Tipos de autenticação no Reporting Services
O Reporting Services processa todas as funções de autenticação relativas a solicitações HTTP através da extensão de Autenticação do Windows instalada com o servidor ou mediante uma extensão de autenticação personalizada implantada por você. A extensão de Autenticação do Windows aceita todos os tipos de autenticação, por isso você pode controlar exatamente quais solicitações HTTP serão aceitas por um servidor de relatório. Os tipos de autenticação incluem: RSWindowsNegotiate, RSWindowsKerberos, RSWindowsNTLM e RSWindowsBasic. Cada um desses tipos de autenticação pode ser ativado ou desativado individualmente. Você poderá habilitar mais de um tipo se quiser que o servidor de relatório aceite solicitações de vários tipos.
Observação |
---|
Em versões anteriores do Reporting Services, todo o suporte de autenticação era dado pelo IIS. A partir da versão do SQL Server 2008, o IIS não é mais usado. O Reporting Services processa todas as solicitações de autenticação internamente. |
Tipos de autenticação
A tabela a seguir descreve os tipos de autenticação suportados pelo Reporting Services.
Nome do tipo de autenticação |
Valor da Camada de Autenticação HTTP |
Usado por padrão |
Descrição |
---|---|---|---|
RSWindowsNegotiate |
Negotiate |
Sim |
O RSWindowsNegotiate orienta o servidor de relatório para processar as solicitações de autenticação que especificam Negotiate. Primeiro Negotiate tenta usar a autenticação Kerberos, mas reverte para NTLM se o Active Directory não pode conceder permissão para a solicitação de cliente no servidor de relatório. Negotiate só reverterá para NTLM se a permissão não estiver disponível. Se a primeira tentativa resultar em um erro que não seja de permissão ausente, o servidor de relatório não fará uma segunda tentativa. |
RSWindowsNTLM |
NTLM |
Sim |
NTLM autentica o usuário por meio de uma troca de dados privados descrita como desafio/resposta. As credenciais não serão delegadas ou representadas em outras solicitações. As solicitações subsequentes seguirão uma nova sequência de desafio/resposta. Dependendo das configurações de segurança de rede, talvez o usuário precise informar credenciais ou a solicitação de autenticação poderá ser processada de maneira transparente. |
RSWindowsKerberos |
Kerberos |
Não |
No caso de solicitações que especificam a autenticação Kerberos, o servidor de relatório lê as permissões no token de segurança do usuário que emitiu a solicitação. Se a delegação estiver habilitada no domínio, o token do usuário que está solicitando um relatório também poderá ser usado em uma conexão adicional com as fontes de dados externas que fornecem dados para relatórios. Antes de especificar RSWindowsKerberos, certifique-se de que o navegador usado dá suporte a esse tipo de autenticação. Se você estiver usando o Internet Explorer, a autenticação de Kerberos só terá suporte através de Negotiate. O Internet Explorer não formulará uma solicitação de autenticação que especifique Kerberos diretamente. |
RSWindowsBasic |
Básica |
Não |
A autenticação Básica é definida no protocolo HTTP e só pode ser usada para autenticar solicitações HTTP no servidor de relatório. As credenciais são transmitidas na solicitação HTTP em codificação base64. Se você usar a autenticação básica, use SSL para criptografar informações da conta de usuário antes de enviá-las pela rede. O SSL é um canal criptografado usado para enviar uma solicitação de conexão do cliente ao servidor de relatório por meio de uma conexão HTTP TCP/IP. Para obter mais informações, consulte o tópico sobre como usar SSL para criptografar dados confidenciais no site do Microsoft TechNet. |
Personalizada |
(Anônima) |
Não |
A autenticação Anônima orienta o servidor de relatório a ignorar o cabeçalho de autenticação em uma solicitação HTTP. O servidor de relatório aceita todas as solicitações, mas chama uma autenticação do Forms ASP.NET personalizada especificada por você para autenticar o usuário. Especifique Custom somente se estiver implantando um módulo de autenticação personalizada que processe todas as solicitações de autenticação no servidor de relatório. Você não pode usar o tipo de autenticação Personalizada com a extensão de Autenticação padrão do Windows. |
Métodos de autenticação sem-suporte
Os métodos e solicitações de autenticação descritos a seguir não têm suporte.
Método de autenticação |
Explicação |
---|---|
Anônima |
O servidor de relatório não aceitará solicitações não autenticadas de um usuário anônimo, a menos naquelas implantações que incluem uma extensão de autenticação personalizada. O Construtor de Relatórios aceitará solicitações não autenticadas se você habilitar o acesso a ele em um servidor de relatório configurado para autenticação Básica. Em todos os outros casos, as solicitações anônimas são rejeitadas com um erro Status HTTP 401 – Acesso Negado antes de a solicitação chegar a ASP.NET. Os clientes que recebem o erro 401 de acesso negado devem reformular a solicitação com um tipo de autenticação válido. |
Tecnologias de logon único (SSO) |
Não há suporte nativo para tecnologias de logon único no Reporting Services. Para usar uma tecnologia de logon único, você deve criar uma extensão de autenticação personalizada. O ambiente de hospedagem do servidor de relatório não dá suporte a filtros ISAPI. Se a tecnologia SSO que você está usando é implementada como filtro ISAPI, considere usar o suporte interno do ISA Server para RSASecueID ou o protocolo RADIUS. Do contrário, você poderá criar um filtro ISAPI do ISA Server ou HTTPModule para RS, mas é recomendável usar o ISA Server diretamente. |
Passport |
Sem suporte no SQL Server 2008. |
Digest |
Sem suporte no SQL Server 2008. |
Como definir configurações de autenticação
Configurações de autenticação são definidas para segurança padrão quando a URL do servidor de relatório é reservada. Se essas configurações forem modificadas incorretamente, o servidor de relatório retornará erros HTTP 401 – Acesso Negado para solicitações HTTP que não podem ser autenticadas. Para escolher um tipo de autenticação, você deve saber de que forma a Autenticação do Windows é suportada na rede. Especifique pelo menos um tipo de autenticação. Podem ser especificados vários tipos de autenticação para RSWindows. Os tipos de autenticação RSWindows (ou seja, RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberos e RSWindowsNegotiate) são mutuamente exclusivos em relação ao tipo Personalizada.
Importante |
---|
O Reporting Services não valida as configurações especificadas para determinar se elas estão corretas para o ambiente de computação. É possível que a segurança padrão não funcione para a sua instalação ou que você especificará parâmetros de configuração inválidos para sua infraestrutura de segurança. Por isso, é importante testar a implantação do servidor de relatório com cautela no ambiente de teste controlado antes de disponibilizá-la para sua organização de uma maneira mais ampla. |
O serviço Web Servidor de Relatórios e o Gerenciador de Relatórios sempre usam o mesmo tipo de autenticação. Não é possível configurar tipos de autenticação diferentes para as áreas de recurso do serviço Servidor de Relatórios. Se você tiver uma implantação em expansão, duplique todas as alterações feitas em todos os nós da implantação. Não é possível configurar nós diferentes na mesma implantação em expansão para usar tipos de autenticação diferentes.
O processamento em segundo plano não aceita solicitações de usuários finais, mas autentica todas as solicitações para fins de execução autônoma. Ele sempre usa a Autenticação do Windows e autentica solicitações usando o serviço Servidor de Relatórios ou a conta de execução autônoma caso esteja configurada.
Para obter mais informações sobre como configurar a autenticação no Reporting Services, consulte os seguintes tópicos:
Como configurar a autenticação do Windows no Reporting Services
Como configurar a autenticação Básica no Reporting Services
Como configurar a autenticação de formulários ou personalizada no Reporting Services