Microsoft Reporting Services 2012 Security Configuration

Von | | ,

SSRS 2012 – Berechtigungen setzen nach einer Neuinstallation

Nach der Installation vom Microsoft Reporting Service SSRS in einer neuen Umgebung, funktioniert der Zugriff auf die Website nur, wenn der Internet Explorer mit Administrativen Berechtigungen (Elevated Privileges) gestartet wird.

IE Admin

Die URL https://ssrs01.mydomain.local/Reports linkt dabei auf die Hauptseite vom Reportmanager.

Report Manager

Ohne die korrekten Berechtigungseinstellungen, bekommt man allerdings folgende Fehlermeldung zu Gesicht.

Permission Error

Damit SSRS ohne Administrative Berechtigungen funktionieren und auch keine zusätzliche Loginbox erscheint, sind folgende Einstellungen vorzunehmen:

  1. SSRS so konfigurieren, dass über einen korrekten DNS-Namen zugegriffen wird
  2. Dem IE die Intranet-Domäne als Trusted-Site zuweisen, ansonsten funktioniert SSO nicht mit dem IE
  3. Eine AD-Gruppe für die Verwaltung vom Report-Server erstellen oder definieren
  4. In SSRS Site-Settings die AD-Gruppe eintragen
  5. In SSRS Folder-Settings die Gruppe berechtigen

IE Options

  • Wenn möglich, in der SSRS-Konfiguration dem Service ein Serverzertifikat zuweisen.
  • Die Einstellung auf der jeweiligen https-URL vornehmen.

Internet Options

Es kann sein, dass diese Einstellung nicht sofort wirksam ist, ein erneutes Login bzw. Reboot kann dabei nützlich sein.

SSRS Site Settings – Security

Im SSRS Report Manager oben im Menu auf Site Settings klicken. Anschliessend mit New Role Assignment eine AD-Gruppe als Systemadministrator hinzufügen. Unter Group or user name muss die Gruppe in der Schreibweise domäne\gruppenname eingegeben werden. Eine Browse-Funktion gibt es nicht!

SSRS Site Settings

SSRS Folder Settings

Das reicht allerdings noch nicht. Neben der funktionellen Sicherheitseinstellung, gibt es auch noch Berechtigungen auf Ordner-Ebene. Auch da muss die entsprechende Gruppe eingetragen werden.

Dazu geht man im Report manager unter Home auf Folder Settings und fügt mit „New Role Assignment“ die Admin-Gruppe ebenfalls hinzu.

Folder Security

Nun kann man auf den SSRS Report Manager ohne spezielle Vorkehrungen mit einer normalen IE-Session zugreifen, natürlich nur wenn man in der angegebenen AD-Gruppe ist.

SSRS SSL Konfiguration

Die SSRS Reporting-Services benötigen keinen IIS für die Webapplikation, sondern enthalten einen eigenen Webserver. Allerdings ist der parallele Betrieb vom IIS und SSRS auf demselben Hostnamen möglich, was mitunter zur verwirrenden Konstellation führt, dass URL’s auf demselben Protokoll+Hostnamen+Port dennoch von unterschiedlichen Services bedient werden.

Will man auf SSRS-Dienste mittels HTTPS zugreifen, muss ein Zertifikat mit dem jeweiligen Hostnamen als Common-Name im Certificate-Store vom Computer-Account installiert werden. So wie es aussieht, kennt der Configuration Manager das Konzept der Subject Alternative Names nicht. Es muss daher für jedes SSL-Binding ein Zertifikat mit dem entsprechenden Common-Name zur Verfügung stehen!

Tagged , .Speichere in deinen Favoriten diesen permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

301 Moved Permanently

Moved Permanently

The document has moved here.