Tipos de autenticación en Reporting Services
Reporting Services controla todas las funciones de autenticación para las solicitudes HTTP a través de la extensión de la autenticación de Windows que se instala con el servidor o con la extensión de una autenticación personalizada que se implemente. La extensión de la autenticación de Windows admite varios tipos de autenticación para poder controlar con precisión qué solicitudes HTTP aceptará un servidor de informes. Entre los tipos de autenticación se incluyen: RSWindowsNegotiate, RSWindowsKerberos, RSWindowsNTLM y RSWindowsBasic. Cada uno de estos tipos de autenticación puede activarse o desactivarse individualmente. Puede habilitar más de un tipo si desea que el servidor de informes acepte solicitudes de varios tipos.
Nota
IIS proporcionaba toda la compatibilidad con la autenticación en las versiones anteriores de Reporting Services. A partir de la versión SQL Server 2008, IIS ya no se usa. Reporting Services administra todas las solicitudes de autenticación internamente.
Tipos de autenticación
En la tabla siguiente se describen los tipos de autenticación que admite Reporting Services.
Nombre del tipo de autenticación |
Valor del nivel de autenticación HTTP |
Se utiliza de forma predeterminada |
Descripción |
|---|---|---|---|
RSWindowsNegotiate |
Negotiate |
Sí |
RSWindowsNegotiate indica al servidor de informes que administre las solicitudes de autenticación que especifican Negotiate. Negotiate intenta usar la autenticación Kerberos primero, pero vuelve a NTLM si Active Directory no puede conceder un vale para la solicitud de cliente al servidor de informes. Negotiate solamente volverá a NTLM si el vale no está disponible. Si el primer intento provoca un error en lugar de perder un vale, el servidor de informes no hace un segundo intento. |
RSWindowsNTLM |
NTLM |
Sí |
NTLM autentica a un usuario a través de un intercambio de datos privados que se describe como desafío-respuesta. Las credenciales no se delegarán ni suplantarán en otras solicitudes. Las solicitudes subsiguientes seguirán una nueva secuencia de desafío-respuesta. Según la configuración de seguridad de la red, podría pedirse a un usuario las credenciales o la solicitud de autenticación se administrará de forma transparente. |
RSWindowsKerberos |
Kerberos |
No |
En las solicitudes que especifican la autenticación Kerberos, el servidor de informes lee los permisos en el token de seguridad del usuario que emitió la solicitud. Si la delegación está habilitada en el dominio, el token del usuario que solicita un informe también se puede utilizar en una conexión adicional a los orígenes de datos externos que proporcionan los datos a los informes. Antes de especificar RSWindowsKerberos, asegúrese de que el tipo de explorador que usa lo admite realmente. Si utiliza Internet Explorer, la autenticación Kerberos solo se admite a través de Negotiate. Internet Explorer no formulará ninguna solicitud de autenticación que especifique Kerberos directamente. |
RSWindowsBasic |
Básica |
No |
La autenticación básica se define en el protocolo HTTP y solo se puede usar para autenticar las solicitudes HTTP para el servidor de informes. Las credenciales se pasan en la solicitud HTTP en la codificación Base64. Si usa la autenticación básica, utilice el Nivel de sockets seguros (SSL) para cifrar la información de la cuenta de usuario antes de enviarse a través de la red. SSL proporciona un canal cifrado para enviar una solicitud de conexión del cliente al servidor de informes a través de una conexión HTTP TCP/IP. Para obtener más información, vea el tema Using SSL to Encrypt Confidential Data (en inglés) en el sitio web de Microsoft TechNet. |
Custom |
(Anónima) |
No |
La autenticación anónima indica al servidor de informes que omita el encabezado de autenticación de una solicitud HTTP. El servidor de informes acepta todas las solicitudes, pero llama a una autenticación de formularios ASP.NET Forms personalizada que el usuario proporciona para autenticar al usuario. Especifique Custom únicamente si está implementando un módulo de autenticación personalizada que administra todas las solicitudes de autenticación en el servidor de informes. No puede utilizar el tipo de autenticación Custom con la extensión de la autenticación de Windows predeterminada. |
Métodos de autenticación no admitidos
No se admiten los métodos de autenticación y solicitudes siguientes.
Método de autenticación |
Explicación |
|---|---|
Anónima |
El servidor de informes no aceptará las solicitudes no autenticadas de un usuario anónimo, salvo en las implementaciones que incluyan una extensión de autenticación personalizada. El Generador de informes aceptará las solicitudes sin autenticar si habilita el acceso del mismo en un servidor de informes que esté configurado para la autenticación básica. En todos los demás casos, las solicitudes anónimas se rechazan y se genera un error de acceso denegado de estado 401 de HTTP antes de que la solicitud llegue a ASP.NET. Los clientes que reciben este error deben volver a formular la solicitud con un tipo de autenticación válido. |
Tecnologías de inicio de sesión único (SSO) |
No hay ninguna compatibilidad nativa para las tecnologías de inicio de sesión único (SS0, Single Sign-On) en Reporting Services. Si desea utilizar una tecnología de inicio de sesión único, debe crear una extensión de autenticación personalizada. El entorno host del servidor de informes no admite los filtros ISAPI. Si la tecnología SSO que usa se implementa como un filtro ISAPI, considere usar la compatibilidad integrada de ISA Server para el protocolo RADIUS o RSASecueID. De lo contrario, puede crear un ISAPI de ISA Server o un HTTPModule para RS, pero se recomienda usar ISA Server directamente. |
Passport |
No se admite en SQL Server 2008. |
Implícita |
No se admite en SQL Server 2008. |
Cómo configurar los valores de autenticación
La configuración de la autenticación se establece para la seguridad predeterminada cuando la dirección URL del servidor de informes está reservada. Si modifica estos valores incorrectamente, el servidor de informes devolverá errores de acceso denegado HTTP 401 para las solicitudes HTTP que no se puedan autenticar. La elección de un tipo de autenticación requiere saber si la autenticación de Windows se admite en la red. Se debe especificar al menos un tipo de autenticación. Se pueden especificar varios tipos de autenticación para RSWindows. Los tipos de autenticación de RSWindows (es decir, RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberosy RSWindowsNegotiate) se excluyen mutuamente con Custom.
.gif "Nota importante") Importante |
|---|
Reporting Services no valida la configuración que se especifique para determinar si es correcta en un entorno informático. Es posible que la seguridad predeterminada no funcione en una instalación o que se especifique una configuración que no sea válida en una infraestructura de seguridad. Por esta razón, es importante que pruebe cuidadosamente la implementación del servidor de informes en un entorno de pruebas controlado antes de hacer que esté disponible en una organización mayor. |
El servicio web del servidor de informes y el Administrador de informes siempre utilizan el mismo tipo de autenticación. No puede configurar tipos de autenticación diferentes para las áreas de características del servicio del servidor de informes. Si tiene una implementación escalada, asegúrese de duplicar todos los cambios en todos los nodos de la implementación. No puede configurar nodos diferentes en la misma implementación escalada para utilizar tipos de autenticación diferentes.
El procesamiento en segundo plano no acepta solicitudes de los usuarios finales, aunque autentica todas las solicitudes para la ejecución desatendida. Siempre utiliza la autenticación de Windows y autentica las solicitudes mediante el servicio del servidor de informes o la cuenta de ejecución desatendida si está configurada.
Para obtener más información sobre cómo configurar la autenticación en Reporting Services, vea los temas siguientes:
Cómo configurar la autenticación de Windows en Reporting Services
Cómo configurar la autenticación básica en Reporting Services
Cómo configurar la autenticación de formularios o personalizada en Reporting Services