設定 Reporting Services 的驗證
新增: 2006 年 12 月 12 日
在 Reporting Services 中,驗證是由 Internet Information Services (IIS) 處理。Reporting Services 使用在虛擬目錄層級設定的驗證方法來驗證報表伺服器的使用者連接。在大部分情況下,驗證類型都是繼承自父網站,不過您也可以在虛擬目錄上指定不同的驗證類型。
Reporting Services 使用 IIS 中的下列驗證方法:
- 整合式 Windows 驗證。
- 基本驗證。
- 匿名驗證;建議只用來將登入要求轉送至協力廠商或自訂表單架構驗證提供者。
Reporting Services 不支援摘要式驗證和 .NET Passport 驗證。
如果要開發與 Reporting Services 整合的應用程式,您必須瞭解報表伺服器 Web 服務呼叫的驗證方式。如需詳細資訊,請參閱<Web Service Authentication>。
預設驗證設定
依預設,報表伺服器和報表管理員虛擬目錄都設定為使用整合式 Windows 驗證。虛擬目錄並未啟用匿名存取功能,也未選取其他驗證方法。
如果您是使用預設安全性,每一個需要存取報表伺服器的使用者,必須擁有有效的 Windows 使用者帳戶,或必須是 Windows 群組帳戶的成員。您可以將其他信任網域中的帳戶包括在內。帳戶必須對主控報表伺服器的 Web 伺服器擁有存取權,且必須接著指派給角色以取得特定報表伺服器作業的存取權。
如果所有的用戶端和伺服器電腦全都位於相同網域或信任網域內、瀏覽器類型支援整合式 Windows 驗證,而且公司防火牆後方已部署報表伺服器供內部網路存取使用,預設值便可達到最佳的執行效果。如果您支援網際網路存取報表伺服器或使用工作群組安全性,則您很可能必須自訂預設值。
若要傳遞 Windows 認證,網域必須是受信任的網域或單一網域。伺服器必須啟用 Kerberos 第 5 版通訊協定,才能多次傳遞認證。如果未啟用 Kerberos,認證在過期前僅能傳遞一次。如需有關設定多個電腦連接之認證的詳細資訊,請參閱<指定認證和連接資訊>。
附註: |
---|
如果包含報表伺服器虛擬目錄的網站已設定 Kerberos 驗證,而且使用的是應用程式集區中的網域使用者帳戶,則您可能必須建立該帳戶的「服務主要名稱」(SPN)。如需詳細資訊,請參閱 Microsoft TechNet 網站上的<設定 Kerberos 的受條件約束委派 (IIS 6.0)>(英文)。 |
驗證類型概觀
IIS 會驗證報表伺服器和報表管理員的使用者連接。下列清單說明您可以使用的 IIS 驗證選項:
- 內含委派或模擬認證的整合式 Windows 驗證
報表伺服器連接使用目前使用者的加密網域認證。Windows 驗證 (整合式安全性) 是報表伺服器與報表管理員虛擬目錄的預設驗證方法。Reporting Services 組態工具與安裝程式一律會設定目錄安全性以使用此方法。如果在網域中啟用 Kerberos 驗證,則目前的安全性 Ticket 也可以用來連接到提供報表資料的外部資料來源。
基本驗證
報表伺服器連接使用先前指派的 Windows 帳戶使用者名稱和密碼。使用基本驗證時,使用者名稱和密碼是以純文字格式傳送。不過,您可以先使用安全通訊端層 (SSL) 將使用者帳戶加密,然後再透過網路傳送,以提高傳輸安全性。SSL 提供透過 HTTP TCP/IP 連接將連接要求從用戶端傳送到報表伺服器的加密通道。如需詳細資訊,請參閱 Microsoft TechNet 網站上的<使用 SSL 將機密資料加密>(英文)。
- 匿名存取
所有使用者都是利用匿名存取的 Windows 使用者帳戶來建立報表伺服器連接。在 IIS 中,這個帳戶預設為 IUSR_<computername> 帳戶。系統不會提示使用者輸入使用者名稱或密碼。您必須使用自訂安全性延伸模組,才能使用匿名存取。如果您不是使用自訂驗證,請避免對報表伺服器虛擬目錄使用匿名存取。因為您將無法以有意義的方式區別角色指派。所有使用者都會在匿名使用者帳戶下存取報表伺服器,而且沒有任何人有權限透過報表管理員來管理報表伺服器。
變更驗證設定
Reporting Services 預設使用整合式 Windows 驗證。如果您想使用不同的驗證提供者,請使用 IIS 管理員指定目錄安全性屬性。
- 開啟 IIS Manager。
- 以滑鼠右鍵按一下報表伺服器虛擬目錄,然後按一下 [屬性]。
- 按一下 [目錄安全性]。
- 在 [驗證及存取控制] 中,按一下 [編輯],開啟 [驗證方塊] 對話方塊。
- (選擇性) 清除 [整合式 Windows 驗證] 核取方塊。
如果報表伺服器虛擬目錄同時設定了整合式 Windows 驗證和基本驗證,報表伺服器會先嘗試 Windows 驗證。如果只想使用基本驗證,必須清除 [整合式 Windows 驗證] 核取方塊。 - 選取 [基本驗證]。
- 設定用來對 Web 伺服器驗證用戶端的預設網域或範圍。
除非您要部署自訂驗證延伸模組,或啟用透過設定基本驗證的報表伺服器存取報表產生器,否則請勿啟用匿名存取。請勿啟用摘要式驗證或 Passport 驗證;Reporting Services 不支援這兩種驗證選項。
設定報表伺服器的驗證方法時,請務必在所有元件上使用同一種方法。請勿為報表管理員指定不同的驗證類型,否則在執行報表管理員和報表伺服器作業時,使用者必須提供不同的登入認證。同樣地,除非將報表伺服器設定為使用基本驗證,否則報表產生器的驗證類型也應該和報表伺服器使用的驗證提供者相同。如果使用基本驗證,必須允許匿名存取報表產生器資料夾,才能將連接要求轉送到 ClickOnce 應用程式啟動器。如需詳細資訊,請參閱<設定報表伺服器供報表產生器存取>。
如需有關在 IIS 中啟用基本驗證和選取驗證的詳細資訊,請參閱 Microsoft TechNet 網站上的<啟用基本驗證與設定範圍名稱>(英文) 和<選取網站驗證方法>(英文)。
設定外部網路與網際網路存取的驗證
整合式 Windows 驗證對於需要網際網路或外部網路存取的部署模型而言,並不是很實用。如果您是在供網際網路存取的 Web 伺服器上部署 Reporting Services,應該以自訂的驗證延伸模組取代 Windows 驗證,讓您可以進一步控制如何授與外部使用者存取報表伺服器的權限。建立自訂驗證延伸模組,需要自訂的程式碼和 ASP.NET 安全性的專業知識。如需詳細資訊,請參閱<Implementing a Security Extension>。
如果您不想撰寫自訂驗證延伸模組的程式碼,可以使用 Microsoft Active Directory 群組與帳戶,但必須大幅縮減報表伺服器部署的範圍。下列指導方針描述如何支援此狀況:
- 建立具有唯讀權限之低權限的網域使用者帳戶。帳戶必須對主控報表伺服器的電腦擁有存取權。提供自訂 Web 表單,讓使用者能夠使用低權限的網域帳戶登入。
- 建立角色指派,將使用者帳戶對應至報表伺服器資料夾階層中的特定項目。您可以選擇**「瀏覽者」**預先定義角色作為角色指派,以限制對唯讀作業的存取。
- 設定報表使用預存認證,以取得報表的資料。如果您要使用與存取報表伺服器不同的帳戶,查詢外部資料來源,此方法很有用。如需有關這些選項的詳細資訊,請參閱<指定認證和連接資訊>。
請參閱
概念
管理 Reporting Services 的權限和安全性
建立、修改與刪除角色指派
指定認證和連接資訊
Reporting Services 部署中的連接和帳戶
設定安全通訊端層 (SSL) 連接的報表伺服器
設定報表伺服器供報表產生器存取
其他資源
Implementing a Security Extension