Share via

  • Статья

Как настроить доступ к построителю отчетов

Построитель отчетов — средство подготовки нерегламентированных отчетов, устанавливаемое с сервером отчетов служб SQL Server Службы Reporting Services, настроенным для собственного режима или режима интеграции с SharePoint.

Доступ к построителю отчетов зависит от следующих факторов:

  • свойства сервера, определяющие, доступен ли построитель отчетов на сервере отчетов;

  • назначения ролей или разрешения, которые предоставляют доступ к построителю отчетов отдельным пользователям или группам;

  • параметры проверки подлинности, которые определяют, можно ли передать учетные данные пользователя в сервер отчетов или для файлов приложения настроен анонимный доступ.

Чтобы использовать построитель отчетов, необходимо опубликовать модель отчета для работы с ней.

Предварительные требования

Чтобы использовать построитель отчетов, необходим выпуск SQL Server Enterprise Edition, Developer Edition или Evaluation Edition.

На клиентском компьютере должна быть установлена платформа Microsoft .NET Framework 2.0. Платформа .NET Framework предоставляет инфраструктуру для работы приложений ClickOnce.

Необходимо использовать обозреватель Microsoft Internet Explorer 6.0 или более поздней версии.

Построитель отчетов всегда работает при полном уровне доверия, его нельзя настроить на работу с частичным уровнем доверия. В прошлых версиях можно было запустить построитель отчетов с частичным уровнем доверия, но этот режим отсутствует в SQL Server 2008.

Включение и отключение построителя отчетов

По умолчанию построитель отчетов включен. Администраторы сервера отчетов могут отключить построитель отчетов, присвоив системному свойству сервера отчетов EnableReportDesignClientDownload значение false. Это отключит загрузку построителя отчетов для этого сервера отчетов.

Системные свойства сервера отчетов можно задать с помощью среды Management Studio или сценария.

Назначения ролей предоставляют построителю отчетов доступ к серверу отчетов, работающему в собственном режиме

В собственном режиме работы сервера отчетов создайте назначения ролей, включающие задачи для использования построителя отчетов. Необходимо быть диспетчером содержимого или системным администратором, чтобы создать или изменить определения ролей или назначения ролей на уровне элемента или уровне сайта.

Следующие инструкции предполагают, что используются стандартные роли. Если изменяются определения ролей или если выполнено обновление с SQL Server 2000, проверьте роли, чтобы убедиться, что они содержат необходимые задачи. Дополнительные сведения о создании назначений ролей см. в разделе Как предоставить пользователям доступ к серверу отчетов (диспетчер отчетов).

После создания назначений ролей пользователи будут иметь разрешения для следующих действий.

  • Пользователи, которым назначены роли «Системный пользователь» и «Браузер», могут просматривать опубликованные отчеты построителя отчетов на сервере отчетов, не запуская построитель отчетов.

  • Пользователи, которым назначены роли «Системный пользователь» и «Построитель отчетов», могут создавать модели, запускать построитель отчетов и создавать отчеты, а также сохранять отчеты на сервере отчетов.

  • Пользователи, которым назначены роли «Системный пользователь» и «Издатель», могут публиковать модели из конструктора моделей на сервере отчетов. Модели используются в построителе отчетов как источники данных.

  • Пользователи, которым назначены роли «Системный администратор» и «Диспетчер содержимого», имеют полные разрешения для создания и просмотра отчетов построителя отчетов, а также управления ими.

Проверка, что необходимые задачи находятся в определениях ролей

  1. Откройте среду Management Studio и подключитесь к серверу отчетов.

  2. Откройте папку Безопасность.

  3. Откройте папку Системные роли.

  4. Щелкните правой кнопкой мыши узел Системный администратор и выберите пункт Свойства.

  5. Выберите Выполнение определений отчетов и нажмите кнопку ОК.

  6. Щелкните правой кнопкой мыши узел Системный пользователь и выберите пункт Свойства.

  7. Выберите Выполнение определений отчетов и нажмите кнопку ОК.

  8. Откройте папку Роли.

  9. Щелкните правой кнопкой мыши элемент Браузер и выберите пункт Свойства.

  10. Выберите Просмотр моделей, затем нажмите кнопку ОК.

  11. Щелкните правой кнопкой мыши Диспетчер содержимого и выберите пункт Свойства.

  12. Выберите Просмотр моделей, Управление моделями, Использование отчетов, затем нажмите кнопку ОК.

  13. Щелкните правой кнопкой мыши Издатель и выберите пункт Свойства.

  14. Выберите Управление моделями, затем нажмите кнопку ОК.

  15. Создайте роль построителя отчетов, если она не существует.

    1. Откройте папку Безопасность.

    2. Щелкните правой кнопкой мыши Роли и выберите пункт Создать роль.

    3. В поле «Имя» введите Построитель отчетов.

    4. В поле «Описание» введите описание для роли, чтобы пользователи в диспетчере отчетов знали, для чего предназначена роль.

    5. Добавьте следующие задачи: Использование отчетов, Просмотр отчетов, Просмотр моделей, Просмотр ресурсов, Просмотр папок и Управление отдельными подписками.

    6. Нажмите кнопку ОК, чтобы сохранить роль.

Создание назначений ролей, предоставляющих доступ к построителю отчетов

  1. Запустите диспетчер отчетов.

  2. Щелкните элемент Настройки сайта.

  3. Перейдите на вкладку Безопасность.

  4. Если для пользователя или группы, для которых нужно настроить доступ к построителю отчетов, уже существует назначение ролей, нажмите кнопку Изменить.

    В противном случае нажмите кнопку Создать назначение ролей. В поле «Группа или пользователь» введите учетную запись пользователя или группы домена Windows в следующем формате: <домен>\<учетная_запись>. Если используется проверка подлинности с помощью форм или пользовательский модуль безопасности, задайте учетную запись пользователя или группы в формате, допустимом для развертывания.

  5. Выберите Системный пользователь, а затем нажмите ОК.

  6. Нажмите кнопку Корневая папка.

  7. Перейдите на вкладку Свойства.

  8. Перейдите на вкладку Безопасность.

  9. Если для пользователя или группы, для которых нужно настроить доступ к построителю отчетов, уже существует назначение ролей, нажмите кнопку Изменить.

    В противном случае нажмите кнопку Создать назначение ролей. В поле «Группа или пользователь» введите учетную запись пользователя или группы домена Windows в следующем формате: <домен>\<учетная_запись>. Если используется проверка подлинности с помощью форм или пользовательский модуль безопасности, задайте учетную запись пользователя или группы в формате, допустимом для развертывания.

  10. Выберите Построитель отчетов, а затем нажмите кнопку Применить.

  11. Создайте или измените назначения ролей для остальных пользователей или групп.

Разрешения, предоставляющие построителю отчетов доступ к серверу отчетов, работающему в режиме интеграции с SharePoint

На сервере отчетов в режиме интеграции с SharePoint доступ к построителю отчетов предоставляется пользователям SharePoint, которые имеют разрешения уровней «Полный доступ» или «Участие».

Если используются пользовательские уровни разрешений, необходимо включить в уровень разрешений «Добавление элементов» и «Изменение элементов». Дополнительные сведения о доступе к построителю отчетов с помощью встроенных уровней разрешений см. в разделе Использование встроенных средств безопасности служб Windows SharePoint при работе с элементами сервера отчетов. Дополнительные сведения о требованиях к пользовательским уровням разрешений см. в разделе Задание разрешений для работы сервера отчетов в веб-приложении SharePoint.

Анализ проверки подлинности и повторное использование учетных данных

Построитель отчетов использует технологию ClickOnce, чтобы загрузить и установить свои файлы приложения на клиентский компьютер. Технология ClickOnce предназначена для одностороннего развертывания приложения, в ходе которого программные файлы размещаются на клиентском компьютере, а приложение запускается как отдельный процесс с удостоверением пользователя по умолчанию. Поскольку построитель отчетов должен повторно подключиться к серверу отчетов, чтобы получить файлы приложения и данные сервера отчетов, важно понимать, как приложение ClickOnce устанавливает контекст безопасности и формирует запросы к удаленным компьютерам в различных сценариях.

  • Приложение ClickOnce всегда выполняется как отдельный процесс на клиентском компьютере. Удостоверение процесса представляет собой учетные данные по умолчанию пользователя Windows. Приложение ClickOnce не использует данные сеанса совместно с Internet Explorer и не получает контекст безопасности текущего пользователя из Internet Explorer.

  • Приложение ClickOnce отправляет запросы, которые задают встроенную безопасность Windows в заголовке проверки подлинности. Если сервер настроен для другого типа проверки подлинности, то запросы к серверу от приложения ClickOnce будут обработаны с ошибкой при проверке подлинности. Чтобы обойти эту проблему, необходимо настроить сервер для использования встроенной безопасности Windows или включить анонимный доступ, чтобы отменить проверку подлинности.

  • Построитель отчетов открывает собственное соединение с сервером отчетов. Если не используется встроенная безопасность Windows с единым входом, пользователи должны повторно ввести учетные данные для соединения построителя отчетов с сервером отчетов.

  • СоветСовет

    Кроме того, если сервер отчетов настроен на работу в режиме интеграции с SharePoint, пользователи могут столкнуться с ошибкой 401 при попытке использовать технологию ClickOnce для установки построителя отчетов на клиентских компьютерах. Это происходит, потому что SharePoint использует файл cookie, чтобы проверить подлинность пользователя в течение сеанса, но программа ClickOnce не поддерживает файлы cookie. Когда пользователь запускает приложение ClickOnce, такое как построитель отчетов, приложение не передает файл cookie в SharePoint; таким образом, SharePoint отказывает в доступе и возвращает ошибку 401.

    Можно обойти эту проблему, испытав один из следующих режимов.

    • Выбрать параметр Запомнить пароль при предоставлении учетных данных пользователя.

    • Включить анонимный доступ к коллекции сайтов SharePoint.

    • Настройте среду таким образом, чтобы пользователь не предоставлял учетных данных. Например, в среде интрасети можно ввести сервер SharePoint в состав рабочей группы, а затем создать учетные записи пользователя на локальном компьютере.

В следующей таблице описаны типы проверки подлинности, поддерживаемые сервером отчетов, и указано, требуется ли дополнительная настройка для доступа к построителю отчетов.

Тип проверки подлинности сервера отчетов

Реакция средства запуска построителя отчетов и приложения ClickOnce

Negotiate (по умолчанию)

NTLM (по умолчанию)

При использовании встроенной безопасности Windows проверенные запросы приложений ClickOnce и построителя отчетов обычно выполняются успешно, если клиент и сервер развернуты в одном домене, пользователь вошел в систему на клиентском компьютере с помощью учетной записи домена с разрешением на доступ к построителю отчетов, а сервер отчетов настроен для использования проверки подлинности Windows.

Запросы обрабатываются успешно, так как приложение ClickOnce и соединение браузера с сервером отчетов имеют одинаковое удостоверение пользователя.

Обработка запросов завершится неудачно, если пользователь открыл обозреватель Internet Explorer с помощью параметра «Запуск от имени» и указал учетные данные, отличные от учетных данных по умолчанию. Если сеанс пользователя на сервере отчетов установлен под определенной учетной записью, а приложение ClickOnce выполняется под другой учетной записью, сервер отчетов откажет в доступе к файлам.

Kerberos

Обозреватель Internet Explorer, необходимый для использования построителя отчетов, не поддерживает протокол Kerberos напрямую.

Обычная проверка подлинности

Технология ClickOnce не поддерживает обычную проверку подлинности. Не формируются запросы, которые задают обычную проверку подлинности в заголовке проверки подлинности. Учетные данные не передаются и запрашиваются у пользователя. Эти проблемы можно обойти, включив анонимный доступ к файлам приложения построителя отчетов.

Запросы будут обработаны успешно, если включен анонимный доступ к файлам приложения построителя отчетов, так как сервер отчетов не учитывает заголовок проверки подлинности. Дополнительные сведения о способах включения анонимного доступа к построителю отчетов см. в разделе Как настроить обычную проверку подлинности в службах Reporting Services.

Приложение ClickOnce получает файлы приложений, а затем построитель отчетов открывает отдельное соединение с сервером отчетов. Чтобы построитель отчетов мог соединиться с сервером отчетов, пользователь должен еще раз ввести свои учетные данные. Построитель отчетов не собирает учетные данные ни из браузера Internet Explorer, ни из приложения ClickOnce.

Запросы завершатся неудачей, если сервер отчетов настроен для обычной проверки подлинности и не включен анонимный доступ к файлам программ построителя отчетов. Запрос завершается неудачей, так как приложение ClickOnce задает в запросах встроенную безопасность Windows. Если сервер отчетов настроен для обычной проверки подлинности, сервер отвергнет запрос, так как в нем указан недопустимый пакет безопасности и отсутствуют учетные данные, ожидаемые сервером отчетов.

Нестандартные

Если сервер отчетов настроен на использование нестандартной проверки подлинности, на сервере отчетов включается анонимный доступ, а запросы принимаются без проверки подлинности.

Приложение ClickOnce получает файлы приложений, а затем построитель отчетов открывает отдельное соединение с сервером отчетов. Чтобы построитель отчетов мог соединиться с сервером отчетов, пользователь должен еще раз ввести свои учетные данные. Построитель отчетов не собирает учетные данные ни из браузера Internet Explorer, ни из приложения ClickOnce.

См. также

Задания

Как запустить построитель отчетов (построитель отчетов 3.0)

Как соединиться с сервером отчетов в среде Management Studio

Справочник

Системные свойства сервера отчетов

Основные понятия

Поиск, просмотр и управление отчетами (построитель отчетов версии 3.0 и службы SSRS)

Защита моделей

Управление моделями отчетов

Настройка проверки подлинности в службах Reporting Services

Планирование поддержки браузеров

Диспетчер отчетов

Роль «Построитель отчетов»

Роль System User

Журнал изменений

Обновленное содержимое

Описание параметра «Запомнить пароль» перенесено в общую часть, чтобы было понятнее, что он применим для всех методов проверки подлинности.