Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
SQL Server Reporting Services (SSRS) bietet mehrere konfigurierbare Optionen zum Authentifizieren von Benutzern und Clientanwendungen auf dem Berichtsserver. Standardmäßig verwendet der Berichtsserver die integrierte Windows-Authentifizierung und setzt vertrauenswürdige Beziehungen voraus, bei denen sich Client- und Netzwerkressourcen in derselben Domäne oder in einer vertrauenswürdigen Domäne befinden. Abhängig von Ihrer Netzwerktopologie und den Anforderungen Ihrer Organisation können Sie das Authentifizierungsprotokoll anpassen, das für die integrierte Windows-Authentifizierung verwendet wird, die Standardauthentifizierung verwenden oder eine benutzerdefinierte formularbasierte Authentifizierungserweiterung verwenden, die Sie bereitstellen. Jeder dieser Authentifizierungstypen kann individuell aktiviert oder deaktiviert werden. Sie können mehrere Authentifizierungstypen aktivieren, wenn der Berichtsserver mehrere Arten von Anforderungen akzeptieren soll.
Hinweis
In früheren Versionen von Reporting Services wurde alle Authentifizierungsunterstützung von IIS bereitgestellt. Ab der SQL Server 2008-Version wird IIS nicht mehr verwendet. Reporting Services verarbeitet alle Authentifizierungsanforderungen intern.
Alle Benutzer oder Anwendungen, die den Zugriff auf Serverinhalte oder -vorgänge anfordern, müssen authentifiziert werden, bevor der Zugriff zulässig ist.
Authentifizierungstypen
Alle Benutzer oder Anwendungen, die den Zugriff auf Serverinhalte oder -vorgänge anfordern, müssen mithilfe des auf dem Berichtsserver konfigurierten Authentifizierungstyps authentifiziert werden, bevor der Zugriff zulässig ist. In der folgenden Tabelle werden die von Reporting Services unterstützten Authentifizierungstypen beschrieben.
| AuthenticationType-Name | Wert HTTP-Authentifizierungsebene | Standardmäßig verwendet | BESCHREIBUNG |
|---|---|---|---|
| RSWindowsNegotiate | Verhandeln | Ja | Versucht zuerst, Kerberos für die integrierte Windows-Authentifizierung zu verwenden, fällt jedoch auf NTLM zurück, wenn Active Directory kein Ticket für die Clientanforderung an den Berichtsserver erteilen kann. Aushandeln wird nur dann auf NTLM zurückfallen, wenn das Ticket nicht verfügbar ist. Wenn der erste Versuch zu einem Fehler und nicht zu einem fehlenden Ticket führt, führt der Berichtsserver keinen zweiten Versuch aus. |
| RSWindowsNTLM | NTLM | Ja | Verwendet NTLM für die integrierte Windows-Authentifizierung. Die Anmeldeinformationen werden für andere Anforderungen nicht delegiert oder imitiert. Nachfolgende Anforderungen folgen einer neuen Abfrageantwortsequenz. Je nach Netzwerksicherheitseinstellungen wird ein Benutzer möglicherweise zur Eingabe von Anmeldeinformationen aufgefordert, oder die Authentifizierungsanforderung wird transparent behandelt. |
| RSWindowsKerberos | Kerberos | Nein | Verwendet Kerberos für die integrierte Windows-Authentifizierung. Sie müssen Kerberos konfigurieren, indem Sie Dienstprinzipalnamen (SPNs) für Ihre Dienstkonten einrichten, was Domänenadministratorrechte erfordert. Wenn Sie die Identitätsdelegierung mit Kerberos einrichten, kann das Token des Benutzers, der einen Bericht anfordert, auch für eine zusätzliche Verbindung mit den externen Datenquellen verwendet werden, die Daten für Berichte bereitstellen. Bevor Sie RSWindowsKerberos angeben, stellen Sie sicher, dass der verwendete Browsertyp sie tatsächlich unterstützt. Wenn Sie Internet Explorer verwenden, wird die Kerberos-Authentifizierung nur über Negotiate unterstützt. Internet Explorer formuliert keine Authentifizierungsanforderung, die Kerberos direkt angibt. |
| RSWindowsBasic | Grundlegend | Nein | Die Standardauthentifizierung wird im HTTP-Protokoll definiert und kann nur verwendet werden, um HTTP-Anforderungen an den Berichtsserver zu authentifizieren. Anmeldeinformationen werden mithilfe der Base64-Codierung an die HTTP-Anforderung übergeben. Wenn Sie die Standardauthentifizierung verwenden, verwenden Sie SSL (Secure Sockets Layer), um Benutzerkontoinformationen zu verschlüsseln, bevor sie über das Netzwerk gesendet werden. SSL bietet einen verschlüsselten Kanal zum Senden einer Verbindungsanforderung vom Client an den Berichtsserver über eine HTTP TCP/IP-Verbindung. Weitere Informationen finden Sie unter Verwenden von SSL zum Verschlüsseln vertraulicher Daten auf der Microsoft TechNet-Website. |
| Kundenspezifisch | (Anonym) | Nein | Die anonyme Authentifizierung weist den Berichtsserver an, den Authentifizierungsheader in einer HTTP-Anforderung zu ignorieren. Der Berichtsserver akzeptiert alle Anforderungen, ruft jedoch eine benutzerdefinierte ASP.NET Formularauthentifizierung auf, die Sie zur Authentifizierung des Benutzers bereitstellen. Geben Sie nur an Custom , wenn Sie ein benutzerdefiniertes Authentifizierungsmodul bereitstellen, das alle Authentifizierungsanforderungen auf dem Berichtsserver verarbeitet. Sie können den benutzerdefinierten Authentifizierungstyp nicht mit der Standardmäßigen Windows-Authentifizierungserweiterung verwenden. |
Nicht unterstützte Authentifizierungsmethoden
Die folgenden Authentifizierungsmethoden und Anforderungen werden nicht unterstützt.
| Authentifizierungsmethode | Erklärung |
|---|---|
| Anonym | Der Berichtsserver akzeptiert keine nicht authentifizierten Anforderungen eines anonymen Benutzers, mit Ausnahme der Bereitstellungen, die eine benutzerdefinierte Authentifizierungserweiterung enthalten. Der Berichts-Generator akzeptiert nicht authentifizierte Anforderungen, wenn Sie den Berichts-Generator-Zugriff auf einem Berichtsserver aktivieren, der für die Standardauthentifizierung konfiguriert ist. In allen anderen Fällen werden die anonymen Anforderungen mit dem Fehler „HTTP Status 401 Access Denied“ abgelehnt, bevor die Anforderung ASP.NET erreicht. Clients, die 401 Zugriff verweigert erhalten, müssen die Anforderung mit einem gültigen Authentifizierungstyp neu erstellen. |
| Technologie für einmaliges Anmelden (SSO, Single sign-on technologies) | Es gibt keine systemeigene Unterstützung für Single Sign-On-Technologien in Reporting Services. Wenn Sie eine Technologie für einmaliges Anmelden verwenden möchten, müssen Sie eine benutzerdefinierte Authentifizierungserweiterung erstellen. Die Hostumgebung des Berichtsservers unterstützt keine ISAPI-Filter. Wenn die verwendete SSO-Technologie als ISAPI-Filter implementiert wird, sollten Sie die integrierte ISA Server-Unterstützung für RSASecueID oder das RADIUS-Protokoll verwenden. Andernfalls können Sie einen ISA Server ISAPI oder ein HTTPModule für RS erstellen, es wird jedoch empfohlen, ISA Server direkt zu verwenden. |
| Pass | In SQL Server 2014 nicht unterstützt. |
| Zusammenfassung | In SQL Server 2014 nicht unterstützt. |
Konfiguration der Authentifizierungseinstellungen
Authentifizierungseinstellungen werden für die Standardsicherheit konfiguriert, wenn die Berichtsserver-URL reserviert ist. Wenn Sie diese Einstellungen falsch ändern, gibt der Berichtsserver HTTP 401-Fehler "Zugriff verweigert" für HTTP-Anforderungen zurück, die nicht authentifiziert werden können. Wenn Sie einen Authentifizierungstyp auswählen, müssen Sie bereits wissen, wie die Windows-Authentifizierung in Ihrem Netzwerk unterstützt wird. Sie müssen mindestens einen Authentifizierungstyp angeben. Für RSWindows können mehrere Authentifizierungstypen angegeben werden. RSWindows-Authentifizierungstypen (d. h. , RSWindowsBasic, RSWindowsNTLM, RSWindowsKerberosund RSWindowsNegotiate) schließen sich gegenseitig mit Custom aus.
Von Bedeutung
Reporting Services überprüft nicht die Einstellungen, die Sie angeben, um zu bestimmen, ob sie für Ihre Computerumgebung korrekt sind. Es ist möglich, dass die Standardsicherheit für Ihre Installation nicht funktioniert oder Sie Konfigurationseinstellungen angeben, die für Ihre Sicherheitsinfrastruktur nicht gültig sind. Aus diesem Grund ist es wichtig, dass Sie ihre Berichtsserverbereitstellung sorgfältig in kontrollierter Testumgebung testen, bevor Sie sie ihrer größeren Organisation zur Verfügung stellen.
Der Report Server-Webdienst und der Berichts-Manager verwenden immer denselben Authentifizierungstyp. Sie können keine unterschiedlichen Authentifizierungstypen für die Featurebereiche des Berichtsserverdiensts konfigurieren. In einem Bereitstellungsmodell für horizontales Skalieren sollten Sie sicherstellen, dass alle Ihre Änderungen auf allen Knoten der Bereitstellung dupliziert werden. Sie können unterschiedliche Knoten in derselben Skalierung nicht so konfigurieren, dass unterschiedliche Authentifizierungstypen verwendet werden.
Die Hintergrundverarbeitung akzeptiert keine Anforderungen von Endbenutzern, authentifiziert jedoch alle Anforderungen für unbeaufsichtigte Ausführungszwecke. Sie verwendet immer die Windows-Authentifizierung und authentifiziert Anforderungen mithilfe des Berichtsserverdiensts oder des unbeaufsichtigten Ausführungskontos, wenn sie konfiguriert ist.
In diesem Abschnitt
Verwandte Aufgaben
| Aufgabenbeschreibungen | Verknüpfungen |
|---|---|
| Konfigurieren Sie den integrierten Windows-Authentifizierungstyp. | Configure Windows Authentication on the Report Server (Konfigurieren der Windows-Authentifizierung auf dem Berichtsserver) |
| Konfigurieren Sie den Standardauthentifizierungstyp. | Konfigurieren der Standardauthentifizierung auf dem Berichtsserver |
| Konfigurieren sie die Formularauthentifizierung oder anderweitig einen benutzerdefinierten Authentifizierungstyp. | Configure Custom or Forms Authentication on the Report Server (Konfiguration der benutzerdefinierten oder Formularauthentifizierung auf dem Berichtsserver) |
| Aktivieren Sie den Berichts-Manager, um das benutzerdefinierte Authentifizierungsszenario zu behandeln. | Konfigurieren des Berichts-Managers zum Übergeben von benutzerdefinierten Authentifizierungscookies |
Siehe auch
Granting Permissions on a Native Mode Report Server (Erteilen von Berechtigungen für einen Berichtsserver im einheitlichen Modus)
RSReportServer-Konfigurationsdatei
(erstellen-und-verwalten-von-rollen-zuweisungen.md)
Angeben der Anmeldeinformationen und Verbindungsinformationen für Berichtsdatenquellen
Implementieren einer Sicherheitserweiterung
Konfigurieren von SSL-Verbindungen auf einem Berichtsserver für den nativen Modus
Konfigurieren des Berichts-Generator-Zugriffs
Übersicht über Sicherheitserweiterungen
Authentifizierung in Reporting Services
Autorisierung in Berichtsdiensten