Reporting Services の権限とセキュリティの管理
更新 : 2006 年 12 月 12 日
SQL Server 2005 Reporting Services では、ロールベースの承認および Windows 認証を使用して、操作の実行およびレポート サーバーのアイテムへのアクセスを行えるユーザーを決定します。ロールベースの承認では、ユーザーまたはグループが実行できる一連のアクションがロールに分類されます。
すべてのユーザーは、ロールのコンテキスト内でレポート サーバーと対話します。さまざまなアイテムに対するさまざまなロールに、ユーザーを割り当てることができます。たとえば、あるレポートのコンテンツ マネージャ ロールのメンバは、別のレポートの閲覧者ロールのメンバである可能性があります。定義済みロールには、論理単位で関連タスクがグループ化されます。コンテンツ マネージャ、パブリッシャ、閲覧者などは、使用できるロールの一例です。新しいロールを作成したり、既存のロールを変更して各ロールがサポートするタスクをカスタマイズすることができます。
ロールの定義は、2 つのカテゴリに分類されます。アイテムレベルのロールには、レポート サーバーのフォルダ階層からアクセスするレポートおよびその他のアイテムに影響を与える操作が記述されています。システムレベルのロールには、フォルダ階層の外部の領域での操作が記述されています。システム全体の操作には、共有スケジュールの作成と管理やレポート ビルダへのアクセスなどが含まれます。これらの操作は、アイテムとは無関係に実行できます。ロールの割り当てでアイテムレベルのロールおよびシステムレベルのロールを併用すると、レポート サーバーのフォルダ階層全体のすべての権限が提供されるため、レポート サーバーにアクセスできます。
設定したロールの割り当ては、レポート サーバーへのアクセスに使用されるツールや方法に関係なく、その後のレポート サーバーへのすべてのアクセスに使用されます。レポート マネージャ、Management Studio、作成ツール、URL アクセス、他のアプリケーションからのプログラムを使用したアクセスによるレポート サーバーへのアクセスは、特定のサーバーへのアクセスを制御するロールの割り当てによって制御されます。
セキュリティ設定はレポート サーバー データベースに格納されます。スケールアウト配置で複数のレポート サーバーを構成している場合、あるインスタンスで定義したロールの割り当ては共有データベースに格納され、同じスケールアウト配置内のその他すべてのインスタンスで使用されます。
レポート サーバーのアイテムおよび操作へのアクセスを許可するには、次のガイドラインに従います。
- レポート サーバーへのアクセス権を必要とするユーザーやグループ、およびそのレベルを特定します。閲覧者ロールまたはレポート ビルダ ロールには、大半のユーザーを割り当てる必要があります。パブリッシャ ロールには、少数のユーザーしか割り当てる必要はありません。コンテンツ マネージャの権限は、ごく限られたユーザーに許可する必要があります。
- [ホーム] フォルダ (レポート サーバーのフォルダ階層の最上位フォルダ) で、閲覧者、パブリッシャ、コンテンツ マネージャなどの定義済みロールを使用して、各ユーザーまたはグループにアイテムレベルのロールの割り当てを作成します。
- サイトレベルで、システム ユーザーおよびシステム管理者という定義済みロールを使用して、各ユーザーまたはグループにシステムレベルのロールの割り当てを作成します。
ロールの割り当てを定義する方法については、「チュートリアル : Reporting Services での権限の設定」を参照してください。
.gif "ms156014.note(ja-jp,SQL.90).gif") メモ : |
|---|
| SharePoint 統合モードで実行するようにレポート サーバーを構成した場合、SharePoint サイトに対する権限を、レポート サーバー アイテムへのアクセスを許可するように設定する必要があります。詳細については、「SharePoint サイトのレポート サーバー アイテムに関する権限とセキュリティの管理」を参照してください。 |
権限の設定者
初期状態では、ロールの割り当ての作成またはロールの定義の変更を実行できるのは、ローカルの Administrators グループのメンバであるユーザーだけです。Reporting Services は、ローカルの Administrators グループのメンバにアイテムレベルおよびシステムレベルのアクセスを許可する 2 つの既定のロールの割り当てと共にインストールされます。
ローカル管理者は、他のユーザー アカウントおよびグループ アカウントがレポート サーバーを使用できるように、追加のロールの割り当てを作成する必要があります。ローカル管理者は、他のユーザーに権限の設定と管理を許可するロールの割り当てを作成できます。既定では、コンテンツ マネージャ ロールおよびシステム管理者ロールに割り当てられたユーザーが他のユーザーの権限を管理できます。
ロールおよびロールの割り当てを定義するには、レポート マネージャまたは Management Studio を使用します。手順については、「チュートリアル : Reporting Services での権限の設定」を参照してください。セキュリティの構成方法の詳細については、「Reporting Services の保護」を参照してください。
Reporting Services での認証
ロールベースのセキュリティにより、Reporting Services では承認モデルが提供されますが、その中に認証コンポーネントは含まれていません。承認を機能させるには、レポート サーバーにアクセスするユーザーおよびグループの認証を、基盤となるネットワーク セキュリティで実行できる必要があります。
認証は、レポート サーバーの一部であるセキュリティ拡張機能により提供されます。既定のセキュリティ拡張機能では、Windows 認証を使用しますが、フォームの認証またはその他の認証ソリューションによるユーザー ログオンをサポートする場合は、カスタムの認証拡張機能を作成することができます。
| メモ : |
|---|
| ここでは、Windows 認証を使用して、レポート サーバーにアクセスするすべてのユーザーの ID を設定するものとします。Reporting Services では、カスタムの認証モデルをサポートします。ただし、これをサポートするには、認証拡張機能を作成する必要があります。詳細については、「セキュリティ拡張機能の実装」を参照してください。 |
Windows 認証
レポート サーバーでは、インターネット インフォメーション サービス (IIS) により、既定の Windows セキュリティ拡張機能による認証が行われます。ロールの割り当てで指定するユーザー アカウントとグループ アカウントは、Active Directory により作成および管理されます。有効なアカウントのみを指定できます。レポート サーバーでは、ユーザーおよびグループのアカウントの妥当性が定期的に確認されます。Active Directory の定義から外されたアカウントを指定しているロールの割り当ては削除されます。この処理は、情報メッセージとしてアプリケーション ログ ファイルに記録されます。
カスタム認証
Reporting Services が提供する拡張可能なアーキテクチャを使用すると、既定のセキュリティをカスタム認証拡張機能に置き換えることができます。カスタム認証拡張機能は、レポート サーバーに対してユーザーを認証するために使用されます。リモート コンピュータおよび外部データ ソースに対する後続の接続では、データが SQL Server データベースに格納されている場合は、Windows 認証または SQL Server 認証が使用されます。カスタム認証を使用すると、外部データ ソースへの接続に影響があり、データにアクセスするためには、資格情報の入力、または格納されている資格情報の使用が必要になります。
このセクションのトピック
- ロールの割り当て
ユーザーまたはグループがレポート サーバー上の特定のアイテムにアクセスする方法を制御するロールの割り当てについて説明します。
- セキュリティ保護可能なアイテム
ロールの割り当てによりセキュリティ保護されるレポート サーバー アイテムについて説明します。
- ロールの定義
タスクを一連のロール定義にまとめる方法について説明します。ロールの割り当てのロール定義を使用して、ユーザーが実行できる操作を定義します。
- Reporting Services のタスクと権限
レポート サーバーで実行できるすべてのタスクについて説明します。
- 最小セキュリティとローカル管理者のアクセス権限
最低限必要なレベルのセキュリティと、システムのロックアウトを回避する方法について説明します。
- 既定のセキュリティの使用
あらかじめ設定されているロールの割り当て、およびレポート サーバーへのアクセスを制御するロールの定義について説明します。
- ロールの割り当てを使用したセキュリティの構成
セキュリティの構成方法について説明し、セキュリティのカスタマイズの推奨構成例を示します。
参照
概念
SharePoint サイトのレポート サーバー アイテムに関する権限とセキュリティの管理
SharePoint 統合モードの Reporting Services のセキュリティ概要
Reporting Services の認証の構成
ロールの定義の作成、変更、および削除
ロールの割り当ての作成、変更、および削除
システムレベルのセキュリティの設定
Reporting Services の保護
統合セキュリティと高度な権限