Управление разрешениями и безопасностью служб Reporting Services
Изменения: 12 декабря 2006 г.
Службы SQL Server 2005 Reporting Services используют авторизацию, основанную на ролях, и проверку подлинности Windows для определения того, кто может выполнять операции и обращаться к элементам на сервере отчетов. Основанная на ролях авторизация разбивает на категории (роли) множество действий, которые может выполнять отдельный пользователь или группа.
Все пользователи взаимодействуют с сервером отчетов в пределах контекста роли. Для различных элементов пользователю могут быть назначены различные типы ролей. Например, пользователь, являющийся членом роли Диспетчер содержимого для одного отчета, может быть членом роли Обозреватель для другого отчета. Предусмотрены предопределенные роли, которые группируют взаимосвязанные задачи в логические блоки. Примеры некоторых доступных ролей: Диспетчер содержимого, Издатель и Обозреватель. Можно создавать новые роли или изменять существующие для настройки задач, поддерживаемых ролями.
Определения ролей разбиты на две категории. Роли уровня элементов описывают операции, оказывающие влияние на отчет и другие элементы, доступ к которым осуществляется через иерархию папок сервера отчетов. Роли системного уровня описывают операции, выходящие за рамки иерархии папок. К примерам системных операций относятся создание и управление общими расписаниями или доступом к построителю отчетов, эти операции могут выполняться независимо от каких-либо элементов. Роли системного уровня и уровня элементов следует использовать совместно при назначении ролей, чтобы обеспечить полный набор разрешений как в иерархии папок сервера отчетов, так и на всем сервере отчетов.
Устанавливаемые назначения ролей используются в дальнейшем для доступа к серверу отчетов независимо от того, каким средством или методом осуществляется доступ к серверу. Доступ к серверу отчетов через диспетчер отчетов, среду Management Studio, средства создания, доступ по URL-адресу и программный доступ из других приложений контролируются через назначения ролей, которые управляют доступом к конкретному серверу.
Настройки безопасности хранятся в базе данных сервера отчетов. При настройке нескольких серверов отчетов для масштабного развертывания назначения ролей, определенные на одном экземпляре, хранятся в общей базе данных и используются всеми другими экземплярами, задействованными при масштабном развертывании.
Для предоставления доступа к элементам и операциям сервера отчетов следуйте приведенным ниже рекомендациям.
- Выясните, каким пользователям и группам требуется доступ к серверу отчетов и на каком уровне. Большинству пользователей следует назначить роль Обозреватель или роль Построитель отчетов. Меньшему числу пользователей следует назначить роль Издатель. И лишь очень малому числу пользователей стоит дать разрешение Диспетчер содержимого.
- В корневой папке (это папка самого верхнего уровня в иерархии папок сервера отчетов) создайте назначения ролей уровня элементов для каждого пользователя или группы с помощью стандартных ролей, таких как Обозреватель, Издатель и Диспетчер содержимого.
- На уровне веб-узла создайте назначения ролей системного уровня для каждого пользователя и группы с помощью стандартных ролей Системный пользователь и Системный администратор.
Сведения о том, как определять назначения ролей, см. в разделе Учебник. Установка разрешений в службах Reporting Services.
Примечание. |
---|
Если сервер отчетов настроен на работу в объединенном режиме SharePoint, необходимо установить разрешения на веб-узел SharePoint для предоставления доступа к элементам сервера отчетов. Дополнительные сведения см. в разделе Управление разрешениями и безопасностью элементов сервера отчетов на узле SharePoint. |
Кто устанавливает разрешения
Первоначально только пользователи, входящие в группу локальных администраторов, могут создавать или изменять назначения ролей. Службы Reporting Services устанавливаются с назначениями ролей по умолчанию для предоставления доступа на уровне элементов и на системном уровне членам группы локальных администраторов.
Локальный администратор должен создать дополнительные назначения ролей, чтобы к серверу отчетов могли обращаться пользователи и группы с другими учетными записями. Локальный администратор может создавать назначения ролей, которые позволяют другим пользователям устанавливать разрешения и управлять ими. По умолчанию пользователи, которым назначены роли Диспетчер содержимого и Системный администратор, могут управлять разрешениями других пользователей.
Определение ролей и назначений ролей выполняется в диспетчере отчетов или среде Management Studio. Инструкции см. в разделе Учебник. Установка разрешений в службах Reporting Services. Дополнительные сведения о настройке безопасности см. в разделе Обеспечение безопасности служб Reporting Services.
Проверка подлинности в службах Reporting Services
С помощью безопасности, основанной на ролях, службы Reporting Services предоставляют модель авторизации, но она не содержит компонента для проверки подлинности. Чтобы авторизация действовала, базовая система сетевой безопасности должна иметь возможность проверять подлинность пользователей и групп, обращающихся к серверу отчетов.
Проверка подлинности обеспечивается модулями безопасности, входящими в состав сервера отчетов. Модуль безопасности по умолчанию применяет проверку подлинности Windows, однако можно создать пользовательский модуль проверки подлинности, если необходима поддержка входа пользователей в систему с помощью проверки подлинности с помощью форм или какого-либо другого решения по проверке подлинности.
Примечание. |
---|
Подразделы в этом разделе предполагают, что для установления подлинности учетных данных всех пользователей, обращающихся к серверу отчетов, используется проверка подлинности Windows. Службы Reporting Services предоставляют поддержку пользовательских моделей проверки подлинности. Однако для их использования необходимо создать модуль проверки подлинности. Дополнительные сведения см. в разделе Implementing a Security Extension. |
Проверка подлинности Windows
На сервере отчетов проверка подлинности с помощью модуля безопасности Windows по умолчанию выполняется службами Internet Information Services (IIS). Учетные записи пользователей и групп, указываемые в назначениях ролей, создаются и управляются с помощью Active Directory. Указывать можно только действительные учетные записи. Сервер отчетов периодически проверяет действительность учетных записей пользователей и групп. Назначения ролей, где указаны учетные записи, в настоящее время не определенные в Active Directory, удаляются. Это действие регистрируется в файле журнала приложений как информационное сообщение.
Нестандартная проверка подлинности
Службы Reporting Services предоставляют открытую архитектуру, которая позволяет вместо проверки подлинности по умолчанию применять нестандартные модули проверки подлинности. Нестандартные модули проверки подлинности используются, чтобы установить подлинность пользователя для сервера отчетов. Соединения с удаленными компьютерами и внешними источниками данных используют проверку подлинности Windows или SQL Server, если данные хранятся в базе данных SQL Server. При использовании нестандартной проверки подлинности будут затронуты только соединения с внешними источниками данных, требующие использования запрашиваемых или сохраненных учетных записей для доступа к данным.
В этом разделе
- Назначение ролей
Описывает назначения ролей, управляющих тем, как пользователи и группы обращаются к конкретным элементам на сервере отчетов.
- Защищаемые элементы
Описывает элементы сервера отчетов, защищаемые с помощью назначений ролей.
- Определение ролей
Поясняет, как задачи сворачиваются в набор определений ролей. Определения ролей используются в назначениях ролей для определения того, какие операции может выполнять пользователь.
- Задачи и разрешения в службах Reporting Services
Описывает все задачи, которые можно выполнять на сервере отчетов.
- Низший уровень безопасности и разрешения доступа для локальных администраторов
Описывает минимальный уровень безопасности, которым должен обладать пользователь, и раскрывает способы предотвращения системных блокировок.
- Использование настроек безопасности по умолчанию
Описывает предопределенные назначения ролей и определения ролей, управляющих доступом к серверу отчетов.
- Настройка безопасности через назначение ролей
Поясняет, как следует настраивать безопасность, и содержит практические рекомендации по ее настройке.
См. также
Основные понятия
Управление разрешениями и безопасностью элементов сервера отчетов на узле SharePoint
Общие сведения о безопасности для служб Reporting Services в режиме интеграции с SharePoint
Настройка проверки подлинности для служб Reporting Services
Создание, изменение и удаление определений ролей
Создание, изменение и удаление назначений ролей
Настройка средств обеспечения безопасности на уровне системы
Обеспечение безопасности служб Reporting Services
Встроенные средства безопасности и повышенные разрешения
Другие ресурсы
Управление опубликованными отчетами и работа с ними