Condividi tramite


Panoramica sulla sicurezza per Reporting Services utilizzato in modalità di integrazione con SharePoint

Se si configura un server di report per l'esecuzione in modalità integrata SharePoint, il server di report utilizzerà le autorizzazioni e il provider di autenticazione definiti nell'applicazione Web di SharePoint per controllare l'accesso agli elementi e alle operazioni del server di report.

L'autorizzazione per l'accesso a elementi e operazioni viene concessa tramite criteri di sicurezza di SharePoint che eseguono il mapping di un account utente o di gruppo a un determinato livello di autorizzazione, relativamente a un elemento specifico. Il meccanismo è concettualmente identico all'utilizzo delle assegnazioni di ruolo in una distribuzione di server di report in modalità nativa, in cui ogni assegnazione di ruolo esegue il mapping di un account utente o di gruppo a un set di attività consentite per un determinato elemento. Come avviene per la maggior parte dei modelli di autorizzazione basati sui ruoli, la sicurezza di SharePoint consente di utilizzare l'ereditarietà delle autorizzazioni per limitare la complessità e l'overhead derivanti dalla gestione di un numero di criteri molto elevato.

Per distribuire i tipi di contenuto di un server di report in un sito di SharePoint, sono necessarie le informazioni seguenti:

Affinché sia possibile impostare le autorizzazioni, è necessario configurare i singoli server per l'integrazione. Per ulteriori informazioni, vedere Configurazione di Reporting Services per l'integrazione con SharePoint 2010.

Provider di autenticazione nelle tecnologie SharePoint

Le applicazioni Web di SharePoint possono utilizzare l'autenticazione di Windows o l'autenticazione basata su form. Il server di report elaborerà le richieste per entrambi i tipi di autenticazione. È possibile configurare l'autenticazione nelle combinazioni seguenti:

  • Autenticazione di Windows tramite Kerberos

  • Autenticazione di Windows tramite NT LAN Manager (NTLM)

  • Autenticazione basata su form

Nota

L'autenticazione basata su form è supportata sia in Reporting Services sia nei prodotti e nelle tecnologie SharePoint. L'implementazione è diversa per ogni gruppo di prodotti, che sono pertanto incompatibili. Le estensioni di autenticazione personalizzate di Reporting Services non sono supportate per i server di report eseguiti in modalità integrata SharePoint.

Nella tabella seguente vengono riepilogati i vantaggi e gli svantaggi di ciascun provider di autenticazione:

Vantaggi

Svantaggi

Autenticazione di Windows tramite Kerberos

Può essere utilizzata in scenari di distribuzione a server singolo o multiserver.

Supporta credenziali integrate di Windows per le origini dati esterne.

Non può essere utilizzata con l'autenticazione NTLM in distribuzioni multiserver.

È richiesta la configurazione complessa del dominio e del server di configurazione.

Autenticazione di Windows tramite autenticazione NTLM o basata su form

Può essere utilizzata in scenari di autenticazione Kerberos e in tutti gli scenari di autenticazione non Kerberos.

Non supporta credenziali integrate di Windows per le origini dati esterne.

Autenticazione delle attestazioni di SharePoint

I prodotti SharePoint 2010 supportano l'autenticazione basata sulle attestazioni. SQL Server 2008 R2 Reporting Services in modalità integrata SharePoint verrà utilizzato con le applicazioni Web abilitate per le attestazioni di SharePoint tramite l'autenticazione Account attendibile e i token utente di SharePoint. Per ulteriori informazioni su come Reporting Services supporta l'autenticazione delle attestazioni, vedere Autenticazione attestazioni e Reporting Services. Per ulteriori informazioni sull'autenticazione delle attestazioni, vedere la panoramica dell'identità basata su attestazioni.

Invio di richieste a un server di report

Tutte le richieste relative a un'operazione o a un elemento di un server di report devono essere richieste autenticate valide. La modalità di elaborazione di tali richieste è determinata dal provider di autenticazione in uso.

Sicurezza integrata di Windows tramite Kerberos

Se l'applicazione Web di SharePoint è configurata per l'autenticazione di Windows tramite Kerberos, per la connessione dall'applicazione Web di SharePoint al server di report si possono utilizzare le credenziali rappresentate o delegate dell'utente di Windows corrente. Utilizzando la sicurezza integrata di Windows con Kerberos e delega dell'identità, è possibile eliminare il consueto problema del "doppio hop", che provoca la scadenza delle credenziali di Windows dopo una singola connessione, ed estendere il set di opzioni disponibile per la configurazione delle connessioni alle origini dati per report e modelli. Nel diagramma seguente vengono illustrate le connessioni utilizzate nel caso in cui il server di report sia configurato per l'integrazione SharePoint e nell'applicazione Web di SharePoint venga utilizzata l'autenticazione di Windows con Kerberos e delega dell'identità.

Connessioni in modalità integrata SharePoint

  • Connessione 1
    Un utente accede a un sito di SharePoint tramite il token utente creato quando l'utente ha effettuato l'accesso alla rete. Il token utente contiene informazioni sull'appartenenza ai gruppi e sull'identità dell'utente. L'applicazione Web di SharePoint autentica l'utente. L'utente richiede un'operazione o un elemento del server di report.

  • Connessione 2
    Tramite l'applicazione Web di SharePoint vengono inviati il token e la richiesta al server di report. La richiesta di connessione viene inviata utilizzando l'identità di Windows delegata dell'utente. Tramite il server di report viene eseguita l'autenticazione dell'utente per verificare se quest'ultimo può accedere al server di report.

  • Connessione 3
    Se l'autenticazione viene completata, nel server di report verrà utilizzato l'account utente dell'istanza di Reporting Services per la connessione ai database del contenuto di SharePoint, al fine di verificare che l'utente sia autorizzato ad accedere all'elemento o all'operazione. Se l'autorizzazione viene completata, la richiesta viene soddisfatta dal server di report.

  • Connessione 4
    Se l'utente sta visualizzando un report, tramite il server di report l'identità di Windows dell'utente può essere delegata durante l'elaborazione dei report per recuperare dati da origini dati esterne. Pertanto, quando si impostano le proprietà relative all'origine dati in un report, è possibile selezionare l'opzione Sicurezza integrata di Windows per la connessione all'origine dati. Per ulteriori informazioni, vedere Specifica di credenziale e informazioni sulla connessione per le origini dati del report e Procedura: Creazione e gestione di origini dei dati condivise (Reporting Services in modalità integrata SharePoint) nella documentazione online di SQL Server.

Autenticazione di Windows o basata su form e account attendibili

Se l'applicazione Web di SharePoint è configurata per l'autenticazione basata su form o per l'autenticazione di Windows tramite NTLM, la connessione al server di report viene inviata in rete tramite un account attendibile predefinito, dotato dell'autorizzazione necessaria per rappresentare un utente di SharePoint nel server di report. Nel diagramma seguente vengono illustrate le connessioni stabilite quando vengono utilizzati account attendibili e identità utente di SharePoint.

Diagramma di connessione per la connessione trusted

  • Connessione 1
    Un utente accede a un sito di SharePoint. L'applicazione Web di SharePoint autentica l'utente. L'applicazione Web di SharePoint converte l'identità utente in un'identità utente di SharePoint (SPUser). Per l'utente viene creato un nuovo token utente nel contesto di SPUser. Il token utente contiene informazioni sull'appartenenza ai gruppi e sull'identità dell'utente. L'utente richiede un'operazione o un elemento del server di report.

  • Connessione 2
    Tramite l'applicazione Web di SharePoint viene effettuata la connessione al server di report utilizzando un account attendibile, ovvero l'identità del processo dell'applicazione Web di SharePoint. Tale applicazione rappresenta quindi l'identità utente di SharePoint nella richiesta di un elemento o un'operazione.

    Tramite il server di report viene verificato che la richiesta di connessione sia stata inviata da un account attendibile, confrontando quest'ultimo con le informazioni sugli account recuperate mediante il server di report dai database di configurazione di SharePoint quando tale server è stato avviato. In un server di report, l'account attendibile è costituito da un utente di Windows autorizzato a rappresentare l'applicazione Web di SharePoint. Inoltre, viene utilizzato per rappresentare SPUser, ma non dispone dell'accesso agli elementi e alle operazioni del server di report.

  • Connessione 3
    Se l'autenticazione viene completata, nel server di report verrà utilizzato l'account utente dell'istanza di Reporting Services per la connessione ai database del contenuto di SharePoint, al fine di verificare che SPUser sia autorizzato ad accedere all'elemento o all'operazione. Se l'autorizzazione viene completata, la richiesta viene soddisfatta dal server di report.

  • Connessione 4
    Se l'utente sta visualizzando un report, nel server di report non può essere utilizzato SPUser per il recupero dei dati da origini dati esterne, a causa del problema del "doppio hop". Pertanto, quando si impostano le proprietà relative all'origine dati in un report, non è possibile selezionare l'opzione Sicurezza integrata di Windows per la connessione all'origine dati. È tuttavia possibile configurare il report per l'utilizzo di altre opzioni di connessione, quali le credenziali archiviate o quelle su richiesta. Per ulteriori informazioni, vedere Specifica di credenziale e informazioni sulla connessione per le origini dati del report e Procedura: Creazione e gestione di origini dei dati condivise (Reporting Services in modalità integrata SharePoint) nella documentazione online di SQL Server.

Scadenza degli account ed elaborazione delle sottoscrizioni

Quando si crea una sottoscrizione a un report, nel server di report verranno archiviate le informazioni relative all'account SPUser in modo che sia possibile verificare che l'utente disponga dell'autorizzazione a visualizzare il report al momento del recapito. Se l'account SPUser è scaduto, la creazione della sottoscrizione non riuscirà e verrà restituito un errore rsSharePointError. La durata della validità dell'account SPUser è determinata dalla proprietà a livello di farm TokenTimeout.

Configurazione degli account amministrativi e di servizio in modo che utilizzino account utente di dominio univoci

In una distribuzione di un prodotto o una tecnologia SharePoint viene utilizzata un'ampia gamma di account per l'esecuzione dei servizi e l'accesso ai server front-end e back-end. Se per la distribuzione in uso si specificano account di dominio, seguire le procedure consigliate e specificare account che vengono utilizzati esclusivamente dall'applicazione Web di SharePoint. Non configurare alcun account di servizio in modo che venga eseguito con l'account di dominio di un utente reale, che potrebbe effettivamente accedere al sito di SharePoint. Se si accede a un sito di SharePoint utilizzando le credenziali di un servizio, potrebbero verificarsi degli errori.

Procedure consigliate per la configurazione di provider di autenticazione in una distribuzione con scalabilità orizzontale

Se si dispone di una distribuzione con scalabilità orizzontale di Reporting Services e di un prodotto SharePoint e sono stati configurati provider di autenticazione diversi per l'ambiente, è possibile che si verifichino dei problemi durante l'autenticazione degli utenti. Se ad esempio l'ambiente di report utilizza l'autenticazione basata su form per le connessioni Internet e l'autenticazione di Windows per le connessioni Intranet, è possibile che la richiesta venga instradata a un computer front-end Web con un provider di autenticazione che non corrisponde al tipo di autenticazione della richiesta. Ciò può causare che l'accesso venga negato per la richiesta in Reporting Services o l'esecuzione della richiesta nell'identità del pool di applicazioni e non in relazione all'utente che ha eseguito la richiesta.

In base alla procedura consigliata, è necessario che gli utenti utilizzino URL diversi per accedere al contenuto da Internet e dalla rete Intranet. In alternativa, è possibile configurare il file hosts nei computer front-end Web in modo da ignorare la ricerca DNS (Domain Name System) eseguendo il mapping dell'indirizzo IP (Internet Protocol) del sito Internet all'indirizzo URL Internet, in modo che le richieste all'URL Internet non vengano reindirizzate all'URL Intranet mediante DNS.

Modalità di accesso ai database del contenuto di SharePoint da parte del server di report

Sia l'applicazione Web di SharePoint che il server di report si connettono ai rispettivi database per memorizzare lo stato dell'applicazione e altri dati, ma il server di report deve connettersi anche ai database di SharePoint per archiviare e recuperare elementi, proprietà e impostazioni di configurazione. Nella figura seguente vengono illustrate le connessioni tra il server e i vari database.

Diagramma di connessione

Un'applicazione Web di SharePoint può utilizzare un database locale o remoto per l'archiviazione interna. Se i database di SharePoint risiedono su computer remoti, per la connessione sarà necessario utilizzare un account di dominio.

Un server di report può utilizzare un database locale o remoto per l'archiviazione interna. In entrambi i casi, per la connessione al database è necessario utilizzare un account di dominio, un account di accesso di SQL Server o un account predefinito quale Network Service o Local System.

Connessione di un server di report ai database di SharePoint

In Reporting Services hanno l'esigenza di accedere ai database di SharePoint sia il servizio Web che il servizio Windows. Gli account di servizio per entrambi i servizi vengono eseguiti come utenti attendibili in un'applicazione Web di SharePoint e ricevono automaticamente l'autorizzazione ad accedere ai database di SharePoint.

La connessione è gestita internamente. Viene configurata quando si utilizza lo strumento Amministrazione centrale SharePoint per associare un'applicazione Web di SharePoint a un server di report e impostare gli account attendibili. Diversamente da quanto avviene per la connessione tra il server di report e i relativi database, che può essere impostata o modificata tramite lo strumento di configurazione di Reporting Services, la connessione tra il server di report e i database di SharePoint non può essere configurata o gestita esplicitamente.

Se il server di report viene eseguito in modalità di integrazione con SharePoint, la configurazione degli account dei servizi in Reporting Services è soggetta ad alcuni vincoli. Per la configurazione degli account dei servizi, seguire le linee guida seguenti:

  • Se la connessione ai database di SharePoint in un computer remoto deve essere eseguita tramite gli account servizio server di report, scegliere account dotati di autorizzazioni di accesso alla rete.

  • Se il server di report e i database di SharePoint si trovano nello stesso computer e l'applicazione Web di SharePoint si trova in un computer remoto, non utilizzare account predefiniti quali Sistema locale o Servizio di rete. Quando i database di SharePoint vengono eseguiti in un computer remoto, tramite l'applicazione Web di SharePoint l'accesso ai database viene negato esplicitamente agli account predefiniti configurati in tale computer. Pertanto, se il server di report è in esecuzione utilizzando un account predefinito, non può connettersi ai database di SharePoint perché è in esecuzione nello stesso computer di questi ultimi.

  • Per tutte le altre topologie, in cui i server e i database risiedono nello stesso computer o in computer diversi, gli account del servizio Reporting Services possono essere configurati come account di dominio o account predefiniti.

Errori di connessione ai database di SharePoint

Se il server di report non riesce ad accedere ai database di SharePoint ed è presente un errore di configurazione (ad esempio, gli account o le password dei servizi non sono valide o non è installata un'istanza locale del modello a oggetti di Windows SharePoint), si verifica un errore di rsServerConfigurationError. Per tutti gli altri errori di connessione, viene restituito l'errore rsSharePointError insieme a ulteriori informazioni sugli errori dall'istanza locale di SharePoint.

Topologie di autenticazione di SharePoint e SSRS

Nella tabella seguente sono elencate le combinazioni supportate di SharePoint nonché i metodi di autenticazione e l'utilizzo di SSRS.

SharePoint e SSRS nello stesso computer

Autenticazione di SharePoint

Modalità di integrazione di SSRS

Autenticazione di SSRS

Account di accesso a SSRS

Credenziali origine dati

Kerberos

Integrato

Con negoziazione

L'utente può delegare il contesto di sicurezza utente.

Integrato, Archiviato, Richiesto

Kerberos

Integrato

NTLM

Non supportato

Kerberos

Trusted

Con negoziazione o NTLM

Account servizio sito

Archiviato, Richiesto, Integrato (+)

NTLM

Integrato

Con negoziazione

Non supportato

NTLM

Integrato

NTLM

L'utente NON può delegare il contesto di sicurezza utente.

Archiviato, Richiesto, Integrato, Locale

NTLM

Trusted

Con negoziazione o NTLM

Account servizio sito

Archiviato, Richiesto, Integrato (+)

Form

Integrato

IUSR

Non supportato

Form

Trusted

Con negoziazione o NTLM

Account servizio sito

Archiviato, Richiesto, Integrato (+)

No

Kerberos

Integrato

Con negoziazione

Delegabile all'utente

Integrato, Archiviato, Richiesto

No

Kerberos

Integrato

NTLM

Non supportato

No

Kerberos

Trusted (*)

Con negoziazione

Account servizio sito

Archiviato, Richiesto, Integrato (+)

No

Kerberos

Trusted (*)

Con negoziazione

Account servizio sito

Archiviato, Richiesto, Integrato, solo se locale in SSRS

No

NTLM

Integrato

Anonimo

Non supportato

No

NTLM

Trusted (*)

Con negoziazione

Account servizio sito

Archiviato, Richiesto, Integrato (+)

No

NTLM

Trusted (*)

NTLM

Account servizio sito

Archiviato, Richiesto, Integrato, solo se locale

No

Form

Integrato

Anonimo

Non supportato

No

Form

Trusted (*)

Con negoziazione

Account servizio sito

Archiviato, Richiesto, Integrato (+)

No

Form

Trusted

NTLM

Account servizio sito

Archiviato, Richiesto, Integrato, solo se locale

(+) Se l'account servizio sito di SharePoint è un account locale, l'origine dati deve essere locale nel computer del server di report. Se l'account servizio sito è un account di dominio, l'origine dati può essere in un altro computer.

(*) L'account del servizio sito di SharePoint deve essere un account di dominio.

Cronologia modifiche

Contenuto aggiornato

Aggiunte tabelle delle topologie di autenticazione.