Leçon 3 : définition des autorisations sur des éléments spécifiques
Vous pouvez créer des attributions de rôle qui accordent des autorisations à des éléments spécifiques situés dans les sous-dossiers de la hiérarchie de dossiers du serveur de rapports. La façon de définir la sécurité varie selon que les utilisateurs recherchent un élément via le Gestionnaire de rapports ou qu'ils y accèdent directement via une URL.
Pour un accès URL à un rapport, vous pouvez créer une attribution de rôle qui définit des autorisations directement sur ce rapport. Les utilisateurs qui cliquent sur l'URL visualisent le rapport dans une fenêtre du navigateur. Comme l'accès n'est autorisé que sur le rapport et pas sur les dossiers parents, l'URL doit inclure le chemin d'accès complet au dossier du rapport. Si le rapport utilise un modèle comme source de données, le modèle doit aussi être spécifié sur l'URL et les autorisations d'afficher le modèle doivent être définies à l'avance pour que le rapport s'exécute. Pour plus d'informations sur l'accès URL, consultez Utilisation d'une URL pour accéder à des éléments de serveur de rapports.
Pour l'accès à un élément via le Gestionnaire de rapports, où l'utilisateur parcourt les dossiers en recherchant l'élément qui l'intéresse, vous devez spécifier les autorisations d'affichage seul sur chaque dossier du chemin de navigation, ainsi que sur l'élément lui-même. Les utilisateurs peuvent ainsi ouvrir le Gestionnaire de rapports et cliquer parmi les dossiers pour trouver le rapport.
Notes
Sans les autorisations des dossiers, les utilisateurs verront une page vide et n'auront pas la possibilité d'accéder au rapport cible, au modèle, à la source de données partagée ou à la ressource.
Dans cette leçon, vous allez apprendre à créer une définition de rôle utilisée uniquement pour afficher un dossier, puis à l'aide de ce rôle spécifier les autorisations d'affichage sur les dossiers et sur un exemple de rapport. La création et la gestion d'une définition de rôle s'effectuent dans Management Studio ; par conséquent, pour terminer cette leçon, vous devrez utiliser cet outil en plus du Gestionnaire de rapports.
Pour vérifier les résultats de cette leçon, vous devez disposer d'un compte d'utilisateur ou de groupe de domaine pour lequel vous accordez des autorisations. Le compte doit avoir les autorisations db_reader sur l'exemple de base de données AdventureWorks. Le compte ne doit pas être membre d'un groupe de sécurité ayant déjà des autorisations sur le serveur de rapports. Les attributions de rôle se cumulent ; si un utilisateur possède déjà les autorisations les plus larges pour afficher le contenu d'un serveur de rapports, la définition d'autorisations plus restrictives sera sans effet.
Si vous ne disposez pas d'un compte de domaine, créez un compte d'utilisateur local que vous emploierez avec ce didacticiel. À la fin du didacticiel, vous pouvez ouvrir une session en tant que cet utilisateur pour vérifier que seuls les éléments sur lesquels vous définissez les autorisations sont accessibles à cet utilisateur. Si vous ne savez pas créer une connexion SQL Server ou un compte d'utilisateur local, consultez Leçon 1 : Configuration des autorisations pour ce didacticiel. La leçon appartient à un autre didacticiel, mais vous pouvez vous y référer pour apprendre à configurer des comptes.
Pour créer une définition de rôle afin d'accéder aux dossiers
Dans SQL Server Management Studio, connectez-vous à un serveur de rapports, puis développez le nœud du serveur de rapports.
Ouvrez le dossier Sécurité.
Cliquez avec le bouton droit sur le dossier Rôles, puis sélectionnez Nouveau rôle. La boîte de dialogue Nouveau rôle d'utilisateur s'affiche.
Dans la zone Nom, entrez Folder Navigation (Naviguer dans les dossiers).
Dans Tâche, sélectionnez Afficher les dossiers.
Cliquez sur OK.
Pour créer les attributions de rôle afin d'accéder aux dossiers
Ouvrez une fenêtre de navigateur, puis tapez l'URL du Gestionnaire de rapports pour démarrer l'application. Par exemple, http://[nom_serveur]/reports
Cliquez sur Accueil en haut de la page pour ouvrir la page d'accueil du Gestionnaire de rapports.
Cliquez sur le bouton Paramètres du dossier.
Cliquez sur Nouvelle attribution de rôle.
Dans Nom d'utilisateur ou de groupe, spécifiez le nom d'un compte d'utilisateur ou de groupe de domaine ayant besoin d'une autorisation pour naviguer parmi les dossiers. Spécifiez le compte sous ce format : domaine\utilisateur. Le compte doit être dans le même domaine ou dans un domaine approuvé.
Sélectionnez Folder Navigation (Naviguer dans les dossiers), le rôle que vous venez de créer.
Cliquez sur OK.
Comme les autorisations sont héritées, il n'est pas nécessaire que vous répétiez ces étapes sur les dossiers additionnels. L'utilisateur bénéficiera des autorisations d'affichage sur tous les dossiers de la hiérarchie du serveur de rapports.
Pour créer les attributions de rôle sur le rapport
Dans le dossier racine, ouvrez le dossier des exemples de rapports AdventureWorks.
Sélectionnez Company Sales, puis cliquez sur l'onglet Propriétés.
Cliquez sur Sécurité.
Cliquez sur Nouvelle attribution de rôle.
Dans Nom d'utilisateur ou de groupe, spécifiez un compte d'utilisateur de domaine ayant besoin de l'autorisation d'afficher le rapport.
Sélectionnez Navigateur.
Cliquez sur OK.
Étapes suivantes
Vous avez créé avec succès une attribution de rôle au niveau élément sur un rapport donné. L'utilisateur a l'autorisation d'ouvrir les dossiers et d'afficher un seul rapport. Aucun autre élément n'est visible par l'utilisateur. Pour vérifier votre travail, demandez à l'utilisateur d'ouvrir le Gestionnaire de rapports et d'accéder au rapport.
Cette leçon conclut le didacticiel consacré à la définition des autorisations sur un serveur de rapports. Pour en savoir plus sur la sécurité, consultez Didacticiel : Application de filtres de sécurité aux éléments de modèle de rapport.
Voir aussi