4
这是我的场景:我已经将SSRS 2008 R2与SharePoint 2010集成在一起运行。 一切正常,因为我可以创建数据源,模型(可以通过工作室或通过“生成模型”选项ECB用于报告库中的数据源)。我的数据源正在使用一个专用的SQL帐户和存储的凭据选项。我的模型专门隐藏了一些列,以便我的报表生成器3.0用户无法访问它们(请考虑这些敏感列)。SSRS在SharePoint集成模式和报告模型安全性 - 安全漏洞?
我发现的虽然是而用户无法编辑我的模型或数据源(他们只有读取权限),他们可以(从他们有贡献权限的另一个报表库)创建一个新的报告模型(来自SharEPoint),并简单地通过url到我在我的库中设置的报告数据源。一旦他们这样做了,他们最终会得到一个模型,它没有任何我在锁定模型中设置的隐藏列。这个模型也没有我已经应用的任何模型项目安全设置 - 这是一个全新的模型,只使用数据源。
所以这里是我的问题:微软意味着报告模型项目安全性可以用来防止用户访问模型中的某些实体(因此术语“报告模型项目安全性”)。 但是,如果用户只需使用自己创建的报表库中的SharePoint UI创建自己的模型,并指向它们必须具有读取访问权限的数据源(.rsds文件),那么这不是一种安全性缺陷?
你给你的用户直接读取你的数据库。他们可以简单地在Excel中导入整个数据库。安全漏洞在哪里?你明确地给了他们这样做的权利。 – 2012-08-24 18:52:46