Atribuições de função

No Reporting Services, as atribuições de função determinam o acesso aos itens armazenados e ao próprio servidor de relatório. Uma atribuição de função tem as seguintes partes:

  • Um item protegível para o qual você quer controlar o acesso. Exemplos de itens protegíveis: pastas, relatórios e recursos.

  • Um usuário ou conta de grupo que a segurança do Windows ou outro mecanismo de autenticação pode autenticar.

  • As definições de função configuram um conjunto de tarefas permitidas e incluem:

    • Navegador
    • Gerenciador de Conteúdo
    • Meus Relatórios
    • Publicador
    • Construtor de Relatórios
    • Administrador do Sistema
    • Usuário do Sistema

As atribuições de função são herdadas dentro da hierarquia de pasta de forma automática por conter:

  • Relatórios
  • Fontes de dados compartilhadas
  • Recursos
  • Subpastas

Você pode substituir a segurança herdada definindo atribuições de função para itens individuais. Pelo menos uma atribuição de função deve proteger todas as partes da hierarquia de pastas. Você não pode criar um item desprotegido ou manipular as configurações de uma forma que produza um item desprotegido.

O diagrama a seguir demonstra uma atribuição de função que mapeia um grupo e um usuário específico para a função Publicador para a Pasta B.

Diagrama mostrando atribuições de função.

Atribuições de função de nível de sistema e de nível de item

A segurança com base em função no Reporting Services é organizada nos seguintes níveis:

  • Atribuições de função de nível de item controlam o acesso aos itens na hierarquia de pasta do servidor de relatório, como:

    • relatórios
    • pastas
    • modelos de relatório
    • fontes de dados compartilhadas
    • outros recursos
  • As atribuições de função do nível de item são definidas quando você cria uma atribuição de função em um item específico ou na pasta Base.

  • As atribuições de função de sistema autorizam as operações que estão no escopo do servidor como um todo. Por exemplo, a capacidade de gerenciar trabalhos é uma operação de nível de sistema. Uma atribuição de função de sistema não é o equivalente de um administrador de sistema. Ela não confere permissões avançadas que concedem controle total de um servidor de relatório.

Uma atribuição de função de sistema não autoriza o acesso aos itens na hierarquia de pastas. A segurança do sistema e do item é mutuamente exclusivas. Algumas vezes, pode ser necessário criar uma atribuição de função de nível de sistema e de item para fornecer acesso suficiente para um usuário ou grupo.

Usuários e grupos em atribuições de função

Os usuários ou contas de grupo que você especifica nas atribuições de função são contas de domínio. O servidor de relatório referencia, mas não cria nem gerencia, usuários e grupos de um domínio do Microsoft Windows (ou outro modelo de segurança caso você esteja usando uma extensão de segurança personalizada).

De todas as atribuições de função aplicáveis a um determinado item, não há duas que especifiquem o mesmo usuário ou grupo. Se uma conta de usuário também for membro de uma conta de grupo, e você tiver atribuições de função para ambas, o conjunto combinado de tarefas para essas duas atribuições estará disponível para o usuário.

Quando você adiciona um usuário ou grupo que já tem uma atribuição de função, é necessário redefinir o IIS (Serviços de Informações da Internet) para que a nova atribuição de função tenha efeito.

Atribuições de função predefinidas

Por padrão, as atribuições de função predefinidas são implementadas de modo a permitir que os administradores locais gerenciem o servidor de relatório. É possível adicionar outras atribuições de função para conceder acesso a outros usuários.

Para obter mais informações sobre as atribuições de função predefinidas que fornecem segurança padrão, consulte Funções predefinidas.