レポート サーバーでの認証
SQL Server Reporting Services (SSRS) には、レポート サーバーに対してユーザーおよびクライアント アプリケーションを認証する構成可能なオプションがいくつか用意されています。 既定では、レポート サーバーは Windows 統合認証を使用し、クライアントとネットワーク リソースが同じドメインまたは信頼されているドメインに属している場合は、信頼関係があると見なされます。 ネットワーク トポロジおよび組織のニーズに応じて、Windows 統合認証に使用される認証プロトコルをカスタマイズすることができます。 または、基本認証または指定したカスタム フォーム ベース認証拡張機能を使用できます。 認証の種類ごとに、個別にオンとオフを切り替えることができます。 レポート サーバーで複数の種類の要求を受け入れる場合は、複数の種類の認証を有効にすることができます。
レポート サーバーのコンテンツまたは操作へのアクセスを要求するすべてのユーザーとアプリケーションは、事前に認証を受けないとアクセスを許可されません。
認証のタイプ
レポート サーバーのコンテンツまたは操作へのアクセスを要求するすべてのユーザーとアプリケーションは、レポート サーバーで構成されている認証の種類を使用して事前に認証を受けないとアクセスを許可されません。 次の表では、Reporting Services でサポートされている認証の種類について説明します。
| 認証の種類の名前 | HTTP 認証レイヤーの値 | 既定で使用 | 説明 |
|---|---|---|---|
| RSWindowsNegotiate | ネゴシエート | はい | Windows 統合認証に対して Kerberos が最初に試行されますが、レポート サーバーへのクライアント要求に対して Active Directory でチケットを付与できない場合は NTLM に戻ります。 ネゴシエートは、チケットが使用できない場合にのみ NTLM に戻ります。 チケットがないのではなく、最初の試行でエラーになった場合は、レポート サーバーで 2 回目の試行は行われません。 |
| RSWindowsNTLM | NTLM | はい | Windows 統合認証に NTLM を使用します。 資格情報は、他の要求で委任または権限借用されません。 後続の要求は、新しい要求/応答シーケンスに従います。 ネットワークのセキュリティ設定によっては、ユーザーは資格情報または認証要求を透過的に処理するように要求される場合があります。 |
| RSWindowsKerberos | Kerberos | いいえ | Windows 統合認証に Kerberos を使用します。 サービス アカウントのセットアップ サービス プリンシパル名 (SPN) を設定して、Kerberos を構成する必要があります。そのためには、ドメイン管理者権限が必要です。 Kerberos を使用して ID 委任を設定できます。 これを行うと、レポートを要求したユーザーのトークンを、レポート データを提供する外部データ ソースへの別の接続でも使用することができます。 RSWindowsKerberos を指定する前に、使用しているブラウザーの種類で実際にサポートされていることを確認してください。 Microsoft Edge、または Internet Explorer を使用している場合、Kerberos 認証はネゴシエートを通してのみサポートされます。 Microsoft Edge、または Internet Explorer では、Kerberos を直接指定する認証要求は作成されません。 |
| RSWindowsBasic | Basic | いいえ | 基本認証は、HTTP プロトコルで定義され、レポート サーバーへの HTTP 要求の認証にのみ使用できます。 HTTP 要求で資格情報が base64 エンコードとして渡されます。 基本認証を使用する場合は、トランスポート層セキュリティ (TLS) (旧称 Secure Sockets Layer (SSL)) を使用して、ユーザー アカウント情報をネットワーク経由で情報を送信する前に暗号化します。 SSL は、クライアントからレポート サーバーに接続要求を送信するための暗号化されたチャネルを HTTP TCP/IP 接続で提供します。 詳細については、Microsoft TechNet Web サイトの「 SSL を使用して資格情報データを暗号化する」を参照してください。 |
| Custom | (Anonymous) | いいえ | 匿名認証は、HTTP 要求の認証ヘッダーを無視するようにレポート サーバーに指示します。 レポート サーバーですべての要求が受け入れられますが、ユーザーを認証する場合は、カスタムの ASP.NET フォーム認証を指定する必要があります。 Custom は、レポート サーバーにすべての認証要求を処理するカスタム認証モジュールを配置している場合にのみ指定します。 カスタム認証は、既定の Windows 認証拡張機能と共に使用することはできません。 |
サポートされない認証方法
以下の認証方法および要求はサポートされていません。
| 認証方法 | 説明 |
|---|---|
| Anonymous | レポート サーバーでは、配置にカスタム認証拡張機能が含まれている場合以外は、匿名ユーザーからの認証されていない要求は受け入れません。 基本認証用に構成されたレポート サーバーでレポート ビルダーへのアクセスを有効にした場合、レポート ビルダーは認証されていない要求を受け入れます。 それ以外の場合、匿名の要求は ASP.NET に到達する前に拒否され、HTTP ステータス 401 アクセス拒否エラーが発生します。 401 アクセス拒否を受信したクライアントは、有効な認証の種類を使用して要求を作成し直す必要があります。 |
| シングル サインオン テクノロジ (SSO) | Reporting Services には、シングル サインオン テクノロジに対するネイティブ サポートはありません。 シングル サインオン テクノロジを使用する場合は、カスタム認証拡張機能を作成する必要があります。 レポート サーバー ホスティング環境では、ISAPI フィルターはサポートされません。 使用している SSO テクノロジが ISAPI フィルターとして実装されている場合、RSASecueID または RADIUS プロトコルの ISA Server 組み込みサポートの使用を検討してください。 それ以外の場合は、RS 用に ISA Server ISAPI または HTTPModule を作成できますが、直接 ISA Server を使用する必要があります。 |
| Passport | SQL Server Reporting Services ではサポートされていません。 |
| ダイジェスト | SQL Server Reporting Services ではサポートされていません。 |
認証設定を構成する
認証設定は、レポート サーバーの URL が予約されたときに、既定のセキュリティを使用するように構成されます。 これらの設定を誤って変更すると、レポート サーバーは、認証できない HTTP 要求に対して HTTP 401 アクセス拒否エラーを返します。 認証の種類を選択する際は、ネットワークで Windows 認証がどのようにサポートされているかを理解している必要があります。 少なくとも 1 種類の認証を指定する必要があります。 RSWindows に対しては、複数の種類の認証を指定できます。 RSWindows 認証の種類 ( RSWindowsBasic、 RSWindowsNTLM、 RSWindowsKerberos、および RSWindowsNegotiate) は、カスタムと同時に指定することはできません。
重要
Reporting Services では、指定した設定がコンピューティング環境に対して適切かどうかは検証されません。 インストールの状況によっては既定のセキュリティが機能しない場合や、指定した構成設定がセキュリティ インフラストラクチャに対して有効ではない場合があります。 そのため、レポート サーバーを配置する際は、大規模な組織で使用できるようにする前に、管理されたテスト環境で十分にテストすることが重要です。
レポート サーバー Web サービスと Web ポータルは、常に同じ種類の認証を使用します。 レポート サーバー サービスの機能領域に別の種類の認証を構成することはできません。 スケールアウト配置の場合は、すべての変更を配置内の全ノードに同じように適用する必要があります。 同じスケールアウト内でノードごとに異なる種類の認証を使用するように構成することはできません。
バックグラウンド処理は、エンド ユーザーからの要求は受け入れませんが、自動実行用のすべての要求を認証します。 バックグラウンド処理では常に Windows 認証が使用され、レポート サーバー サービスを使用する要求、または自動実行アカウント (認証が構成されている場合) が認証されます。
このセクションの内容
関連タスク
| タスクの説明 | リンク |
|---|---|
| Windows 統合認証の種類を構成します。 | レポート サーバーで Windows 認証を構成する |
| 基本認証の種類を構成します。 | レポート サーバーで基本認証を構成する |
| フォーム認証、またはカスタム認証の種類を構成します。 | レポート サーバーでカスタム認証またはフォーム認証を構成する |
| Web ポータルがカスタム認証のシナリオを処理できるようにします。 | カスタム認証クッキーを送信するように Web ポータルを構成する |
関連するコンテンツ
ネイティブ モードのレポート サーバーに対するアクセス許可の付与
RsReportServer.config 構成ファイル
ロールの割り当ての作成と管理
レポート データ ソースに関する資格情報と接続情報を指定する
セキュリティ拡張機能の実装
ネイティブ モードのレポート サーバーでの TLS 接続の構成
セキュリティ拡張機能の概要
Reporting Services での認証
Reporting Services での承認
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示