Gestion des autorisations et de la sécurité de Reporting Services

Mis à jour : 12 décembre 2006

SQL Server 2005 Reporting Services utilise l'autorisation basée sur les rôles et l'authentification Windows pour déterminer qui est habilité à effectuer des opérations et à accéder aux éléments d'un serveur de rapports. L'autorisation basée sur les rôles catégorise en rôles l'ensemble des actions qu'un utilisateur ou groupe peut effectuer.

Tous les utilisateurs interagissent avec un serveur de rapports dans le contexte d'un rôle. Un utilisateur peut être affecté à différents types de rôles pour différents éléments. Par exemple, un utilisateur qui est membre du rôle Gestionnaire de contenu pour un rapport peut être membre du rôle Lecteur pour un autre rapport. Des rôles prédéfinis permettent de regrouper les tâches connexes en unités logiques. Parmi les rôles disponibles figurent les rôles Gestionnaire de contenu, Éditeur et Lecteur. Vous pouvez créer de nouveaux rôles ou modifier les rôles existants pour personnaliser les tâches prises en charge par chaque rôle.

Les définitions de rôles sont organisées en deux catégories. Les rôles au niveau élément décrivent les opérations qui affectent les rapports et les autres éléments qui sont accessibles par le biais de l'arborescence des dossiers du serveur de rapports. Les rôles au niveau système décrivent les opérations qui ne concernent pas l'arborescence des dossiers. En guise d'exemples d'opérations au niveau système, on peut citer la création et la gestion des planifications partagées, ou l'accès au Générateur de rapports, qui sont des opérations qui peuvent être effectuées indépendamment de tout élément. Les rôles au niveau élément et au niveau système doivent être utilisés conjointement dans les attributions de rôles en vue de fournir un ensemble complet d'autorisations sur l'arborescence des dossiers du serveur de rapports et sur le serveur de rapports.

Les attributions de rôles que vous définissez sont utilisées pour tous les accès ultérieurs au serveur de rapports, indépendamment de l'outil ou de l'approche utilisé pour accéder au serveur. L'accès au serveur de rapports par le biais du Gestionnaire de rapports, Management Studio, les outils de création, l'accès URL et l'accès par programme par le biais d'autres applications sont contrôlés par les attributions de rôles qui contrôlent l'accès à un serveur spécifique.

Les paramètres de sécurité sont stockés dans la base de données du serveur de rapports. Si vous configurez plusieurs serveurs de rapports au sein d'un déploiement évolutif, les attributions de rôles que vous définissez sur une instance sont stockées dans une base de données partagée et utilisées par toutes les autres instances du même déploiement évolutif.

Pour accorder l'accès aux éléments et aux opérations du serveur de rapports, suivez les instructions suivantes :

1. Identifiez les utilisateurs et les groupes qui doivent accéder au serveur de rapports, et à quel niveau. Le rôle Visiteur ou le rôle Générateur de rapports doit être attribué à la plupart des utilisateurs. Le rôle Serveur de publication doit être attribué à un nombre restreint d'utilisateurs. Les autorisations Gestionnaire de contenu ne doivent être attribuées qu'à un nombre très limité d'utilisateurs.
2. Dans le dossier de base (il s'agit du dossier de niveau supérieur de arborescence des dossiers du serveur de rapports), créez des attributions de rôles au niveau élément pour chaque utilisateur ou groupe qui utilise les rôles prédéfinis Visiteur, Serveur de publication et Gestionnaire de contenu.
3. Au niveau du site, créez une attribution de rôle au niveau système pour chaque utilisateur ou groupe qui utilise les rôles prédéfinis Utilisateur système et Administrateur système.

Pour savoir comment définir des attributions de rôles, consultez Didacticiel : Définition des autorisations dans Reporting Services.

Remarque :
Si vous avez configuré un serveur de rapports de telle sorte qu'il s'exécute en mode intégré SharePoint, vous devez définir des autorisations sur le site SharePoint de manière à accorder l'accès aux éléments du serveur de rapports. Pour plus d'informations, consultez Gestion des autorisations et de la sécurité pour les éléments de serveur de rapports sur un site SharePoint.

Qui définit les autorisations ?

Initialement, seuls les utilisateurs qui sont membres du groupe des administrateurs locaux peuvent créer des attributions de rôles ou modifier les définitions de rôles. Reporting Services est installé avec deux attributions de rôles par défaut qui accordent un accès au niveau élément et au niveau système aux membres du groupe des administrateurs locaux.

Un administrateur local doit créer des attributions de rôles supplémentaires pour rendre le serveur de rapports disponible pour les autres comptes d'utilisateur et de groupe. Un administrateur local peut créer des attributions de rôles qui autorisent d'autres utilisateurs à définir et à gérer les autorisations. Par défaut, les utilisateurs qui possèdent les rôles Gestionnaire de contenu et Administrateur système peuvent gérer les autorisations d'autres utilisateurs.

Pour définir les rôles et les attributions de rôles, utilisez le Gestionnaire de rapports ou Management Studio. Pour obtenir des instructions, consultez Didacticiel : Définition des autorisations dans Reporting Services. Pour plus d'informations sur le mode de configuration de la sécurité, consultez Sécurisation de Reporting Services.

Authentification Windows dans Reporting Services

Par le biais de la sécurité basée sur les rôles, Reporting Services fournit un modèle d'autorisation, mais ne comprend pas de composant d'authentification. Pour que l'autorisation fonctionne, la sécurité du réseau sous-jacent doit être capable d'authentifier les utilisateurs et les groupes qui accèdent au serveur de rapports.

L'authentification est fournie par l'intermédiaire d'extensions de sécurité qui font partie d'un serveur de rapports. L'extension de sécurité par défaut utilise l'authentification Windows, mais vous pouvez créer une extension d'authentification personnalisée si vous souhaitez prendre en charge les ouvertures de session utilisateur par le biais d'une authentification par formulaires ou d'une autre solution d'authentification.

Remarque :

Les rubriques de cette section reposent sur l'hypothèse que vous utilisez l'authentification Windows pour établir l'identité de tous les utilisateurs qui accèdent à un serveur de rapports. Reporting Services prend en charge les modèles d'authentification personnalisée. Toutefois, pour pouvoir en profiter, vous devez créer une extension d'authentification. Pour plus d'informations, consultez Implementing a Security Extension.

Authentification Windows

Sur un serveur de rapports, l'authentification par l'intermédiaire de l'extension de sécurité Windows par défaut est réalisée par Internet Information Services (IIS). Les comptes d'utilisateur et de groupe que vous spécifiez dans les attributions de rôles sont créés et gérés par le biais de Active Directory. Seuls des comptes valides peuvent être spécifiés. Un serveur de rapports vérifie régulièrement la validité des comptes d'utilisateur et de groupe. Les attributions de rôle spécifiant des comptes qui ne sont plus définis dans Active Directory sont supprimées. Cette action est consignée sous la forme d'un message d'information dans le fichier journal de l'application.

Authentification personnalisée

Reporting Services fournit une architecture extensible vous permettant de remplacer la sécurité par défaut par une extension d'authentification personnalisée. Vous utilisez les extensions d'authentification personnalisées pour authentifier les utilisateurs sur un serveur de rapports. Les connexions ultérieures aux ordinateurs distants et aux sources de données externes utilisent l'authentification Windows ou SQL Server si les données sont stockées dans une base de données SQL Server. Si vous utilisez une authentification personnalisée, les connexions aux sources de données externes en seront affectées. Vous devrez alors utiliser les informations d'identification demandées ou stockées pour accéder aux données.

Dans cette section

• Attributions de rôles
  Décrit les attributions de rôles qui contrôlent l'accès des utilisateurs ou des groupes à des éléments spécifiques sur un serveur de rapports.

• Éléments sécurisables
  Décrit les éléments du serveur de rapports qui sont sécurisés par le biais d'attributions de rôles.

• Définitions de rôles
  Explique comment les tâches sont combinées en un ensemble de définitions de rôles. Les définitions de rôles dans les attributions de rôles vous permettent de spécifier les opérations qu'un utilisateur peut réaliser.

• Tâches et autorisations dans Reporting Services
  Décrit toutes les tâches réalisables sur le serveur de rapports.

• Autorisations de sécurité et d'accès minimales des administrateurs locaux
  Décrit le niveau minimum de sécurité que vous devez mettre en place et explique comment éviter les verrouillages du système.

• Utilisation de la sécurité par défaut
  Décrit les attributions de rôles prédéfinies et les définitions de rôles qui contrôlent l'accès à un serveur de rapports.

• Configuration de la sécurité via des attributions de rôles
  Explique comment configurer la sécurité et indique les pratiques recommandées pour personnaliser la sécurité.

Voir aussi

Concepts

Gestion des autorisations et de la sécurité pour les éléments de serveur de rapports sur un site SharePoint
Vue d'ensemble de la sécurité pour Reporting Services en mode d'intégration SharePoint
Configuration de l'authentification pour Reporting Services
Création, modification et suppression de définitions de rôles
Création, modification et suppression d'attributions de rôles
Définition de la sécurité au niveau système
Sécurisation de Reporting Services
Sécurité intégrée et autorisations élevées

Autres ressources

Gestion et utilisation des rapports publiés

Aide et Informations

Assistance sur SQL Server 2005