настроить доступ к построителю отчетов
Построитель отчетов — средство автоматизированной системы отчетности, устанавливаемое с сервером отчетов служб SQL ServerСлужбы Reporting Services, настроенным для собственного режима или режима интеграции SharePoint.
Доступ к построителю отчетов зависит от следующих факторов:
свойства сервера, определяющие, доступен ли построитель отчетов на сервере отчетов;
назначения ролей или разрешения, которые предоставляют доступ к построителю отчетов отдельным пользователям или группам;
параметры проверки подлинности, которые определяют, можно ли передать учетные данные пользователя в сервер отчетов или для файлов приложения настроен анонимный доступ.
Чтобы использовать построитель отчетов, необходимо опубликовать модель отчета для работы с ней.
Предварительные требования
Построитель отчетов доступен не в каждом выпуске Microsoft SQL Server. Список функций, поддерживаемых в разных выпусках SQL Server, см. в разделе Возможности, поддерживаемые различными выпусками SQL Server 2012.
На клиентском компьютере должна быть установлена платформа Microsoft.NET Framework 2.0. Платформа .NET Framework предоставляет инфраструктуру для работы приложений ClickOnce.
Необходимо использовать обозреватель Microsoft Internet Explorer 6.0 или более поздней версии.
Построитель отчетов всегда работает при полном уровне доверия, его нельзя настроить на работу с частичным уровнем доверия. В предыдущих версиях можно было запустить построитель отчетов с частичным уровнем доверия, но этот режим отсутствует в SQL Server 2008 и последующих версиях.
Включение и отключение построителя отчетов
По умолчанию построитель отчетов включен. Администраторы сервера отчетов могут отключить построитель отчетов, присвоив системному свойству сервера отчетов EnableReportDesignClientDownload значение false. Это отключит загрузку построителя отчетов для этого сервера отчетов.
Системные свойства сервера отчетов можно задать с помощью среды Management Studio или скрипта.
Чтобы использовать среду Management Studio, подключитесь к серверу отчетов и используйте страницу «Дополнительные свойства сервера», чтобы назначить параметру EnableReportDesignClientDownload значение false. Дополнительные сведения о том, как открыть эту страницу, см. в разделе Установка свойств сервера отчетов (среда Management Studio).
Образец скрипта, который настраивает свойство сервера отчетов, см. в разделе Написание сценариев для задач развертывания и администрирования.
Назначения ролей предоставляют построителю отчетов доступ к серверу отчетов, работающему в собственном режиме
В собственном режиме работы сервера отчетов создайте назначения ролей, включающие задачи для использования построителя отчетов. Необходимо быть диспетчером содержимого или системным администратором, чтобы создать или изменить определения ролей или назначения ролей на уровне элемента или уровне сайта.
Следующие инструкции предполагают, что используются стандартные роли. Если изменяются определения ролей или если выполнено обновление с SQL Server 2000, проверьте роли, чтобы убедиться, что они содержат необходимые задачи. Дополнительные сведения о создании назначений ролей см. в разделе Предоставление пользователям доступа к серверу отчетов (диспетчер отчетов).
После создания назначений ролей пользователи будут иметь разрешения для следующих действий.
Пользователи, которым назначены роли «Системный пользователь» и «Браузер», могут просматривать опубликованные отчеты построителя отчетов на сервере отчетов, не запуская построитель отчетов.
Пользователи, которым назначены роли «Системный пользователь» и «Построитель отчетов», могут создавать модели, запускать построитель отчетов и создавать отчеты, а также сохранять отчеты на сервере отчетов.
Пользователи, которым назначены роли «Системный пользователь» и «Издатель», могут публиковать модели из конструктора моделей на сервере отчетов. Модели используются в построителе отчетов как источники данных.
Пользователи, которым назначены роли «Системный администратор» и «Диспетчер содержимого», имеют полные разрешения для создания и просмотра отчетов построителя отчетов, а также управления ими.
Проверка, что необходимые задачи находятся в определениях ролей
Откройте среду Management Studio и подключитесь к серверу отчетов.
Откройте папку Безопасность.
Откройте папку Системные роли.
Щелкните правой кнопкой мыши узел Системный администратор и выберите пункт Свойства.
Выберите Выполнение определений отчетов и нажмите кнопку ОК.
Щелкните правой кнопкой мыши узел Системный пользователь и выберите пункт Свойства.
Выберите Выполнение определений отчетов и нажмите кнопку ОК.
Откройте папку Роли.
Щелкните правой кнопкой мыши элемент Браузер и выберите пункт Свойства.
Выберите Просмотр моделей, затем нажмите кнопку ОК.
Щелкните правой кнопкой мыши Диспетчер содержимого и выберите пункт Свойства.
Выберите Просмотр моделей, Управление моделями, Использование отчетов, затем нажмите кнопку ОК.
Щелкните правой кнопкой мыши Издатель и выберите пункт Свойства.
Выберите Управление моделями, затем нажмите кнопку ОК.
Создайте роль построителя отчетов, если она не существует.
Откройте папку Безопасность.
Щелкните правой кнопкой мыши Роли и выберите пункт Создать роль.
В поле «Имя» введите Построитель отчетов.
В поле «Описание» введите описание для роли, чтобы пользователи в диспетчере отчетов знали, для чего предназначена роль.
Добавьте следующие задачи: Использование отчетов, Просмотр отчетов, Просмотр моделей, Просмотр ресурсов, Просмотр папок и Управление отдельными подписками.
Нажмите кнопку ОК, чтобы сохранить роль.
Создание назначений ролей, предоставляющих доступ к построителю отчетов
Запустите диспетчер отчетов.
Щелкните элемент Настройки сайта.
Перейдите на вкладку Безопасность.
Если для пользователя или группы, для которых нужно настроить доступ к построителю отчетов, уже существует назначение ролей, нажмите кнопку Изменить.
В противном случае нажмите кнопку Создать назначение ролей. В поле «Группа или пользователь» введите учетную запись пользователя или группы домена Windows в следующем формате: <домен>\<учетная_запись>. Если используется проверка подлинности с помощью форм или пользовательский модуль безопасности, задайте учетную запись пользователя или группы в формате, допустимом для развертывания.
Выберите Системный пользователь, а затем нажмите ОК.
Нажмите кнопку Корневая папка.
Перейдите на вкладку Параметры папки.
Перейдите на вкладку Безопасность.
Если для пользователя или группы, для которых нужно настроить доступ к построителю отчетов, уже существует назначение ролей, нажмите кнопку Изменить.
В противном случае нажмите кнопку Создать назначение ролей. В поле «Группа или пользователь» введите учетную запись пользователя или группы домена Windows в следующем формате: <домен>\<учетная_запись>. Если используется проверка подлинности с помощью форм или пользовательский модуль безопасности, задайте учетную запись пользователя или группы в формате, допустимом для развертывания.
Выберите Построитель отчетов, а затем нажмите кнопку Применить.
Создайте или измените назначения ролей для остальных пользователей или групп.
Разрешения, предоставляющие построителю отчетов доступ к серверу отчетов, работающему в режиме интеграции с SharePoint
На сервере отчетов в режиме интеграции с SharePoint доступ к построителю отчетов предоставляется пользователям SharePoint, которые имеют разрешения уровней «Полный доступ» или «Участие».
Если используются пользовательские уровни разрешений, необходимо включить в уровень разрешений «Добавление элементов» и «Изменение элементов». Дополнительные сведения о доступе к построителю отчетов с помощью встроенных уровней разрешений см. в разделе Использование встроенных средств безопасности служб Windows SharePoint Services при работе с элементами сервера отчетов. Дополнительные сведения о требованиях к пользовательским уровням разрешений см. в разделе Задание разрешений для работы сервера отчетов в веб-приложении SharePoint.
Анализ проверки подлинности и повторное использование учетных данных
Построитель отчетов использует технологию ClickOnce, чтобы загрузить и установить свои файлы приложения на клиентский компьютер. Технология ClickOnce предназначена для одностороннего развертывания приложения, в ходе которого программные файлы размещаются на клиентском компьютере, а приложение запускается как отдельный процесс с удостоверением пользователя по умолчанию. Поскольку построитель отчетов должен повторно подключиться к серверу отчетов, чтобы получить файлы приложения и данные сервера отчетов, важно понимать, как приложение ClickOnce устанавливает контекст безопасности и формирует запросы к удаленным компьютерам в различных сценариях.
Приложение ClickOnce всегда выполняется как отдельный процесс на клиентском компьютере. Удостоверение процесса представляет собой учетные данные по умолчанию пользователя Windows. Приложение ClickOnce не использует данные сеанса совместно с Internet Explorer и не получает контекст безопасности текущего пользователя из Internet Explorer.
Приложение ClickOnce отправляет запросы, которые задают встроенную безопасность Windows в заголовке проверки подлинности. Если сервер настроен для другого типа проверки подлинности, то запросы к серверу от приложения ClickOnce будут обработаны с ошибкой при проверке подлинности. Чтобы обойти эту проблему, необходимо настроить сервер для использования встроенной безопасности Windows или включить анонимный доступ, чтобы отменить проверку подлинности.
Построитель отчетов открывает собственное соединение с сервером отчетов. Если не используется встроенная безопасность Windows с единым входом, пользователи должны повторно ввести учетные данные для соединения построителя отчетов с сервером отчетов.
В следующей таблице описаны типы проверки подлинности, поддерживаемые сервером отчетов, и указано, требуется ли дополнительная настройка для доступа к построителю отчетов.
Тип проверки подлинности сервера отчетов |
Реакция средства запуска построителя отчетов и приложения ClickOnce |
---|---|
Negotiate (по умолчанию) NTLM (по умолчанию) |
При использовании встроенной безопасности Windows проверенные запросы приложений ClickOnce и построителя отчетов обычно выполняются успешно, если клиент и сервер развернуты в одном домене, пользователь вошел в систему на клиентском компьютере с помощью учетной записи домена с разрешением на доступ к построителю отчетов, а сервер отчетов настроен для использования проверки подлинности Windows. Запросы обрабатываются успешно, так как приложение ClickOnce и соединение браузера с сервером отчетов имеют одинаковое удостоверение пользователя. Обработка запросов завершится неудачно, если пользователь открыл обозреватель Internet Explorer с помощью параметра «Запуск от имени» и указал учетные данные, отличные от учетных данных по умолчанию. Если сеанс пользователя на сервере отчетов установлен под определенной учетной записью, а приложение ClickOnce выполняется под другой учетной записью, сервер отчетов откажет в доступе к файлам. |
Kerberos |
Обозреватель Internet Explorer, необходимый для использования построителя отчетов, не поддерживает протокол Kerberos напрямую. |
Обычная проверка подлинности |
Технология ClickOnce не поддерживает обычную проверку подлинности. Не формируются запросы, которые задают обычную проверку подлинности в заголовке проверки подлинности. Учетные данные не передаются и запрашиваются у пользователя. Эти проблемы можно обойти, включив анонимный доступ к файлам приложения построителя отчетов. Запросы будут обработаны успешно, если включен анонимный доступ к файлам приложения построителя отчетов, так как сервер отчетов не учитывает заголовок проверки подлинности. Дополнительные сведения о способах включения анонимного доступа к построителю отчетов см. в разделе Настройка обычной проверки подлинности на сервере отчетов. Приложение ClickOnce получает файлы приложений, а затем построитель отчетов открывает отдельное соединение с сервером отчетов. Чтобы построитель отчетов мог соединиться с сервером отчетов, пользователь должен еще раз ввести свои учетные данные. Построитель отчетов не собирает учетные данные ни из обозревателя Internet Explorer, ни из приложения ClickOnce. Запросы завершатся неудачей, если сервер отчетов настроен для обычной проверки подлинности и не включен анонимный доступ к файлам программ построителя отчетов. Запрос завершается неудачей, так как приложение ClickOnce задает в запросах встроенную безопасность Windows. Если сервер отчетов настроен для обычной проверки подлинности, сервер отвергнет запрос, так как в нем указан недопустимый пакет безопасности и отсутствуют учетные данные, ожидаемые сервером отчетов. Кроме того, если сервер отчетов настроен на использование режима интеграции с SharePoint и сайт SharePoint использует обычную проверку подлинности, пользователи столкнутся с ошибкой 401 при попытке использовать ClickOnce для установки построитель отчетов на клиентских компьютерах. Это происходит, потому что SharePoint использует куки-файл, чтобы проверить подлинность пользователя в течение сеанса, но программа ClickOnce не поддерживает куки-файлы. Когда пользователь запускает приложение ClickOnce, такое как построитель отчетов, приложение не передает куки-файл в SharePoint; таким образом, SharePoint отказывает в доступе и возвращает ошибку 401. Можно обойти эту проблему, испытав один из следующих режимов.
|
Нестандартная |
Если сервер отчетов настроен на использование нестандартной проверки подлинности, на сервере отчетов включается анонимный доступ, а запросы принимаются без проверки подлинности. Приложение ClickOnce получает файлы приложений, а затем построитель отчетов открывает отдельное соединение с сервером отчетов. Чтобы построитель отчетов мог соединиться с сервером отчетов, пользователь должен еще раз ввести свои учетные данные. Построитель отчетов не производит сбор учетных данных ни из Internet Explorer, ни из ClickOnce. |
См. также
Задания
Запуск построителя отчетов (построитель отчетов)
Подключение к серверу отчетов в среде Management Studio
Справочник
Системные свойства сервера отчетов
Основные понятия
Проверка подлинности с использованием сервера отчетов
Планирование служб Reporting Services и поддержки Power View в браузерах