Übersicht zur Reporting Services-Sicherheit im integrierten SharePoint-Modus
Wenn Sie einen Berichtsserver für die Ausführung im integrierten SharePoint-Modus konfigurieren, verwendet der Berichtsserver den Authentifizierungsanbieter und die Berechtigungen, die in der SharePoint-Webanwendung definiert sind, um den Zugriff auf Berichtsserverelemente und -vorgänge zu steuern.
Die Berechtigung zum Zugriff auf Elemente und Vorgänge wird mithilfe von SharePoint-Sicherheitsrichtlinien erteilt, mit denen ein Benutzer- oder Gruppenkonto einer Berechtigungsebene, relativ zu einem Element, zugeordnet wird. Im Prinzip entspricht dies der Verwendung von Rollenzuweisungen in einer Berichtsserverbereitstellung im systemeigenen Modus. Hierbei ordnet eine Rollenzuweisung ein Benutzer- oder Gruppenkonto zu einer Menge zulässiger Aufgaben zu, die relativ zu einem Element sind. Wie bei den meisten rollenbasierten Authentifizierungsmodellen üblich, bietet die SharePoint-Sicherheit die Berechtigungsvererbung, um die Komplexität und den Aufwand der Verwaltung einer großen Anzahl von Richtlinien zu reduzieren.
Wenn Sie Berichtsserver-Inhaltstypen auf einer SharePoint-Website bereitstellen, müssen Sie Folgendes wissen:
Wie werden Verbindungen und Anforderungen zwischen den beiden Servern hergestellt bzw. gesendet? Der in der SharePoint-Webanwendung verwendete Authentifizierungsanbieter bestimmt, ob Sie anschließend die Option für die integrierte Sicherheit von Windows für den Zugriff auf externe Datenquellen verwenden können, die von einem Bericht verwendet werden.
Wie werden Standardsicherheitsmechanismen zum Hinzufügen, Verwalten und Zugreifen von bzw. auf Berichtsserverelemente und -vorgänge verwendet? Weitere Informationen finden Sie unter Erteilen von Berechtigungen für Berichtsserverelemente auf einer SharePoint-Website und Verwenden der integrierten Sicherheit in Windows SharePoint Services für Berichtsserverelemente in der SQL Server-Onlinedokumentation.
Wie werden Standardsicherheitseinstellungen außer Kraft gesetzt, indem Berechtigungen für bestimmte Berichte oder Vorgänge festgelegt werden? Weitere Informationen finden Sie in der SQL Server-Onlinedokumentation unter Vorgehensweise: Festlegen von Berechtigungen für Berichtsserverelemente auf einer SharePoint-Website (Reporting Services im integrierten SharePoint-Modus).
Bevor Sie Berechtigungen festlegen können, müssen Sie jeden Server für die Integration konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von Reporting Services für die Integration in SharePoint 2010.
Authentifizierungsanbieter in SharePoint-Technologien
Eine SharePoint-Webanwendung kann die Windows-Authentifizierung oder die Formularauthentifizierung verwenden. Ein Berichtsserver verarbeitet Anforderungen beider Anbieter. Sie können die Authentifizierung in den folgenden Kombinationen konfigurieren:
Windows-Authentifizierung mit Kerberos
Windows-Authentifizierung mit NT LAN Manager (NTLM)
Formularauthentifizierung
Hinweis |
---|
Sowohl Reporting Services als auch SharePoint-Produkte und -Technologien bieten Unterstützung für die Formularauthentifizierung. Die Implementierungen für die einzelnen Produktgruppen unterscheiden sich und sind nicht kompatibel. Benutzerdefinierte Reporting Services-Authentifizierungserweiterungen werden für Berichtsserver nicht unterstützt, die im integrierten SharePoint-Modus ausgeführt werden. |
In der folgenden Tabelle werden die Vor- und Nachteile der einzelnen Authentifizierungsanbieter zusammengefasst:
Vorteile |
Nachteile |
|
---|---|---|
Windows-Authentifizierung mit Kerberos |
Möglich für Bereitstellungsszenarien mit einem oder mehreren Servern. Unterstützt die Verwendung integrierter Windows-Anmeldeinformationen für externe Datenquellen. |
Kann in Multiserverbereitstellungen nicht mit der NTLM-Authentifizierung verwendet werden. Erfordert komplexe Domänen- und Konfigurationsserverkonfiguration. |
Windows-Authentifizierung mit NTLM oder Formularauthentifizierung |
Kann mit Kerberos und in allen Nicht-Kerberos-Authentifizierungsszenarien verwendet werden. |
Unterstützt integrierte Windows-Anmeldeinformationen für externe Datenquellen nicht. |
SharePoint-Forderungsauthentifizierung
SharePoint 2010-Produkte unterstützen die forderungsbasierte Authentifizierung. SQL Server 2008 R2 Reporting Services im integrierten SharePoint-Modus kann mit SharePoint-Forderungensfähigen Webanwendungen verwendet werden, wenn vertrauenswürdiger Kontoauthentifizierungs- und SharePoint-Benutzertoken eingesetzt werden. Weitere Informationen darüber, wie Anspruchsauthentifizierung von Reporting Services unterstützt wird, finden Sie unter Anspruchsauthentifizierung und Reporting Services. Weitere Informationen zur anspruchsbasierten Authentifizierung finden Sie in der Übersicht zur anspruchsbasierten Identität.
Senden von Anforderungen an einen Berichtsserver
Alle Anforderungen für Berichtsserverelemente oder -vorgänge müssen in Form einer gültigen, authentifizierten Anforderung erfolgen. Der verwendete Authentifizierungsanbieter bestimmt, wie diese Anforderung verarbeitet wird.
Integrierte Sicherheit von Windows mit Kerberos
Wenn die SharePoint-Webanwendung so konfiguriert ist, dass von der Windows-Authentifizierung Kerberos verwendet wird, kann die Verbindung von der SharePoint-Webanwendung zum Berichtsserver anhand der angenommenen oder delegierten Anmeldeinformationen des aktuellen Windows-Benutzers hergestellt werden. Durch die Verwendung der integrierten Sicherheit von Windows mit Kerberos und Identitätsdelegierung können Sie das klassische Doppelhop-Problem vermeiden, bei dem Anmeldeinformationen bereits nach einer einzigen Verbindung verfallen. Darüber hinaus kann die Menge der Optionen erweitert werden, die Ihnen bei der Konfiguration von Datenquellenverbindungen für Berichte und Modelle zur Verfügung stehen. Das folgende Diagramm zeigt die Verbindungen, wenn ein Berichtsserver für die SharePoint-Integration konfiguriert ist und die SharePoint-Webanwendung die Windows-Authentifizierung mit Kerberos und Identitätsdelegierung verwendet.
Verbindung 1
Ein Benutzer greift über das Benutzertoken, das bei der Netzwerkanmeldung des Benutzers erstellt wird, auf eine SharePoint-Website zu. Das Token enthält die Benutzeridentität und die Gruppenmitgliedschaft. Die SharePoint-Webanwendung authentifiziert den Benutzer. Der Benutzer fordert ein Berichtsserverelement oder einen Vorgang an.Verbindung 2
Die SharePoint-Webanwendung sendet das Token und die Anforderung an den Berichtsserver. Die Verbindungsanforderung wird unter der delegierten Windows-Identität des Benutzers gesendet. Der Benutzer wird vom Berichtserver authentifiziert, um zu ermitteln, ob der Benutzer über das Recht zum Zugriff auf den Berichtserver verfügt.Verbindung 3
Ist die Authentifizierung erfolgreich, wird vom Berichtserver das Benutzerkonto der Reporting Services-Instanz zur Herstellung einer Verbindung mit den SharePoint- Inhaltsdatenbanken verwendet, um zu überprüfen, ob der Benutzer auf das Element oder den Vorgang zugreifen darf. Ist die Autorisierung erfolgreich, wird die Anforderung vom Berichtserver verarbeitet.Verbindung 4
Wenn der Benutzer einen Bericht anzeigt, kann der Berichtsserver die Windows-Identität des Benutzers während der Berichtsverarbeitung verwenden, um Daten von externen Datenquellen abzurufen. Das bedeutet, dass Sie beim Festlegen von Datenquelleneigenschaften für einen Bericht die Option Integrierte Sicherheit von Windows für die Datenquellenverbindung auswählen können. Weitere Informationen finden Sie unter Angeben der Anmeldeinformationen und Verbindungsinformationen für Berichtsdatenquellen und Vorgehensweise: Erstellen und Verwalten von freigegebenen Datenquellen (Reporting Services im integrierten SharePoint-Modus) in der SQL Server-Onlinedokumentation.
Windows- oder Formularauthentifizierung und vertrauenswürdige Konten
Wenn die Konfiguration der SharePoint-Webanwendung die Formularauthentifizierung oder Windows-Authentifizierung anhand von NTLM vorsieht, wird die Verbindung mit dem Berichtsserver mithilfe eines vordefinierten vertrauenswürdigen Kontos, das berechtigt ist, die Identität eines SharePoint-Benutzers auf dem Berichtsserver anzunehmen, über das Netzwerk gesendet. Das folgende Diagramm zeigt die Verbindungen, wenn vertrauenswürdige Konten und SharePoint-Benutzeridentitäten verwendet werden.
Verbindung 1
Ein Benutzer meldet sich an einer SharePoint-Website an. Die SharePoint-Webanwendung authentifiziert den Benutzer. Die SharePoint-Webanwendung übersetzt die Benutzeridentität in eine SharePoint-Benutzeridentität (SPUser). Für diesen Benutzer wird ein neues Benutzertoken im Kontext von SPUser erstellt. Das Token enthält die Benutzeridentität und die Gruppenmitgliedschaft. Der Benutzer fordert ein Berichtsserverelement oder einen Vorgang an.Verbindung 2
Die SharePoint-Webanwendung stellt eine Verbindung mit dem Berichtsserver anhand eines vertrauenswürdigen Kontos her, das die Prozessidentität der SharePoint-Webanwendung ist. Die SharePoint-Webanwendung nimmt anschließend im Rahmen der Anforderung eines Elements oder eines Vorgangs die Identität des SharePoint-Benutzers an.Der Berichtsserver authentifiziert, dass die Verbindungsanforderung von einem vertrauenswürdigen Konto stammt, indem sie mit den Kontoinformationen verglichen werden, die der Berichtsserver beim Start aus der SharePoint-Konfigurationsdatenbank abgerufen hat. Auf einem Berichtsserver entspricht das vertrauenswürdige Konto einem Windows-Benutzer mit der Berechtigung, die Identität der SharePoint-Webanwendung anzunehmen. Es dient auch der Annahme der Identität des SPUsers, allerdings verfügt es über keinen Zugriff auf Berichtserverelemente und -vorgänge.
Verbindung 3
Ist die Authentifizierung erfolgreich, wird vom Berichtserver das Benutzerkonto der Reporting Services-Instanz zur Herstellung einer Verbindung mit den SharePoint- Inhaltsdatenbanken verwendet, um zu überprüfen, ob der SPUser auf das Element oder den Vorgang zugreifen darf. Ist die Autorisierung erfolgreich, wird die Anforderung vom Berichtserver verarbeitet.Verbindung 4
Wenn der Benutzer einen Bericht anzeigt, kann der Berichtsserver aufgrund des Doppelhopproblems den Benutzer nicht zum Abrufen von Daten von externen Datenquellen verwenden. Das bedeutet, dass Sie beim Festlegen von Datenquelleneigenschaften für einen Bericht die Option Integrierte Sicherheit von Windows für die Datenquellenverbindung auswählen können. Sie können den Bericht allerdings für die Verwendung anderer Verbindungsoptionen konfigurieren, z. B. gespeicherte Anmeldeinformationen oder angeforderte Anmeldeinformationen. Weitere Informationen finden Sie unter Angeben der Anmeldeinformationen und Verbindungsinformationen für Berichtsdatenquellen und Vorgehensweise: Erstellen und Verwalten von freigegebenen Datenquellen (Reporting Services im integrierten SharePoint-Modus) in der SQL Server-Onlinedokumentation.
Kontoablauf und Abonnementverarbeitung
Wenn Sie ein Abonnement für einen Bericht erstellen, speichert der Berichtsserver die Kontoinformationen für SPUser zur Überprüfung, ob der Benutzer berechtigt ist, den Bericht zum Zeitpunkt der Zustellung anzuzeigen. Wenn SPUser abgelaufen ist, führt dies zu einem Abonnementfehler, und es wird ein rsSharePointError-Fehler zurückgegeben. Durch eine Eigenschaft auf Farmebene, die TokenTimeout-Eigenschaft, wird bestimmt, wie lange SPUser gültig ist.
Konfigurieren von Verwaltungs- und Dienstkonten, um eindeutige Domänenbenutzerkonten zu verwenden
Eine Bereitstellung von SharePoint-Produkten oder -Technologien verwendet eine Vielzahl von Konten, um Dienste auszuführen und um auf Front-End- und Back-End-Server zuzugreifen. Wenn Sie ein Domänenkonto für die Bereitstellung angeben, stellen Sie sicher, dass Sie empfohlene bewährte Methoden berücksichtigen und Konten angeben, die ausschließlich von der SharePoint-Webanwendung verwendet werden. Konfigurieren Sie ein Dienstkonto nicht so, dass es unter dem Domänenbenutzerkonto einer tatsächlichen Person ausgeführt wird, die auf die SharePoint-Website zugreift. Wenn Sie unter Verwendung von Dienstanmeldeinformationen auf eine SharePoint-Website zugreifen, können Fehler auftreten.
Best Practices für das Konfigurieren von Authentifizierungsanbietern in einer Bereitstellung für horizontales Skalieren
Wenn Sie über eine Reporting Services-Bereitstellung für horizontales Skalieren sowie ein SharePoint-Produkt verfügen und für Ihre Umgebung andere Authentifizierungsanbieter konfiguriert sind, können beim Authentifizieren von Benutzern Probleme auftreten. Wenn z. B. in der Berichterstellungsumgebung Formularauthentifizierungen für Internetverbindungen und Windows-Authentifizierungen für Intranetverbindungen verwendet werden, wird die Anforderung möglicherweise an einen Web-Front-End-Computer mit einem Authentifizierungsanbieter weitergeleitet, der nicht dem Authentifizierungstyp der Anforderung entspricht. Dadurch wird in Reporting Services möglicherweise der Zugriff für die Anforderung verweigert, oder die Anforderung wird statt unter dem entsprechenden Benutzer unter der Anwendungspoolidentität ausgeführt.
Es wird empfohlen, dass Benutzer verschiedene URLs verwenden, um Inhalte aus dem Internet oder Intranet abzurufen. Alternativ können Sie die Hostdatei auf den Web-Front-End-Computern so konfigurieren, dass die DNS-Suche (Domain Name System) durch Zuordnen der Internetprotokolladresse (IP) der internetseitigen Site zur Internet-URL überschrieben wird, damit Anforderungen an die Internet-URL nicht über DNS an die Intranet-URL weitergeleitet werden.
Zugriff des Berichtsservers auf SharePoint-Inhaltsdatenbanken
Sowohl die SharePoint-Webanwendung als auch der Berichtsserver stellen Verbindungen mit ihren jeweiligen Datenbanken her, um Anwendungsdaten und andere Daten zu speichern. Der Berichtsserver muss jedoch zudem eine Verbindung mit den SharePoint-Datenbanken herstellen, um Elemente, Eigenschaften und Konfigurationseinstellungen zu speichern und abzurufen. Das folgende Diagramm zeigt die Serververbindungen mit den verschiedenen Datenbanken.
Eine SharePoint-Webanwendung kann eine lokale oder eine Remotedatenbank für die interne Speicherung verwenden. Wenn sich die SharePoint-Datenbanken auf Remotecomputern befinden, muss für die Verbindung ein Domänenkonto verwendet werden.
Ein Berichtsserver kann eine lokale oder eine Remotedatenbank für die interne Speicherung verwenden. Für beide Datenbankarten kann die Datenbankverbindung über ein Domänenkonto, einen SQL Server-Anmeldenamen oder ein integriertes Konto wie Network Service oder Local System hergestellt werden.
Berichtsserververbindung mit den SharePoint-Datenbanken
In Reporting Services benötigen sowohl der Webdienst als auch der Windows-Dienst Zugriff auf SharePoint-Datenbanken. Die Dienstkonten für beide Dienste werden als vertrauenswürdige Benutzer in einer SharePoint-Webanwendung ausgeführt und erhalten automatisch die Berechtigung zum Zugriff auf die SharePoint-Datenbanken.
Die Verbindung wird intern verwaltet. Sie wird konfiguriert, wenn Sie die SharePoint-Zentraladministration verwenden, um eine SharePoint-Webanwendung auf einen Berichtsserver zu verweisen und die vertrauenswürdigen Konten festzulegen. Anders als bei der Berichtsserververbindung mit der eigenen Datenbank, die Sie mit dem Reporting Services-Konfigurationstool festlegen oder ändern können, ist es nicht möglich, die Berichtsserververbindung mit den SharePoint-Datenbanken explizit zu konfigurieren oder zu verwalten.
Wenn ein Berichtsserver im integrierten SharePoint-Modus ausgeführt wird, führt dies zu Einschränkungen hinsichtlich der Konfiguration der Dienstkonten in Reporting Services. Halten Sie sich beim Konfigurieren von Dienstkonten an die folgenden Richtlinien:
Wählen Sie Konten aus, die über Netzwerkanmeldeberechtigungen verfügen, falls die Berichtsserver-Dienstkonten eine Verbindung mit den SharePoint-Datenbanken auf einem Remotecomputer herstellen müssen.
Verwenden Sie keine integrierten Konten (beispielsweise Lokales System oder Netzwerkdienst), wenn der Berichtsserver und die SharePoint-Datenbanken auf dem gleichen Computer und die SharePoint-Webanwendung auf einem Remotecomputer installiert sind. Wenn SharePoint-Datenbanken auf einem Remotecomputer ausgeführt werden, wird integrierten Konten, die auf diesem Remotecomputer definiert sind, der Datenbankzugriff explizit durch die SharePoint-Webanwendung verweigert. Wird der Berichtserver daher in einem integrierten Konto ausgeführt, kann keine Verbindung mit SharePoint-Datenbanken hergestellt werden, da das Konto auf dem gleichen Computer wie die SharePoint-Datenbanken ausgeführt wird.
Bei allen anderen Topologien, in denen die Server und Datenbanken auf dem gleichen Computer oder unterschiedlichen Computern installiert werden, können die Reporting Services-Dienstkonten als Domänenkonten oder integrierte Konten konfiguriert werden.
Fehler beim Herstellen von Verbindungen mit den SharePoint-Datenbanken
Wenn der Berichtsserver nicht auf die SharePoint-Datenbanken zugreifen kann und ein Konfigurationsfehler vorliegt (wenn beispielsweise die Dienstkonten oder Kennwörter nicht gültig sind oder wenn keine lokale Instanz des Windows SharePoint-Objektmodells installiert ist), tritt ein rsServerConfigurationError-Fehler auf. Für alle anderen Verbindungsfehler wird der rsSharePointError-Fehler zusammen mit zusätzlichen Fehlerinformationen von der lokalen SharePoint-Instanz zurückgegeben.
Topologien für die SharePoint- und SSRS-Authentifizierung
In der folgenden Tabelle werden unterstützte Kombinationen von SharePoint- und SSRS-Authentifizierungsmethoden und deren Verwendung aufgeführt.
SharePoint und SSRS auf demselben Computer |
SharePoint-Authentifizierung |
SSRS-Integrationsmodus |
SSRS-Authentifizierung |
Kontozugriff auf SSRS |
Anmeldeinformationen für die Datenquelle |
---|---|---|---|---|---|
Ja |
Kerberos |
Integriert |
Aushandeln (Negotiate) |
Benutzer, Sicherheitskontext des Benutzers kann delegiert werden |
Integriert, Gespeichert, Eingabeaufforderung |
Ja |
Kerberos |
Integriert |
NTLM |
Nicht unterstützt |
|
Ja |
Kerberos |
Vertrauenswürdig |
Aushandeln oder NTLM |
Website-Dienstkonto |
Gespeichert, Eingabeaufforderung, Integriert (+) |
Ja |
NTLM |
Integriert |
Aushandeln |
Nicht unterstützt |
|
Ja |
NTLM |
Integriert |
NTLM |
Benutzer, Sicherheitskontext des Benutzers kann NICHT delegiert werden |
Gespeichert, Eingabeaufforderung, Integriert, Lokal |
Ja |
NTLM |
Vertrauenswürdig |
Aushandeln oder NTLM |
Website-Dienstkonto |
Gespeichert, Eingabeaufforderung, Integriert (+) |
Ja |
Formulare |
Integriert |
IUSR |
Nicht unterstützt |
|
Ja |
Formulare |
Vertrauenswürdig |
Aushandeln oder NTLM |
Website-Dienstkonto |
Gespeichert, Eingabeaufforderung, Integriert (+) |
Nein |
Kerberos |
Integriert |
Aushandeln |
Benutzer kann delegiert werden |
Integriert, Gespeichert, Eingabeaufforderung |
Nein |
Kerberos |
Integriert |
NTLM |
Nicht unterstützt |
|
Nein |
Kerberos |
Vertrauenswürdig (*) |
Aushandeln |
Website-Dienstkonto |
Gespeichert, Eingabeaufforderung, Integriert (+) |
Nein |
Kerberos |
Vertrauenswürdig (*) |
Aushandeln |
Website-Dienstkonto |
Gespeichert, Eingabeaufforderung, Integriert, nur wenn lokal in SSRS |
Nein |
NTLM |
Integriert |
Anonym |
Nicht unterstützt |
|
Nein |
NTLM |
Vertrauenswürdig (*) |
Aushandeln |
Website-Dienstkonto |
Gespeichert, Eingabeaufforderung, Integriert (+) |
Nein |
NTLM |
Vertrauenswürdig (*) |
NTLM |
Website-Dienstkonto |
Gespeichert, Eingabeaufforderung, Integriert, nur wenn lokal |
Nein |
Formulare |
Integriert |
Anonym |
Nicht unterstützt |
|
Nein |
Formulare |
Vertrauenswürdig (*) |
Aushandeln |
Website-Dienstkonto |
Gespeichert, Eingabeaufforderung, Integriert (+) |
Nein |
Formulare |
Vertrauenswürdig |
NTLM |
Website-Dienstkonto |
Gespeichert, Eingabeaufforderung, Integriert, nur wenn lokal |
(+) Wenn das SharePoint-Website-Dienstkonto ein lokales Konto ist, muss die Datenquelle für den Berichtsservercomputer lokal sein. Wenn das Website-Dienstkonto ein Domänenkonto ist, kann sich die Datenquelle auf einem anderen Computer befinden.
(*) Das SharePoint-Website-Dienstkonto muss ein Domänenkonto sein.
Siehe auch
Aufgaben
Konzepte
Änderungsverlauf
Aktualisierter Inhalt |
---|
Tabellen für Authentifizierungstopologien wurden hinzugefügt. |