Konfigurieren des Berichts-Generator-Zugriffs
Report Builder ist ein Ad-hoc-Berichterstellungstool, das mit einem SQL Server Reporting Services Berichtsserver installiert wird, der entweder für den einheitlichen Modus oder den SharePoint-Integrationsmodus konfiguriert ist.
Der Zugriff auf den Berichts-Generator ist von den folgenden Faktoren abhängig:
Servereigenschaften, mit denen bestimmt wird, ob der Berichts-Generator auf dem Berichtsserver verfügbar ist.
Rollenzuweisungen oder Berechtigungen, mit denen der Berichts-Generator einzelnen Benutzern oder Gruppen zur Verfügung gestellt wird.
Authentifizierungseinstellungen, die bestimmten, ob Benutzeranmeldeinformationen an den Berichtsserver weitergegeben werden können oder anonymer Zugriff für die Anwendungsdateien konfiguriert wird.
Es muss ein veröffentlichtes Berichtsmodell vorliegen, das bearbeitet werden kann, um den Berichts-Generator verwenden zu können.
Voraussetzungen
Report Builder ist nicht in jeder Edition von MicrosoftSQL Server verfügbar. Eine Liste der Features, die von den Editionen von SQL Server unterstützt werden, finden Sie unter Von den Editionen von SQL Server 2014 unterstützte Features.
Auf dem Clientcomputer muss microsoft .NET Framework 2.0 installiert sein. Die .NET Framework stellt die Infrastruktur für die Ausführung von ClickOnce-Anwendungen bereit.
Sie müssen Microsoft Internet Explorer 6.0 oder höher verwenden.
Der Berichts-Generator wird immer im Modus für volle Vertrauenswürdigkeit ausgeführt; Sie können ihn nicht so konfigurieren, dass er im Modus für teilweise Vertrauenswürdigkeit ausgeführt wird. In früheren Versionen war es möglich, Report Builder teilweise vertrauenswürdig auszuführen, aber diese Option wird in SQL Server 2008 und höheren Versionen nicht unterstützt.
Aktivieren und Deaktivieren des Berichts-Generators
Der Berichts-Generator ist in der Standardeinstellung aktiviert. Die Berichtsserveradministratoren können den Berichts-Generator deaktivieren, indem sie die Berichtsserver-Systemeigenschaft EnableReportDesignClientDownload auf false festlegen. Durch Festlegen dieser Eigenschaft werden Downloads des Berichts-Generators für diesen Berichtsserver deaktiviert.
Zum Festlegen der Berichtsserver-Systemeigenschaften können Sie Management Studio oder ein Skript verwenden:
Wenn Sie Management Studio verwenden möchten, stellen Sie eine Verbindung mit dem Berichtsserver her und legen auf der Seite mit den erweiterten Servereigenschaften die Eigenschaft
EnableReportDesignClientDownloadauffalsefest. Weitere Informationen zum Öffnen dieser Seite finden Sie unter Festlegen von Berichtsservereigenschaften (Management Studio).Ein Beispielskript, das eine Berichtsservereigenschaft festlegt, finden Sie unter Skripts für Bereitstellungs- und Verwaltungsaufgaben.
Rollenzuweisungen, die auf einem Berichtsserver im einheitlichen Modus Zugriff auf den Berichts-Generator gewähren
Erstellen Sie auf einem Berichtsserver im einheitlichen Modus Benutzerrollenzuweisungen, die Tasks zum Verwenden des Berichts-Generators einschließen. Sie müssen Inhalts-Manager und Systemadministrator sein, um Rollendefinitionen und Rollenzuweisungen auf der Element- und Websiteebene erstellen oder ändern zu können.
Die folgenden Anweisungen gehen davon aus, dass Sie vordefinierte Rollen verwenden. Wenn Sie die Rollendefinitionen abgeändert oder von SQL Server 2000 aktualisiert haben, überprüfen Sie die Rollen, um sicherzustellen, dass sie die erforderlichen Tasks enthalten. Weitere Informationen zum Erstellen von Rollenzuweisungen finden Sie unter Gewähren des Benutzerzugriffs auf einen Berichtsserver (Berichts-Manager).
Nachdem Sie die Rollenzuweisungen erstellt haben, sind die Benutzer zu Folgendem berechtigt:
Benutzer, denen die Rollen Systembenutzer und Browser zugewiesen wurden, können veröffentlichte Berichts-Generator-Berichte auf einem Berichtsserver anzeigen, ohne den Berichts-Generator starten zu müssen.
Benutzer, denen die Rollen Systembenutzer und Berichts-Generator zugewiesen wurden, können Modelle erzeugen, den Berichts-Generator starten und Berichte erstellen sowie Berichte auf dem Berichtsserver speichern.
Benutzer, denen die Rollen Systembenutzer und Verleger zugewiesen wurden, können Modelle aus dem Modell-Designer auf dem Berichtsserver veröffentlichen. Modelle werden im Berichts-Generator als Datenquellen verwendet.
Benutzer, denen die Rollen Systemadministrator und Inhalts-Manager zugewiesen wurden, verfügen über sämtliche Berechtigungen zum Erstellen, Anzeigen und Verwalten von Berichts-Generator-Berichten.
So überprüfen Sie, ob die Rollendefinitionen die erforderlichen Tasks enthalten
Starten Sie Management Studio, und stellen Sie eine Verbindung mit dem Berichtsserver her.
Öffnen Sie den Ordner Sicherheit .
Öffnen Sie den Ordner Systemrollen .
Klicken Sie mit der rechten Maustaste auf Systemadministrator, und wählen Sie Eigenschaftenaus.
Wählen Sie Berichtsdefinitionen ausführen aus, und klicken Sie auf OK.
Klicken Sie mit der rechten Maustaste auf Systembenutzer, und wählen Sie Eigenschaftenaus.
Wählen Sie Berichtsdefinitionen ausführen aus, und klicken Sie auf OK.
Öffnen Sie den Ordner Rollen .
Klicken Sie mit der rechten Maustaste auf Browser, und wählen Sie Eigenschaftenaus.
Wählen Sie Modelle anzeigen aus, und klicken Sie auf OK.
Klicken Sie mit der rechten Maustaste auf Inhalts-Manager, und wählen Sie Eigenschaftenaus.
Wählen Sie Modelle anzeigen, Modelle verwaltenund Berichte lesenaus, und klicken Sie auf OK.
Klicken Sie mit der rechten Maustaste auf Verleger, und wählen Sie Eigenschaftenaus.
Wählen Sie Modelle verwalten aus, und klicken Sie auf OK.
Erstellen Sie die Berichts-Generator-Rolle, wenn sie nicht vorhanden ist:
Öffnen Sie den Ordner Sicherheit .
Klicken Sie mit der rechten Maustaste auf Rollen, und wählen Sie Neue Rolleaus.
Geben Sie im Feld Name den Namen Berichts-Generatorein.
Geben Sie im Feld Beschreibung eine Rollenbeschreibung ein, damit die Benutzer im Berichts-Manager wissen, wozu ihre Rolle dient.
Fügen Sie die folgenden Aufgaben hinzu: Berichte lesen, Berichte anzeigen, Modelle anzeigen, Ressourcen anzeigen, Ordner anzeigen und Einzelne Abonnements verwalten.
Klicken Sie auf OK , um die Rolle zu speichern.
So erstellen Sie Rollenzuweisungen, die Zugriff auf den Berichts-Generator gewähren
Starten Sie den Berichts-Manager.
Klicken Sie auf Siteeinstellungen.
Klicken Sie auf Sicherheit.
Wenn für den Benutzer oder die Gruppe, für den bzw. die Sie den Zugriff auf den Berichts-Generator konfigurieren möchten, klicken Sie auf Bearbeiten.
Andernfalls klicken Sie auf Neue Rollenzuweisung. Geben Sie unter „Gruppe oder Benutzer“ ein Windows-Domänenbenutzer- oder -Gruppenkonto im folgenden Format ein: <Domäne>\<Konto>. Wenn Sie die Formularauthentifizierung oder die benutzerdefinierte Sicherheit verwenden, geben Sie das Benutzer- oder Gruppenkonto in dem für Ihre Bereitstellung richtigen Format an.
Wählen Sie Systembenutzeraus, und klicken Sie dann auf OK.
Klicken Sie auf Startseite.
Klicken Sie auf die Registerkarte Ordnereinstellungen .
Klicken Sie auf die Registerkarte Sicherheit .
Wenn für den Benutzer oder die Gruppe, für den bzw. die Sie den Zugriff auf den Berichts-Generator konfigurieren möchten, klicken Sie auf Bearbeiten.
Andernfalls klicken Sie auf Neue Rollenzuweisung. Geben Sie unter „Gruppe oder Benutzer“ ein Windows-Domänenbenutzer- oder -Gruppenkonto im folgenden Format ein: <Domäne>\<Konto>. Wenn Sie die Formularauthentifizierung oder die benutzerdefinierte Sicherheit verwenden, geben Sie das Benutzer- oder Gruppenkonto in dem für Ihre Bereitstellung richtigen Format an.
Wählen Sie Berichts-Generatoraus, und klicken Sie dann auf Anwenden.
Wiederholen Sie den Vorgang, um Rollenzuweisungen für weitere Benutzer oder Gruppen zu erstellen oder ändern.
Berechtigungen, die auf einem Berichtsserver im integrierten SharePoint-Modus Zugriff auf den Berichts-Generator gewähren
Auf einem Berichtsserver im integrierten SharePoint-Modus wird SharePoint-Benutzern, die über die Berechtigungsstufen Teilnehmen oder Vollzugriff verfügen, Zugriff auf den Berichts-Generator gewährt.
Wenn Sie benutzerdefinierte Berechtigungsstufen verwenden, müssen Sie Elemente hinzufügen und Elemente bearbeiten in die Berechtigungsstufe aufnehmen. Weitere Informationen zum Zugriff auf den Berichts-Generator über integrierte Berechtigungsstufen finden Sie unter Verwenden der integrierten Sicherheit in Windows SharePoint Services für Berichtsserverelemente. Weitere Informationen zu Berechtigungsanforderungen für benutzerdefinierte Berechtigungsstufen finden Sie unter Festlegen von Berechtigungen für Berichtsservervorgänge in einer SharePoint-Webanwendung.
Authentifizierungsüberlegungen und Wiederverwendung von Anmeldeinformationen
Der Berichts-Generator verwendet ClickOnce-Technologie, um seine Anwendungsdateien auf einen Clientcomputer herunterzuladen und dort zu installieren. Die ClickOnce-Technologie ist für die unidirektionale Anwendungsbereitstellung vorgesehen, bei der Programmdateien auf einem Clientcomputer platziert werden und die Anwendung als separater Prozess unter der Identität des Standardbenutzers ausgeführt wird. Weil der Berichts-Generator eine Verbindung mit dem Berichtsserver herstellen muss, um Anwendungsdateien und Berichtsserverdaten abzurufen, ist es wichtig, zu verstehen wie die ClickOnce-Technologie den Sicherheitskontext festlegt und in verschiedenen Szenarien Anforderungen an Remotecomputer ausgibt:
ClickOnce wird immer als separater Prozess auf dem Clientcomputer ausgeführt. Die Prozessidentität entspricht den Standard-Windows-Benutzeranmeldeinformationen. ClickOnce nutzt weder die Sitzungsdaten mit Internet Explorer gemeinsam noch bezieht ClickOnce den Benutzersicherheitskontext von Internet Explorer.
ClickOnce sendet Anforderungen, deren Authentifizierungsheader die integrierte Sicherheit von Windows angeben. Wenn ein Server für einen anderen Authentifizierungstyp konfiguriert wurde, reagiert dieser Server mit einem Authentifizierungsfehler auf Anforderungen von ClickOnce. Um dieses Problem zu umgehen, müssen Sie entweder einen Server für die integrierte Sicherheit von Windows konfigurieren, oder Sie müssen anonyme Zugriffe zulassen, damit die Authentifizierungsprüfung entfällt.
Der Berichts-Generator stellt eine eigene Verbindung mit einem Berichtsserver her. Wenn Sie nicht die integrierte Sicherheit von Windows mit einmaliger Anmeldung verwenden, müssen die Benutzer die Anmeldeinformationen für die Verbindung zwischen Berichts-Generator und Berichtsserver erneut eingeben.
In der folgenden Tabelle werden die vom Berichtsserver unterstützten Authentifizierungstypen beschrieben, und es wird angegeben, ob zusätzliche Konfigurationsschritte für den Zugriff auf den Berichts-Generator erforderlich sind.
| Authentifizierungstyp des Berichtsservers | Reaktion von Berichts-Generator und ClickOnce-Anwendungsstartprogramm |
|---|---|
| Negotiate (Standard) NTLM (Standard) |
Bei Verwendung der integrierten Sicherheit von Windows sind authentifizierte Anforderungen von ClickOnce und Berichts-Generator in der Regel erfolgreich, wenn Client und Server in der gleichen Domäne bereitgestellt wurden, wenn der Benutzer sich beim Clientcomputer unter einem Domänenkonto angemeldet hat, das zum Zugriff auf den Berichts-Generator berechtigt ist, und wenn der Berichtsserver für die Windows-Authentifizierung konfiguriert wurde. Die Anforderungen sind erfolgreich, da ClickOnce und die Browserverbindung mit dem Berichtsserver über die gleiche Benutzeridentität verfügen. Anforderungen schlagen fehl, wenn der Benutzer Internet Explorer mit der Option Ausführen als geöffnet und keine Standardanmeldeinformationen angegeben hat. Falls die Benutzersitzung auf dem Berichtsserver unter einem bestimmten Konto eingerichtet und ClickOnce unter einem anderen Konto ausgeführt wird, dann verweigert der Berichtsserver den Zugriff auf die Dateien. |
| Kerberos | Internet Explorer, der für den Einsatz des Berichts-Generators erforderlich ist, unterstützt Kerberos nicht direkt. |
| Standardauthentifizierung | ClickOnce unterstützt die Standardauthentifizierung nicht. Es werden keine Anforderungen formuliert, die die Standardauthentifizierung im Authentifizierungsheader angeben. Es werden keine Anmeldeinformationen übergeben oder Benutzer zur Angabe von Anmeldeinformationen aufgefordert. Sie können diese Probleme umgehen, indem Sie den anonymen Zugriff auf die Anwendungsdateien des Berichts-Generators aktivieren. Anforderungen sind erfolgreich, wenn Sie anonyme Zugriffe auf die Anwendungsdateien des Berichts-Generators zulassen, weil der Berichtsserver den Authentifizierungsheader ignoriert. Weitere Informationen zum Aktivieren des anonymen Zugriffs auf den Berichts-Generator finden Sie unter Konfigurieren der Standardauthentifizierung auf dem Berichtsserver. Nachdem ClickOnce die Anwendungsdateien abgerufen hat, öffnet der Berichts-Generator eine separate Verbindung mit einem Berichtsserver. Die Benutzer müssen ihre Anmeldeinformationen erneut eingeben, damit die Verbindung zwischen Berichts-Generator und Berichtsserver hergestellt werden kann. Der Berichts-Generator erfasst keine Anmeldeinformationen von Internet Explorer oder ClickOnce. Anforderungen schlagen fehl, wenn der Berichtsserver für die Standardauthentifizierung konfiguriert wurde und der anonyme Zugriff auf die Programmdateien des Berichts-Generators nicht aktiviert wurde. Die Anforderung schlägt fehl, da in ClickOnce-Anforderungen die integrierte Sicherheit von Windows angegeben wird. Wenn Sie einen Berichtsserver für die Standardauthentifizierung konfigurieren, weist der Server die Anforderung zurück, weil darin ein unzulässiges Sicherheitspaket angegeben wird und weil sie nicht die vom Server erwarteten Anmeldeinformationen enthält. Falls der Berichtsserver für die Verwendung von SharePoint im integrierten Modul konfiguriert ist und die SharePoint-Site die grundlegende Authentifizierung verwendet, erhalten Benutzer zudem die Fehlermeldung 401, wenn Sie versuchen, den Berichts-Generator mithilfe von ClickOnce auf ihren Clientcomputern zu installieren. Der Grund hierfür liegt darin, dass SharePoint ein Cookie verwendet, um eine Benutzerauthentifizierung für die Dauer der Sitzung beizubehalten, ClickOnce dieses Cookie jedoch nicht unterstützt. Wenn ein Benutzer eine ClickOnce-Anwendung wie den Berichts-Generator startet, leitet die Anwendung das Cookie nicht an SharePoint weiter, weshalb SharePoint den Zugriff verweigert und den Fehler 401 zurückgibt. Sie können dieses Problem umgehen, indem Sie eine der folgenden Optionen ausprobieren: Wählen Sie die Option Kennwort speichern aus, wenn Sie Ihre Benutzeranmeldeinformationen angeben. Aktivieren Sie den anonymen Zugriff auf die SharePoint-Websiteauflistung. Konfigurieren Sie die Umgebung, damit der Benutzer keine Anmeldeinformationen bereitstellen muss. Beispielsweise können Sie den SharePoint-Server in einer Intranetumgebung so konfigurieren, dass er Teil einer Arbeitsgruppe ist. Anschließend können Sie Benutzerkonten auf den lokalen Computern erstellen. |
| Benutzerdefiniert | Wenn Sie einen Berichtsserver für die Verwendung einer benutzerdefinierten Authentifizierung konfigurieren, wird der anonyme Zugriff auf dem Berichtsserver aktiviert, und die Anforderungen werden ohne Authentifizierungsprüfung akzeptiert. Nachdem ClickOnce die Anwendungsdateien abgerufen hat, öffnet der Berichts-Generator eine separate Verbindung mit einem Berichtsserver. Die Benutzer müssen ihre Anmeldeinformationen erneut eingeben, damit die Verbindung zwischen Berichts-Generator und Berichtsserver hergestellt werden kann. Der Berichts-Generator erfasst keine Anmeldeinformationen von Internet Explorer oder ClickOnce. |
Weitere Informationen
Authentication with the Report Server (Authentifizierung mit dem Berichtsserver)
Planen der Unterstützung für Reporting Services und Power View-Browser (Reporting Services 2014)
Starten des Berichts-Generators (Berichts-Generator)
Berichts-Manager (einheitlicher SSRS-Modus)
Connect to a Report Server in Management Studio (Vorgehensweise: Herstellen einer Verbindung mit einem Berichtsserver in Management Studio)
Berichtsserver-Systemeigenschaften