión de datos en el Generador de informes.
Credenciales usadas en el Generador de informes
En el Generador de informes, las credenciales se suelen usar al conectarse a un servidor de informes. También las usará para tareas relacionadas con los datos, como las de crear un origen de datos insertado, ejecutar una consulta de conjunto de datos u obtener una vista previa de un informe. Las credenciales no se almacenan en el informe. Se administran separadamente en el servidor de informes o en el cliente local. La siguiente lista describe los tipos de credenciales que podría necesitar proporcionar, donde se almacenan y cómo se utilizan:
Las credenciales del servidor de informes que escribe en el cuadro de diálogo de inicio de sesión de Reporting Services.
La primera vez que guarda en, publica en o navega en un servidor de informes o un sitio de SharePoint, es posible que necesite escribir sus credenciales. Las credenciales que escribe se utilizan hasta el final de la sesión en el Generador de informes. Si decide guardar las credenciales, se almacenan con seguridad en el equipo junto con su configuración de usuario. En las siguientes sesiones del Generador de informes, se usan las credenciales guardadas para conectar con el mismo servidor de informes o con el sitio de SharePoint. El administrador del servidor de informes o el administrador de SharePoint especifica qué tipo de credenciales hay que utilizar.
Las credenciales del origen de datos que escriba en el cuadro de diálogo Propiedades del origen de datos para un origen de datos insertado.
El servidor de informes utiliza estas credenciales para realizar una conexión de datos al origen de datos externo. Para algunos tipos de orígenes de datos, las credenciales pueden estar almacenadas con seguridad en el servidor de informes. Estas credenciales permiten a otros usuarios ejecutar el informe sin proporcionar las credenciales para la conexión de datos subyacente.
Las credenciales del origen de datos que escribe en el cuadro de diálogo Escribir credenciales de origen de datos al ejecutar una consulta de conjunto de datos, actualizar campos del conjunto de datos o generar una vista previa del informe.
Estas credenciales se utilizan para realizar una conexión de datos desde el Generador de informes al origen de datos externo o para ofrecer una vista previa de un informe configurado para que pida las credenciales. Las credenciales que escribe en este cuadro de diálogo no se almacenan en el servidor de informes y no están disponibles para que las utilicen otros usuarios. El Generador de informes almacena en caché las credenciales durante la sesión de edición del informe, para que no necesite escribirlas cada vez que ejecuta la consulta o genera una vista previa del informe.
Para los orígenes de datos compartidos, utilice la opción Guardar mi contraseña para guardar localmente las credenciales con sus valores de usuario en su equipo. El Generador de informes utiliza las credenciales guardadas cada vez que se realiza una conexión al origen de datos externo correspondiente.
Para obtener más información, consulte Vista previa de informes en generador de informes.
Origen de datos remoto
Si el informe recupera datos de un servidor de bases de datos remoto, debe compobar lo siguiente:
Las credenciales proporcionadas al servidor de bases de datos son válidas. Si usa credenciales de usuario de Windows, asegúrese de que el usuario tiene permiso para el servidor y la base de datos.
Los puertos usados por el servidor de bases de datos están abiertos. Si va a acceder a bases de datos relacionales de SQL Server en equipos externos, debe abrir los puertos 1433 y 1434 del equipo externo. También debe abrir estos puertos si la base de datos del servidor de informes está en una instancia externa de SQL Server. Asegúrese de reiniciar el servidor después de abrir los puertos. Para más información, vea Configurar Firewall de Windows para el acceso al motor de base de datos.
Las conexiones remotas deben estar habilitadas. Si va a acceder a bases de datos relacionales de SQL Server en equipos externos, puede usar la herramienta Administrador de configuración de SQL Server para comprobar que las conexiones remotas sobre el Protocolo de control de transmisión (TCP) están habilitadas.
Especifique las credenciales para conectarse a orígenes de datos remotos
Los orígenes de datos que proporcionan contenido para informes se hospedan en servidores remotos. Para recuperar datos para un informe, un servidor de informes debe conectarse a un servidor utilizando un conjunto de credenciales proporcionadas por adelantado u obtenidas en tiempo de ejecución. Cuando configure un origen de datos, puede especificar credenciales de las formas que se indican a continuación:
- Pedir las credenciales al usuario.
- Almacenar las credenciales.
- Usar la seguridad integrada de Windows.
- No usar credenciales.
El entorno de red determina los tipos de conexiones compatibles. Por ejemplo, si la versión 5 del protocolo Kerberos está habilitada, puede que sea capaz de usar las características de delegación y suplantación disponibles en la autenticación de Windows para permitir conexiones en varios servidores. Si la red no admite estas características de seguridad, debe intentar resolver las restricciones de conexión. Si la delegación y suplantación no están habilitadas, las credenciales de Windows se pueden pasar por una conexión de equipo antes de expirar. La conexión de un usuario desde un equipo cliente al equipo de servidor de informes cuenta como la primera conexión. Si el usuario abre un informe que recupera datos de un servidor remoto, ese inicio de sesión cuenta como una segunda conexión. A continuación, se produce un error en la conexión si se especificó para usar la seguridad integrada con la delegación deshabilitada.
Si necesita varias conexiones para completar un ciclo de ida y vuelta desde el equipo cliente a un origen de datos de informe externo, elija alguna de las estrategias siguientes para realizar las conexiones.
Habilite las características de suplantación y delegación en el dominio de manera que las credenciales se puedan delegar a otros equipos sin límite.
Utilice credenciales almacenadas o solicitadas para realizar consultas en los orígenes de datos externos a fin de obtener datos para los informes. Las credenciales pueden ser una cuenta de dominio de Windows o un inicio de sesión de base de datos.
Credenciales solicitadas
Al configurar una conexión de origen de datos del informe para usar las credenciales solicitadas, cada usuario que accede al informe debe escribir un nombre de usuario y una contraseña para recuperar los datos. Esta opción es recomendable para informes que contengan información confidencial. Las credenciales solicitadas solo se pueden usar en los informes que se ejecutan a petición. Las credenciales solicitadas pueden ser una cuenta de dominio de Windows o un inicio de sesión de base de datos. Para utilizar la Autenticación de Windows, debe seleccionar Usar como credenciales de Windows. De lo contrario, el servidor de informes pasa credenciales al servidor de bases de datos para la autenticación de usuario. Si el servidor de bases de datos no puede autenticar las credenciales que proporciona, se produce un error en la conexión.
Seguridad integrada de Windows
Cuando utilice la opción Seguridad integrada de Windows , el servidor de informes pasa el token de seguridad del usuario que tiene acceso al informe al servidor que hospeda el origen de datos externo. En este caso, no se solicita al usuario que escriba un nombre de usuario ni una contraseña. Se recomienda este enfoque si las características de suplantación y delegación están habilitadas. Si estas características no están habilitadas, solo debería usar este enfoque si todos los servidores a los que quiere acceder se encuentran en el mismo equipo.
Credenciales almacenadas
Puede almacenar las credenciales utilizadas para tener acceso a un origen de datos externo. Las credenciales se almacenan con cifrado reversible en la base de datos del servidor de informes, Puede especificar un conjunto de credenciales almacenadas para cada origen de datos utilizado en un informe. Las credenciales que proporcione recuperan los mismos datos para cada usuario que ejecute el informe.
Se recomienda utilizar credenciales almacenadas como parte de una estrategia de acceso a servidores de bases de datos remotos. Las credenciales almacenadas son necesarias si desea admitir suscripciones, o bien programar la generación del historial del informe o actualizaciones de instantáneas de informe. Cuando un informe se ejecuta como un proceso en segundo plano, el servidor de informes es el agente que ejecuta el informe. Como no existe un contexto de usuario, el servidor de informes debe obtener información de credenciales de la base de datos del servidor de informes para poder conectarse a un origen de datos.
El nombre de usuario y la contraseña que especifique pueden ser credenciales de Windows o un inicio de sesión de base de datos. Si especifica credenciales de Windows, el servidor de informes las envía a Windows para la autenticación consiguiente. De lo contrario, las credenciales se envían al servidor de bases de datos para realizar la autenticación.
Concesión de permisos "Permitir el inicio de sesión local" a cuentas de dominio de usuario
Si usa credenciales almacenadas para conectarse a un origen de datos externo, la cuenta de usuario de dominio de Windows debe tener permiso para iniciar sesión localmente. Este permiso permite al servidor de informes suplantar al usuario en el servidor de informes y enviar la solicitud al origen de datos externo como dicho usuario suplantado.
Para conceder este permiso en el servidor de informes, vaya a Herramientas administrativas y agregue la cuenta de Windows que desee para el inicio de sesión interactivo en Configuración de seguridad>de la directiva de seguridad local>Directivas locales>Asignación de derechos de usuario. Compruebe que la cuenta que ha seleccionado no tenga permisos de denegación.
Para obtener más información, consulte Configuración de la directiva de seguridad y Permitir inicio de sesión localmente: configuración de directiva de seguridad.
Suplantación con credenciales almacenadas
También puede utilizar las credenciales para suplantar la identidad de otro usuario. En el caso de las bases de datos de SQL Server, las opciones de suplantación configuran la función SETUSER.
Importante
No utilice la suplantación para informes que admitan suscripciones o que utilicen programaciones para generar el historial del informe o para actualizar una instantánea de ejecución de informes.
Sin credenciales
Puede configurar una conexión a un origen de datos de forma que no utilice credenciales. Siempre debe usar credenciales para acceder a un origen de datos. Pero puede elegir ejecutar un informe sin credenciales en los siguientes casos:
- El origen de datos remoto no necesita credenciales.
- Las credenciales se envían en la cadena de conexión (solo se recomienda para conexiones seguras).
- El informe es un subinforme que utiliza las credenciales del informe primario.
En estas condiciones, el servidor de informes se conecta a un origen de datos remoto utilizando una cuenta de ejecución desatendida que debe definirse de antemano. Como el servidor de informes no se conecta a un servidor remoto mediante sus credenciales de servicio, debe especificar una cuenta que el servidor pueda usar para realizar la conexión. Para más información sobre cómo crear esta cuenta, vea Configuración de la cuenta de ejecución desatendida (Administrador de configuración del servidor de informes).
Inicie sesión con nombre de usuario y contraseña
Cuando se selecciona la opción Usar este nombre de usuario y esta contraseña, debe especificarse un nombre de usuario y una contraseña para obtener acceso al origen de datos. En el caso de una base de datos de SQL Server, las credenciales podrían servir para iniciar sesión en la base de datos. Las credenciales se pasan al origen de datos externo para su autenticación.
Configuración de orígenes de datos y conexiones de red
La tabla siguiente muestra cómo se realizan las conexiones para combinaciones específicas de tipos de credenciales y extensiones de procesamiento de datos. Si usa una extensión de procesamiento de datos personalizada, vea Especificar conexiones para extensiones de procesamiento de datos personalizadas.
| Tipo | Contexto para la conexión de red | Tipos de orígenes de datos (SQL Server, Oracle, ODBC, OLE DB, Analysis Services, XML, SAP NetWeaver BI, Hyperion Essbase) |
|---|---|---|
| Seguridad integrada | Suplantación del usuario actual. | Para todos los tipos de orígenes de datos, conectar mediante la cuenta de usuario actual. |
| Credenciales de Windows | Suplantación del usuario especificado. | Para SQL Server, Oracle, la conectividad abierta de bases de datos (ODBC) y Object Linking and Embedding, Database (OLE DB): conéctese mediante la cuenta de usuario suplantada. |
| Credenciales de base de datos | Suplantar la cuenta de ejecución desatendida o la cuenta de servicio. Reporting Services quita los permisos de administrador cuando la solicitud de conexión se envía utilizando la identidad de servicio. |
Para SQL Server, Oracle, ODBC y OLE DB: Anexe el nombre de usuario y la contraseña a la cadena de conexión. Para Analysis Services: La conexión será satisfactoria si utiliza el protocolo TCP/IP; de lo contrario, la conexión generará error. Para XML: La conexión dará error en el servidor de informes si se utilizan las credenciales de la base de datos. |
| None | Suplantar la cuenta de ejecución desatendida. | Para SQL Server, Oracle, ODBC y OLE DB: Use las credenciales definidas en la cadena de conexión. La conexión generará error en el servidor de informes si la cuenta de ejecución desatendida está sin definir. Para Analysis Services: La conexión siempre generará error si no se han especificado credenciales, aunque se haya definido la cuenta de ejecución desatendida. Para XML: Conéctese como usuario anónimo si la cuenta de ejecución desatendida se ha definido; de lo contrario, la conexión generará error. |
Establezca las credenciales mediante programación
Puede establecer credenciales en el código para controlar el acceso a informes y al servidor de informes. Para más información, vea Orígenes de datos y métodos de conexión.