Asignaciones de funciones

Artículo
12/15/2008

En Reporting Services, las asignaciones de funciones determinan el acceso a elementos almacenados y al servidor de informes en sí. Una asignación de funciones consta de las siguientes partes:

Un elemento que puede protegerse para el que desea controlar el acceso. Ejemplos de elementos que pueden protegerse son carpetas, informes y recursos.
Una cuenta de usuario o grupo que se pueda autenticar con seguridad de Windows u otro mecanismo de autenticación.
Definiciones de función que definen un conjunto de tareas. Algunos ejemplos de definiciones de función son Administrador del sistema, Administrador de contenido y Publicador.

Las asignaciones de funciones se heredan en la jerarquía de carpetas. La asignación de funciones que se ha definido para una carpeta se hereda automáticamente en todos los informes, orígenes de datos compartidos, recursos y subcarpetas que ésta contenga. Al definir asignaciones de funciones para elementos individuales, se puede reemplazar la seguridad heredada. Todas las partes de la jerarquía de carpetas deben estar protegidas por al menos una asignación de funciones. No puede crear un elemento no protegido ni manipular la configuración de tal manera que produzca un elemento no protegido.

El siguiente diagrama muestra una asignación de funciones que asigna un grupo y un usuario específico a la función Publicador para la carpeta B.

Diagrama de asignaciones de funciones

Asignaciones de nivel de sistema y de nivel de elemento

La seguridad basada en funciones en Reporting Services se organiza en los siguientes niveles:

Las asignaciones de funciones de nivel de elemento controlan el acceso a informes, carpetas, modelos de informe, orígenes de datos compartidos y recursos en la jerarquía de carpetas del servidor de informes. Estas asignaciones de funciones se definen cuando se crea una asignación de funciones para un elemento específico o la carpeta Inicio.
Las asignaciones de funciones del sistema autorizan operaciones cuyo ámbito abarca el servidor como un todo (por ejemplo, la capacidad de administrar trabajos es una operación de nivel de sistema). Una asignación de funciones del sistema no es equivalente a un administrador del sistema. No confiere permisos avanzados que concedan control total de un servidor de informes.

Una asignación de funciones del sistema no autoriza el acceso a elementos en la jerarquía de carpetas. La seguridad del sistema y la del elemento se excluyen mutuamente. Para cualquier usuario o grupo dado, puede ser necesario crear ambas asignaciones de funciones, de nivel del sistema y de nivel de elemento, para proporcionar acceso suficiente a un servidor de informes.

Usuarios y grupos en asignaciones de funciones

Las cuentas de usuario o grupo que especifique en asignaciones de funciones son cuentas de dominio. El servidor de informes hace referencia a usuarios y grupos de un dominio de Microsoft Windows (u otro modelo de seguridad si utiliza una extensión de seguridad personalizada), pero no los crea ni administra. El proceso de autenticación está controlado por los Servicios de Internet Information Server (IIS).

Entre todas las asignaciones de funciones aplicables a un elemento determinado, no puede haber dos que especifiquen el mismo usuario o grupo. Si una cuenta de usuario también forma parte de una cuenta de grupo y tiene asignaciones de funciones para ambas, el conjunto combinado de tareas para ambas asignaciones de funciones está disponible para el usuario.

Si se agrega un usuario a un grupo que ya forma parte de una asignación de funciones, deben restablecerse los Servicios de Internet Information Server (IIS) para que dicha asignación surta efecto para el usuario.