Reporting Services koristi bezbednost zasnovanu na ulogama (role-based security) da bi omogućio individualnim korisnicima ili grupama da obave određenu aktivnost. U sistemu gde je bezbednost zasnovana na ulogama, uloge (roles) se koriste za postavljanje grupa aktivnosti baziranim na funkcionalnim potrebama korisnika. Na primer, neki korisnici Reporting Services-a treba samo da pregledaju izveštaje, tako da su sve aktivnosti povezane sa pregledanjem stavki na Report Server-u organzovane u predefinisane uloge. Slično tome, drugim korisnicima treba omogućiti da objavljuju izveštaje, tako da su sve aktivnosti vezane za pregledanje, izdavanje i upravljanje izveštajima, organizovane u drugu predefinisanu ulogu.

Reporting Services ima 16 predefinisanih aktivnosti korisnika ili zadataka (tasks), i 9 predefinisanih sistemskih zadataka. Ovi zadaci obuhvataju sve što je potrebno administratoru Reporting Services-a. Ne možete napraviti niti obrisati zadatke. Određena lista zadataka koja može biti dodeljena ulozi poznata je kao derfinicija uloge (role definition). Reporting Services obezbeđuje 5 definicija uloga namenjene stavci i 2 sistemske definicije uloge. U Express verziji možete samo koristiti definisane uloge, dok u ostalim, komercijalnim verzijama moguće je vršiti modifikacije i kreiranje sopstvenih uloga.

Uloga namenjena stavci povezuje Microsoft Windows korisnika ili grupu, ulogu i samu stavku, kao što je izveštaj ili folder. Uloga namenjena stavci se koristi za postavljanje sigurnosti na nivou stavke kako bi se odredilo šta korisnici mogu da rade sa svakom stavkom. Uloga namenjena sistemu povezuje Windows korisnika ili grupu sa sistemskom ulogom. Uloga namenjena sistemu određuje ko može da izvede određene administrativne zadatke na Report Server-u, kao što je upravljanje planovima (ne mogu se koristiti u Express verziji).

Implementiranje bezbednosti na Report Server-u i njegovom sadržaju vrši se korišćenjem Report Manager-a (ili Microsoft SQL Server Management Studio ako se radi o komercijalnoj verziji). Da biste omogućili pristup ostalim korisnicima Report Server-u, morate dodeliti svakom korisniku, bilo individualno ili kao delu grupe, neku postojeću ulogu za stavke na Report Server-u sa kojima mogu da interaguju. Takođe ćete možda želeti da dodelite ulogu namenjenu sistemu drugim administratorima ili korisnicima ako im je potrebno da izvršavaju administrativne zadatke na Report Server-u.

Dodeljivanje uloga

U standardnom modelu bezbednosti, Reporting Services zahteva od korisnika da se autentifikuje od strane Windows operativnog sistema. Moguće je kreirati vlastita proširenja bezbednosti kada je potrebno koristiti drugačiji metod autentifikacije korisnika. Korišćenjem standardnog modela bezbednosti, morate koristiti postojeće lokalne ili domenske korisničke naloge u cilju dodeljivanja uloge. Možete dodeliti ulogu korisniku koji je takođe član grupe kojoj je dodeljena uloga za istu stavku. Reporting Services će koristiti dozvolu korisnika iz definicija uloge i iz uloge koja je dodeljena korisniku i iz uloge koja je dodeljena grupi.

Teorijski je moguće kreirati jednistvenu ulogu za jednog korisnika, za svaki izveštaj na serveru, ali je mnogo jednostavniji pristup postaviti dodeljenu ulogu na foldere. Stavke sadržane u obezbeđenom folderu, kao i sadržaji foldera koji su umetnuti, nasleđuju podešavanja bezbednosti od roditeljskog foldera. Možete prekinuti lanac nasleđivanja na bilo kom nivou, bilo da se radi o grani foldera ili izveštaju, resursu, izvoru podataka.

Reporting Services podrazumevano obezbeđuje 5 uloga koje će verovatno zadovoljiti Vaše bezbednosne potrebe. Browser je najrestriktivnija uloga i ograničava korisnika na navigaciju kroz hijerarhiju foldera i otvaranje izveštaja. Report Builder uloga ima iste dozvole kao i Browser, ali uključuje i mogućnost učitavanja definicija izveštaja sa servera u lokalnu instancu Report Builder-a. My Reports, podrazumeva da ste omogućili My Reports svojstvo na Report Server-u, dozvoljava korisnicima da upravljaju svojim izveštajima odvojeno od glavne hijerarhije foldera. Publisher dozvoljava korisnicima da dodaju sadržaj na Report Server. Content Manager, ima najširu ulogu, dozvoljava korisnicima da preuzmu vlasništvo nad stavkom, uključujući i mogućnost upravljanja bezbednošću. Ako ste član administratora lokalnog sistema na računaru na kojem je Report Server, automatski dobijate dozvole koje ima Content Manager uloga, što Vam daje mogućnost da postavite bezbednost.

Sledeća slika (tabela) pokazuje koji su zadaci podrazumevano omogućeni za svaku ulogu. Pojam manage u zadatku znači mogućnost da se dodaju, menjaju ili brišu stavke.



Sada ćete dodeliti ulogu za Home folder grupi AWSalesAnalyst.

1. Otvorite Report Manager u Internet Explorer i unesite adresu http://localhost/Reports.
2. Kliknite na Properties tab. Prikazaće se Security Properties strana za Home folder, kao što je na slici.
   
   
   
   
   
   Podrazumevano je za Home folder dodeljena uloga Content Manager, što znač da je lokalna grupa administratora sistema, BUILTIN\Administrators, dodeljena.
3. Kliknite na New Role Assignment na Report Manager toolbar-u. Prikazaće se New Role Assignment strana. Kod komercijalnih verzija svaka uloga je na strani prikazana kao link, tako da klikom na njega se otvara Edit Role strana u kojoj se može izmeniti definicija uloge čekiranjem ili dečekiranjem određenog zadatka (task).
4. Kliknite na Cancel.
5. U Group Or User Name boks unesite AWSalesAnalyst. AWSalesAnalyst je Windows grupa koju ste ranije dodali u lokalne grupe na Vašem računaru.
6. Čekirajte Browser kako biste izabrali ovu ulogu. Korisniku ili grupi možete dodeliti više uloga. Ako čekirate Role check boks koji je iznad liste uloga, čekiraćete sve uloge jednim klikom.
   
   
   
   
   
   U komercijalnim verzijama na ovoj strani se nalazi i New Role dugme, a klikom na njega možete dodati neku drugu ulogu.
   
7. Kliknite na OK. Prikazaće se Security Properties strana Home foldera.
   
   
   
   

Sada AWSalesAnalyst grupa ima pristup svim folderima i izveštajima, zato što je svaki folder i izveštaj umetnut u Home folder, pa nasleđuju svojstva vezana za sigurnost od Home folder-a.

Sada ćete dodeliti za Home folder grupu AWSalesDirector.

1. Na Properties strani Home folder-a, kliknite na New Role Assignment Report Manager toolbar-u.
2. U Group Or User Name boks unesite AWSalesDirector. AWSalesDirector je Windows grupa koju ste ranije dodali u lokalne grupe na Vašem računaru.
3. Čekirajte Content Manager da biste izabrali ovu ulogu.
4. Kliknite na OK. Prikazaće se Security Properties strana Home folder-a.
   
   
   
   
   
   

Sada grupa AWSalesDirector može izvesti svaki zadatak koji je dodeljen ulozi Content Manager za bilo koji folder i njegov sadržaj na Report Server-u.

Primena bezbednosti na stavke

Kada primenite bezbednost na folder, stavke koje su u tom folderu i umetnuti folderi nasleđuju ista podešavanja bezbednosti. Ako ste oduzeli mogućnost gledanja izveštaja ili neke druge stavke, korisnik neće videti tu stavku čak ni na Contents strani. Kada je god to moguće, organizujte sadržaj po folderima tako da iskoristite ovu funkcionlanost i minimizujete potrebu za upravljanjem bezbodnbosti za svaku stavku pojedinačno. Kod izuzetaka od pravila, možete prepisati (pregaziti) bezbednost stavki određivanjem uloga za izveštaje, resurse ili izvore podataka. Ako prepišete bezbednost na nekoj stavci, imate mogućnost da vratite podešavanja bezbednosti na ona koja koristi roditeljski folder.
Sada ćete ograničiti pristup Adventure Works Bikes folderu, uklanjanjem postavljene uloge za grupu AWSalesAnalyst.

1. Na Security Properties strani Home foldera u Report Manager-u, kliknite na Contents tab.
2. Kliknite na Adventure Works Bikes folder, kliknite na Properties tab, i onda kliknite na Security link. Prikazaće se Security Properties strana Adventure Works Bikes foldera.
   
   
   
   
   
   Iste uloge se pojavljuju zato što je ovaj folder umetnut u Home folder.
   
   
3. Kliknite na Edit Item Security. Prikazaće se upozorenje.
   
   
   
   
   
   Ova poruka je potsetnik, da ako nastavite, Adventure Works Bikes folder neće više imati nasleđena podešavanja bezbednosti od Home foldera.
   
   
4. Kliknite na OK. Prikazaće se Security Properties strana Adventure Works Bikes foldera.
   
   
   
   
   
   Možete primetiti da se novo dugme, Revert To Parent Security, pojavilo na Report Manager toolbar-u. Ako promenite mišljenje vezano za podešavanja bezbednosti Adventure Works Bikes foldera, korišćenjem ovog dugmeta možete vratiti podešavanja bezbednosti na roditeljski folder, Home.
   
   
5. Čekirajte AWSalesAnalyst, i onda kliknite na Delete na Report Manager toolbar-u.
6. Kliknite na OK da biste potvrdili brisanje. AWSalesAnalyst uloga više nema pristup Adventure Works Bikes folderu, ali i dalje ima pristup svim ostalim folderima.
7. Zatvorite Internet Explorer.
8. Kliknite na Start, idite na All Programs, desnim klikom kliknite na Internet Explorer, a onda izaberite Run As.
9. Izaberite Following User, a onda unesite SalesAnalyst za korisnika i SalesAnalyst za šifru.
10. Otvorite Report Manager koji je na adresi http://localhost/Reports. Prikazaće se Home strana kao na slici.
    
    
    
    
    
    Zapazite da Adventure Works Bikes folder više nije vidljiv za SalesAnalyst korisnika. Takođe, možete zapaziti da Properties tab nije omogućen za Home folder. Članovi AWSalesAnalyst grupe nemaju pristup Site Settings linku, pošto je Browser uloga limitirana na foldere i izveštaje.
    
    
11. Zatvorite Internet Explorer.

Primena bezbednosti sistema

Uloga namenjena sistemu dozvoljava izabranim korisnicima ili grupi da izvodi administrativne zadatke koji su nezavisni od upravljanja sadržajem na serveru. Sistemske uloge omogućuju pristup samo aktivnostima servera. Ako je korisniku dodljena sistemska uloga, ali mu nije dodeljena uloga na nivou stavki i nije lokalni administrator sistema, taj korisnik ne može videti sadržaj na Report Server-u.

Kao mera zaštite, lokalni administratori sistema mogu uvek da pristupe Report Server-u da bi promenili podešavanja sajta. Na ovaj način, ako neko slučajno ili namerno isključi sve korisnike, lokalni administrator može da resetuje bezbednost. Međutim, u slučajevima kada treba da ograničite, lokalnom administratoru sistema da otvori poverljiv izveštaj, morate implementirati sigurnost na nivou podataka što ćete naučiti malo kasnije.

Reporting Services ima dve podrazumevane sistemske uloge koje možete koristiti bez menjanja ili ih proširiti radi Vaših potreba. System User uloga, podrazumevano dozvoljava pristup Site Settings strani tako da članovi ove uloge mogu videti svojstva servera i deljene planove (schedules). Svakom korisniku kojem je potrebno da koristi deljene planove za izvršavanje izveštaja ili da kreira “pretplate”, mora biti dodeljena ova uloga. Podrazumevani zadaci za System Administrator ulogu uključuju ne samo upravljanje serverom i deljenim planovima, već i upravljanje pokretanjem poslova, ulogama namenjenih sistemu i definicijama uloga.
Na seldećoj slici (tabeli) možete videti koji su zadaci omogućeni za koju ulogu u sistemu.


Sada ćete AWSalesAnalyst grupi dodeliti novu ulogu baziranu na System User ulozi sa dozvolom da pregleda deljene planove za izvršavanje upita.

1. Otvorite Report Manager u Internet Explorer koji je na adresi http://localhost/Reports
2. Kliknite na Site Settings link u desnom gornjem uglu Home strane.
   Svako ko ima dodeljenu sistemsku ulogu koja uključuje pregled ili upravljanje svojstvima Report Server-a imaće Site Settings link na svakoj strani u Report Manager-u.
3. Kliknite na Configure Site-Wide Security link. Prikazaće se System Role Assignments strana.
   
   
   
   
   
   Podrazumevana uloga namenjena sistemu koja je dodeljena grupi lokalnih administratora sistema, BUILTIN\Administrators, je System Administrator. Uvek Vam treba najmanje jedna dodeljena uloga System Administrator.
   
   
4. Kliknite na New Role Assignment na Report Manager toolbar-u.
5. U Group Or User Name boks unesite AWSalesAnalyst.
6. Čekirajte System User. Vaš prozor izgleda kao na slici.
   
   
   
   
   
   
7. Kliknite na OK. System Role Assignments strana izgleda kao na slici.
   
   
   
   

Sada grupa AWSalesAnalyst može koristiti deljene planove sa izveštajima kojima može da pristupa, definisanim na nivou stavki.

• Korišćenje Report Server bezbednosti 1

• Korišćenje Report Server bezbednosti 2