Reporting Services は、レポート サーバーの操作へのアクセスを付与するために使用できる、定義済みのロールと共にインストールされます。 定義済みの各ロールは、関連するタスクのコレクションを示しています。 定義済みのロールにグループやユーザー アカウントを割り当てることで、レポート サーバーの操作にすぐにアクセスできます。
定義済みロールを使用する方法
定義済みのロールを確認して、そのまま使用できるかどうかを判断します。 タスクを調整したり、追加のロールを定義したりする必要がある場合は、特定のロールへのユーザーの割り当てを開始する前に、これを行う必要があります。
レポート サーバーへのアクセスが必要なユーザーとグループを、どのレベルで特定します。 ほとんどのユーザーは、 ブラウザー ロールまたは レポート ビルダー ロールに割り当てる必要があります。 パブリッシャー ロールに割り当てるユーザーの数を少なくする必要があります。 コンテンツ マネージャーに割り当てる必要があるユーザーはごくわずかです。
ユーザー アカウントとグループ アカウントを特定のロールに割り当てる準備ができたら、レポート マネージャーを使用します。 詳細については、「 レポート サーバーへのユーザー アクセス権の付与 (レポート マネージャー)」を参照してください。
定義済みの役割
定義済みのロールは、サポートされているタスクによって定義されます。 これらのロールは、変更したりカスタム ロールに置き換えることができます。
スコープ は、ロールが使用される境界を定義します。 アイテムレベルのロールは、レポート サーバー アイテムおよびそのアイテムに影響を与える操作に対するさまざまなレベルのアクセスを提供します。 アイテムレベルのロールは、レポート サーバー フォルダー階層のルート ノード ([ホーム]) およびすべてのアイテムに対して定義されています。 システムレベルのロールは、サイトレベルでアクセスを承認します。 アイテムレベルのロールとシステムレベルのロールは相互に排他的ですが、一緒に使用すると、レポート サーバーのコンテンツや操作に対する包括的な権限を提供できます。
次の表では、定義済みのロール、スコープ、およびそれらの使用方法について説明します。
| 定義済みロール | 範囲 | 説明 |
|---|---|---|
| コンテンツ マネージャー ロール | アイテム | すべての項目レベルのタスクが含まれます。 このロールに割り当てられているユーザーには、他のユーザーに権限を付与する機能や、レポートやその他のアイテムを格納するためのフォルダー構造を定義する機能など、レポート サーバーのコンテンツを管理するための完全なアクセス許可があります。 |
| パブリッシャー ロール | アイテム | このロールに割り当てられているユーザーは、アイテムを含むフォルダーを作成および管理する機能など、レポート サーバーにアイテムを追加できます。 |
| 閲覧者ロール | アイテム | このロールに割り当てられているユーザーは、レポートの実行、レポートのサブスクライブ、フォルダー構造内の移動を行うことができます。 |
| レポート ビルダー ロール | アイテム | このロールに割り当てられているユーザーは、レポート ビルダーでレポートを作成および編集できます。 |
| 個人用レポート ロール | アイテム | このロールに割り当てられているユーザーは、レポートやその他のアイテムを格納および使用するための個人用ワークスペースを管理できます。 |
| システム管理者ロール | システム | このロールに割り当てられているユーザーは、機能の有効化と既定値の設定、サイト全体のセキュリティの設定、Management Studio でのロール定義の作成、ジョブの管理を行うことができます。 |
| システム ユーザー ロール | システム | このロールに割り当てられているユーザーは、共有スケジュールのスケジュール情報など、レポート サーバーに関する基本情報を表示できます。 |
コンテンツ マネージャーロール
コンテンツ マネージャー ロールは、レポートと Web コンテンツを管理するユーザーに役立つタスクを含む定義済みのロールですが、必ずしもレポートを作成したり、Web サーバーまたは SQL Server インスタンスを管理したりするとは限りません。 コンテンツ マネージャーは、レポートの配置、レポート モデルとデータ ソース接続の管理、およびレポートの使用方法の決定を行います。 コンテンツ マネージャー ロールの定義には、既定ですべてのアイテムレベルのタスクが選択されています。
コンテンツ マネージャー ロールは、 システム管理者 ロールと共に頻繁に使用されます。 これら 2 つのロールの定義を使用すると、レポート サーバー上のすべてのアイテムへの完全なアクセスを必要とするユーザーに完全なタスク セットを提供できます。 コンテンツ マネージャーの役割は、フォルダー階層内のレポート、レポート モデル、フォルダー、およびその他のアイテムへのフル アクセスを提供しますが、サイト レベルのアイテムや操作にはアクセスできません。 共有スケジュールの作成と管理、サーバー プロパティの設定、ロールの定義の管理などのタスクは、 システム管理者 ロールに含まれるシステムレベルのタスクです。 このため、共有スケジュールへのアクセスを提供する 2 つ目のロールの割り当てをサイト レベルで作成することをお勧めします。
コンテンツ マネージャーのタスク
次の表に、 コンテンツ マネージャー ロールに含まれるタスクの一覧を示します。
| 課題 | 説明 |
|---|---|
| レポートの使用 | レポート定義を読み込みます。 |
| リンク レポートの作成 | リンクされていないレポートを基にリンクされているレポートを作成します。 |
| すべてのサブスクリプションを管理 | レポートおよびリンク レポートのサブスクリプションを、その所有者がだれであるかにかかわらず表示、変更、および削除します。 このタスクでは、データ ドリブン サブスクリプションの作成もサポートされます。 |
| データ ソースの管理 | 共有データ ソース項目の作成と削除、データ ソースのプロパティとコンテンツの表示と変更を行います。 |
| フォルダーの管理 | フォルダーの作成、表示、削除、およびフォルダーのプロパティの表示と変更を行います。 |
| モデルを管理する | モデルの作成、表示、削除、およびモデルのプロパティの表示と変更を行います。 |
| 個別のサブスクリプションを管理 | レポートおよびリンク レポートに対してユーザーが所有するサブスクリプションを作成、表示、変更、および削除します。 |
| レポート履歴の管理 | レポート履歴の作成、表示、削除、レポート履歴のプロパティの表示、スナップショット履歴の制限とキャッシュのしくみを決定する設定の表示と変更を行います。 |
| レポートの管理 | レポートの追加と削除、レポート パラメーターの変更、レポートのプロパティの表示と変更、レポートにコンテンツを提供するデータ ソースの表示と変更、レポート定義の表示と変更、レポート レベルでのセキュリティ ポリシーの設定を行います。 |
| リソースの管理 | リソースの作成、変更、削除、およびリソースのプロパティの表示および変更を行います。 |
| アイテムのセキュリティ ポリシーを設定する | レポート、リンク レポート、フォルダー、リソース、およびデータ ソースのセキュリティ ポリシーを定義します。 詳細については、「 セキュリティ保護可能なアイテム」を参照してください。 |
| データ ソースの表示 | フォルダー階層内の共有データ ソース アイテムを表示します。 |
| レポートの表示 | レポートを実行し、レポートのプロパティを表示します。 |
| モデルの表示 | フォルダー階層のモデルを表示し、モデルをレポートのデータ ソースとして使用し、モデルに対してクエリを実行してデータを取得します。 |
| リソースの表示 | リソースおよびリソースのプロパティを表示します。 |
| フォルダーの表示 | フォルダーの内容を表示し、フォルダー階層を移動します。 |
コンテンツ マネージャーロールのカスタマイズ
このロールは、レポート サーバーのコンテンツを管理および管理する全体的な責任を持つ信頼できるユーザーを対象としています。 この定義からタスクを削除できますが、これを行うと、管理できる内容があいまいになる可能性があります。 たとえば、このロール定義から "レポートの表示" タスクを削除すると、 コンテンツ マネージャー はレポートの内容を表示できないため、パラメーターと資格情報の設定の変更を確認できません。
コンテンツ マネージャー ロールは既定のセキュリティで使用されます。 詳細については、「既定の セキュリティの使用」を参照してください。
パブリッシャー ロール
パブリッシャー ロールは、ユーザーがレポート サーバーにコンテンツを追加するためのタスクが含まれた、組み込みのロール定義です。 このロールは、ユーザーの便宜を図って、あらかじめ定義されています。 これは、それを含むロールの割り当てを作成するまで使用されません。 レポート デザイナーでレポートまたはモデルを作成し、レポート サーバーにそのアイテムをパブリッシュするユーザーを対象にしています。
注意事項
アイテムをレポート サーバーにパブリッシュする権限は、信頼されたユーザーにのみ付与する必要があります。 パブリッシャー ロールは、ユーザーが任意の種類のファイルをレポート サーバーにアップロードできるようにする、幅広いアクセス許可を付与します。 アップロードされたレポートまたは HTML ファイルに悪意のあるスクリプトが含まれている場合、レポートまたは HTML ドキュメントをクリックしたユーザーは、自分の資格情報でスクリプトを実行します。
レポート定義には、実行時にレポートが HTML でレンダリングされるときに、HTML インジェクション攻撃に対して脆弱なスクリプトやその他の要素を含めることができます。 発行されたレポートに悪意のあるスクリプトが含まれている場合、そのレポートを実行するユーザーは、レポートを開いたときに誤ってスクリプトが実行されます。 ユーザーが昇格されたアクセス許可を持っている場合、スクリプトはそれらのアクセス許可で実行されます。
ユーザーが誤って悪意のあるスクリプトを実行するリスクを軽減するには、コンテンツを発行するアクセス許可を持つユーザーの数を制限し、ユーザーが信頼できるソースからのドキュメントとレポートのみを発行するようにします。 レポート定義が安全に発行できるかどうかわからない場合は、テキスト エディターで .rdl ファイルを開き、スクリプト タグを検索する必要があります。 悪意のあるスクリプトは、式や URL (ナビゲーション アクションの URL など) で非表示になる可能性があります。
パブリッシャー タスク
次の表に、 パブリッシャー ロールに含まれるタスクの一覧を示します。
| 課題 | 説明 |
|---|---|
| リンク レポートの作成 | リンク レポートを作成し、レポート サーバー フォルダーにパブリッシュします。 |
| データ ソースの管理 | 共有データ ソース項目の作成と削除、データ ソースのプロパティとコンテンツの表示と変更を行います。 |
| フォルダーの管理 | フォルダーの作成、表示、削除、およびフォルダーのプロパティの表示と変更を行います。 |
| レポートの管理 | レポートの追加と削除、レポート パラメーターの変更、レポートのプロパティの表示と変更、レポートにコンテンツを提供するデータ ソースの表示と変更、レポート定義の表示と変更を行います。 |
| モデルを管理する | レポート モデルの作成、表示、削除、およびレポート モデルのプロパティの表示と変更を行います。 |
| リソースの管理 | リソースの作成、変更、削除、およびリソースのプロパティの表示と変更を行います。 |
パブリッシャー ロールのカスタマイズ
パブリッシャー ロールは、必要に応じて変更できます。 たとえば、ユーザーがリンク レポートを作成して発行できないようにする場合は 、[リンク レポートの作成] タスクを削除したり、[フォルダーの表示] タスクを追加したりして、新しいアイテムの場所を選択するときにユーザーがフォルダー階層を移動できるようにすることができます。
少なくとも、レポート デザイナーからレポートを発行するユーザーは、レポート サーバーにレポートを追加できるようにするには、"レポートの管理" タスクが必要です。 ユーザーが共有データ ソースまたは外部ファイルを使用するレポートを発行する必要がある場合は、"データ ソースの管理" と "リソースの管理" も含める必要があります。ユーザーが発行プロセスの一部としてフォルダーを作成する機能も必要な場合は、"フォルダーの管理" も含める必要があります。
ブラウザーの役割
Browser ロールは、レポートを表示するが、必ずしもレポートを作成または管理する必要がないユーザーに役立つタスクを含む定義済みのロールです。 このロールには、レポート サーバーを通常の方法で使用するための基本的な機能が備わっています。 これらのタスクがないと、ユーザーがレポート サーバーを使用するのが難しい場合があります。
閲覧者 ロールは、 システム ユーザー ロールと共に使用する必要があります。 これら 2 つのロールの定義を使用すると、レポート サーバー上のアイテムを操作するユーザーに完全なタスク セットを提供できます。 ブラウザー ロールは、レポート、レポート モデル、フォルダー、およびフォルダー階層内の他のアイテムへのビュー アクセスを提供しますが、共有スケジュールなどのサイト レベルのアイテムへのアクセスは提供されません。これは、サブスクリプションを作成するときに役立ちます。 このため、共有スケジュールへのアクセスを提供する 2 つ目のロールの割り当てをサイト レベルで作成することをお勧めします。
ブラウザーのタスク
次の表では、 Browser ロール定義に含まれるタスクについて説明します。
| 課題 | 説明 |
|---|---|
| レポートの表示 | レポートを実行し、レポートのプロパティを表示します。 |
| リソースの表示 | リソースおよびリソースのプロパティを表示します。 |
| フォルダーの表示 | フォルダーの内容を表示し、フォルダー階層を移動します。 |
| モデルの表示 | フォルダー階層のモデルを表示し、モデルをレポートのデータ ソースとして使用し、モデルに対してクエリを実行してデータを取得します。 |
| 個別のサブスクリプションを管理 | レポートおよびリンク レポートのユーザーが所有するサブスクリプションの作成、表示、変更、および削除と、そのようなサブスクリプションに定義するスケジュールの作成を行います。 |
ブラウザー ロールのカスタマイズ
閲覧者 ロールは、必要に応じて変更できます。 たとえば、サブスクリプションをサポートしない場合は [個々のサブスクリプションの管理] タスクを削除したり、レポート サーバーにアップロードされる可能性のある関連ドキュメントやその他のアイテムをユーザーに表示させたくない場合は、[リソースの表示] タスクを削除したりできます。
少なくとも、このロールは、表示とフォルダーのナビゲーションをサポートするために、"レポートの表示" タスクと "フォルダーの表示" タスクの両方をサポートする必要があります。 フォルダー ナビゲーションを削除しない限り、"フォルダーの表示" タスクを削除しないでください。 同様に、ユーザーがレポートを表示できないようにする場合を除き、"レポートの表示タスク" を削除しないでください。 いずれかのタスクを削除する場合、特定のユーザー グループに限定して適用されるカスタム ロールの定義が必要になります。
レポート作成者の役割
レポート ビルダー ロールは、 レポート ビルダー でレポートを読み込むタスクや、フォルダー階層の表示と移動を行うためのタスクを含む定義済みのロールです。 レポート ビルダーでレポートを作成および変更するには、レポート ビルダーでレポートをローカルで処理するために必要な "レポート定義の実行" タスクを含むシステム ロールの割り当ても必要です。
レポート ビルダーのタスク
次の表では、 レポート ビルダー ロール定義に含まれるタスクについて説明します。
| 課題 | 説明 |
|---|---|
| レポートの使用 | レポート定義を読み込みます。 |
| レポートの表示 | レポートを実行し、レポートのプロパティを表示します。 |
| リソースの表示 | リソースおよびリソースのプロパティを表示します。 |
| フォルダーの表示 | フォルダーの内容を表示し、フォルダー階層を移動します。 |
| モデルの表示 | フォルダー階層のモデルを表示し、モデルをレポートのデータ ソースとして使用し、モデルに対してクエリを実行してデータを取得します。 |
| 個別のサブスクリプションを管理 | レポートおよびリンク レポートのユーザーが所有するサブスクリプションの作成、表示、変更、および削除と、そのようなサブスクリプションに定義するスケジュールの作成を行います。 |
レポート ビルダー ロールのカスタマイズ
レポート ビルダー ロールは、必要に応じて変更できます。 推奨事項は通常 、ブラウザー ロールの場合と同じです。サブスクリプションをサポートしない場合は "個々のサブスクリプションの管理" タスクを削除し、ユーザーにリソースを表示させたくない場合は "リソースの表示" タスクを削除し、表示とフォルダーナビゲーションをサポートする "レポートの表示" タスクと "フォルダーの表示" タスクを保持します。
このロール定義で最も重要なタスクは "レポートの使用" です。これにより、ユーザーはレポート サーバーからローカル レポート ビルダー インスタンスにレポート定義を読み込むことができます。 このタスクをサポートしない場合は、このロール定義を削除し、 ブラウザー ロールを使用してレポート サーバーへの一般的なアクセスをサポートできます。
マイレポート役割
個人用レポート ロールは、個人用レポート機能のユーザーに役立つ一連のタスクを含む定義済みロールです。 このロールの定義には、ユーザーが所有する [個人用レポート] フォルダーの管理権限をそのユーザーに与えるタスクが含まれています。
個人用レポート機能で使用する別のロールを選択することもできますが、個人用レポートのセキュリティ専用のロールを選択することをお勧めします。 詳細については、「 個人用レポートをセキュリティで保護する」を参照してください。
私のレポートタスク
次の表に、 個人用レポート ロールに含まれるタスクの一覧を示します。
| 課題 | 説明 |
|---|---|
| リンク レポートの作成 | ユーザーの個人用レポート フォルダーに格納されているレポートに基づくリンク レポートを作成します。 |
| フォルダーの管理 | フォルダーの作成、表示、削除、およびフォルダーのプロパティの表示と変更を行います。 |
| データ ソースの管理 | 共有データ ソース項目の作成と削除、データ ソースのプロパティとコンテンツの表示と変更を行います。 |
| 個別のサブスクリプションを管理 | レポートおよびリンク レポートのサブスクリプションの作成、表示、変更、および削除を行います。 |
| レポートの管理 | レポートの追加と削除、レポート パラメーターの変更、レポートのプロパティの表示と変更、レポートにコンテンツを提供するデータ ソースの表示と変更、レポート定義の表示と変更、レポート レベルでのセキュリティ ポリシーの設定を行います。 |
| リソースの管理 | リソースの作成、変更、削除、およびリソースのプロパティの表示および変更を行います。 |
| レポートの表示 | ユーザーの個人用レポート フォルダーに格納されているレポートを実行し、レポートのプロパティを表示します。 |
| データ ソースの表示 | フォルダー階層内の共有データ ソース アイテムを表示します。 |
| リソースの表示 | リソースおよびリソースのプロパティを表示します。 |
| フォルダーの表示 | フォルダーのコンテンツを表示します。 |
個人用レポート ロールのカスタマイズ
このロールは、必要に応じて変更できます。 ただし、基本的なコンテンツ管理を有効にするには、[レポートの管理] タスクと [フォルダーの管理] タスクを保持することをお勧めします。 さらに、このロールは、ユーザーがフォルダーの内容を表示し、管理するレポートを実行できるように、すべてのビュー ベースのタスクをサポートする必要があります。
"アイテムのセキュリティ ポリシーの設定" タスクは既定ではロール定義の一部ではありませんが、ユーザーがサブフォルダーとレポートのセキュリティ設定をカスタマイズできるように、このタスクを 個人用レポート ロールに追加できます。
システム管理者ロール
システム管理者 ロールは、レポート サーバーの全体的な責任は負うが、サーバーのコンテンツに対しては必ずしも責任を負わないレポート サーバー管理者にとって役立つタスクを含んだ、定義済みのロールです。
このロールを含むロールの割り当てを作成するには、レポート マネージャーの [サイト設定] ページを使用するか、Management Studio のレポート サーバー ノードで右クリック コマンドを使用します。
システム管理者の役割は、ローカル管理者がコンピューターに与える可能性のあるすべてのアクセス許可を伝達しません。 代わりに、 システム管理者 の役割には、アイテム レベルではなくサイト レベルで実行される操作が含まれます。 サイト全体の操作とレポート サーバーに格納されているアイテムの両方へのアクセスを必要とするユーザーの場合は、 コンテンツ マネージャー ロールを含むホーム フォルダーに 2 つ目のロールの割り当てを作成します。 これら 2 つのロールの定義を使用すると、レポート サーバー上のすべてのアイテムへの完全なアクセスを必要とするユーザーに完全なタスク セットを提供できます。
システム管理者タスク
次の表に、 システム管理者 ロールに含まれるタスクの一覧を示します。
| 課題 | 説明 |
|---|---|
| レポート定義の実行 | レポート 定義をレポート サーバーに発行せずに、レポート定義の実行を開始します。 |
| ジョブを管理する | 実行中のジョブを表示および取り消します。 詳細については、「 実行中のプロセスの管理」を参照してください。 |
| レポート サーバーのプロパティを管理 | レポート サーバーと、レポート サーバーの管理下にあるアイテムに適用されるプロパティを表示および変更します。 このタスクでは、レポート マネージャーの名前変更、個人用レポートの有効化、レポート履歴の既定値の設定がサポートされています。 |
| ロールの管理 | ロール定義を作成、表示、変更、および削除します。 システム管理者ロールのメンバーは、[サイトの設定] ページを使用して役割を管理できます。 |
| 共有スケジュールの管理 | レポートの実行や更新に使用する共有スケジュールを作成、表示、変更、および削除します。 |
| レポート サーバーのセキュリティを管理 | システム全体のロールの割り当てを表示および変更します。 |
システム管理者 ロールは既定のセキュリティで使用されます。 詳細については、「既定の セキュリティの使用」を参照してください。
システム ユーザー ロール
システム ユーザー ロールは、レポート サーバーに関する基本的な情報の表示をユーザーに許可するタスクを含んだ、定義済みのロールです。 レポート ビルダーへのレポートの読み込みもサポートされています。 レポート ビルダーは、レポート サーバーから独立してレポートを処理できるクライアント アプリケーションです。 "レポート定義の実行" タスクは、レポート ビルダーでの使用を目的としています。 レポート ビルダーを使用していない場合は、 システム ユーザー ロールからこのタスクを削除できます。 次の表に、 システム ユーザー ロール定義に含まれるタスクを示します。
システム ユーザー タスク
| 課題 | 説明 |
|---|---|
| レポート定義の実行 | レポート サーバーにパブリッシュせずにレポートを実行します。 |
| レポート サーバーのプロパティを表示 | アプリケーション名、個人用レポートが有効かどうか、レポート履歴の既定値など、レポート サーバーに適用されるプロパティを表示します。 このタスクを システム ユーザー の役割から削除した場合、[サイトの設定] ページは使用できません。 また、アプリケーション タイトルは各ページの上部には表示されません。 既定では、レポート マネージャーのタイトルは "SQL Server Reporting Services" です。 |
| 共有スケジュールの表示 | レポートの実行または更新に使用する共有スケジュールを表示します。 システム ユーザー ロールからこのタスクを削除した場合、ユーザーはサブスクリプションやその他のスケジュールされた操作で使用する共有スケジュールを選択できません。 |
システム ユーザー ロールを使用して、既定のセキュリティを補完できます。 このロールは、レポート サーバーへのアクセスをレポート ユーザーに許可する新しいロールの割り当てに含めることができます。 詳細については、「 ネイティブ モードのレポート サーバーに対する権限の付与」を参照してください。
こちらもご覧ください
ロールの作成、削除、または変更 (Management Studio)
レポート サーバーへのユーザー アクセス権の付与 (レポート マネージャー)
ロールの割り当てを変更または削除する (レポート マネージャー)
ネイティブ モードのレポート サーバーに対する権限の許可
タスクとアクセス許可