Comparteix a través de


Autenticación en un servidor de informes

SQL Server Reporting Services (SSRS) proporciona varias opciones configurables para autenticar usuarios y aplicaciones cliente en un servidor de informes. De forma predeterminada, un servidor de informes usa la autenticación de Windows integrada y supone que existen relaciones de confianza donde el cliente y los recursos de red están en el mismo dominio o en un dominio de confianza. En función de la topología de red y las necesidades de su organización, puede personalizar el protocolo de autenticación usado para la autenticación integrada de Windows. O bien, puede usar la autenticación básica o una extensión de autenticación personalizada basada en formularios que proporcione. Cada uno de los tipos de autenticación puede activarse o desactivarse individualmente. Puede habilitar más de un tipo de autenticación si desea que el servidor de informes acepte solicitudes de varios tipos.

Tipos de autenticación

Todos los usuarios o aplicaciones que soliciten el acceso al contenido y las operaciones del servidor de informes se autentican mediante el tipo de autenticación configurado en el servidor de informes para obtener acceso. En la tabla siguiente se describen los tipos de autenticación que admite Reporting Services.

Nombre del tipo de autenticación Valor del nivel de autenticación HTTP Se usa de forma predeterminada Descripción
RSWindowsNegotiate Negotiate Este tipo intenta usar primero la autenticación integrada Kerberos para Windows, pero vuelve a NTLM ((NT LAN Manager)) si Active Directory no puede conceder un vale para la solicitud de cliente al servidor de informes. Negotiate solamente volverá a NTLM si el vale no está disponible. Si el primer intento provoca un error en lugar de indicar que no se encuentra un vale, el servidor de informes no hace un segundo intento.
RSWindowsNTLM NTLM Este tipo usa la autenticación integrada NTLM para Windows.

Las credenciales no se delegarán ni suplantarán en otras solicitudes. Las solicitudes subsiguientes seguirán una nueva secuencia de desafío-respuesta. Según la configuración de seguridad de su red, podría pedirse a un usuario las credenciales o la solicitud de autenticación se administrará de forma transparente.
RSWindowsKerberos Kerberos No Este tipo usa la autenticación integrada Kerberos para Windows. Configure Kerberos mediante el uso de nombres de entidad de seguridad de servicio (SPN) para las cuentas de servicio. La instalación requiere privilegios de administrador de dominio. Puede configurar la delegación de identidades con Kerberos. Si configura la delegación de identidad con Kerberos, el token del usuario que solicita un informe también se puede usar en una conexión adicional. Esta conexión se realizaría con los orígenes de datos externos que proporcionan datos a los informes.

Antes de especificar RSWindowsKerberos, asegúrese de que el tipo de explorador que usa lo admite realmente. Si usa Microsoft Edge o Internet Explorer, la autenticación Kerberos solo se admite a través de Negotiate. Microsoft Edge e Internet Explorer no formularán ninguna solicitud de autenticación que especifique Kerberos directamente.
RSWindowsBasic Básica No La autenticación básica se define en el protocolo HTTP y solo se puede usar para autenticar las solicitudes HTTP para el servidor de informes.

Las credenciales se pasan en la solicitud HTTP en la codificación Base64. Si usa la autenticación básica, utilice la Seguridad de la capa de transporte (TLS), anteriormente conocida como Capa de sockets seguros (SSL), para cifrar la información de la cuenta de usuario antes de enviarse a través de la red. SSL proporciona un canal cifrado para enviar una solicitud de conexión del cliente al servidor de informes a través de una conexión HTTP TCP/IP. Para más información, vea Uso de SSL para cifrar datos confidenciales.
Personalizado (Anónima) No La autenticación anónima indica al servidor de informes que omita el encabezado de autenticación de una solicitud HTTP. El servidor de informes acepta todas las solicitudes, pero llama a una autenticación de formularios ASP.NET personalizada que el usuario proporciona para autenticar al usuario.

Especifique Custom únicamente si está implementando un módulo de autenticación personalizada que administra todas las solicitudes de autenticación en el servidor de informes. No puede utilizar el tipo de autenticación Custom con la extensión de la autenticación de Windows predeterminada.

Métodos de autenticación no admitidos

No se admiten los métodos de autenticación y solicitudes siguientes:

Método de autenticación Explicación
Anónimas El servidor de informes no aceptará las solicitudes no autenticadas de un usuario anónimo, salvo en las implementaciones que incluyan una extensión de autenticación personalizada.

El Generador de informes aceptará las solicitudes sin autenticar si habilita el acceso del mismo en un servidor de informes configurado para la autenticación básica.

En todos los demás casos, las solicitudes anónimas se rechazan y se genera un error de acceso denegado de estado 401 de HTTP antes de que la solicitud llegue a ASP.NET. Los clientes que reciben este error deben volver a formular la solicitud con un tipo de autenticación válido.
Tecnologías de inicio de sesión único (SSO) No hay ninguna compatibilidad nativa para las tecnologías de inicio de sesión único en Reporting Services. Si desea utilizar una tecnología de inicio de sesión único, cree una extensión de autenticación personalizada.

El entorno de hospedaje del servidor de informes no admite filtros ISAPI (interfaz de programación de aplicaciones de servidor de Internet). Si la tecnología SSO que usa se implementa como un filtro ISAPI, considere usar la compatibilidad integrada de ISA (Internet Security and Acceleration Server) Server para el protocolo RADIUS o RSASecueID. De lo contrario, puede crear un ISAPI de ISA Server o un HTTPModule para RS, pero se recomienda usar ISA Server directamente.
Passport No se admite en SQL Server Reporting Services.
Resumen No se admite en SQL Server Reporting Services.

Configurar los ajustes de autenticación

La configuración de la autenticación se establece para la seguridad predeterminada cuando la dirección URL del servidor de informes está reservada. Si modifica estos valores incorrectamente, el servidor de informes devolverá errores de acceso denegado HTTP 401 para las solicitudes HTTP que no se puedan autenticar. La elección de un tipo de autenticación requiere saber si la autenticación de Windows se admite en la red. Se debe especificar al menos un tipo de autenticación. Se pueden especificar varios tipos de autenticación para RSWindows. Los tipos de autenticación de RSWindows (RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberos y RSWindowsNegotiate) se excluyen mutuamente con Custom.

Importante

Reporting Services no valida la configuración que se especifique para determinar si es correcta en un entorno informático. Es posible que la seguridad predeterminada no funcione en una instalación o que se especifique una configuración que no sea válida en una infraestructura de seguridad. Es importante que pruebe cuidadosamente la implementación del servidor de informes en un entorno de pruebas controlado antes de hacer que esté disponible en una organización mayor.

El servicio web del servidor de informes y el portal web siempre usan el mismo tipo de autenticación. No puede configurar tipos de autenticación diferentes para las áreas de características del servicio del servidor de informes. Si tiene una implementación escalada, asegúrese de duplicar todos los cambios en todos los nodos de la implementación. No puede configurar nodos diferentes en la misma implementación escalada para utilizar tipos de autenticación diferentes.

El procesamiento en segundo plano no acepta solicitudes de los usuarios finales, aunque autentica todas las solicitudes para la ejecución desatendida. Siempre usa la autenticación de Windows y autentica las solicitudes mediante el servicio del servidor de informes o la cuenta de ejecución desatendida si está configurada.