管理 Reporting Services 的权限和安全性
更新日期: 2006 年 12 月 12 日
SQL Server 2005 Reporting Services 通过基于角色的授权和 Windows 身份验证,确定哪些用户可以在报表服务器上执行操作和访问项。基于角色的授权将角色分为用户或组可以执行的操作组。
所有用户都在角色的上下文中与报表服务器进行交互。针对不同的项,可以为用户分配不同类型的角色。例如,某个用户可以是一个报表的内容管理员角色的成员,也可以是另一个报表的浏览者角色的成员。系统提供了将相关任务分为不同逻辑单元的预定义角色。可用的部分角色示例包括内容管理员、发布者和浏览者。您可以创建新的角色或修改现有的角色,以自定义每个角色支持的任务。
角色定义分为两类。项级角色说明影响报表以及通过报表服务器文件夹层次结构访问的其他项的操作。系统级角色说明文件夹层次结构范围之外的操作。系统范围内的操作示例包括创建和管理共享计划或访问报表生成器,这些操作的执行与任何项均无关系。在角色分配中项级角色和系统级角色应该一起使用,以提供对整个报表服务器文件夹层次结构和整个报表服务器的一整套权限。
不管使用什么工具或方法访问服务器,您设置的角色分配随后将用于对报表服务器的所有访问。通过报表管理器、Management Studio 和创作工具进行的报表服务器访问、URL 访问以及通过其他应用程序进行的编程访问都由角色分配(控制对特定服务器的访问)控制。
安全设置存储在报表服务器数据库中。如果在扩展部署中配置了多个报表服务器,则对一个实例定义的角色分配存储在共享数据库中,并由同一扩展部署中的所有其他实例使用。
若要授予对报表服务器项和操作的访问权限,请遵循下列原则:
- 明确需要访问报表服务器的用户和组以及访问级别。应该为大多数用户分配“浏览者”角色或“报表生成者”角色。应该为少量用户分配“发布者”角色。极少用户应拥有“内容管理员”权限。
- 在主文件夹(这是报表服务器文件夹层次结构的顶级文件夹)中,使用预定义的角色(例如“浏览者”、“发布者”和“内容管理员”)为每个用户或组创建项级角色分配****。
- 在站点级,使用预定义的角色“系统用户”和“系统管理员”****为每个用户和组创建系统级角色分配。
若要了解如何定义角色的分配,请参阅教程:在 Reporting Services 中设置权限。
.gif "ms156014.note(zh-cn,SQL.90).gif") 注意: |
|---|
| 如果已将报表服务器配置为在 SharePoint 集成模式下运行,则必须设置对 SharePoint 站点的权限以授予对报表服务器项的访问权限。有关详细信息,请参阅在 SharePoint 站点上管理报表服务器项的权限与安全性。 |
由谁设置权限
最初,只有本地管理员组成员的用户才可以创建角色分配或修改角色定义。Reporting Services 安装时拥有两个默认的角色分配,可对本地管理员组的成员授予项级和系统级访问权限。
本地管理员必须创建其他角色分配,才能让其他用户帐户和组帐户使用报表服务器。本地管理员可以创建允许其他用户设置和管理权限的角色分配。默认情况下,已分配有“内容管理员”和“系统管理员”角色的用户****可以管理其他用户的权限。
若要定义角色和角色分配,请使用报表管理器或 Management Studio。有关说明,请参阅教程:在 Reporting Services 中设置权限。有关如何配置安全性的其他信息,请参阅保护 Reporting Services。
Reporting Services 中的身份验证
通过基于角色的安全性,Reporting Services 提供了一种授权模型,但它并不包含身份验证组件。为了进行授权,基础的网络安全性必须能够对访问报表服务器的用户和组进行身份验证。
身份验证功能由报表服务器的安全扩展插件提供。默认的安全扩展插件使用 Windows 身份验证,但是如果您希望通过窗体身份验证或其他身份验证解决方案支持用户登录,也可以创建自定义身份验证扩展插件。
| 注意: |
|---|
| 本部分的主题假设您使用 Windows 身份验证为访问报表服务器的所有用户建立标识。Reporting Services 支持自定义身份验证模式。不过,您必须创建相应的身份验证扩展插件来支持该功能。有关详细信息,请参阅 Implementing a Security Extension。 |
Windows 身份验证
在报表服务器上,默认 Windows 安全扩展插件的身份验证由 Internet 信息服务 (IIS) 执行。在角色分配中指定的用户帐户和组帐户通过 Active Directory 创建和管理。只能指定有效的帐户。报表服务器会定期验证用户帐户和组帐户的有效性。对于在 Active Directory 中不再定义的帐户,指定这些帐户的角色分配将会删除。此操作将作为信息性消息记录到应用程序日志文件中。
自定义身份验证
Reporting Services 提供了可扩展的体系结构,该体系结构允许您使用自定义的身份验证扩展插件来替换默认安全性。自定义身份验证扩展插件用于为报表服务器验证用户身份。如果数据存储在 SQL Server 数据库中,那么随后与远程计算机和外部数据源连接时,将使用 Windows 身份验证或 SQL Server 身份验证。如果使用自定义身份验证,将会影响与外部数据源的连接,需要您使用提示或存储的凭据来访问数据。
本节内容
- 角色分配
介绍控制用户和组如何访问报表服务器上的特定项的角色分配。
- 安全对象
介绍通过角色分配设置安全性的报表服务器项。
- 角色定义
介绍不同的任务如何汇总为一系列的角色定义。您可使用角色分配中的角色定义来定义用户可以执行的操作。
- Reporting Services 中的任务和权限
介绍可以在报表服务器上执行的所有任务。
- 本地管理员的最低安全性和访问权限
介绍您必须具有的最低安全性级别,并解释如何防止系统锁定。
- 使用默认安全性
介绍控制对报表服务器的访问权限的预设角色分配和角色定义。
- 通过角色分配配置安全性
介绍如何配置安全性并提供自定义安全性的最佳方法。
请参阅
概念
在 SharePoint 站点上管理报表服务器项的权限与安全性
SharePoint 集成模式下的 Reporting Services 安全性概述
为 Reporting Services 配置身份验证
创建、修改和删除角色定义
创建、修改和删除角色分配
设置系统级安全性
保护 Reporting Services
集成安全性和提升权限