Предоставление разрешений на сервер отчетов в собственном режиме
Службы SQL Server Reporting Services используют авторизацию, основанную на ролях, и подсистему проверки подлинности для определения того, кто может выполнять операции и обращаться к элементам на сервере отчетов. Основанная на ролях авторизация разбивает на категории (роли) множество действий, которые может выполнять отдельный пользователь или группа. Проверка подлинности основывается на встроенной проверке подлинности Windows либо в пользовательском модуле проверки подлинности, предоставленном пользователем. Можно использовать стандартные или настраиваемые роли с любым типом проверки подлинности.
Использование ролей для предоставления доступа к серверу отчетов
Все пользователи взаимодействуют с сервером отчетов в контексте роли, определяющей конкретный уровень доступа. Службы Reporting Services содержат стандартные роли, которые можно присвоить пользователям и группам, чтобы обеспечить немедленный доступ к серверу отчетов. Диспетчер содержимого, Издательи Браузер — примеры стандартных ролей. Каждой ролью определяется набор взаимосвязанных задач. Например, роль Издатель имеет разрешение на добавление отчетов и создание папок для хранения этих отчетов.
Назначения ролей обычно наследуются от родительского узла, однако можно прервать наследование разрешений, создав новое назначение ролей для конкретного элемента. Пользователь, являющийся членом роли Диспетчер содержимого для одного отчета, может быть членом роли Браузер для другого отчета.
Для предоставления доступа к элементам и операциям сервера отчетов следуйте приведенным ниже рекомендациям.
Ознакомьтесь со списком стандартных ролей и определите, допустимо ли использовать их без изменений. Если необходимо изменить набор задач для ролей или определить дополнительные роли, это следует сделать до назначения пользователям каких-либо ролей. Дополнительные сведения о каждой роли см. в разделе Предопределенные роли.
Выясните, каким пользователям и группам требуется доступ к серверу отчетов и на каком уровне. Большинству пользователей следует назначить роль Браузер или роль Построитель отчетов . Меньшему числу пользователей следует назначить роль Издатель . В роль Диспетчер содержимогодолжно быть включено весьма небольшое число пользователей.
Используйте диспетчер отчетов, чтобы присвоить роли, регламентирующие доступ к папке Home (папке верхнего уровня в иерархии папок сервера отчетов), каждому пользователю или группе, которым необходимо предоставить доступ.
На уровне сайта, с помощью страницы "Настройки сайта" в диспетчере отчетов, создайте назначения ролей системного уровня для каждого пользователя и группы с использованием стандартных ролей Системный пользователь и Системный администратор.
Если необходимо, создайте дополнительные назначения ролей для конкретных папок, отчетов и других элементов. Избегайте создания большого количества назначений ролей. Если их будет создано слишком много, станет сложно отследить различные уровни доступа для каждого пользователя.
Примечание
Если сервер отчетов настроен на работу в объединенном режиме SharePoint, необходимо установить разрешения на сайт SharePoint для предоставления доступа к элементам сервера отчетов. Дополнительные сведения см. в разделе Предоставление разрешений для элементов сервера отчетов на сайте SharePoint.
Кто устанавливает разрешения
Первоначально только пользователи, входящие в группу локальных администраторов, имеют доступ к серверу отчетов. Службы Reporting Services устанавливаются с двумя назначениями ролей по умолчанию, которые предоставляют доступ на уровне элементов и на уровне системы членам группы локальных администраторов. Локальные администраторы могут использовать эти встроенные назначения ролей для предоставления доступа к серверу отчетов другим пользователям и управления элементами сервера отчетов. Встроенные назначения ролей нельзя удалить. Локальному администратору всегда предоставлен полный доступ для управления экземпляром сервера отчетов.
Администрирование экземпляра сервера отчетов на локальном компьютере под управлением операционных систем Windows Vista или Windows Server 2008 требует дополнительной настройки. Дополнительные сведения см. в разделе Настройка сервера отчетов, работающего в основном режиме, для локального администрирования (SSRS).
Хранение разрешений
Назначения ролей и определения ролей хранятся в базе данных сервера отчетов. При использовании различных клиентских средств или программных интерфейсов доступ к серверу обеспечивается разрешениями, определяемыми для экземпляра сервера отчетов в целом. При настройке нескольких серверов отчетов для масштабного развертывания назначения ролей, определенные на одном экземпляре, хранятся в общей базе данных и используются всеми другими экземплярами, задействованными при масштабном развертывании. Поскольку назначения ролей хранятся вместе с элементами, доступ к которым ими определяется, можно переместить базу данных на другой экземпляр сервера отчетов, не потеряв ранее определенные разрешения.
Задачи и средства для управления разрешениями
Используйте следующие средства для управления определениями ролей и назначениями ролей.
Инструмент | Задания |
---|---|
Среда Management Studio — используется для просмотра, изменения, создания и удаления определений ролей. | Создание, удаление и изменение ролей (среда Management Studio) |
Диспетчер отчетов — используется для присвоения ролей пользователям и группам. | Предоставление пользователям доступа к серверу отчетов (диспетчер отчетов) Изменение или удаление назначения ролей (диспетчер отчетов) |
См. также:
Предопределенные роли
Предоставление разрешений для элементов сервера отчетов на сайте SharePoint
Проверка подлинности с использованием сервера отчетов
(create-and-manage-role-assignments.md)
Защита и обеспечение безопасности служб Reporting Services
Управление содержимым сервера отчетов (службы Reporting Services в собственном режиме)