Configuración de la autenticación Básica en el servidor de informes
De manera predeterminada, SQL Server Reporting Services (SSRS) acepta solicitudes que especifican la autenticación Negotiate y New Technology LAN Manager (NTLM). Si su implementación incluye aplicaciones cliente o exploradores que utilizan la autenticación básica, debe agregar esta autenticación a la lista de tipos admitidos. Además, si desea utilizar el Generador de informes, debe permitir el acceso anónimo a los archivos del Generador de informes.
Para configurar la autenticación básica en el servidor de informes SSRS, modifique los valores y elementos XML en el archivo RSReportServer.config. Puede copiar y pegar los ejemplos de este artículo para reemplazar los valores predeterminados. Después de habilitar la autenticación básica, tenga en cuenta que los usuarios no pueden seleccionar la opción Seguridad integrada de Windows al establecer las propiedades de conexión en un origen de datos externo que proporciona los datos para un informe. La opción no está disponible en las páginas de propiedades del origen de datos.
Requisitos previos
- Un servidor de informes configurado en modo nativo.
- Permisos de escritura para el archivo RSReportServer.config.
Consideraciones de seguridad para la autenticación básica
Antes de habilitar la autenticación básica, compruebe que la infraestructura de seguridad la admite. Con la autenticación básica, el servicio web del servidor de informes pasará las credenciales a la entidad de seguridad local. Si las credenciales especifican una cuenta de usuario local, la entidad de seguridad local en el servidor de informes autentica al usuario. A continuación, el usuario obtiene un token de seguridad válido para los recursos locales. Las credenciales para las cuentas de usuario de dominio se reenvían a un controlador de dominio que las autentica. El vale resultante es válido para los recursos de red.
Si desea mitigar el riesgo de que se intercepten las credenciales mientras se dirigen a un controlador de dominio de la red, se requiere cifrado en el canal, como la Seguridad de la capa de transporte (TLS), anteriormente conocida como Capa de sockets seguros (SSL). Por sí sola, la autenticación básica transmite el nombre de usuario en texto sin cifrar y la contraseña en codificación en base 64. Cuando se agrega cifrado al canal, el paquete es ilegible. Para más información, vea Configuración de conexiones TLS en un servidor de informes en modo nativo.
Nota:
Las instrucciones siguientes están pensadas para un servidor de informes en modo nativo. Si el servidor de informes se implementa en modo integrado de SharePoint, se deben utilizar los valores de autenticación predeterminados que especifican la seguridad integrada de Windows. El servidor de informes utiliza las características internas de la extensión de autenticación de Windows predeterminada para admitir el servidor de informes en modo integrado de SharePoint.
Configurar un servidor de informes de modo que use la autenticación básica
Abra el archivo de configuración RSReportServer.config en un editor de texto. Para obtener información acerca de la ubicación del archivo de configuración, consulte Archivo de configuración RsReportServer.config.
En el archivo, vaya a la línea
<Authentication>
.Revise las siguientes estructuras XML y copie la que mejor se ajuste a sus necesidades. La primera estructura XML proporciona marcadores de posición para los elementos
Realm
yDefaultDomain
, que se describen en la sección siguiente.Se aplica a: SQL Server Reporting Services (2016)
<Authentication> <AuthenticationTypes> <RSWindowsBasic> <LogonMethod>3</LogonMethod> <Realm></Realm> <DefaultDomain></DefaultDomain> </RSWindowsBasic> </AuthenticationTypes> <EnableAuthPersistence>true</EnableAuthPersistence> </Authentication>
Si usa valores predeterminados, puede usar la estructura siguiente, que minimiza el número de elementos:
<AuthenticationTypes> <RSWindowsBasic/> </AuthenticationTypes>
Se aplica a: SQL Server Reporting Services (2017 y versiones posteriores) Power BI Report Server
<Authentication> <AuthenticationTypes> <RSWindowsBasic/> </AuthenticationTypes> <EnableAuthPersistence>true</EnableAuthPersistence> <RSWindowsExtendedProtectionLevel>Off</RSWindowsExtendedProtectionLevel> <RSWindowsExtendedProtectionScenario>Any</RSWindowsExtendedProtectionScenario> </Authentication>
En el archivo de configuración, reemplace la sección existente
<Authentication>
por la estructura que copió.Si usa varios tipos de autenticación, agregue el elemento
RSWindowsBasic
, pero no elimine las entradas correspondientes aRSWindowsNegotiate
,RSWindowsNTLM
oRSWindowsKerberos
.No puede utilizar el tipo de autenticación
Custom
con otros tipos de autenticación.Reemplace los valores vacíos de
<Realm>
o<DefaultDomain>
por valores que sean válidos para su entorno. Para obtener los valores adecuados, consulte la sección siguiente.Guarde el archivo.
Si usa una implementación escalada, repita estos pasos con los demás servidores de informes de la implementación.
Reinicie todos los servidores de informes que configuró para la autenticación básica. Este paso borra las sesiones que están abiertas actualmente.
Valores de los elementos de autenticación básica
Puede especificar los siguientes elementos al usar una sección RSWindowsBasic
para configurar la autenticación básica.
Elemento | Obligatorio | Valores válidos |
---|---|---|
LogonMethod | Sí Si no especifica un valor, el valor predeterminado que se usa es 3. |
Use un valor de 2 para un inicio de sesión de red. Use este valor para servidores de alto rendimiento para autenticar contraseñas de texto no cifrado. Use un valor de 3 para un inicio de sesión de texto no cifrado. Cuando usa este valor, que es el valor predeterminado, las credenciales de inicio de sesión se conservan en el paquete de autenticación que se envía con cada solicitud HTTP. A continuación, el servidor suplanta al usuario cuando se conecta a otros servidores de la red. Nota: los valores 0 (para el inicio de sesión interactivo) y 1 (para el inicio de sesión por lotes) NO se admiten en SQL Server 2016 (13.x) Reporting Services o posterior (SSRS). |
Dominio | Opcionales | Este elemento especifica una partición de recurso que incluye características de autorización y de autenticación que se utilizan para controlar el acceso a los recursos protegidos de su organización. |
DominioPredeterminado | Opcionales | Este elemento especifica el dominio predeterminado que usa el servidor para autenticar al usuario. Este valor es opcional, pero si lo omite, el servidor de informes utilizará el nombre de equipo como dominio. Si el equipo es miembro de un dominio, ese dominio es el predeterminado. Si instala el servidor de informes en un controlador de dominio, el dominio que se utilizará será el controlado por el equipo. |