Управление доступом на основе прав

Оценить
(0 голоса)

Модель безопасности CRS включает набор привилегий, которые управляют доступом пользователей к различным объектам CRS, таким как папки и отчеты. Например, пользователь может иметь возможность просматривать отчет и планировать его запуск в определенное время, но не может обновлять данные или удалять экземпляры отчетов. В качестве другого примера можно представить систему CRS, где управленческий персонал имеет доступ ко всем папкам, персонал, занимающийся продажами, получает доступ только к папкам Sales (Продажи) и Inventory (Запасы на складе), а начальник отдела кадров (единственный из неуправленческого персонала) имеет доступ к папкам с отчетами по зарплате.

На заметку! В данной главе описываются права, касающиеся доступа к отчетам и папкам. Но кроме этого существуют еще и отдельные права на доступ к объектам, хранящимся в репозитории Crystal Reports Server; а также права на доступ к бизнес-представлениям (Business Views). Подробную информацию о репозитории можно найти в главе 17. Бизнес- представления рассматривались в главе 16.

Существует более 20 различных прав, которые можно устанавливать индивидуально при необходимости. Однако все эти индивидуальные права удобно объединены в группы с предопределенными уровнями доступа, что может существенно облегчить их администрирование. Эти уровни доступа установлены таким образом, что образуют несколько общих комбинаций прав в порядке возрастания возможностей доступа:

•    No Access (Нет доступа).

•    View (Просмотр).

•    Schedule (Планирование).

•    View On Demand (Просмотр по требованию).

•    Full Control (Полный контроль).

Эти права и уровни доступа могут устанавливаться как для отдельных пользователей и групп, так и для папок CRS, их подпапок и объектов в этих папках.

Одной очень важной концепцией, лежащей в основе системы безопасности CRS, является наследование. Пользователь может наследовать свои права от группы, подгруппа может наследовать права от своей родительской группы, и как пользователи, так и группы могут наследовать права от родительских папок. Групповое наследование более всего применимо, когда пользователи CRS объединены в группы в соответствии со своим положением в организации, как, например Sales, Marketing или Human Resources. Наследование прав родительской папки наиболее удобно, когда отчеты распределены по папкам в соответствии с внутренней структурой организации, например — Sales, Inventory и Vendors. Например, если право на удаление экземпляров представлено только группе Sales, это право наследуется каждым членом группы Sales и может также наследоваться подгруппой Sales под названием Sales Assistants. Если нужно, наследование прав от родительской папки для пользователя или группы может быть отключено с тем, чтобы явно определить права доступа для эт0£0 объекта. Как вы можете представить, наследование позволяет существенно сократить количество настроек, необходимых для управления доступом во всей системе CRS.

Другая важная концепция — это возможность предоставлять или отбирать права. Для каждого права может быть установлено значение Explicitly Granted (Явно предоставленное), Explicitly Denied (Явно отозванное) или Not Specified (Не указано). Используя эти значения, администратор может разрешить одному пользователю печатать отчеты, при этом запретить другому пользователю их обновлять. Если для права указывается значение Not Specified, данное право по умолчанию не будет предоставляться (если только оно не наследуется). Если право наследуется от одной родительской группы, но у другой родительской группы этого права нет, по умолчанию данное право опять-таки не будет предоставляться. Целью лишения прав по умолчанию является необходимость гарантировать, что никакому пользователю не будут выданы такие права, которые не были для него явно определены администратором на том или ином уровне.

Комбинация пользователь/группа, наследование и явная выдача и лишение прав представляет собой исключительно гибкую (правда, иногда запутанную) систему безопасности. Например, группе Everyone может быть явно отказано (Explicitly Denied) в праве на удаление объектов на уровне групп, так чтобы ни один пользователь не мог удалить из системы никакую папку или отчет. Для большинства папок и отчетов право на удаление объектов (Delete Objects) не определяется явно (то есть имеет значение Not Specified), а это значит, что оно наследуется как Denied (то есть как право, в котором отказано). Однако пользователю VP из группы Sales это право может быть явно предоставлено (Explicitly Granted) для папки Sales, так чтобы он смог удалять из нее старые, уже больше ненужные отчеты о продажах. А группе Administrators вообще может быть предоставлен полный набор прав (Full Control) на наивысшем уровне групп/пользователей, дающий ее членам возможность выполнять любые операции с любыми объектами, независимо от других настроек.

На заметку! В этой главе описываются процедуры установки прав доступа к существующим папкам и отчетам. О том, как добавить новые папки и отчеты, будет рассказываться далее в этой главе. Добавив дополнительные папки отчеты, выполните описанные ниже действия, чтобы установить права доступа к ним.

 

Установка прав
Установка прав уровня групп и пользователей
Установка прав уровня папок и объектов
Создание папок и добавление объектов
Создание папок и вложенных папок

Добавить комментарий


Защитный код
Обновить