Freigeben über


Vorgehensweise: Konfigurieren des Zugriffs auf Berichts-Generator 1.0 und Berichts-Generator 2.0

Berichts-Generator 1.0 und Berichts-Generator 2.0 sind Tools für die Berichterstellung, die zusammen mit einem für den systemeigenen oder den integrierten SharePoint-Modus konfigurierten SQL ServerReporting Services-Berichtsserver installiert werden. Berichts-Generator 1.0 ist eine ausschließliche ClickOnce-Anwendung, wohingegen Berichts-Generator 2.0 als eigenständige Anwendung oder als ClickOnce-Anwendung verfügbar ist. In diesem Thema wird beschrieben, wie Sie den Zugriff auf die ClickOnce-Version von Berichts-Generator 2.0 konfigurieren. Für die eigenständige Version von Berichts-Generator 2.0 ist keine Konfiguration erforderlich.

Der Zugriff auf Berichts-Generator 1.0 und Berichts-Generator 2.0 ist von den folgenden Faktoren abhängig:

  • Servereigenschaften, mit denen bestimmt wird, ob Berichts-Generator 1.0 oder Berichts-Generator 2.0 auf dem Berichtsserver verfügbar ist.

  • Rollenzuweisungen oder Berechtigungen, mit denen Berichts-Generator 1.0 und Berichts-Generator 2.0 einzelnen Benutzern oder Gruppen zur Verfügung gestellt wird.

  • Authentifizierungseinstellungen, die bestimmen, ob Benutzeranmeldeinformationen an den Berichtsserver weitergegeben werden können oder anonymer Zugriff für die Anwendungsdateien konfiguriert wird.

Es muss ein veröffentlichtes Berichtsmodell vorliegen, das bearbeitet werden kann, um Berichts-Generator 1.0 verwenden zu können. Weitere Informationen zur Verwendung von Berichts-Generator 1.0 finden Sie unter Arbeiten mit dem Berichts-Generator 1.0 (Ad-hoc-Berichte).

Sie können entweder Berichtsmodelle oder Abfragen verwenden, die Daten mit Berichts-Generator 2.0 aus relationalen und mehrdimensionalen Datenquellen extrahieren. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit den Daten (Berichts-Generator 2.0).

Voraussetzungen

Sie müssen die Enterprise, Developer, Standard oder Evaluation Edition von SQL Server besitzen, um den Berichts-Generator nutzen zu können.

Auf dem Clientcomputer muss Microsoft.NET Framework 3.5 installiert sein. .NET Framework stellt die Infrastruktur zum Ausführen von ClickOnce-Anwendungen bereit.

Sie müssen Microsoft Internet Explorer 6.0 oder höher verwenden.

Berichts-Generator 1.0 und Berichts-Generator 2.0 werden immer im Modus für volle Vertrauenswürdigkeit ausgeführt. Sie können die Anwendungen nicht so konfigurieren, dass sie im Modus für teilweise Vertrauenswürdigkeit ausgeführt werden. In früheren Versionen war es möglich, den Berichts-Generator im Modus für teilweise Vertrauenswürdigkeit auszuführen, aber diese Option wird in SQL Server 2008 nicht unterstützt.

Aktivieren und Deaktivieren von Berichts-Generator 1.0 und Berichts-Generator 2.0

Berichts-Generator 1.0 wird installiert, wenn Sie SQL Server 2008 installieren, und ist standardmäßig aktiviert. Berichts-Generator 2.0 wird installiert, wenn Sie SQL Server 2008 PCU1 installieren. Nachdem Sie SQL Server 2008 PCU1 installiert haben, können Sie Berichts-Generator 2.0 als ClickOnce-Standardversion festlegen. Weitere Informationen finden Sie unter Vorgehensweise: Festlegen von Berichts-Generator 2.0 als ClickOnce-Standardversion des Berichts-Generators.

Die Berichtsserveradministratoren können Berichts-Generator 1.0 oder Berichts-Generator 2.0 deaktivieren, indem sie die Berichtsserver-Systemeigenschaft EnableReportDesignClientDownload auf false festlegen. Wenn Sie diese Eigenschaft festlegen, werden die Downloads der Features von Berichts-Generator 1.0 und Berichts-Generator 2.0 für den jeweiligen Berichtsserver deaktiviert.

Zum Festlegen der Berichtsserver-Systemeigenschaften können Sie Management Studio oder ein Skript verwenden:

Rollenzuweisungen, die auf einem Berichtsserver im systemeigenen Modus Zugriff auf den Berichts-Generator gewähren

Erstellen Sie auf einem Berichtsserver im systemeigenen Modus Benutzerrollenzuweisungen, die Tasks zum Verwenden von Berichts-Generator 1.0 oder Berichts-Generator 2.0 enthalten. Sie müssen Inhalts-Manager und Systemadministrator sein, um Rollendefinitionen und Rollenzuweisungen auf der Element- und Websiteebene erstellen oder ändern zu können.

Die folgenden Anweisungen gehen davon aus, dass Sie vordefinierte Rollen verwenden. Wenn Sie die Rollendefinitionen abgeändert oder von SQL Server 2000 aktualisiert haben, überprüfen Sie die Rollen, um sicherzustellen, dass sie die erforderlichen Tasks enthalten. Weitere Informationen zum Erstellen von Rollenzuweisungen finden Sie unter Vorgehensweise: Gewähren von Benutzerzugriff auf einen Berichtsserver (Berichts-Manager).

Nachdem Sie die Rollenzuweisungen erstellt haben, sind die Benutzer zu Folgendem berechtigt:

  • Benutzer, denen die Rollen Systembenutzer und Browser zugewiesen wurden, können veröffentlichte Berichts-Generator-Berichte auf einem Berichtsserver anzeigen, ohne den Berichts-Generator starten zu müssen.

  • Benutzer, denen die Rollen Systembenutzer und Berichts-Generator zugewiesen wurden, können Modelle erzeugen, den Berichts-Generator starten und Berichte erstellen sowie Berichte auf dem Berichtsserver speichern.

  • Benutzer, denen die Rollen Systembenutzer und Verleger zugewiesen wurden, können Modelle aus dem Modell-Designer auf dem Berichtsserver veröffentlichen. Modelle werden im Berichts-Generator als Datenquellen verwendet.

  • Benutzer, denen die Rollen Systemadministrator und Inhalts-Manager zugewiesen wurden, verfügen über sämtliche Berechtigungen zum Erstellen, Anzeigen und Verwalten von Berichts-Generator-Berichten.

So überprüfen Sie, ob die Rollendefinitionen die erforderlichen Tasks enthalten

  1. Starten Sie Management Studio, und stellen Sie eine Verbindung mit dem Berichtsserver her.

  2. Öffnen Sie den Ordner Sicherheit.

  3. Öffnen Sie den Ordner Systemrollen.

  4. Klicken Sie mit der rechten Maustaste auf Systemadministrator, und wählen Sie Eigenschaften aus.

  5. Wählen Sie Berichtsdefinitionen ausführen aus, und klicken Sie auf OK.

  6. Klicken Sie mit der rechten Maustaste auf Systembenutzer, und wählen Sie Eigenschaften aus.

  7. Wählen Sie Berichtsdefinitionen ausführen aus, und klicken Sie auf OK.

  8. Öffnen Sie den Ordner Rollen.

  9. Klicken Sie mit der rechten Maustaste auf Browser, und wählen Sie Eigenschaften aus.

  10. Wählen Sie Modelle anzeigen aus, und klicken Sie auf OK.

  11. Klicken Sie mit der rechten Maustaste auf Inhalts-Manager, und wählen Sie dann Eigenschaften aus.

  12. Wählen Sie Modelle anzeigen, Modelle verwalten und Berichte lesen aus, und klicken Sie auf OK.

  13. Klicken Sie mit der rechten Maustaste auf Verleger, und wählen Sie Eigenschaften aus.

  14. Wählen Sie Modelle verwalten aus, und klicken Sie auf OK.

  15. Erstellen Sie die Berichts-Generator-Rolle, wenn sie nicht vorhanden ist:

    1. Öffnen Sie den Ordner Sicherheit.

    2. Klicken Sie mit der rechten Maustaste auf Rollen, und wählen Sie Neue Rolle aus.

    3. Geben Sie im Feld Name den Namen Berichts-Generator ein.

    4. Geben Sie im Feld Beschreibung eine Rollenbeschreibung ein, damit die Benutzer im Berichts-Manager wissen, wozu ihre Rolle dient.

    5. Fügen Sie die folgenden Aufgaben hinzu: Berichte lesen, Berichte anzeigen, Modelle anzeigen, Ressourcen anzeigen, Ordner anzeigen und Einzelne Abonnements verwalten.

    6. Klicken Sie auf OK, um die Rolle zu speichern.

So erstellen Sie Rollenzuweisungen, die Zugriff auf Berichts-Generator 1.0 oder Berichts-Generator 2.0 gewähren

  1. Starten Sie den Berichts-Manager.

  2. Klicken Sie auf Siteeinstellungen.

  3. Klicken Sie auf Sicherheit.

  4. Wenn für den Benutzer oder die Gruppe, für den bzw. die Sie den Zugriff auf den Berichts-Generator konfigurieren möchten, klicken Sie auf Bearbeiten.

    Andernfalls klicken Sie auf Neue Rollenzuweisung. Geben Sie unter Gruppe oder Benutzer ein Windows-Domänenbenutzer- oder -Gruppenkonto im folgenden Format ein: <Domäne>\<Konto>. Wenn Sie die Formularauthentifizierung oder benutzerdefinierte Sicherheit verwenden, geben Sie das Benutzer- oder Gruppenkonto in dem für Ihre Bereitstellung richtigen Format an.

  5. Wählen Sie Systembenutzer aus, und klicken Sie dann auf OK.

  6. Klicken Sie auf Startseite.

  7. Klicken Sie auf die Registerkarte Eigenschaften.

  8. Klicken Sie auf die Registerkarte Sicherheit.

  9. Wenn für den Benutzer oder die Gruppe, für den bzw. die Sie den Zugriff auf den Berichts-Generator konfigurieren möchten, klicken Sie auf Bearbeiten.

    Andernfalls klicken Sie auf Neue Rollenzuweisung. Geben Sie unter Gruppe oder Benutzer ein Windows-Domänenbenutzer- oder -Gruppenkonto im folgenden Format ein: <Domäne>\<Konto>. Wenn Sie die Formularauthentifizierung oder die benutzerdefinierte Sicherheit verwenden, geben Sie das Benutzer- oder Gruppenkonto in dem für Ihre Bereitstellung richtigen Format an.

  10. Wählen Sie Berichts-Generator aus, und klicken Sie dann auf Anwenden.

  11. Wiederholen Sie den Vorgang, um Rollenzuweisungen für weitere Benutzer oder Gruppen zu erstellen oder zu ändern.

Berechtigungen, die auf einem Berichtsserver im integrierten SharePoint-Modus Zugriff auf Berichts-Generator 1.0 oder Berichts-Generator 2.0 gewähren

Auf einem Berichtsserver im integrierten SharePoint-Modus wird SharePoint-Benutzern, die über die Berechtigungsstufen Teilnehmen oder Vollzugriff verfügen, Zugriff auf Berichts-Generator 1.0 oder Berichts-Generator 2.0 gewährt.

Wenn Sie benutzerdefinierte Berechtigungsstufen verwenden, müssen Sie Elemente hinzufügen und Elemente bearbeiten in die Berechtigungsstufe aufnehmen. Weitere Informationen zum Berichts-Generator-Zugriff über integrierte Berechtigungsstufen finden Sie unter Verwenden der integrierten Sicherheit in Windows SharePoint Services für Berichtsserverelemente. Weitere Informationen zu Berechtigungsanforderungen für benutzerdefinierte Berechtigungsstufen finden Sie unter Festlegen von Berechtigungen für Berichtsservervorgänge in einer SharePoint-Webanwendung.

Authentifizierungsüberlegungen und Wiederverwendung von Anmeldeinformationen

Berichts-Generator 1.0 und Berichts-Generator 2.0 verwenden die ClickOnce-Technologie, um die Anwendungsdateien auf einen Clientcomputer herunterzuladen und dort zu installieren. ClickOnce-Technologie ist für die unidirektionale Anwendungsbereitstellung vorgesehen, bei der Programmdateien auf einem Clientcomputer platziert werden und die Anwendung als separater Prozess unter der Identität des Standardbenutzers ausgeführt wird. Weil der Berichts-Generator eine Verbindung mit dem Berichtsserver herstellen muss, um Anwendungsdateien und Berichtsserverdaten abzurufen, ist es wichtig zu verstehen, wie die ClickOnce-Technologie den Sicherheitskontext festlegt und in verschiedenen Szenarien Anforderungen an Remotecomputer ausgibt:

  • ClickOnce wird immer als separater Prozess auf dem Clientcomputer ausgeführt. Die Prozessidentität entspricht den Standard-Windows-Benutzeranmeldeinformationen. ClickOnce nutzt weder die Sitzungsdaten mit Internet Explorer gemeinsam noch wird der Benutzersicherheitskontext von Internet Explorer bezogen.

  • ClickOnce sendet Anforderungen, deren Authentifizierungsheader die integrierte Sicherheit von Windows angeben. Wenn ein Server für einen anderen Authentifizierungstyp konfiguriert wurde, reagiert dieser Server mit einem Authentifizierungsfehler auf Anforderungen von ClickOnce. Um dieses Problem zu umgehen, müssen Sie entweder einen Server für die integrierte Sicherheit von Windows konfigurieren, oder Sie müssen anonyme Zugriffe zulassen, damit die Authentifizierungsprüfung entfällt.

  • Berichts-Generator 1.0 und Berichts-Generator 2.0 öffnen eigene Verbindungen zu einem Berichtsserver. Wenn Sie nicht die integrierte Sicherheit von Windows mit einmaliger Anmeldung verwenden, müssen die Benutzer die Anmeldeinformationen für die Verbindung zwischen Berichts-Generator 1.0 bzw. Berichts-Generator 2.0 und Berichtsserver erneut eingeben.

In der folgenden Tabelle werden die vom Berichtsserver unterstützten Authentifizierungstypen beschrieben, und es wird angegeben, ob zusätzliche Konfigurationsschritte für den Zugriff auf Berichts-Generator 1.0 bzw. Berichts-Generator 2.0 erforderlich sind.

Authentifizierungstyp des Berichtsservers

Reaktion von ClickOnce-Anwendungsstartprogramm

Negotiate (Standard)

NTLM (Standard)

Bei Verwendung der integrierten Sicherheit von Windows sind authentifizierte Anforderungen von ClickOnce und Berichts-Generator 1.0 und Berichts-Generator 2.0 in der Regel erfolgreich, wenn Client und Server in der gleichen Domäne bereitgestellt wurden, wenn der Benutzer sich beim Clientcomputer unter einem Domänenkonto angemeldet hat, das zum Zugriff auf Berichts-Generator 1.0 und Berichts-Generator 2.0 berechtigt ist, und wenn der Berichtsserver für die Windows-Authentifizierung konfiguriert wurde.

Die Anforderungen sind erfolgreich, da ClickOnce und die Browserverbindung mit dem Berichtsserver über die gleiche Benutzeridentität verfügen.

Anforderungen schlagen fehl, wenn der Benutzer Internet Explorer mit der Option Ausführen als geöffnet und keine Standardanmeldeinformationen angegeben hat. Falls die Benutzersitzung auf dem Berichtsserver unter einem bestimmten Konto eingerichtet und ClickOnce unter einem anderen Konto ausgeführt wird, verweigert der Berichtsserver den Zugriff auf die Dateien.

Kerberos

Internet Explorer, der für den Einsatz von Berichts-Generator 1.0 und Berichts-Generator 2.0 erforderlich ist, unterstützt Kerberos nicht direkt.

Standardauthentifizierung

ClickOnce bietet keine Unterstützung der Standardauthentifizierung. Es werden keine Anforderungen formuliert, die die Standardauthentifizierung im Authentifizierungsheader angeben. Es werden keine Anmeldeinformationen übergeben oder Benutzer zur Angabe von Anmeldeinformationen aufgefordert. Sie können diese Probleme umgehen, indem Sie den anonymen Zugriff auf die Anwendungsdateien von Berichts-Generator 1.0 und Berichts-Generator 2.0 aktivieren.

Anforderungen sind erfolgreich, wenn Sie anonyme Zugriffe auf die Anwendungsdateien zulassen, weil der Berichtsserver den Authentifizierungsheader ignoriert. Weitere Informationen zur Aktivierung des anonymen Zugriffs auf Berichts-Generator finden Sie unter Vorgehensweise: Konfigurieren der Standardauthentifizierung in Reporting Services.

Nachdem ClickOnce die Anwendungsdateien abgerufen hat, öffnet Berichts-Generator 1.0 bzw. Berichts-Generator 2.0 eine separate Verbindung mit einem Berichtsserver. Die Benutzer müssen ihre Anmeldeinformationen erneut eingeben, damit die Verbindung zwischen Berichts-Generator 1.0 bzw. Berichts-Generator 2.0 und dem Berichtsserver hergestellt werden kann. Kein Tool sammelt Anmeldeinformationen aus Internet Explorer oder ClickOnce.

Anforderungen führen zu Fehlern, wenn der Berichtsserver für die Standardauthentifizierung konfiguriert wurde und der anonyme Zugriff auf die Programmdateien des Berichts-Generators nicht aktiviert wurde. Die Anforderung führt zu einem Fehler, da in ClickOnce-Anforderungen die integrierte Sicherheit von Windows angegeben wird. Wenn Sie einen Berichtsserver für die Standardauthentifizierung konfigurieren, weist der Server die Anforderung zurück, weil darin ein unzulässiges Sicherheitspaket angegeben wird und weil sie nicht die vom Server erwarteten Anmeldeinformationen enthält.

Falls der Berichtsserver für die Verwendung von SharePoint im integrierten Modus konfiguriert ist und die SharePoint-Site die grundlegende Authentifizierung verwendet, erhalten Benutzer zudem die Fehlermeldung 401, wenn Sie versuchen, den Berichts-Generator mithilfe von ClickOnce auf ihren Clientcomputern zu installieren. Der Grund hierfür liegt darin, dass SharePoint ein Cookie verwendet, um eine Benutzerauthentifizierung für die Dauer der Sitzung beizubehalten, ClickOnce dieses Cookie jedoch nicht unterstützt. Wenn ein Benutzer eine ClickOnce-Anwendung wie Berichts-Generator 1.0 oder Berichts-Generator 2.0 startet, leitet die Anwendung das Cookie nicht an SharePoint weiter, weshalb SharePoint den Zugriff verweigert und den Fehler 401 zurückgibt.

Sie können dieses Problem umgehen, indem Sie eine der folgenden Optionen ausprobieren:

  • Aktivieren Sie die Option Kennwort speichern, wenn Sie die Benutzeranmeldeinformationen bereitstellen.

  • Aktivieren Sie den anonymen Zugriff auf die SharePoint-Websiteauflistung.

  • Konfigurieren Sie die Umgebung, damit der Benutzer keine Anmeldeinformationen bereitstellen muss. Beispielsweise können Sie den SharePoint-Server in einer Intranetumgebung so konfigurieren, dass er Teil einer Arbeitsgruppe ist. Anschließend können Sie Benutzerkonten auf den lokalen Computern erstellen.

Custom

Wenn Sie einen Berichtsserver für die Verwendung einer benutzerdefinierten Authentifizierung konfigurieren, wird der anonyme Zugriff auf dem Berichtsserver aktiviert, und die Anforderungen werden ohne Authentifizierungsprüfung akzeptiert.

Nachdem ClickOnce die Anwendungsdateien abgerufen hat, öffnet Berichts-Generator 1.0 bzw. Berichts-Generator 2.0 eine separate Verbindung mit einem Berichtsserver. Die Benutzer müssen ihre Anmeldeinformationen erneut eingeben, damit die Verbindung zwischen Berichts-Generator 1.0 bzw. Berichts-Generator 2.0 und dem Berichtsserver hergestellt werden kann. Kein Tool sammelt Anmeldeinformationen aus Internet Explorer oder ClickOnce.

Änderungsverlauf

Aktualisierter Inhalt

Informationen zum Konfigurieren von Berichts-Generator 2.0 wurden hinzugefügt.