Utilisation de Reporting Services dans un environnement Internet / Extranet

Commençons par examiner brièvement les concepts d’authentification et d’autorisation. Le premier est le processus consistant à prouver votre identité, alors que le deuxième détermine les actions que vous pouvez effectuer. Par exemple, lorsque j’entre dans un club de fitness, j’utilise ma carte de membre pour justifier mon identité (authentification). Une fois à l’intérieur, j’ai le privilège d’accéder à certaines installations du club (par ex., piscine, court de tennis) sur la base de mes autorisations.

Malheureusement, j’ai rarement l’occasion de me rendre dans un club de fitness, mais ceci est une autre histoire… Par défaut, Reporting Services 2005 utilise l’authentification Windows pour établir l’identité et son propre ensemble de rôles pour octroyer des droits (appelés tâches) aux utilisateurs et groupes Windows. Ce modèle de sécurité fonctionne bien pour les entreprises qui utilisent l’authentification Windows. Toutefois, lorsqu’il s’agit de fournir des rapports à l’extérieur du pare-feu de l’entreprise (ou lorsqu’une entreprise essaie d’intégrer une autre norme d’authentification interne), l’authentification Windows n’est, bien souvent, pas une option.

Heureusement, le modèle de sécurité de Reporting Services est extensible (comme de nombreuses autres parties du produit). Dans ce cas, cette qualité vous permet de remplacer l’authentification Windows par défaut par un fournisseur d’authentification personnalisé. En particulier, un développeur peut mettre en oeuvre l’interface d’extension de sécurité .NET IAuthenticationExtension pour traiter la tâche d’authentification. C’est précisément ce que nous allons faire (et un peu plus) dans cet article. (Pour une discussion concernant l’utilisation des services Web en tant qu’alternative, consultez l’encadré « Qu’en est-il des services Web? ».)