Rôles prédéfinis dans Reporting Services

S’applique à : SQL Server 2016 (13.x) Reporting Services et versions ultérieures Power BI Report Server

Reporting Services est installé avec des rôles prédéfinis que vous pouvez utiliser pour accorder l'accès aux opérations du serveur de rapports. Chaque rôle prédéfini décrit une collection de tâches associées. Vous pouvez assigner des groupes et des comptes d'utilisateurs à des rôles prédéfinis pour fournir l'accès immédiat aux opérations du serveur de rapports.

Utiliser des rôles prédéfinis

Examinez les rôles prédéfinis pour déterminer si vous pouvez les utiliser sans modification. Si vous devez ajuster les tâches ou définir d’autres rôles, vous devez les ajuster avant de commencer à affecter des utilisateurs à des rôles spécifiques. Pour créer ou modifier des rôles personnalisés, utilisez SQL Server Management Studio. Pour plus d’informations, consultez Créer, supprimer ou modifier un rôle (Management Studio).

Lorsque vous êtes prêt à attribuer des rôles, identifiez les utilisateurs et les groupes qui nécessitent l’accès et les privilèges au serveur de rapports. Vous devez attribuer à la plupart des utilisateurs le rôle Visiteur ou le rôle Générateur de rapports. Le rôle Éditeur ne doit être attribué qu’à un petit nombre d’utilisateurs. Le rôle Gestionnaire de contenu ne doit être attribué qu'à quelques utilisateurs.

Lorsque vous êtes prêt à attribuer des comptes d’utilisateurs et de groupes à des rôles spécifiques, utilisez le portail Web. Pour plus d’informations, consultez Accorder à un utilisateur l’accès à un serveur de rapports.

Définitions de rôles prédéfinis

Les rôles prédéfinis définissent les tâches qu’ils prennent en charge. Vous pouvez modifier ces rôles ou les remplacer par des rôles personnalisés.

Laportée définit les limites dans lesquelles les rôles sont utilisés. Les rôles au niveau élément fournissent des niveaux d'accès variés aux éléments du serveur de rapports et aux opérations qui affectent ces éléments. Les rôles au niveau élément sont définis sur le nœud racine (de base) et sur tous les éléments de l'arborescence des dossiers du serveur de rapports. Les rôles au niveau système autorisent l'accès au niveau du site. Les rôles au niveau élément et au niveau système sont mutuellement exclusifs mais sont utilisés ensemble pour fournir des autorisations complètes au contenu et aux opérations du serveur de rapports.

Le tableau suivant décrit la portée prédéfinie des rôles :

Rôle prédéfini Étendue Description
Rôle du Gestionnaire de contenu Article Gérez le contenu dans le serveur de rapports. Cet accès inclut des dossiers, des rapports et des ressources.
Rôle Serveur de publication Article Publiez des rapports et des rapports liés sur le serveur de rapports.
Rôle Lecteur Article Consultez les dossiers, les rapports et abonnez-vous aux rapports.
Rôle Générateur de rapports Article Consultez les définitions des rapports.
Rôle Mes Rapports Article Publiez des rapports et des rapports liés ; gérez les dossiers, les rapports et les ressources dans le dossier Mes rapports d’un utilisateur.
Rôle Administrateur système Système Afficher et modifier des attributions de rôles système, définitions de rôles système, propriétés système et planifications partagées, en plus de créer des définitions de rôle et gérer des tâches dans Management Studio.
Rôle Utilisateur système Système Afficher les propriétés système, planifications partagées et autoriser l’utilisation du Générateur de rapports ou d’autres clients qui exécutent les définitions de rapport.

Rôle Gestionnaire de contenu

Le rôle Gestionnaire de contenu est prédéfini et comprend des tâches qui permettent à un utilisateur de gérer des rapports et du contenu Web, sans nécessairement créer des rapports ni gérer un serveur Web ou une instance SQL Server. Un gestionnaire de contenu déploie des rapports, gère des connexions aux modèles de rapport et aux sources de données, et prend des décisions sur le mode d'utilisation des rapports. Toutes les tâches au niveau élément sont sélectionnées par défaut pour la définition de rôle Gestionnaire de contenu .

Le rôle Gestionnaire de contenu est souvent utilisé avec le rôle Administrateur système . Ces deux définitions de rôles fournissent un ensemble complet de tâches aux utilisateurs qui ont besoin d'un accès complet à tous les éléments se trouvant sur un serveur de rapports. Bien que le rôle Gestionnaire de contenu offre un accès complet aux rapports, modèles de rapports, dossiers et autres éléments au sein de la hiérarchie des dossiers, il ne permet pas d’accéder aux éléments de niveau site ni aux opérations. Des tâches telles que la création et la gestion des planifications partagées, la définition des propriétés de serveur et la gestion des définitions de rôles sont des tâches de niveau système qui sont incluses dans le rôle Administrateur système . Pour cette raison, vous devez créer une deuxième attribution de rôle au niveau site, permettant d’accéder aux planifications partagées.

Tâches du Gestionnaire de contenu

Le tableau suivant répertorie les tâches qui sont comprises dans le rôle Gestionnaire de contenu :

Tâche Description
Effectuer des commentaires sur les rapports Créer, afficher, modifier et supprimer des commentaires sur les rapports.
Lire les rapports Lire les définitions de rapport.
Créer des rapports liés Créer des rapports liés qui sont basés sur un rapport non lié.
Gérer tous les abonnements Afficher, modifier et supprimer un abonnement à un rapport, lié ou non, quel que soit le propriétaire de l'abonnement. Cette tâche prend en charge la création d’abonnements pilotés par les données. Elle prend également en charge la modification et l’exécution de l’actualisation planifiée pour les fichiers Power BI (.pbix) dans Power BI Report Server.
Gérer les commentaires Supprimer les commentaires d’autres utilisateurs sur les rapports.
Gérer les sources de données Créer et supprimer les éléments de source de données partagée, afficher et modifier les propriétés et le contenu des sources de données.
Gérer les dossiers Créer, afficher et supprimer des dossiers. Afficher et modifier des propriétés de dossier.
Gérer les abonnements individuels Créer, afficher, modifier et supprimer des abonnements - appartenant à des utilisateurs - à des rapports, liés ou non. Cette tâche prend également en charge la modification et l’exécution de l’actualisation planifiée pour les fichiers Power BI (.pbix) dans Power BI Report Server.
Gérer les modèles Créer, afficher et supprimer des modèles. Afficher et modifier des propriétés du modèle.
Gérer l'historique de rapport Créer, afficher et supprimer un historique de rapport, afficher et modifier des propriétés d’historique de rapport. Inclut également les paramètres d’affichage et de modification qui déterminent les limites de l’historique des instantané et la manière dont de la mise en cache fonctionne.
Gérer les états Ajouter et supprimer des rapports, modifier les paramètres de rapport, afficher et modifier les propriétés du rapport. Inclut également l’affichage et la modification des sources de données qui fournissent du contenu au rapport, l’affichage et la modification des définitions de rapports et définition des stratégies de sécurité au niveau du rapport.
Gestion des ressources Créer, modifier et supprimer des ressources. Afficher et modifier des propriétés de ressource.
Définir la sécurité pour des éléments individuels Définir des stratégies de sécurité pour les rapports, les rapports liés, les dossiers, les ressources et les sources de données. Pour plus d’informations, consultez Articles sécurisables.
Afficher les sources de données Afficher les éléments de source de données partagée dans la hiérarchie de dossiers.
Afficher les dossiers Affichez le contenu des dossiers et naviguez dans la hiérarchie des dossiers.
Afficher les modèles Afficher des modèles de l'arborescence des dossiers, utiliser des modèles comme sources de données pour un rapport et exécuter des requêtes sur le modèle pour récupérer des données.
Afficher les rapports Exécuter les rapports et afficher les propriétés de rapports.
Afficher les ressources Afficher les ressources et les propriétés des ressources.

Personnaliser le rôle du Gestionnaire de contenu

Ce rôle est destiné aux utilisateurs approuvés qui ont la responsabilité générale de la gestion et de la maintenance du contenu du serveur de rapports. Vous pouvez supprimer des tâches de cette définition, mais vous risquez d'introduire de l’ambiguïté dans ce qui peut être géré. Par exemple, la suppression de la tâche Afficher les rapports de cette définition de rôle empêche un Gestionnaire de contenu de consulter le contenu des rapports et de vérifier les modifications apportées aux paramètres et aux identifiants.

Le rôle Gestionnaire de contenu est utilisé dans la sécurité par défaut.

Rôle de serveur de publication

Le rôle Serveur de publication est une définition de rôle intégrée qui inclut des tâches permettant aux utilisateurs d’ajouter du contenu à un serveur de rapports. Ce rôle est prédéfini pour plus de commodité. Il n’est pas utilisé tant que vous n’avez pas créé des attributions de rôles qui l’incluent. Ce rôle est destiné aux utilisateurs qui créent des rapports ou des modèles dans le Concepteur de rapports ou le Générateur de modèles avant de les publier sur un serveur de rapports.

Attention

L'autorisation de publier des éléments sur un serveur de rapports doit être accordée uniquement à des utilisateurs approuvés. Le rôle Éditeur octroie un large éventail d’autorisations qui permettent aux utilisateurs de télécharger tout type de fichier sur un serveur de rapports. Si un rapport ou un fichier HTML téléchargé contient un script malveillant, tout utilisateur qui sélectionne le rapport ou le document HTML exécute le script sous ses identifiants.

Les définitions de rapport peuvent inclure des scripts et d’autres éléments qui sont vulnérables aux attaques par injection HTML lorsque le rapport est rendu au format HTML lors de l’exécution. Si un rapport publié contient un script malveillant, l’utilisateur qui exécute ce rapport peut accidentellement provoquer l’exécution du script lors de l’ouverture du rapport. Si l’utilisateur dispose d’autorisations élevées, le script est exécuté avec ces autorisations.

Pour réduire le risque que des utilisateurs exécutent accidentellement des scripts malveillants, limitez le nombre d'utilisateurs autorisés à publier du contenu. Assurez-vous également que les utilisateurs publient uniquement des documents et des rapports provenant de sources approuvées. Lorsque vous ne savez pas si une définition de rapport peut être publiée en toute sécurité, vous devez ouvrir le fichier .rdl dans un éditeur de texte et rechercher d’éventuelles balises de script. Des scripts malveillants peuvent être cachés dans des expressions et des URL (par exemple, une URL dans une action de navigation).

Tâches du serveur de publication

Le tableau ci-dessous répertorie les tâches qui sont comprises dans le rôle Serveur de publication :

Tâche Description
Créer des rapports liés Créer des rapports liés puis les publier dans un dossier de serveur de rapports.
Gérer les commentaires Supprimer les commentaires d’autres utilisateurs sur les rapports.
Gérer les sources de données Créer et supprimer les éléments de source de données partagée, afficher et modifier les propriétés et le contenu des sources de données.
Gérer les dossiers Créer, afficher et supprimer des dossiers ; afficher et modifier des propriétés de dossier.
Gérer les modèles Créer, afficher et supprimer des modèles de rapport ; afficher et modifier des propriétés de modèles de rapport.
Gérer les rapports Ajouter et supprimer des rapports, modifier les paramètres de rapport et afficher et modifier les propriétés de rapport. Inclut également l’affichage et la modification des sources de données qui fournissent du contenu au rapport, et l’affichage et à la modification des définitions de rapport.
Gestion des ressources Créer, modifier et supprimer des ressources ; afficher et modifier des propriétés de ressource.

Personnaliser le rôle Éditeur

Modifiez le rôle Serveur de publication en fonction de vos besoins. Par exemple, vous pouvez supprimer la tâche Créer des rapports liés si vous ne souhaitez pas que les utilisateurs puissent créer et publier des rapports liés. Vous pouvez également ajouter la tâche Afficher les dossiers afin que les utilisateurs puissent parcourir l’arborescence des dossiers lors de la sélection d’un emplacement pour un nouvel article.

Les utilisateurs qui publient des rapports à partir du Report Designer requièrent au minimum la tâche Gérer les rapports pour pouvoir ajouter un rapport sur le serveur de rapports. Veuillez inclure les tâches Gérer les sources de données et Gérer les ressources si l’utilisateur doit publier des rapports qui utilisent des sources de données partagées ou des fichiers externes. Si l’utilisateur doit également disposer de la capacité de créer un dossier au cours du processus de publication, vous devez également inclure la tâche Gérer les dossiers.

Rôle Lecteur

Le rôle Visiteur est un rôle prédéfini qui comprend des tâches utiles pour les utilisateurs qui affichent des rapports sans nécessairement les créer ou les gérer. Ce rôle fournit des capacités de base pour un usage conventionnel d'un serveur de rapports. Sans ces tâches, il pourrait être difficile pour les utilisateurs d’utiliser un serveur de rapports.

Le rôle Lecteur doit être utilisé avec le rôle Utilisateur système . Ces deux définitions de rôles fournissent un ensemble complet de tâches aux utilisateurs qui interagissent avec des éléments sur un serveur de rapports. Bien que le rôle Visiteur permette d’afficher les rapports, les modèles de rapports, les dossiers et d’autres éléments au sein de l’arborescence des dossiers, il ne permet pas d’accéder aux éléments de niveau site, tels que les planifications partagées, utiles lors de la création d’abonnements. Pour cette raison, vous devez créer une deuxième attribution de rôle au niveau site, permettant d’accéder aux planifications partagées.

Tâches navigateur

Le tableau ci-dessous décrit les tâches qui sont comprises dans la définition du rôle Navigateur :

Tâche Description
Effectuer des commentaires sur les rapports Créer, afficher, modifier et supprimer des commentaires sur les rapports.
Gérer les abonnements individuels Créer, afficher, modifier et supprimer des abonnements - appartenant à des utilisateurs - à des rapports, liés ou non, et créer des planifications pour ces abonnements.
Afficher les dossiers Affichez le contenu des dossiers et parcourez l’arborescence des dossiers.
Afficher les modèles Afficher des modèles de l'arborescence des dossiers, utiliser des modèles comme sources de données pour un rapport et exécuter des requêtes sur le modèle pour récupérer des données.
Afficher les rapports Exécuter un rapport et afficher les propriétés du rapport.
Afficher les ressources Afficher les ressources et les propriétés des ressources.

Personnaliser le rôle Navigateur

Modifiez le rôle Lecteur en fonction de vos besoins. Par exemple, vous pouvez supprimer la tâche Gérer les abonnements individuels si vous ne souhaitez pas prendre en charge les abonnements. Vous pouvez également supprimer la tâche Afficher les ressources si vous ne souhaitez pas que les utilisateurs voient les documentations et ressources d’accompagnement ou d’autres articles qui peuvent être chargés sur le serveur de rapports.

Ce rôle doit comprendre au minimum les tâches Afficher les rapports et Afficher les dossiers pour faciliter l’affichage et le parcours des dossiers. Vous ne devez pas supprimer la tâche Afficher les dossiers à moins de vouloir interdire le parcours des dossiers. Vous ne devez pas supprimer la tâche Afficher les rapports, sauf si vous souhaitez empêcher les utilisateurs de voir les rapports. Ces types de modifications suggèrent la nécessité d'une définition de rôle personnalisée appliquée sélectivement à un groupe spécifique d'utilisateurs.

Rôle Générateur de rapports

Le rôle Générateur de rapports est un rôle prédéfini qui comprend des tâches pour le chargement des rapports dans le Générateur de rapports et pour l'affichage et l'exploration de l’arborescence des dossiers. Pour créer et modifier des rapports dans Report Builder, vous devez disposer d’une attribution de rôle système comprenant la tâche Exécuter les définitions de rapport. Cette tâche est nécessaire pour traiter localement les rapports dans Générateur de rapports.

Tâches du Générateur de rapports

Le tableau ci-dessous décrit les tâches qui sont comprises dans la définition du rôle Générateur de rapports :

Tâche Description
Effectuer des commentaires sur les rapports Créer, afficher, modifier et supprimer des commentaires sur les rapports.
Lire les rapports Lire les définitions de rapport.
Gérer les abonnements individuels Créer, afficher, modifier et supprimer des abonnements - appartenant à des utilisateurs - à des rapports, liés ou non, et créer des planifications pour ces abonnements.
Afficher les dossiers Affichez le contenu des dossiers et parcourez l’arborescence des dossiers.
Afficher les modèles Afficher des modèles de l'arborescence des dossiers, utiliser des modèles comme sources de données pour un rapport et exécuter des requêtes sur le modèle pour récupérer des données.
Afficher les rapports Exécuter un rapport et afficher les propriétés du rapport.
Afficher les ressources Afficher les ressources et les propriétés des ressources.

Personnaliser le rôle Générateur de rapports

Modifiez le rôle Générateur de rapports en fonction de vos besoins. Les recommandations sont généralement les mêmes que pour le rôle Visiteur :

  • Supprimez la tâche Gérer les abonnements individuels si vous ne souhaitez pas prendre en charge les abonnements.
  • Supprimez la tâche Afficher les ressources si vous ne souhaitez pas que les utilisateurs voient les ressources.
  • Pour faciliter l’affichage et le parcours des dossiers, conservez les tâches Afficher les rapports et Afficher les dossiers.

La tâche la plus importante de cette définition de rôle est Consommer les rapports, qui permet à un utilisateur de charger une définition de rapport depuis le serveur de rapports en une instance locale de Report Builder. Si vous ne souhaitez pas prendre en charge cette tâche, supprimez cette définition de rôle et utilisez le rôle Visiteur pour prendre en charge l’accès général à un serveur de rapports.

Rôle Mes Rapports

Le rôle Mes Rapports est un rôle prédéfini qui inclut un ensemble de tâches qui sont utiles pour les utilisateurs de la fonctionnalité Mes Rapports. Cette définition de rôle inclut des tâches qui accordent aux utilisateurs des autorisations administratives sur le dossier Mes Rapports qui leur appartient.

Bien que vous puissiez choisir un autre rôle à utiliser avec la caractéristique Mes Rapports, vous devez en choisir un qui sert exclusivement à la sécurité de Mes Rapports. Pour plus d’informations, consultez Sécuriser Mes Rapports.

Tâches du rôle Mes Rapports

Le tableau ci-dessous répertorie les tâches qui sont comprises dans le rôle Mes Rapports :

Tâche Description
Effectuer des commentaires sur les rapports Créer, afficher, modifier et supprimer des commentaires sur les rapports.
Créer des rapports liés Créez des rapports liés basés sur des rapports stockés dans le dossier Mes rapports de l’utilisateur.
Gérer les commentaires Supprimer les commentaires d’autres utilisateurs sur les rapports.
Gérer les sources de données Créez et supprimez des éléments de sources de données partagées. Affichez et modifiez les propriétés et le contenu des sources de données.
Gérer les dossiers Créer, afficher et supprimer des dossiers. Afficher et modifier des propriétés de dossier.
Gérer les abonnements individuels Créer, afficher, modifier et supprimer des abonnements à des rapports, liés ou non.
Gérer l'historique de rapport Créer, afficher et supprimer l’historique des rapports, afficher les propriétés de l’historique des rapports. Inclut également les paramètres d’affichage et de modification qui déterminent les limites de l’historique des instantané et la manière dont de la mise en cache fonctionne.
Gérer les états Ajouter et supprimer des rapports, modifier les paramètres de rapport, afficher et modifier les propriétés du rapport. Inclut également l’affichage et la modification des sources de données qui fournissent du contenu au rapport, l’affichage et la modification des définitions de rapports et définition des stratégies de sécurité au niveau du rapport.
Gestion des ressources Créer, modifier et supprimer des ressources. Afficher et modifier des propriétés de ressource.
Afficher les sources de données Afficher les éléments de source de données partagée dans la hiérarchie de dossiers.
Afficher les dossiers Afficher le contenu des dossiers.
Afficher les rapports Exécutez des rapports stockés dans le dossier Mes rapports de l’utilisateur et affichez les propriétés des rapports.
Afficher les ressources Afficher les ressources et les propriétés des ressources.

Personnaliser le rôle Mes Rapports

Vous pouvez modifier ce rôle en fonction de vos besoins. Toutefois, vous devez conserver les tâches Gérer les rapports et Gérer les dossiers pour permettre une gestion de contenu de base. Ce rôle doit prendre en charge toutes les tâches d’affichage pour que les utilisateurs puissent voir le contenu des dossiers et exécuter les rapports qu’ils gèrent.

Bien que la tâche Définir la sécurité pour des articles individuels ne fasse pas partie de la définition de rôle par défaut, vous pouvez ajouter cette tâche au rôle Mes Rapports pour que les utilisateurs puissent personnaliser les paramètres de sécurité pour les sous-dossiers et les rapports.

Rôle d’administrateur système

Le rôle Administrateur système est un rôle prédéfini qui comprend des tâches utiles pour un administrateur qui a la responsabilité générale du serveur de rapports, mais pas nécessairement de son contenu.

Pour créer une attribution de rôle qui inclut ce rôle, utilisez la page Paramètres du site dans le portail Web ou faites un clic droit sur le rôle Administrateur système dans l’Explorateur d’objets de Management Studio.

Le rôle Administrateur système n’implique pas le même éventail complet d’autorisations qu’un administrateur local peut posséder sur un ordinateur. À la place, le rôle Administrateur système inclut les opérations qui sont effectuées au niveau du site et non au niveau de l’article. Pour les utilisateurs qui ont besoin d’accéder à la fois aux opérations à l’échelle du site et aux éléments stockés sur le serveur de rapports, créez une deuxième attribution de rôle dans le dossier Rôles qui inclut le rôle Gestionnaire de contenu. Ces deux définitions de rôles fournissent un ensemble complet de tâches aux utilisateurs qui ont besoin d'un accès complet à tous les éléments se trouvant sur un serveur de rapports.

Tâches de l’Administrateur système

Le tableau ci-dessous répertorie les tâches qui sont comprises dans le rôle Administrateur système :

Tâche Description
Exécuter les définitions de rapport Exécuter la définition d’un rapport sans le publier sur un serveur de rapports.
Gestion des travaux Afficher et annuler les travaux en cours d'exécution. Pour plus d’informations, consultez Gérer un processus en cours d’exécution.
Gérer les propriétés du serveur de rapports Afficher et modifier les propriétés qui s'appliquent au serveur de rapports et aux éléments gérés par le serveur de rapports.

Cette tâche permet le changement de nom du portail web, l'activation de Mes Rapports et la définition des paramètres par défaut de l'historique de rapport.
Gérer la sécurité du serveur de rapports Afficher et modifier des attributions de rôles au niveau du système
Gérer les rôles Créer, afficher, modifier et supprimer les définitions de rôles.

Les membres du rôle Administrateur système peuvent utiliser la page Paramètres du site pour gérer les rôles.
Gérer les planifications partagées Créer, afficher, modifier et supprimer les planifications partagées qui sont utilisées pour exécuter ou actualiser les rapports.

Le rôle Administrateur système est utilisé dans la sécurité par défaut.

Rôle Utilisateur système

Le rôle Utilisateur système est un rôle prédéfini qui comprend des tâches permettant aux utilisateurs d'afficher des informations de base sur le serveur de rapports. Il prend également en charge le chargement d'un rapport dans le Générateur de rapports. Le Générateur de rapports est une application cliente qui peut traiter un rapport indépendamment d'un serveur de rapports. La tâche Exécuter les définitions de rapport est destinée à être utilisée avec le Générateur de rapports. Si vous n’utilisez pas le Générateur de rapports, vous pouvez supprimer cette tâche du rôle Utilisateur système.

Le tableau ci-dessous répertorie les tâches qui sont comprises dans la définition du rôle Utilisateur système :

Tâches Utilisateur système

Tâche Description
Exécuter les définitions de rapport Exécutez un rapport sans le publier sur un serveur de rapports.
Afficher les propriétés du serveur de rapports Afficher les propriétés qui s'appliquent au serveur de rapports, telles que le nom de l'application, l'état d'activation du paramètre Mes Rapports ainsi que les paramètres par défaut de l'historique de rapport.

Si vous supprimez cette tâche du rôle Utilisateur système, la page Paramètres du site n’est pas disponible. Le titre de l’application n’est pas affiché dans la partie supérieure de chaque page. Par défaut, ce titre du portail web est « SQL Server Reporting Services ».
Afficher les planifications partagées Afficher les planifications partagées qui sont utilisées pour exécuter les rapports ou actualiser un rapport.

Si vous supprimez cette tâche du rôle Utilisateur système, les utilisateurs ne peuvent pas sélectionner les planifications partagées à utiliser avec les abonnements et autres opérations planifiées.

Le rôle Utilisateur système peut être utilisé pour compléter la sécurité par défaut. Vous pouvez inclure le rôle dans de nouvelles attributions de rôles qui étendent l'accès du serveur de rapports aux utilisateurs des rapports. Pour plus d’informations, consultez Accorder des autorisations sur un serveur de rapports en mode natif.