管理 Reporting Services 的權限和安全性
更新: 2006 年 12 月 12 日
SQL Server 2005 Reporting Services 使用以角色為基礎的授權和 Windows 驗證,來決定能夠執行作業及存取報表伺服器上之項目的人員。以角色為基礎的授權,將使用者或群組可以執行的動作集分類成角色。
所有使用者皆會與角色內容中的報表伺服器互動。可以為使用者指派不同項目的不同種類角色。例如,屬於某個報表之「內容管理員」角色成員的使用者可能是另一個報表之「瀏覽者」****角色的成員。系統會提供預先定義的角色,這些角色將相關的工作群組成邏輯單位。可用的某些角色範例包括「內容管理員」、「發行者」****和「瀏覽者」。您可以建立新角色或修改現有的角色,以自訂每個角色支援的工作。
角色定義可分為兩類。項目層級角色所描述的作業會影響透過報表伺服器資料夾階層存取的報表和其他項目。系統層級角色則描述資料夾階層範圍以外的作業。系統層級的作業包括建立和管理共用排程或存取報表產生器,這些是可以獨立於任何項目以外執行的作業。角色指派應結合使用項目層級和系統層級角色,提供一組完整的權限來存取報表伺服器資料夾階層和報表伺服器。
您所設定的角色指派將用於後續對報表伺服器的存取,無論使用何種工具或方法來存取伺服器。報表伺服器無論透過報表管理員、Management Studio、撰寫工具、URL 存取和透過其他應用程式以程式設計方式存取,都是由控制存取特定伺服器的角色指派來控制。
安全性設定會儲存在報表伺服器資料庫中。如果您在向外延展部署中設定多部報表伺服器,那麼在其中一個執行個體上定義的角色指派會儲存在共用資料庫中,提供給相同向外延展部署中的所有其他執行個體使用。
若要授與報表伺服器項目和作業的存取權,請遵循下列指導方針:
- 確認哪些使用者和群組需要存取報表伺服器,以及所存取的層級。多數使用者都應指派瀏覽者角色或報表產生器角色。發行者角色則應指派給較少數的使用者。只有非常少的使用者才應擁有內容管理員權限。
- 在 [主資料夾] (這是報表伺服器資料夾階層的最上層資料夾) 上,使用瀏覽者、發行者和內容管理員等預先定義的角色,為每個使用者或群組建立項目層級角色指派。
- 在站台層級,使用系統使用者和系統管理員等預先定義的角色,為每個使用者或群組建立系統層級角色指派。
若要瞭解如何定義角色指派,請參閱<教學課程:設定 Reporting Services 中的權限>。
.gif "ms156014.note(zh-tw,SQL.90).gif") 附註: |
|---|
| 如果您設定報表伺服器在 SharePoint 整合模式中執行,您必須在 SharePoint 網站上設定權限,授與報表伺服器項目的存取權。如需詳細資訊,請參閱<管理 SharePoint 網站上報表伺服器項目的權限和安全性>。 |
誰設定權限
一開始,只有屬於本機管理員群組成員的使用者可以建立角色指派或修改角色定義。Reporting Services 安裝時即會建立兩種預設角色指派,將項目層級和系統層級存取權授與本機管理員群組的成員。
本機管理員必須建立其他角色指派,讓其他使用者與群組帳戶能夠使用報表伺服器。本機管理員可以建立角色指派,讓其他使用者設定和管理權限。依預設,指派內容管理員和系統管理員角色的使用者可以管理其他使用者的權限。
若要定義角色與角色指派,請使用報表管理員或 Management Studio。如需指示,請參閱<教學課程:設定 Reporting Services 中的權限>。如需有關如何設定安全性的詳細資訊,請參閱<設定 Reporting Services 的安全性>。
Reporting Services 中的驗證
Reporting Services 透過以角色為基礎的安全性,提供授權模型,但是並不包含驗證元件。為了讓授權產生作用,基礎網路安全性必須可以驗證存取報表伺服器的使用者與群組。
驗證是透過報表伺服器之一部分的安全性延伸模組提供。預設安全性延伸模組使用 Windows 驗證,但是您若要透過表單驗證或其他驗證方案支援使用者登入,就可以建立自訂的驗證延伸模組。
| 附註: |
|---|
| 此章節中的主題假設您是使用 Windows 驗證,來建立存取報表伺服器之所有使用者的識別。Reporting Services 提供自訂驗證模型的支援。不過,您必須建立驗證延伸模組來支援它。如需詳細資訊,請參閱<Implementing a Security Extension>。 |
Windows 驗證
在報表伺服器上,是由 Internet Information Services (IIS) 執行透過預設 Windows 安全性延伸模組的驗證。您在角色指派中指定的使用者與群組帳戶,是透過 Active Directory 建立和管理。只能指定有效的帳戶。報表伺服器會定期確認使用者與群組帳戶的有效性。如果角色指派所指定的帳戶在 Active Directory 中已沒有定義,這些帳戶就會被移除。此動作會記錄成應用程式記錄檔裡的資訊訊息。
自訂驗證
Reporting Services 提供可延伸的架構,可以讓您以自訂的驗證延伸模組,取代預設的安全性。自訂驗證延伸模組用來幫報表伺服器驗證使用者。遠端電腦和外部資料來源的後續連接會使用 Windows 驗證,但是資料若是儲存在 SQL Server 資料庫中,則會使用 SQL Server 驗證。如果使用自訂驗證,它會影響外部資料來源的連接,在進行連接時需要您使用提示的認證或預存認證來存取資料。
本章節內容
- 角色指派
描述角色指派,這些角色指派控制使用者或群組存取報表伺服器上特定項目的方式。
- 安全性實體項目
描述透過角色指派保護的報表伺服器項目。
- 角色定義
說明工作如何積存為一組角色定義。您使用角色指派中的角色定義,來定義使用者可以執行的作業。
- Reporting Services 中的工作和權限
描述可以在報表伺服器上執行的所有工作。
- 最小安全性與本機管理員的存取權限
描述您必須要擁有的最小安全性層級,以及說明如何防止系統鎖定。
- 使用預設安全性
描述控制報表伺服器存取的預設角色指派和角色定義。
- 透過角色指派設定安全性
說明如何設定安全性以及提供自訂安全性的最佳作法。
請參閱
概念
管理 SharePoint 網站上報表伺服器項目的權限和安全性
SharePoint 整合模式的 Reporting Services 安全性概觀
設定 Reporting Services 的驗證
建立、修改與刪除角色定義
建立、修改與刪除角色指派
設定系統層級安全性
設定 Reporting Services 的安全性
整合式安全性和更高的權限