Занятие 3. Установка разрешений на отдельные элементы
Добавления: 17 июля 2006 г.
Можно создавать назначения ролей, которые предоставляют разрешения на конкретные элементы, расположенные во вложенных файлах в иерархии папок сервера отчетов. Настройка безопасности зависит от того, как пользователи будут получать доступ к этим элементам: через диспетчер отчетов или URL-адрес, который указывает на данный элемент.
- Для доступа к отчету через URL-адрес можно создать назначение ролей для отчета. Отчет будет отображаться в окне обозревателя при переходе по URL-адресу. Поскольку доступ разрешен только к отчету, но не к родительским папкам, в URL-адресе должен быть указан полный путь к папке данного отчета. Если отчет в качестве источника данных использует модель, она также должна быть указана в URL-адресе, а разрешение на просмотр модели должно быть указано заранее, чтобы отчет можно было запустить. Дополнительные сведения о доступе через URL-адрес см. в разделе Using a URL to Access Report Server Items.
- Для доступа к элементам через диспетчер отчетов (когда элементы отображаются на веб-страницах диспетчера) необходимо указать разрешения только на просмотр для каждой папки по пути навигации, а также разрешения для конкретного элемента. Таким образом пользователь сможет найти отчет в структуре папок диспетчера отчетов. Если пользователь не обладает необходимыми разрешениями, то он увидит только пустые страницы и не сможет найти нужный отчет, модель, общий источник данных или ресурс.
Это занятие посвящено созданию нового определения роли (которое используется только для просмотра папки), а также настройке с его помощью разрешений на просмотр папок в образце отчета. В учебнике показана настройка разрешений, обладая которыми пользователь может перемещаться по папкам и просматривать отчет в диспетчере отчетов, но не может при этом подключаться к прочим элементам в иерархии папок.
Как и на предыдущем занятии, для настройки разрешений используется среда SQL Server Management Studio. Результат работы можно проверить в диспетчере отчетов.
Чтобы завершить занятие, необходимо наличие доменной учетной записи, для которой будут предоставляться разрешения. Учетная запись должна иметь разрешения db_reader для образца базы данных AdventureWorks. Учетная запись пользователя не должна быть членом группы безопасности, у которой уже есть разрешения для сервера отчетов. Назначение ролей является совокупным действием. Если у пользователя уже есть более общие разрешения на просмотр содержимого на сервере отчетов, то более частные ограничения не подействуют.
Если доменная учетная запись отсутствует, необходимо создать локальную учетную запись специально для работы с учебником. В конце обучения можно будет войти в систему под именем этого пользователя и проверить доступность элементов, на которые установлены разрешения. Сведения о создании имени входа SQL Server или локальной учетной записи см. в занятии Занятие 1. Настройка разрешения в данном учебнике. Это занятие — часть другого учебника, однако с его помощью можно научиться создавать учетные записи.
Создание определения роли для перемещения по папкам
В среде Management Studio соединитесь с сервером отчетов и разверните папку сервера отчетов.
Откройте папку «Безопасность».
Щелкните правой кнопкой мыши папку «Роли» и выберите пункт Создать роль. Откроется диалоговое окно Создание роли.
В поле Имя введите Перемещение по папкам.
В поле Задача введите Просмотр папок.
Чтобы закрыть диалоговое окно, нажмите кнопку OK.
Создание назначений ролей для перемещения по папкам
Щелкните правой кнопкой мыши «Домой» и выберите Свойства.
Нажмите кнопку Добавить группу или пользователя.
Введите имя доменной учетной записи, которой необходимо присвоить разрешение на перемещение по папкам. Учетные записи указываются в следующем формате: домен\пользователь. Учетная запись должна находиться в этом же домене или в доверенном домене.
Чтобы закрыть диалоговое окно Добавить группу или пользователя, нажмите кнопку ОК.
На странице разрешений для вновь добавленного пользователя выберите задачу Навигация по папкам.
Чтобы закрыть диалоговое окно, нажмите кнопку OK.
Эти разрешения являются наследуемыми, поэтому нет необходимости повторять эти шаги для дополнительных папок. Пользователь получит разрешения на просмотр всех папок в иерархии сервера отчетов.
Создание назначений ролей для отчета
В корневой папке откройте папку образцов отчетов AdventureWorks.
Щелкните правой кнопкой мыши Company Sales и выберите Свойства.
Нажмите кнопку Разрешения.
Установите флажок Использовать эти роли для каждой учетной записи группы или пользователя.
Нажмите кнопку Добавить группу или пользователя.
Введите имя доменной учетной записи, которой необходимо присвоить разрешение на просмотр отчета.
Чтобы закрыть диалоговое окно Добавить группу или пользователя, нажмите кнопку ОК.
На странице разрешений выберите для учетной записи роль Обозреватель.
Чтобы закрыть диалоговое окно, нажмите кнопку OK.
Следующие шаги
Назначение роли на уровне элемента для конкретного отчета успешно создано. Пользователь получил разрешение открывать папки и просматривать один отчет. Остальные элементы для него невидимы. Для проверки попросите пользователя открыть диспетчер отчетов и посмотреть отчет.
Если используется локальная учетная запись, созданная в целях тестирования, щелкните правой кнопкой мыши значок обозревателя Microsoft Internet Explorer, выберите Выполнить как, Следующий пользователь, укажите тестовую учетную запись, затем введите URL-адрес диспетчера отчетов. Дополнительные сведения см. в разделе Как запустить диспетчер отчетов (диспетчер отчетов).
Данное занятие завершает учебник, посвященный настройке разрешений на сервере отчетов. Дополнительные сведения о безопасности см. в разделе Учебник. Применение фильтров безопасности к элементам модели отчета.
См. также
Задачи
Учебник. Установка разрешений в службах Reporting Services
Другие ресурсы
Поиск и просмотр отчетов с помощью обозревателя
Поиск и просмотр отчетов в диспетчере отчетов
Обеспечение безопасности служб Reporting Services
Управление разрешениями и безопасностью служб Reporting Services