本指南未介绍 ASP.NET 安全或窗体身份验证，未提供有关编程或应用程序安全的深层次知识。作为一名期望为 Reporting Services 实现安全扩展的开发人员，您应该对以下一个或多个方面有着深入的了解：

要直接了解代码，可以转到“窗体身份验证示例”部分。不过，您可能会发现前面的几部分很有帮助，这些部分介绍了您将使用的某些技术以及如何将这些技术组合在一起使用。

Reporting Services 具有可扩展性。通过托管代码 API，可以开发、安装和管理许多 Reporting Services 组件使用的扩展。可以使用 .NET Framework 创建专用或共享的程序集，并添加新的 Reporting Services 功能以满足日益增长的业务需求。开发人员可通过以下方式扩展 Reporting Services：

如前所述，本指南主要介绍了如何通过窗体身份验证扩展 Reporting Services 的安全系统。

通过 Reporting Services 安全扩展，可以对用户或组进行身份验证和授权，即它使不同的用户能够登录到报告服务器，并根据他们的身份执行不同的任务或操作。默认情况下，Reporting Services 使用基于 Windows 的身份验证扩展，该身份验证扩展使用 Windows 帐户协议验证声称拥有该系统帐户的用户的身份。Reporting Services 使用基于角色的安全系统对用户进行授权。Reporting Services 基于角色的安全模式类似于其他技术的基于角色的安全模式。由于安全扩展基于开放式、可扩展的 API，因此可以在 Reporting Services 中创建新身份验证和授权扩展。以下是使用基于窗体的身份验证和授权的安全扩展实现的典型示例：

图 1如图所示，身份验证和授权按如下过程进行：

Microsoft 建议您尽可能地使用 Windows Authentication。不过，但在以下两种情况下，应使用 Reporting Services 的自定义身份验证和授权：

下表列出了安全扩展的可用接口和类。

有关安全扩展 API 的各种接口和类的详细信息，请参阅 Reporting Services 联机丛书。

身份验证是建立用户身份权限的过程。有许多方法可用于用户身份验证。最常用的方法是使用密码。实现窗体身份验证时，应使用这样的实现：请求用户提供凭据（一般通过要求输入登录名和密码的某种界面），然后根据用户存储（例如，数据库表或配置文件）验证用户。如果凭据无法得到验证，身份验证进程将失败，用户将获取匿名身份。

在 Reporting Services 中，Windows 操作系统通过集成的安全性或通过用户凭据的显式接收和验证来处理用户的身份验证。可对 Reporting Services 中的自定义身份验证进行开发，使之支持其他身份验证方案。为此，可使用安全扩展接口 IAuthenticationExtension。所有扩展都继承于 IExtension，它是报告服务器部署和使用的任何扩展的基本接口。IExtension 和 IAuthenticationExtension 是 Microsoft.ReportingServices.Interfaces 命名空间的成员。

LogonUser 方法是 Reporting Services 中所有身份验证的核心。可使用它将用户凭据传递给报告服务器进行验证。基础安全扩展实现包含自定义身份验证代码的 IAuthenticationExtension.LogonUser。在窗体身份验证示例（将在本指南后面部分介绍）中，LogonUser 根据提供的凭据和数据库中的自定义用户存储区执行身份验证检查。在窗体身份验证示例中，它类似于以下过程：

在 AuthenticationExtension.cs（窗体身份验证示例）中

在 AuthenticationUtilities.cs（窗体身份验证示例）中

Reporting Services Web service 提供自定义身份验证，以便 Report Manager 和报告服务器能够进行窗体身份验证。

Reporting Services Web service 的 LogonUser 方法用于将凭据提交给报告服务器，以进行身份验证。Web service 使用 HTTP 标头将身份验证票据（称为“Cookie”）从服务器传递到客户端，以响应已验证的登录请求。

下图描述了当使用配置为使用自定义身份验证扩展的报告服务器来部署您的应用程序时，对要访问 Web service 的用户进行身份验证的方法。

图 2如图 2 所示，身份验证进程如下：

Web service 通过安全扩展成功对用户进行身份验证后，将生成一个 Cookie，用于随后的请求。由于报告服务器没有安全机构，因此该 Cookie 不会一直保存在自定义安全机构中。Cookie 从 Web service 方法 LogonUser 返回，并用于随后的 Web service 方法调用以及 URL 访问。

安全：为了避免在传输过程中泄露 Cookie，应使用安全套接字层 (SSL) 加密安全地传输从 LogonUser 返回的 Cookie。

如果在安装了自定义安全扩展的情况下通过 URL 访问来访问报告服务器，则 Internet 信息服务 (IIS) 和 ASP.NET 将自动管理身份验证票据的传输。如果通过 SOAP API 访问报告服务器，则代理类的实现必须包含对身份验证票据管理的附加支持。有关使用 SOAP API 和管理身份验证票据的详细信息，请参阅本指南后面的“将 Web service 用于自定义安全”。

授权是指决定是否为某一身份授予请求类型的访问权限（访问报告服务器数据库中的给定资源的权限）的过程。Reporting Services 使用基于角色的授权体系结构，即，基于应用程序中的用户角色授予用户访问给定资源的权限。Reporting Services 的安全扩展包含授权组件（一旦用户在报告服务器上得到验证，该授权组件便用于授予用户权限）的实现。当用户试图通过 SOAP API 和通过 URL 访问对系统或报告服务器项目执行操作时，授权便被调用。为此，可以使用安全扩展接口 IAuthorizationExtension。如前所述，所有扩展都继承于 IExtension，它是部署的任何扩展的基本接口。IExtension 和 IAuthorizationExtension 是 Microsoft.ReportingServices.Interfaces 命名空间的成员。

在授权中，任何自定义安全实现的关键是访问权检查，该检查在方法 CheckAccess 中进行。每当用户试图在报告服务器上进行操作时，CheckAccess 便会被调用。CheckAccess 方法将针对每种操作类型进行重载。对于文件夹操作，访问权检查的示例可能如下所示：

报告服务器通过传入登录用户的名称、用户令牌、操作项目的安全描述符和请求的操作来调用 CheckAccess 方法。此处。您将检查用户名的安全描述符和完成请求的适当权限，然后返回 true，表明访问权限已授予，或者返回 false，表明访问权限被拒绝。

为报告服务器数据库中的项目设置授权策略时，客户端应用程序（例如 Report Manager）将把用户信息以及项目的安全策略提交给安全扩展。此安全策略和用户信息统称为安全描述符。安全描述符包含报告服务器数据库中的项目的以下信息：

安全描述符是通过 Web service 方法 SetPolicies 和 SetSystemPolicies 创建的。有关这些方法和 Web service 的详细信息，请参阅 Reporting Services 联机丛书。

Reporting Services 授权由当前在配置为在服务器上运行的安全扩展控制。授权是基于角色的，并受限于 Reporting Services 安全体系结构提供的权限和操作。下图说明了如何授权用户对报告服务器数据库中的项目执行操作。

图 3如图 3 所示，授权按照以下顺序进行：

窗体身份验证示例安全扩展可作为本指南的一部分下载，它使用窗体身份验证以及 SQL Server 提供与 Reporting Services 一起使用的自定义安全模式。本示例仅用于演示目的，而不适用于生产环境，也未在生产环境中进行测试。Microsoft 对此示例不提供技术支持。在某些情况下，该示例中演示了最佳做法（例如，创建单向哈希、带salt 的密码）。在其他情况下，为简单起见，而回避了最佳做法。应注意，该示例安全扩展的设置和管理经常要求您在报告服务器计算机上拥有管理员访问权。不管怎样，都不建议在连接环境中的生产服务器上使用该示例。

如果您对 Reporting Services 安全扩展有任何疑问，请与 Microsoft 咨询服务 (MCS)、主要支持服务 (PSS) 或其他 Microsoft 支持服务代表联系。

实现自定义安全扩展或使用该示例时，请注意以下事项：

窗体身份验证是一种 ASP.NET 身份验证，通过这种身份验证，可将未经身份验证的用户定向到 HTML 窗体。当用户提供凭据后，系统将发出包含身份验证票据的 Cookie。在随后的请求中，系统首先检查该 Cookie，确定报告服务器是否已对用户进行身份验证。

Reporting Services 本身不支持窗体身份验证。不过，可使用 Reporting Services API 提供的安全扩展接口对 Reporting Services 进行扩展，使其支持窗体身份验证。如果将 Reporting Services 扩展为可以使用窗体，请将安全套接字层 (SSL) 用于所有与报告服务器进行的通信，以防恶意用户获取对其他用户的 Cookie 的访问权。SSL 可使客户端和报告服务器相互进行身份验证，并确保其他计算机无法读取这两台计算机之间的通信内容。通过 SSL 连接从客户端发出的所有数据都经过加密，这样，恶意的用户便无法截获发送至报告服务器的密码或数据。

实现窗体身份验证通常是为了支持非 Windows 帐户和身份验证。图形界面将展示给请求访问报告服务器的用户，提供的凭据将提交给安全机构，以进行身份验证。

当有交互式用户输入凭据时，窗体身份验证方案就会派上用场。不过，对于与 Reporting Services Web service 直接通信的无人值守应用程序，必须将窗体身份验证与自定义身份验证方案组合使用。

以下情况下，窗体身份验证适用于 Reporting Services：

编写支持窗体身份验证的自定义安全扩展时，请考虑以下事项：

要运行和检查窗体身份验证示例的代码，必须先执行几个步骤。执行安装和配置步骤后，即可在报告服务器上使用或调试示例，或在 Visual Studio .NET 中查看示例代码。

必须按照以下步骤编译和安装扩展。这些步骤假设您已将 Reporting Services 安装到默认位置：C:\Program Files\Microsoft SQL Server\MSSQL\Reporting Services。该位置在本指南的余下部分统称为 <install>。

将程序集和登录页体身份验证适用于 Report，需要对 Report Server 和 Report Manager 配置文件做一些修改。

要点：在进行任何更改前，请备份所有配置文件。

您将需要为自定义安全扩展添加代码组，以便向扩展授予 FullTrust 权限。为此，可以将代码组添加到 <install>\ReportServer 目录中的 rssrvpolicy.config 文件中。在安全策略文件中找到具有 $CodeGen 的 URL 成员身份的现有代码组（如下所示），然后按如下方式将项目添加到 rssrvpolicy.config 中。

注意：为简单起见，窗体身份验证示例命名不是很严格，在安全策略文件中要求的 URL 成员身份项也很简单。在生产安全扩展实现中，应该创建强名称程序集，并在添加程序集的安全策略时使用强名称成员身份条件。有关强名称程序集的详细信息，请参阅 MSDN 上的“Creating and Using Strong-Named Assemblies”，其网址为 http://msdn.microsoft.com/library/en-us/cpguide/html/cpconworkingwithstrongly-namedassemblies.asp（英文）。

然后，需要在 <install>\ReportManager 目录中的 Report Manager 策略文件中为 MyComputer 代码组增加权限。在 rsmgrpolicy.config 中找到以下代码组，并按如下方式将 PermissionSetName 属性从 Execution 更改为 FullTrust：

要使用窗体身份验证，您需要修改 Report Manager 和 Report Server 的 Web.config 文件，以更改身份验证并禁用模拟。

修改 Report Server 的 Web.config 文件

默认情况下，Windows 用户组 Guests 包含 IUSR_computername 帐户。该帐户用于最初的本地登录以及查看 Logon.aspx 页。要支持窗体身份验证，必须启用 ReportServer 虚拟目录的匿名访问。默认情况下，匿名访问被禁用。

示例包含一个数据库脚本，即 createuserstore.sql，用于在 SQL Server 数据库中为窗体示例建立一个用户存储。

通过以下步骤测试示例扩展。注册管理员用户，即将该用户名、密码哈西和 Salt 值添加到 UserAccounts 数据库中的用户表。它还将要求您在报告服务器配置文件中输入该用户名。然后，您将以同一个用户身份登录以确保报告服务器正确运行密码验证例程以及正确加载扩展程序集。

您应该能够不受限制地访问 Report Manager 和报告服务器。创建的管理员用户对报告服务器的权限与对本地计算机上的内置管理员帐户的权限相同。在本示例中，只能将一位用户指定为管理员。拥有内置管理员帐户后，即可注册其他用户，并指派他们在报告服务器中的角色。

注意：建议将管理员用户添加到报告服务器的正式 System Administrator 和 Content Manager（根文件夹）角色中。这可防止报告服务器数据库中出现空的安全描述符。有关 System Administrator 和 Content Manager 角色的详细信息，请参阅 Reporting Services 联机丛书。

您可以将 Web service API 用于窗体身份验证，就像将 Windows Authentication 用于窗体身份验证一样。不过，您必须调用 Web service 代码中的 LogonUser，并传递当前用户的凭据。此外，Web service 客户端将不具备 Internet Explorer 或其他 Web 浏览器提供的自动 Cookie 管理功能。您必须扩展 ReportingService 代理类以包含 Cookie 管理。为此，可以覆盖 Web service 类的 GetWebRequest 和 GetWebResponse 方法。

有关这方面的示例，请参阅 MSDN 上的“ReportingService.LogonUser Method”，其网址为 http://msdn.microsoft.com/library/en-us/rsprog/htm/rsp_ref_soapapi_service_lz_3d7q.asp（英文）。

在调试程序中运行示例扩展不仅可帮助您解决疑难问题，而且使您能够有效地浏览代码并查看运行中的报告服务器身份验证和授权进程。

Microsoft .NET Framework 提供了多个可帮助您分析示例代码的调试工具。工具的使用效果取决于您试图完成的任务。在本指南中，所选的调试工具是 Visual Studio .NET 2003。

尽管通常不建议这么做，但删除示例后，仍可以恢复到 Windows Authentication。要恢复到 Windows 安全，请执行下列操作：

删除配置信息后，安全扩展对于报告服务器将不可用。您不必删除在示例安全扩展下运行报告服务器时所创建的任何安全描述符。启用 Windows Authentication 时，报告服务器自动将 System Administrator 角色分配给托管报告服务器的计算机上的 BUILTIN\Administrators 组。不过，您必须为 Windows 用户重新手动应用任何基于角色的安全。

通常，在迁移到不同的安全扩展后，建议您不要恢复到 Windows Authentication。否则，当您试图访问报告服务器中的项目时，如果它们具有自定义安全描述符而不具有 Windows Authentication 安全描述符，则可能会遇到错误。