• Article

Planification des services, des comptes et des connexions

Reporting Services est une application serveur distribuée qui comprend plusieurs composants, certains d'entre eux pouvant être installés sur des ordinateurs différents. Dans le cadre de la planification d'un déploiement, vous devez déterminer comment les utilisateurs se connectent au serveur de rapports, comment le serveur de rapports se connecte à sa base de données interne et comment le serveur se connecte aux sources de données externes qui fournissent les données aux rapports. Vous devez aussi connaître les services, les comptes et les connexions qui doivent être configurés pendant ou après l'installation pour rendre un serveur de rapports disponible. Enfin, vous devez savoir quand des autorisations d'administrateur sont requises pour exécuter un outil ou effectuer une tâche.

Connexions utilisées dans un déploiement de Reporting Services

Au cours de la planification d'un déploiement de Reporting Services, vous devez configurer et gérer trois types de connexions. Vous devez d'abord déterminer comment les utilisateurs se connectent au serveur de rapports. Vous devez ensuite prendre en compte la manière dont le serveur de rapports se connecte à sa base de données. Enfin, vous devez réfléchir à la façon dont les auteurs de rapports et les gestionnaires de contenu vont définir les connexions aux sources de données externes qui fournissent les données aux rapports.

Le diagramme suivant illustre les connexions intervenant dans une installation en mode natif par défaut. Ce diagramme présente les types des connexions que vous devez définir ou gérer.

Connexions dans Reporting Services

Pour plus d'informations sur le mode intégré SharePoint, consultez Vue d'ensemble de la sécurité pour Reporting Services en mode intégré SharePoint.

Le tableau suivant fournit des informations détaillées sur chaque type de connexion.

Connexion

Description

1

L'utilisateur se connecte au serveur de rapports

Les utilisateurs et les applications se connectent à un serveur de rapports par l'intermédiaire de requêtes HTTP qui sont dirigées vers une URL réservée et inscrite pour une instance de serveur de rapports. Vous pouvez configurer des URL pour des connexions SSL de façon à ce que les utilisateurs accèdent au serveur de rapports sur un canal chiffré.

La requête est authentifiée par le service Web Report Server. Par défaut, les utilisateurs sont authentifiés au moyen de leurs informations d'identification de domaine et de la sécurité intégrée Windows mais vous pouvez aussi configurer un serveur de rapports afin d'utiliser l'authentification de base. Vous pouvez aussi créer et déployer une extension d'authentification personnalisée ou un module HTTP pour remplacer le type d'authentification Windows par défaut par l'authentification par formulaires ou par une technologie d'authentification unique. En mode intégré SharePoint, le mode de confiance vous est également proposé. Si le serveur de rapports utilise l'authentification par formulaires personnalisée, l'utilisateur se connecte au serveur de rapports par le biais d'une connexion valide pour cette extension d'authentification.

RemarqueRemarque
La meilleure recommandation est d'utiliser le protocole SSL (Secure Sockets Layer) chaque fois que vous recourez à l'authentification de base, à un type d'authentification personnalisé ou au mode de confiance

Une fois l'utilisateur authentifié, le serveur de rapports vérifie s'il existe des autorisations qui octroient l'accès au contenu et aux opérations du serveur de rapports. Les autorisations sont définies dans des attributions de rôles qui décrivent les tâches qu'un utilisateur peut accomplir. Chaque utilisateur qui se connecte à un serveur de rapports doit posséder les attributions de rôles définies sur le compte qu'il utilise pour se connecter au serveur de rapports. Pour plus d'informations, consultez Octroi d'autorisations sur un serveur de rapports en mode natif, Procédure : définir les autorisations sur les éléments de serveur de rapports sur un site SharePoint (Reporting Services en mode intégré SharePoint) et Comparaison des rôles et des tâches dans Reporting Services avec les autorisations et les groupes SharePoint. Pour plus d'informations sur SSL, consultez Configuration d'un serveur de rapports pour des connexions SSL (Secure Sockets Layer).

2

Le serveur de rapports se connecte à la base de données du serveur de rapports

Les bases de données du serveur de rapports permettent un stockage interne sur le serveur de rapports. Le serveur de rapports se connecte à ces bases de données en vue de stocker et d'extraire du contenu, l'état du serveur et des métadonnées. En mode natif, les rapports publiés sur le serveur de rapports sont stockés dans les bases de données de ce dernier. En mode intégré SharePoint, les copies principales des rapports, les sources de données et les modèles sont stockés dans les bases de données de contenu SharePoint. Les utilisateurs et les autres applications ne se connectent pas à la base de données du serveur de rapports. Seul le serveur de rapports se connecte à la base de données.

Pour créer la base de données et configurer la connexion, vous pouvez soit installer le serveur de rapports dans la configuration par défaut, soit utiliser la page Base de données dans l'outil de configuration de Reporting Services. Lorsque vous configurez la connexion à la base de données du serveur de rapports, une connexion de base de données est établie, des autorisations sont accordées au compte et il est possible de se connecter à la base de données du serveur de rapports à partir du service Report Server.

Le serveur de rapports peut se connecter à sa base de données à l'aide de l'un des types de comptes suivants :

  • Utiliser le compte de service. Il s'agit de la valeur par défaut.

  • Utiliser un compte de domaine.

  • Utiliser une connexion SQL Server

Pour plus d'informations, consultez Création d'une base de données de serveur de rapports et Configuration d'une connexion de base de données de serveur de rapports.

3

Le serveur de rapports se connecte à des sources de données externes.

Les rapports contiennent des requêtes et des informations de connexion à la source de données, ou y font référence, qui sont traitées lors de l'exécution du rapport. Les modèles de rapport font également référence à des sources de données.

Pour récupérer des données utilisées dans un rapport, un serveur de rapports doit se connecter à d'autres serveurs qui abritent des sources de données externes. Lorsque le rapport ou le modèle s'exécute, le serveur de rapports ouvre une connexion au serveur ou à l'ordinateur, fournit la requête, attend que le dataset soit retourné, puis ferme la connexion avant de passer à l'étape de traitement suivante.

Les connexions aux sources de données externes sont définies en premier lieu dans le rapport, puis elles sont gérées indépendamment du rapport après sa publication. Au moment de l'exécution, le serveur de rapports effectue ces connexions au nom de l'utilisateur qui exécute le rapport. Le serveur de rapports passe les informations d'identification à des sources de données spécifiques. Il peut obtenir ces informations pour toute connexion à la source de données de l'une des façons suivantes :

  • Empruntez ou utilisez les informations d'identification déléguées de l'utilisateur qui exécute le rapport. Lorsque vous configurez la source de données d'un rapport pour qu'elle utilise l'authentification Windows, le serveur de rapports doit également être configuré pour utiliser l'extension de sécurité Windows par défaut. Si le serveur de rapports utilise l'authentification par formulaire ou l'authentification de base, vous ne pouvez pas configurer les sources de données du rapport de sorte qu'elles utilisent des informations d'identification empruntées ou déléguées.

  • Invite de l'utilisateur à taper les informations d'identification.

  • Récupération des informations d'identification stockées à partir de la base de données du serveur de rapports. Le serveur de rapports peut traiter ces informations d'identification en tant qu'informations d'identification Windows et emprunte leur identité avant d'exécuter une requête dans la source de données.

  • Aucune utilisation d'informations d'identification. Cette option est disponible uniquement lorsque vous configurez le compte d'exécution sans assistance.

La topologie de réseau, les restrictions de domaine et le type de source de données déterminent la façon dont les connexions sont établies et les fournisseurs d'authentification que vous pouvez utiliser. Par exemple, pour ouvrir une connexion à la source de données à l'aide du contexte de sécurité intégrée Windows de l'utilisateur qui demande le rapport, les conditions suivantes doivent être remplies :

  • La source de données elle-même doit prendre en charge la sécurité intégrée de Windows et l'utilisateur doit avoir une connexion et des autorisations d'accès sur le serveur de base de données.

  • Les stratégies de sécurité du domaine doivent prendre en charge l'authentification de réseau Kerberos, avec les fonctions d'emprunt d'identité et de délégation activées.

  • La sécurité intégrée de Windows doit être attribuée aux propriétés de la source de données définies dans le rapport ou la source de données partagée.

Le serveur de rapports ne valide pas la connexion ou les informations d'identification lors de leur création. Pour vérifier si les propriétés de connexion sont valides, vous devez exécuter le rapport. Pour plus d'informations sur la définition des propriétés de connexion à la source de données, consultez Procédure : configurer les propriétés de la source de données d'un rapport (Gestionnaire de rapports). Pour plus d'informations sur le mode de connexion à une source de données externe, consultez Connexions de données, sources de données et chaînes de connexion (SSRS) et Spécification des informations d'identification et de connexion pour les sources de données de rapport.

4

Compte d'exécution sans assistance

Ce compte est parfois connu sous l'appellation de « compte de traitement de rapport sans assistance » ou « compte d'exécution ».

Lorsque vous précisez les informations d'identification du compte d'exécution sans assistance, ce dernier est utilisé pour exécuter des rapports et récupérer des images à partir d'URL dans les définitions de rapport.

Vous pouvez sélectionner cette option si la source de données n'utilise pas d'informations d'identification (par exemple, si les données figurent dans un document XML). Pour se connecter à un ordinateur qui héberge une source de données, le serveur de rapports fait appel au compte d'exécution sans assistance. Vous pouvez utiliser l'outil de configuration de Reporting Services pour configurer le compte. Pour plus d'informations, consultez Configuration du compte d'exécution sans assistance.

5

Le serveur de rapports se connecte aux cibles de remise

Le serveur de rapports utilise une extension de remise pour rassembler les informations d'identification utilisées pour se connecter à des cibles de remise, telles qu'un partage de fichiers. L'extension de remise exploite ces informations d'identification pour se connecter à la cible de remise.

Services utilisés dans une installation de Reporting Services

Dans une installation de Reporting Services, plusieurs services effectuent des fonctions importantes en termes de traitement interactif et de traitement en arrière-plan. Le tableau suivant décrit les services qui sont utilisés dans un déploiement.

Service

Description

Service Report Server

Un serveur de rapports est implémenté en tant que service Windows qui fournit un environnement d'exécution pour le service Web Report Server, le Gestionnaire de rapports et le traitement en arrière-plan.

Le service est inscrit et configuré au moment de l'installation. Initialement, il s'exécute sous un compte que vous spécifiez pendant l'installation, mais vous pouvez le modifier ou mettre à jour le mot de passe dans l'outil de configuration de Reporting Services. Assurez-vous d'utiliser l'outil de configuration de Reporting Services afin que les paramètres dépendants soient mis à jour pour utiliser les nouvelles informations de compte.

Au strict minimum, le compte que vous choisissez doit avoir l'autorisation de se connecter au réseau et l'autorisation Allow Log on Locally sur le serveur de rapports et les ordinateurs de base de données du serveur de rapports. Veillez à choisir un compte doté de privilèges minimaux. Si vous déployez Reporting Services sur un ordinateur doté des services Internet (IIS), il est préférable d'opter pour le compte Network Service intégré. À des fins d'audit, utilisez un compte dédié utilisé uniquement par le service Reporting Services.

Le compte de service peut être un compte d'utilisateur Windows ou un compte intégré tel que Système local. Si vous spécifiez un compte d'utilisateur de domaine et que le serveur de rapports est déployé dans un réseau qui prend en charge l'authentification Kerberos, vous devez inscrire le nom de principal du service (SPN) du serveur de rapports avec le compte d'utilisateur de domaine que vous envisagez d'utiliser. Pour plus d'informations, consultez Procédure : inscrire un nom de principal du service (SPN) pour Report Server.

Les autorisations pour accéder aux fichiers programme Reporting Services sont définies et gérées par Reporting Services lorsque vous utilisez le programme d'installation ou l'outil de configuration de Reporting Services pour configurer le compte. Pour plus d'informations sur les autorisations requises pour le service, consultez Configuration des comptes de service Windows

Pour plus d'informations sur le changement du compte ou du mot de passe, consultez Configuration du compte de service Report Server.

Service SQL Server

La base de données du serveur de rapports s'exécute sur une instance du Moteur de base de données SQL Server 2005 ou SQL Server 2008. Le Moteur de base de données s'exécute en tant que MSSQLSERVER ou en tant qu'instance nommée. Ce service doit être configuré et en cours d'exécution.

L'autorisation pour accéder à la base de données du serveur de rapports est accordée par l'intermédiaire du rôle RSExecRole qui est créé avec la base de données du serveur de rapports. Ce rôle est créé dans les bases de données MSDB, Master, reportserver et reportservertempdb. Pour plus d'informations sur ce rôle, consultez Procédure : créer le rôle RSExecRole.

Service SQL Server Agent

Reporting Services utilise le service SQL Server Agent comme un minuteur pour déclencher des événements pour les processus planifiés. Ce service est requis pour les opérations planifiées. Il doit être configuré et en cours d'exécution sur le serveur de base de données qui héberge la base de données du serveur de rapports.

Le service SQL Server Agent doit s'exécuter sous un compte de domaine si vous avez configuré le serveur de rapports pour se connecter à SQL Server par le biais d'un compte de domaine et l'authentification Windows (au lieu d'une connexion SQL Server ou d'un compte de service). Lorsque le serveur de rapports s'exécute en tant qu'utilisateur de domaine, il crée des travaux de l'Agent SQL Server dont le propriétaire est ce compte de domaine. Pour que l'Agent SQL Server puisse acheminer une tâche au processeur de planification et de livraison, l'Agent SQL Server doit avoir l'autorisation d'accéder aux informations concernant les travaux qui appartiennent à un compte de domaine. S'il se trouve que l'Agent SQL Server s'exécute en tant que compte d'utilisateur local, le service n'aura pas l'autorisation d'accéder aux informations du compte de domaine et l'abonnement et la remise du rapport échoueront.

Pour plus d'informations sur les opérations planifiées et les conséquences de l'arrêt ou du redémarrage du service sur la file d'attente d'abonnement, consultez Processeur de planification et de livraison.

Pour plus d'informations sur la configuration d'un compte de l'Agent SQL Server, consultez Planification des services, des comptes et des connexions et Configuration du compte de service Report Server.

Service SQL Server Browser

Si vous utilisez une instance distante nommée du Moteur de base de données pour héberger la base de données du serveur de rapports, activez et exécutez le service SQL Server Browser sur le serveur distant. SQL Server Browser fournit le numéro de port utilisé par l'instance nommée à l'outil de configuration de Reporting Services. L'outil de configuration de Reporting Services utilise le numéro de port pour se connecter au créer Moteur de base de données lorsque vous créez ou configurez la base de données du serveur de rapports.

Windows Management Instrumentation

Le service WMI (Windows Management Instrumentation) doit être activé et en cours d'exécution sur tous les serveurs de rapports que vous configurez. L'outil de configuration de Reporting Services utilise le fournisseur WMI du serveur de rapports pour se connecter aux serveurs de rapports locaux et distants. Si vous configurez un serveur de rapports distant, l'ordinateur doit également utiliser l'accès WMI à distance. Pour plus d'informations, consultez Procédure : configurer un serveur de rapports pour l'administration à distance.

Appel de procédure distante (RPC)

Ce service fait partie du système d'exploitation principal et est activé par défaut pour le démarrage automatique. Reporting Services l'utilise pour initialiser le serveur de rapports. Ce service doit être configuré et en cours d'exécution pour les opérations du serveur de rapports. DCOM doit également être activé avec le service RPC pour permettre l'administration à distance à l'aide de l'outil de configuration Reporting Services.

Autorisations d'administrateur

Pour gérer des services, des comptes et des connexions dans une installation Reporting Services, le compte sous lequel vous vous êtes connecté doit être membre du groupe Administrateurs local sur le serveur de rapports. Les autorisations d'administrateur sont requises pour les actions suivantes :

  • Exécuter le programme d'installation de SQL Server.

  • Démarrer l'outil de configuration de Reporting Services. Si vous configurez un serveur de rapports pour l'administration à distance, vous pouvez exécuter l'outil en mode non-administrateur si vous activez des autorisations. Pour obtenir des instructions, consultez Procédure : configurer un serveur de rapports pour l'administration à distance

  • Exécutez SQL Server Management Studio si vous n'êtes pas membre du rôle Administrateur système dans Reporting Services.

  • Dans Windows Vista ou Windows Server 2008, vous devez être administrateur pour configurer l'administration locale du serveur de rapports. Pour plus d'informations, consultez Procédure : configurer un serveur de rapports pour l'administration locale sur Windows Vista et Windows Server 2008 (Contrôle de compte d'utilisateur).

  • Sur un serveur doté d'une instance d'un produit ou d'une technologie SharePoint à laquelle vous intégrez une instance de serveur de rapports, vous devez être administrateur pour installer et configurer le complément Reporting Services. Qui plus est, l'utilisateur chargé d'installer le complément doit être membre du groupe Administrateurs pour la collection de sites SharePoint. Dans le cas contraire, la fonctionnalité Reporting Services ne sera pas activée après l'installation. Un membre du groupe Administrateurs de la collection de sites doit également activer la fonctionnalité Reporting Services pour qu'elle puisse fonctionner.