レポート ビルダーへのアクセスの構成

レポート ビルダーは、ネイティブ モードまたは SharePoint 統合モード用に構成される SQL Server Reporting Services レポート サーバーに付属しているカスタム レポート ツールです。

レポート ビルダーへのアクセスは、次の要素により決定されます。

  • レポート サーバーでレポート ビルダーを使用できるかどうかを指定するサーバー プロパティ。

  • 個々のユーザーやグループがレポート ビルダーを使用できるようにするためのロール割り当てまたは権限。

  • ユーザーの資格情報をレポート サーバーに渡せるか、アプリケーション ファイルで匿名アクセスを構成するかを指定する認証設定。

レポート ビルダーを使用するには、作業するためのパブリッシュされたレポート モデルが必要です。

必要条件

レポート ビルダーは、Microsoft SQL Server のすべてのエディションで使用できるわけではありません。 SQL Server の各エディションでサポートされる機能の一覧については、「SQL Server 2012 の各エディションがサポートする機能」を参照してください。

クライアント コンピューターには、Microsoft .NET Framework 2.0 がインストールされている必要があります。 .NET Framework は、ClickOnce アプリケーションを実行するためのインフラストラクチャを提供します。

Microsoft Internet Explorer 6.0 以降を使用する必要があります。

レポート ビルダーは、常に完全信頼モードで実行されます。部分信頼モードで実行されるように構成することはできません。 以前のリリースでは、レポート ビルダーを部分信頼モードで実行できましたが、SQL Server 2008 以降のバージョンではこのオプションはサポートされていません。

レポート ビルダーの有効化と無効化

レポート ビルダーは既定で有効になっています。 レポート サーバー管理者は、レポート サーバー システム プロパティ EnableReportDesignClientDownload を false に設定することによって、レポート ビルダー機能を無効にすることができます。 このプロパティを設定すると、そのレポート サーバーでレポート ビルダーのダウンロードが無効になります。

レポート サーバーのシステム プロパティを設定するには、Management Studio またはスクリプトを使用します。

ネイティブ モードのレポート サーバーにおけるレポート ビルダーへのアクセスを許可するロールの割り当て

ネイティブ モードのレポート サーバーでは、レポート ビルダーを使用するためのタスクを含むユーザー ロールの割り当てを作成します。 アイテムおよびサイト レベルでのロールの定義およびロールの割り当てを作成または変更できるのは、コンテンツ マネージャーとシステム管理者だけです。

次に示す手順では、定義済みロールを使用しているものとします。 ロールの定義を変更した場合や SQL Server 2000 からアップグレードした場合は、ロールに必要なタスクが含まれていることを確認してください。 ロールの割り当ての作成の詳細については、「レポート サーバーへのユーザー アクセスを許可する (レポート マネージャー)」を参照してください。

ロールの割り当てを作成すると、次の操作を行う権限がユーザーに許可されます。

  • システム ユーザー ロールおよび閲覧者ロールに割り当てられたユーザーは、レポート ビルダーを起動せずに、レポート サーバーでパブリッシュされたレポート ビルダーのレポートを表示できます。

  • システム ユーザー ロールおよびレポート ビルダー ロールに割り当てられたユーザーは、モデルを生成したり、レポート ビルダーを起動してレポートを作成したり、レポートをレポート サーバーに保存したりすることができます。

  • システム ユーザー ロールおよびパブリッシャー ロールに割り当てられたユーザーは、モデル デザイナーからレポート サーバーにモデルをパブリッシュできます。 モデルは、レポート ビルダーではデータ ソースとして使用されます。

  • システム管理者ロールおよびコンテンツ マネージャー ロールに割り当てられたユーザーは、レポート ビルダーのレポートを作成、表示、および管理するための完全な権限を持ちます。

必要なタスクがロールの定義に含まれていることを確認するには

  1. Management Studio を開いてレポート サーバーに接続します。

  2. [セキュリティ] フォルダーを開きます。

  3. [システム ロール] フォルダーを開きます。

  4. [システム管理者] を右クリックし、[プロパティ] をクリックします。

  5. [レポート定義の実行] を選択し、[OK] をクリックします。

  6. [システム ユーザー] を右クリックし、[プロパティ] をクリックします。

  7. [レポート定義の実行] を選択し、[OK] をクリックします。

  8. [ロール] フォルダーを開きます。

  9. [ブラウザー] を右クリックし、[プロパティ] をクリックします。

  10. [モデルの表示] を選択し、[OK] をクリックします。

  11. [コンテンツ マネージャー] を右クリックし、[プロパティ] をクリックします。

  12. [モデルの表示][モデルの管理]、および [レポートの使用] を選択し、[OK] をクリックします。

  13. [パブリッシャー] を右クリックし、[プロパティ] をクリックします。

  14. [モデルの管理] を選択し、[OK] をクリックします。

  15. レポート ビルダー ロールが存在しない場合は作成します。

    1. [セキュリティ] フォルダーを開きます。

    2. [ロール] を右クリックし、[新しいロール] をクリックします。

    3. [名前] に「レポート ビルダー」と入力します。

    4. [説明] に、レポート マネージャーのユーザーがロールの目的を把握できるようにするためのロールの説明を入力します。

    5. [レポートの使用][レポートの表示][モデルの表示][リソースの表示][フォルダーの表示][個別のサブスクリプションを管理] の各タスクを追加します。

    6. [OK] をクリックして、ロールを保存します。

レポート ビルダーへのアクセスを許可するロールの割り当てを作成するには

  1. レポート マネージャーを起動します。

  2. [サイトの設定] をクリックします。

  3. [セキュリティ] をクリックします。

  4. レポート ビルダーへのアクセスを構成するユーザーまたはグループのロールの割り当てが既に存在する場合は、[編集] をクリックします。

    存在しない場合は、[新しいロールの割り当て] をクリックします。 [グループまたはユーザー] で、Windows ドメインのユーザー アカウントまたはグループ アカウントを <ドメイン>\<アカウント> の形式で入力します。 フォーム認証やカスタム セキュリティを使用している場合は、その環境に合った適切な形式でユーザー アカウントまたはグループ アカウントを指定します。

  5. [システム ユーザー] を選択し、[OK] をクリックします。

  6. [ホーム] をクリックします。

  7. [フォルダー設定] タブをクリックします。

  8. [セキュリティ] タブをクリックします。

  9. レポート ビルダーへのアクセスを構成するユーザーまたはグループのロールの割り当てが既に存在する場合は、[編集] をクリックします。

    存在しない場合は、[新しいロールの割り当て] をクリックします。 [グループまたはユーザー] で、Windows ドメインのユーザー アカウントまたはグループ アカウントを <ドメイン>\<アカウント> の形式で入力します。 フォーム認証やカスタム セキュリティを使用している場合は、その環境に合った適切な形式でユーザー アカウントまたはグループ アカウントを指定します。

  10. [レポート ビルダー] を選択し、[適用] をクリックします。

  11. ロールの割り当てを作成または変更するユーザーまたはグループが他にもある場合は、以上の手順を繰り返します。

SharePoint 統合モードのレポート サーバーにおけるレポート ビルダーへのアクセスを許可する権限

SharePoint 統合モードのレポート サーバーでは、レポート ビルダーへのアクセスは、投稿またはフル コントロールの権限レベルの SharePoint ユーザーに許可されます。

カスタム権限レベルを使用する場合は、権限レベルにアイテムの追加とアイテムの編集を含める必要があります。 組み込みの権限レベルによるレポート ビルダーへのアクセスの詳細については、「レポート サーバー アイテムに対して Windows SharePoint Services の組み込みのセキュリティを使用する」を参照してください。 カスタム権限レベルの要件の詳細については、「SharePoint Web アプリケーションのレポート サーバー操作に対する権限を設定する」を参照してください。

認証に関する注意点と資格情報の再利用

レポート ビルダーは、ClickOnce テクノロジを使用して、アプリケーション ファイルをクライアント コンピューターにダウンロードおよびインストールします。 ClickOnce テクノロジは、プログラム ファイルをクライアント コンピューターに配置し、アプリケーションを個別のプロセスとして既定のユーザーの ID で実行する一方向のアプリケーションの配置に使用されます。 アプリケーション ファイルおよびレポート サーバー データを取得するには、レポート ビルダーはレポート サーバーに接続し直す必要があるので、さまざまなシナリオにおける ClickOnce によるセキュリティ コンテキストの設定方法およびリモート コンピューターへの要求の発行方法について理解しておくことが重要です。

  • ClickOnce は常に、個別のプロセスとしてクライアント コンピューターで実行されます。 プロセス ID は、既定の Windows ユーザー資格情報です。 ClickOnce では、Internet Explorer とセッション データを共有したり、Internet Explorer から現在のユーザーのセキュリティ コンテキストを取得したりすることはありません。

  • ClickOnce は、認証ヘッダーで Windows 統合セキュリティを指定する要求を送信します。 サーバーが別の種類の認証用に構成されている場合、サーバーは ClickOnce からの要求に失敗し、認証エラーとなります。 この問題を回避するには、サーバーを Windows 統合セキュリティ用に構成するか、匿名アクセスを有効にして認証チェックを省略する必要があります。

  • レポート ビルダーは、レポート サーバーに対する専用の接続を確立します。 シングル サインオンを有効にした Windows 統合セキュリティを使用していない場合、ユーザーは、レポート ビルダーからレポート サーバーに接続するために資格情報を再入力する必要があります。

次の表に、レポート サーバーでサポートされている認証の種類、およびレポート ビルダーへのアクセスに追加の構成が必要かどうかを示します。

レポート サーバーの認証の種類

レポート ビルダーと ClickOnce アプリケーション ランチャーの応答方法

ネゴシエート (既定)

NTLM (既定)

Windows 統合セキュリティでは、クライアントとサーバーが同じドメインに配置されており、ユーザーがレポート ビルダーへのアクセス権を持つドメイン アカウントを使用してクライアント コンピューターにログインしており、レポート サーバーが Windows 認証用に構成されている場合は、通常、ClickOnce とレポート ビルダーからの認証済み要求は成功します。

ClickOnce とブラウザーのレポート サーバーへの接続では同じユーザー ID が使用されるので、要求は成功します。

ユーザーが [実行するアカウント名] で Internet Explorer を開き、既定以外の資格情報を指定した場合、要求は失敗します。 レポート サーバー上のユーザー セッションが特定のアカウントで確立されている場合、ClickOnce を別のアカウントで実行すると、レポート サーバーによってファイルへのアクセスが拒否されます。

Kerberos

レポート ビルダーを使用するために必要な Internet Explorer では、Kerberos は直接サポートされていません。

基本認証

ClickOnce では基本認証はサポートされていません。 認証ヘッダーで基本認証を指定する要求は作成されません。 資格情報を渡したりユーザーに資格情報の入力を求めたりすることもありません。 これらの問題を回避するには、レポート ビルダーのアプリケーション ファイルへの匿名アクセスを有効にします。

レポート ビルダーのアプリケーション ファイルへの匿名アクセスを有効にすると、レポート サーバーで認証ヘッダーが無視されるので、要求は成功します。 レポート ビルダーへの匿名アクセスを有効にする方法の詳細については、「レポート サーバーで基本認証を構成する」を参照してください。

ClickOnce がアプリケーション ファイルを取得すると、レポート ビルダーによってレポート サーバーへの個別の接続が開かれます。 ユーザーは、レポート ビルダーからレポート サーバーに接続するために、資格情報を再入力する必要があります。 レポート ビルダーは、Internet Explorer または ClickOnce から資格情報を収集しません。

レポート サーバーが基本認証用に構成されている場合、レポート ビルダーのプログラム ファイルへの匿名アクセスを有効にしないと、要求は失敗します。 ClickOnce は要求で Windows 統合セキュリティを指定するので、要求は失敗します。 レポート サーバーを基本認証用に構成すると、無効なセキュリティ パッケージが指定されること、およびレポート サーバーが想定する資格情報がないことが原因で、サーバーによって要求が拒否されます。

また、SharePoint 統合モードを使用するようにレポート サーバーが構成されている場合に SharePoint サイトで基本認証を使用すると、ClickOnce を使用してレポート ビルダーをクライアント コンピューターにインストールしようとしたときに 401 エラーが発生します。 このような状況が発生するのは、SharePoint ではセッションが継続している間はクッキーを使用してユーザーを認証された状態に維持しておくのに対して、ClickOnce ではクッキーがサポートされないためです。 ユーザーがレポート ビルダーなどの ClickOnce アプリケーションを起動した場合、アプリケーションはクッキーを SharePoint に渡さないため、SharePoint ではアクセスが拒否され、401 エラーが返されます。

この問題を回避するには、次のいずれかの操作を実行します。

  • ユーザー資格情報を指定するときに [パスワードを保存する] オプションを選択します。

  • SharePoint サイト コレクションへの匿名アクセスを有効にします。

  • ユーザーが資格情報を指定しないように環境を構成します。 たとえば、イントラネット環境で、ワークグループに属するように SharePoint サーバーを構成してから、ローカル コンピューターでユーザー アカウントを作成します。

カスタム

カスタム認証を使用するようにレポート サーバーを構成すると、レポート サーバーで匿名アクセスが有効になり、認証チェックなしで要求が受け付けられます。

ClickOnce がアプリケーション ファイルを取得すると、レポート ビルダーによってレポート サーバーへの個別の接続が開かれます。 ユーザーは、レポート ビルダーからレポート サーバーに接続するために、資格情報を再入力する必要があります。 レポート ビルダーは、Internet Explorer または ClickOnce から資格情報を収集しません。

関連項目

タスク

レポート ビルダーの起動 (レポート ビルダー)

Management Studio でレポート サーバーに接続する

参照

レポート サーバーのシステム プロパティ

概念

レポート サーバーでの認証

Reporting Services と Power View のブラウザー サポートの計画

レポート マネージャー (SSRS)