SQL Server Reporting Services (SSRS) には、レポート サーバーに対してユーザーとクライアント アプリケーションを認証するための構成可能なオプションがいくつか用意されています。 既定では、レポート サーバーは Windows 統合認証を使用し、クライアントリソースとネットワーク リソースが同じドメインまたは信頼されたドメイン内にある信頼されたリレーションシップを前提としています。 ネットワーク トポロジと組織のニーズに応じて、Windows 統合認証に使用される認証プロトコルをカスタマイズしたり、基本認証を使用したり、指定したカスタム フォーム ベースの認証拡張機能を使用したりできます。 認証の種類ごとに、個別にオンとオフを切り替えることができます。 レポート サーバーで複数の種類の要求を受け入れる場合は、複数の種類の認証を有効にすることができます。
注
以前のバージョンの Reporting Services では、すべての認証サポートが IIS によって提供されていました。 SQL Server 2008 リリース以降、IIS は使用されなくなりました。 Reporting Services は、すべての認証要求を内部的に処理します。
レポート サーバーのコンテンツまたは操作へのアクセスを要求するすべてのユーザーまたはアプリケーションは、アクセスを許可する前に認証する必要があります。
認証の種類
レポート サーバーのコンテンツまたは操作へのアクセスを要求するすべてのユーザーまたはアプリケーションは、アクセスを許可する前に、レポート サーバーで構成された認証の種類を使用して認証する必要があります。 次の表では、Reporting Services でサポートされている認証の種類について説明します。
| AuthenticationType Name | HTTP 認証レイヤーの値 | 既定で使用 | 説明 |
|---|---|---|---|
| RSWindowsNegotiate | 交渉する | イエス | 最初に Windows 統合認証に Kerberos を使用しようとしますが、Active Directory がクライアント要求のチケットをレポート サーバーに付与できない場合は NTLM にフォールバックします。 ネゴシエートは、チケットが利用できない場合にのみ NTLM にフォールバックします。 最初の試行でチケットが見つからないのではなくエラーが発生した場合、レポート サーバーは 2 回目の試行を行いません。 |
| RSWindowsNTLM | NTLM | イエス | Windows 統合認証に NTLM を使用します。 資格情報は、他の要求では委任または偽装されません。 後続の要求は、新しいチャレンジ応答シーケンスに従います。 ネットワーク セキュリティ設定によっては、ユーザーに資格情報の入力を求められる場合や、認証要求が透過的に処理される場合があります。 |
| RSWindowsKerberos | Kerberos | いいえ | Windows 統合認証に Kerberos を使用します。 Kerberos を構成するには、ドメイン管理者特権が必要なサービス アカウントのセットアップ サービス プリンシパル名 (SPN) を設定する必要があります。 Kerberos を使用して ID 委任を設定した場合、レポートを要求しているユーザーのトークンは、レポートにデータを提供する外部データ ソースへの追加接続でも使用できます。 RSWindowsKerberos を指定する前に、使用しているブラウザーの種類で実際にサポートされていることを確認してください。 Internet Explorer を使用している場合、Kerberos 認証はネゴシエートによってのみサポートされます。 Internet Explorer では、Kerberos を直接指定する認証要求は作成されません。 |
| RSウィンドウズベーシック | ベーシック | いいえ | 基本認証は、HTTP プロトコルで定義され、レポート サーバーへの HTTP 要求の認証にのみ使用できます。 HTTP 要求で資格情報が base64 エンコードとして渡されます。 基本認証を使用する場合は、Ssl (Secure Sockets Layer) を使用して、ネットワーク経由で送信される前にユーザー アカウント情報を暗号化します。 SSL は、クライアントからレポート サーバーに接続要求を送信するための暗号化されたチャネルを HTTP TCP/IP 接続で提供します。 詳細については、Microsoft TechNet Web サイトでの SSL を使用した機密データの暗号化 に関するページを参照してください。 |
| 習慣 | (匿名) | いいえ | 匿名認証は、HTTP 要求の認証ヘッダーを無視するようにレポート サーバーに指示します。 レポート サーバーはすべての要求を受け入れますが、ユーザーを認証するために指定したカスタム ASP.NET フォーム認証を呼び出します。 レポート サーバー上のすべての認証要求を処理するカスタム認証モジュールを展開する場合にのみ、 Custom を指定します。 既定の Windows 認証拡張機能でカスタム認証の種類を使用することはできません。 |
サポートされていない認証方法
次の認証方法と要求はサポートされていません。
| 認証方法 | 説明 |
|---|---|
| アノニマス | カスタム認証拡張機能を含む展開を除き、レポート サーバーは匿名ユーザーからの認証されていない要求を受け入れません。 基本認証用に構成されたレポート サーバーでレポート ビルダーアクセスを有効にした場合、レポート ビルダーは認証されていない要求を受け入れます。 それ以外の場合、匿名の要求は ASP.NET に到達する前に拒否され、HTTP ステータス 401 アクセス拒否エラーが発生します。 401 アクセス拒否を受け取ったクライアントは、有効な認証の種類で要求を再調整する必要があります。 |
| シングル サインオン テクノロジ (SSO) | Reporting Services では、シングル サインオン テクノロジのネイティブ サポートはありません。 シングル サインオン テクノロジを使用する場合は、カスタム認証拡張機能を作成する必要があります。 レポート サーバー ホスティング環境では、ISAPI フィルターはサポートされていません。 使用している SSO テクノロジが ISAPI フィルターとして実装されている場合は、RSASecueID または RADIUS プロトコルに対する ISA Server 組み込みサポートの使用を検討してください。 それ以外の場合は、ISA Server ISAPI または RS 用の HTTPModule を作成できますが、ISA サーバーを直接使用することをお勧めします。 |
| 旅券 | SQL Server 2014 ではサポートされていません。 |
| ダイジェスト | SQL Server 2014 ではサポートされていません。 |
認証設定の構成
認証設定は、レポート サーバーの URL が予約されたときに、既定のセキュリティを使用するように構成されます。 これらの設定を正しく変更しないと、レポート サーバーは認証できない HTTP 要求に対して HTTP 401 アクセス拒否エラーを返します。 認証の種類を選択するには、ネットワークで Windows 認証がどのようにサポートされているかを既に把握している必要があります。 少なくとも 1 種類の認証を指定する必要があります。 RSWindows に対しては、複数の種類の認証を指定できます。 RSWindows 認証の種類 ( RSWindowsBasic、 RSWindowsNTLM、 RSWindowsKerberos、 および RSWindowsNegotiate) は、Custom と相互に排他的です。
重要
Reporting Services では、コンピューティング環境に適しているかどうかを判断するために指定した設定は検証されません。 既定のセキュリティがインストールで機能しないか、セキュリティ インフラストラクチャに対して無効な構成設定を指定する可能性があります。 このため、大規模な組織で使用できるようにする前に、制御されたテスト環境でレポート サーバーの展開を慎重にテストすることが重要です。
レポート サーバー Web サービスとレポート マネージャーでは、常に同じ認証の種類が使用されます。 レポート サーバー サービスの機能領域に対して異なる認証の種類を構成することはできません。 スケールアウト配置の場合は、すべての変更を配置内の全ノードに同じように適用する必要があります。 異なる認証の種類を使用するように、同じスケールアウト内の異なるノードを構成することはできません。
バックグラウンド処理はエンド ユーザーからの要求を受け入れるわけではありませんが、無人実行のためにすべての要求を認証します。 常に Windows 認証を使用し、レポート サーバー サービスまたは自動実行アカウント (構成されている場合) を使用して要求を認証します。
このセクションにて
関連タスク
| タスクの説明 | リンクス |
|---|---|
| Windows 統合認証の種類を構成します。 | レポート サーバーで Windows 認証を構成する |
| 基本認証の種類を構成します。 | レポート サーバーで基本認証を構成する |
| フォーム認証を構成するか、カスタム認証の種類を構成します。 | レポート サーバーでカスタム認証またはフォーム認証を構成する |
| レポート マネージャーがカスタム認証シナリオを処理できるようにします。 | カスタム認証 Cookie を渡すレポート マネージャーの構成 |
こちらもご覧ください
ネイティブ モードのレポート サーバーに対する権限の許可
RSReportServer 構成ファイル
役割割り当ての作成と管理.md
レポート データ ソースに関する資格情報と接続情報を指定する
セキュリティ拡張機能の実装
ネイティブ モードのレポート サーバーで SSL 接続を構成する
レポート ビルダー アクセスの構成
セキュリティ拡張機能の概要
Reporting Services での認証
Reporting Services の認証