Información general de seguridad para Reporting Services en el modo integrado de SharePoint
Al configurar un servidor de informes para que se ejecute en el modo integrado de SharePoint, el servidor de informes utiliza el proveedor de autenticación y los permisos definidos en la aplicación Web de SharePoint para controlar el acceso a los elementos y a las operaciones del servidor de informes.
Los permisos para obtener acceso a los elementos y a las operaciones se conceden a través de directivas de seguridad de SharePoint que asignan una cuenta de usuario o grupo a un nivel de permiso relativo a un elemento. Conceptualmente, es idéntico a la forma en que se utilizan las asignaciones de funciones en una implementación del servidor de informes en modo nativo, donde una asignación de función asigna una cuenta de usuario o grupo a un conjunto de tareas permitidas relativas a un elemento. Como ocurre con la mayoría de modelos de autorización basados en funciones, la seguridad de SharePoint proporciona herencia de permisos para reducir la complejidad y sobrecarga relacionadas con el mantenimiento de un gran número de directivas.
Si implementa tipos de contenido del servidor de informes en un sitio de SharePoint, necesitará saber lo siguiente:
Cómo se realizan las conexiones y solicitudes entre los dos servidores. El proveedor de autenticación utilizado en la aplicación Web de SharePoint determina si puede usar posteriormente la opción de seguridad integrada de Windows para obtener acceso a los orígenes de datos externos utilizados por un informe.
Cómo se utiliza la seguridad predeterminada para agregar, administrar y obtener acceso a los elementos y operaciones del servidor de informes. Para obtener más información, vea Conceder permisos sobre elementos del servidor de informes en un sitio de SharePoint y Usar la seguridad integrada de Windows SharePoint Services para los elementos del servidor de informes en los Libros en pantalla de SQL Server.
Cómo se reemplaza la seguridad predeterminada mediante el establecimiento de permisos en operaciones e informes específicos. Para obtener más información, vea Cómo establecer permisos para elementos del servidor de informes en un sitio de SharePoint (Reporting Services en el modo integrado de SharePoint) en los Libros en pantalla de SQL Server.
Antes de poder establecer los permisos, deberá configurar cada servidor para la integración. Para obtener más información, vea Configurar Reporting Services para la integración de SharePoint 3.0.
Proveedores de autenticación en tecnologías de SharePoint
Una aplicación web de SharePoint puede usar la autenticación de Windows o la autenticación de formularios. Un servidor de informes procesará solicitudes de cualquiera de ellas. Puede configurar la autenticación en estas combinaciones:
Autenticación de Windows con seguridad integrada (Kerberos está habilitado)
Autenticación de Windows, sin suplantación ni delegación
Autenticación de formularios
[!NOTA]
Tanto Reporting Services como los productos y tecnologías de SharePoint admiten la autenticación de formularios. La implementación es distinta para cada grupo de productos y estos no son compatibles. Las extensiones de autenticación personalizadas de Reporting Services no son compatibles con los servidores de informes que se ejecutan en el modo de integración de SharePoint.
En la tabla siguiente se resumen las ventajas y desventajas de cada uno de los proveedores de autenticación:
Ventajas |
Desventajas |
|
---|---|---|
Autenticación de Windows (con la autenticación Kerberos habilitada) |
Funciona en los escenarios de implementación de un único servidor y multiservidor. Admite el uso de las credenciales integradas de Windows para orígenes de datos externos. |
No funciona con la autenticación NTLM en implementaciones multiservidor. |
La autenticación de Windows (sin Kerberos habilitado) o la autenticación de formularios |
Funciona con Kerberos y todos los escenarios sin la autenticación de Kerberos. |
No es compatible con las credenciales integradas de Windows para orígenes de datos externos. |
Enviar solicitudes a un servidor de informes
Todas las solicitudes de un elemento u operación del servidor de informes deben ser solicitudes autenticadas válidas. El proveedor de autenticación que utilice determinará la forma en que se procesará la solicitud.
Seguridad integrada de Windows
Si la aplicación web de SharePoint se configura para la autenticación de Windows y Kerberos está habilitado, la conexión de la aplicación web de SharePoint al servidor de informes se realizará a través de las credenciales suplantadas o delegadas del usuario actual de Windows. En el siguiente diagrama se muestran las conexiones cuando un servidor de informes está configurado para la integración de SharePoint y la aplicación web de SharePoint utiliza la autenticación de Windows con Kerberos habilitado.
Conexión 1
Un usuario obtiene acceso a un sitio de SharePoint mediante el token de usuario creado cuando el usuario inició sesión en la red. Contiene la identidad del usuario y la pertenencia a grupos. La aplicación Web de SharePoint autentica al usuario. El usuario solicita un elemento o una operación del servidor de informes.Conexión 2
La aplicación Web de SharePoint envía el token y la solicitud al servidor de informes. La solicitud de conexión se envía mediante la identidad de Windows del usuario. El servidor de informes valida si el usuario tiene permiso para obtener acceso al servidor de informes.Conexión 3
Si la validación es correcta, el servidor de informes comprobará si el usuario tiene permiso para obtener acceso al elemento o a la operación.Un servidor de informes utiliza una extensión de seguridad interna para comprobar los permisos de usuario. El servidor de informes utiliza la extensión para llamar al modelo de objetos de Windows SharePoint Services con objeto de comprobar los permisos almacenados en las bases de datos de contenido de SharePoint. No puede configurar ni administrar esta extensión de seguridad. Se trata de un componente interno utilizado para servidores de informes que se ejecutan en el modo integrado de SharePoint.
Si el usuario tiene permiso para obtener acceso al informe o a otro objeto u operación, se atiende la solicitud.
Mediante el uso de la seguridad integrada de Windows, puede eliminar el clásico problema del "salto doble", donde las credenciales de Windows expiran tras una única conexión. Su uso también permite expandir el conjunto de opciones que tiene a su disposición al configurar conexiones de orígenes de datos para informes y modelos. Si la identidad de usuario de Windows se utiliza para establecer una conexión con el servidor de informes, el servidor de informes puede utilizar dicha identidad durante el procesamiento de informes para recuperar datos de orígenes de datos externos. Esto significa que al establecer las propiedades del origen de datos en un informe, puede seleccionar la opción Seguridad integrada de Windows para la conexión al origen de datos. Para obtener más información, vea Especificar información de credenciales y conexión para los orígenes de datos de informes en los Libros en pantalla de SQL Server.
Autenticación de Windows o de formularios y cuentas de confianza
Si la aplicación Web de SharePoint se configura para la autenticación de formularios, la conexión al servidor de informes se envía a través de la red mediante una cuenta de confianza predefinida que tiene permiso para suplantar a un usuario de SharePoint en el servidor de informes. Se utiliza el mismo enfoque si la aplicación web de SharePoint se configura para la autenticación de Windows y Kerberos no está habilitado. En el siguiente diagrama se muestran las conexiones cuando se utilizan cuentas de confianza e identidades de usuario de SharePoint.
Conexión 1
Un usuario inicia sesión en un sitio de SharePoint. La aplicación Web de SharePoint autentica al usuario. La aplicación Web de SharePoint traduce la identidad de usuario a una identidad de usuario de SharePoint (SPUser). Se crea un nuevo token de usuario para dicho usuario en el contexto de SPUser. Contiene la identidad del usuario y la pertenencia a grupos. El usuario solicita un elemento o una operación del servidor de informes.Conexión 2
La aplicación Web de SharePoint suplanta la identidad de usuario de SharePoint en la solicitud al servidor de informes. La solicitud de conexión que se envía utiliza una cuenta de confianza. La cuenta es la identidad de proceso de la aplicación Web de SharePoint.El servidor de informes valida si la solicitud de conexión proviene de una cuenta de confianza comparándola con la información de cuenta recuperada por el servidor de informes a partir de las bases de datos de configuración de SharePoint al iniciarse el servidor de informes. En un servidor de informes, la cuenta de confianza es un usuario de Windows con permiso para suplantar la aplicación Web de SharePoint. Solo se utiliza para suplantar a SPUser. No se permite el acceso a los elementos ni a las operaciones del servidor de informes.
Conexión 3
Si la validación es correcta, el servidor de informes comprobará si SPUser tiene permiso para obtener acceso al elemento o a la operación.El servidor de informes utiliza una extensión de seguridad interna para comprobar los permisos de usuario, llamar al modelo de objetos de Windows SharePoint Services y comprobar los permisos almacenados en las bases de datos de contenido de SharePoint. Si el usuario tiene permiso para obtener acceso al informe o a otro objeto u operación, se atiende la solicitud.
Expiración de la cuenta y procesamiento de suscripciones
Cuando se crea una suscripción a un informe, el servidor de informes almacena la información de cuenta de SPUser para que pueda comprobar si el usuario tiene permiso para ver el informe en el momento de entrega. Si SPUser ha expirado, se producirá un error en la suscripción y se devolverá rsSharePointError. Una propiedad del conjunto de servidores denominada TokenTimeout determina durante cuánto tiempo tiene validez SPUser.
Configurar cuentas administrativas y de servicio para que usen cuentas de usuario de dominio únicas
Una implementación de una tecnología o un producto SharePoint usa varias cuentas para ejecutar servicios y obtener acceso a servidores front-end y back-end. Si especifica cuentas de dominio para su implementación, asegúrese de seguir las prácticas recomendadas y especifique cuentas que solo use la aplicación Web de SharePoint. No configure una cuenta de servicio para que se ejecute en la cuenta de usuario de dominio de una personal real que tendrá acceso al sitio de SharePoint. Si obtiene acceso a un sitio de SharePoint mediante credenciales de servicio, pueden producirse errores. Para obtener más información acerca de las recomendaciones y los requisitos de las cuentas de servicio, vea el tema sobre cuentas administrativas y de servicio en la documentación del producto de Windows SharePoint Services 3.0.
Prácticas recomendadas para configurar proveedores de autenticación en una implementación escalada
Si tiene una implementación escalada de Reporting Services y un producto o tecnología de SharePoint, y ha configurado diferentes proveedores de autenticación para el entorno, podría encontrar problemas al autenticar a los usuarios. Por ejemplo, si el entorno de informes utiliza la autenticación de formularios para las conexiones a Internet y la autenticación de Windows para las conexiones en la intranet, la solicitud se podría enrutar a un equipo front-end web con un proveedor de autenticación que no coincida con el tipo de autenticación de la solicitud. Esto podría hacer que Reporting Services deniegue el acceso para la solicitud o la solicitud se podría ejecutar bajo la identidad de grupo de aplicaciones en lugar del usuario que realizó la solicitud.
Como práctica recomendada, los usuarios deberían utilizar direcciones URL diferentes para tener acceso al contenido de Internet e de la intranet. O bien puede configurar el archivo de hosts en los equipos front-end web para invalidar la búsqueda del Sistema de nombres de dominio (DNS) asignando la dirección del Protocolo Internet (IP) del sitio expuesto a Internet a la dirección URL de Internet, de modo que DNS no enrute las solicitudes de la dirección URL de Internet a la de la intranet.
Cómo obtiene acceso el servidor de informes a las bases de datos de contenido de SharePoint
Tanto la aplicación Web de SharePoint como el servidor de informes se conectan a sus respectivas bases de datos para almacenar el estado de la aplicación y otros datos, pero el servidor de informes también debe conectarse a las bases de datos de SharePoint para almacenar y recuperar elementos, propiedades y valores de configuración. En el siguiente diagrama se muestran las conexiones del servidor a las distintas bases de datos.
Una aplicación Web de SharePoint puede utilizar una base de datos local o remota para el almacenamiento interno. Si las bases de datos de SharePoint se encuentran en equipos remotos, debe utilizarse una cuenta de dominio para la conexión.
Un servidor de informes puede utilizar una base de datos local o remota para el almacenamiento interno. Para cada uno de estos tipos, la conexión de base de datos puede realizarse mediante el uso de una cuenta de dominio, un inicio de sesión de SQL Server o una cuenta integrada, como Network Service o Local System.
Conexión del servidor de informes a las bases de datos de SharePoint
En Reporting Services, tanto el servicio Web como el servicio de Windows requieren acceso a las bases de datos de SharePoint. Las cuentas de servicio para ambos servicios se ejecutan como usuarios de confianza en una aplicación Web de SharePoint y se les concede permiso automáticamente para obtener acceso a las bases de datos de SharePoint.
La conexión se administra internamente; se configura cuando se utiliza Administración central de SharePoint para que una aplicación Web de SharePoint señale a un servidor de informes y para establecer las cuentas de confianza. A diferencia de la conexión del servidor de informes a sus propias bases de datos, que se puede establecer o modificar mediante la herramienta de configuración de Reporting Services, no se puede configurar ni administrar explícitamente la conexión del servidor de informes a las bases de datos de SharePoint.
La ejecución de un servidor de informes en el modo integrado de SharePoint introduce restricciones sobre la forma de configurar las cuentas de servicio en Reporting Services. Utilice las siguientes directrices a la hora de configurar cuentas de servicio:
Elija cuentas que tengan permisos de inicio de sesión en red si las cuentas de servicio del servidor de informes tienen que conectarse a las bases de datos de SharePoint en un equipo remoto.
Evite el uso de cuentas integradas (como Sistema local o Servicio de red) si el servidor de informes y las bases de datos de SharePoint se encuentran en un mismo equipo y la aplicación Web de SharePoint se encuentra en un equipo remoto. Cuando las bases de datos de SharePoint se ejecutan en un equipo remoto, la aplicación Web de SharePoint deniega explícitamente el acceso a las bases de datos por parte de las cuentas integradas definidas en el equipo remoto. Esto significa que todos los servicios que se ejecutan mediante cuentas integradas en dicho equipo no pueden conectarse a bases de datos de SharePoint.
Para el resto de las topologías que colocan los servidores y las bases de datos en el mismo equipo o en equipos distintos, las cuentas de servicio de Reporting Services pueden configurarse como cuentas de dominio o cuentas integradas.
Errores de conexión a las bases de datos de SharePoint
Si el servidor de informes no puede obtener acceso a las bases de datos de SharePoint y hay un error de configuración (por ejemplo, si las cuentas o contraseñas de servicio no son válidas o si no hay instalada una instancia local del modelo de objetos Windows SharePoint), se produce un error rsServerConfigurationError. Para el resto de los errores de conexión, se devuelve el error rsSharePointError, junto con información adicional sobre el error de la instancia local de Windows SharePoint Services.
Historial de cambios
Contenido actualizado |
---|
Se ha agregado una tabla con las ventajas y desventajas de los proveedores de autenticación en la sección Proveedores de autenticación en tecnologías de SharePoint. |
Se ha agregado la sección nueva "Prácticas recomendadas para configurar proveedores de autenticación en una implementación escalada". |
Vea también