Partager via


Autorisations et droits d'accès (SSAS)

Mis à jour : 12 décembre 2006

Dans Microsoft , les rôles autorisent les administrateurs à définir des niveaux de sécurité sur les objets d'une base de données Analysis Services pour différents utilisateurs et groupes Windows. Une autorisation unique par rôle peut être associée à chaque objet et un ou plusieurs droits d'accès peuvent être associés à chaque autorisation. De plus, un utilisateur ou un groupe Windows peut être associé à plusieurs rôles Analysis Services, ce qui vous permet de combiner des autorisations et des droits d'accès pour des modèles de sécurité complexes dans les applications de décisionnel.

Droits d'accès

Le tableau suivant décrit l'ensemble des droits d'accès disponibles pour les autorisations associées aux objets des bases de données Analysis Services.

Droit d'accès Description

Access

Permet d'accéder aux métadonnées d'un objet. Les types d'accès suivants sont pris en charge :

  • None interdit l'accès à l'objet.
  • Read permet aux membres du rôle de lire à partir de l'objet.
  • ReadContingent permet aux membres du rôle de lire une valeur de cellule à condition que l'utilisateur puisse accéder à toutes les cellules dont la valeur est dérivée. ReadContingent fournit un accès en lecture, Read, pour toute cellule spécifiée par cette autorisation qui n'est pas dérivée d'autres cellules.
    Par exemple, dans le cas où la valeur de la cellule Profit est calculée à partir de la valeur de la cellule Sales moins la valeur de la cellule Costs, un utilisateur peut uniquement lire la cellule Profit si l'accès à la cellule est défini à Read (ou à Write) pour les deux cellules Sales et Costs.
  • ReadWrite autorise les membres du rôle à lire l'objet et à écrire dans l'objet.

Administer

Indique si les membres du rôle peuvent administrer l'objet.

L'autorisation Administer donne aux membres du rôle accès à tous les objets contenus dans l'objet.

AllowBrowsing

Permet aux membres du rôle de parcourir les données dans un modèle d'exploration des données.

AllowDrillthrough

Accorde aux membres du rôle l'autorisation d'effectuer une extraction dans les données sous-jacentes à partir d'un modèle d'exploration de données.

AllowedSet

L'autorisation AllowedSet définit les membres d'un attribut qu'un membre du rôle peut visualiser. Par exemple, si le jeu autorisé dans [Customer].[CountryRegion] est {Canada}, les membres du rôle ont accès à toutes les provinces et les villes du Canada.

Pour une hiérarchie parent-enfant, les membres autorisés sont ceux définis par le jeu, ainsi que les ascendants de la hiérarchie parent-enfant qui existent avec ces membres. Si un membre de la hiérarchie parent-enfant ne fait pas partie d'un jeu autorisé, le rôle ne peut pas accéder à ses enfants, à l'exception des données membres. Les données membres restent accessibles car elles appartiennent à l'attribut clé de la dimension.

Si aucun jeu n'est défini pour l'autorisation AllowedSet, le jeu de tous les membres d'attribut est défini par défaut.

AllowPredict

Cette autorisation permet aux membres du rôle de prédire à partir du modèle d'exploration de données.

ApplyDenied

Détermine s'il est interdit de visualiser les membres de cet attribut qui existent avec d'autres membres explicitement refusés.

DefaultMember

L'autorisation DefaultMember définit le membre par défaut de la dimension. Celui-ci affecte les jeux de données renvoyés par les requêtes sur les cubes incluant la dimension. Lorsque la dimension n'est pas affichée sur un axe, par défaut le jeu de données est filtré (c'est-à-dire découpé) en utilisant le membre par défaut.

DeniedSet

L'autorisation DeniedSet définit les membres d'un attribut qu'un membre du rôle ne peut pas visualiser.

IsAllowed

Détermine si l'accès à tous les membres de l'attribut est autorisé, quels que soient les paramètres de niveau basés sur l'attribut.

Si la propriété IsAllowed a la valeur False pour l'attribut de granularité d'une dimension, la valeur VisualTotals affectée à un attribut de dimension génère des valeurs NULL pour tous ses membres. Pour les opérateurs unaires, lorsque VisualTotals a la valeur False, chaque membre est un cumul de tous ses enfants. Si VisualTotals a la valeur True, chaque membre est un cumul des enfants autorisés.

La valeur par défaut de cette propriété est True.

Process

L'autorisation Process pour un objet donne aux membres du rôle l'autorisation de traiter l'objet. Elle autorise également le traitement de tous les objets enfants de l'objet, sauf si cette autorisation est explicitement refusée sur un objet enfant. L'autorisation Process ne permet pas aux membres du rôle d'accéder aux données ou aux métadonnées de l'objet.

ReadDefinition

Indique si les membres du rôle peuvent lire les métadonnées qui définissent l'objet de l'autorisation. Ce paramètre de propriété est hérité par les objets contenus dans l'objet.

VisualTotals

L'autorisation VisualTotals pour les données de dimension définit la façon dont les données sont agrégées pour les attributs. Il s'agit d'une expression MDX qui renvoie True ou False. Si VisualTotals a la valeur False, les données sont agrégées sur tous les membres des attributs de la dimension, que les membres du rôle puissent ou pas les visualiser. Si VisualTotals a la valeur True, les données sont uniquement agrégées pour les membres de l'attribut de granularité de la dimension pour lesquels le rôle a l'accès en lecture. Par exemple, si Customer Name est l'attribut de granularité et que VisualTotals a la valeur True pour l'attribut City, chaque ville sera l'agrégation des données sur les clients auxquelles le rôle a un accès en lecture.

La valeur par défaut est False.

Autorisations

Le tableau suivant décrit les autorisations disponibles dans une base de données Analysis Services, ainsi que les droits d'accès gérés par chaque autorisation.

Autorisation Autorisations d'accès

Base de données

L'accès à la base de données définit l'accès aux objets et aux données d'une base de données Analysis Services.

Les droits d'accès disponibles incluent :

  • Administer
  • Process
  • Read Definition

Source de données

L'accès à la source de données définit l'accès aux sources de données d'une base de données Analysis Services.

Les droits d'accès disponibles incluent :

  • Access
    (None ou Read)
  • Read Definition

Cube

Créé au niveau du cube lors de l'affectation d'un rôle de base de données à un cube, un rôle de cube s'applique uniquement à ce cube. Les valeurs par défaut du rôle de cube proviennent du rôle de base de données de même nom, mais certaines de ces valeurs peuvent être écrasées. Un rôle de cube contient des options qui n'existent pas dans un rôle de base de données, par exemple la sécurité de cellule. Vous pouvez bénéficier d'une grande souplesse dans l'attribution des accès en lecture et en lecture/écriture à des parties de cubes. Vous pouvez ainsi spécifier quels membres de dimension et quelles cellules de cube un rôle peut afficher et mettre à jour.

Les droits d'accès disponibles incluent :

  • Access
    (None, Read ou Read/Write)
  • LocalCube/DrillthroughAccess
    (None, Drillthrough/Drillthrough and Local Cube)
  • Process

Cellule

L'accès aux données des cellules définit l'accès aux cellules d'un cube. Il existe trois types de cellules dans un cube :

  • Read
  • Read Contingent
  • Read/Write

La sécurité des cellules dans un cube est définie pour chaque type d'accès aux cellules via une expression MDX qui affecte True ou False à chaque cellule du cube. Toute valeur autre que zéro dans une expression numérique équivaut à True et zéro équivaut à False. L'accès est autorisé lorsqu'une expression correspond à True et refusé lorsqu'une expression correspond à False.

Les droits d'accès disponibles incluent :

  • Access
    (None, Read, Read Contingent ou Read/Write)

Dimension

Les propriétés d'accès à la dimension définissent l'accès aux dimensions de la base de données quelle que soit leur participation dans les cubes. L'accès à la dimension permet aux utilisateurs qui sont membres d'un rôle d'explorer une dimension dans les applications clientes. Les autorisations de dimension de cube peuvent également être spécifiées comme l'emportant sur les autorisations d'accès à la base de données d'un rôle lorsqu'une dimension fait l'objet d'un accès dans un cube particulier.

Les droits d'accès disponibles incluent :

  • Access
    (Read ou Read/Write)
  • Process
  • Read Definition

Attribut

L'accès aux données de la dimension définit les attributs de dimension auxquels les membres d'un rôle peuvent accéder. Le fait d'autoriser ou de refuser l'accès à un attribut définit l'accès aux niveaux des hiérarchies de dimension basés sur cet attribut. Si l'accès à un attribut est refusé à un rôle, l'accès à tous les niveaux dérivés de l'attribut lui est refusé.

Si l'accès refusé à un attribut crée une faille dans la hiérarchie, toute la hiérarchie est invalidée et n'est plus accessible pour les membres du rôle. Par exemple, dans la hiérarchie CountryRegion-State-City-Name, les niveaux State et Name ne sont pas contigus dans la hiérarchie. Lorsque l'accès à l'attribut City est refusé, une faille apparaît dans la hiérarchie et elle est invalidée. En revanche, l'accès refusé à l'attribut CountryRegion ne crée pas de faille et laisse la hiérarchie State-City-Name de niveaux contigus valide. De la même façon, l'accès refusé à l'attribut Name n'affecte pas la validité de la hiérarchie CountryRegion-State-City.

Lorsque vous autorisez les membres d'un rôle à accéder à un attribut, vous pouvez autoriser ou refuser l'accès à des membres sélectionnés de l'attribut.

Les droits d'accès disponibles incluent :

  • Allowed Set
  • Default Member1
  • Denied Set
  • VisualTotals

Structure d'exploration de données

L'accès à la structure d'exploration de données détermine les autorisations d'accéder aux structures d'exploration de données, ainsi qu'aux modèles d'exploration de données et à leurs données.

Les droits d'accès disponibles incluent :

  • Access
    (None ou Read)
  • Process
  • Read Definition

Modèle d'exploration de données

L'accès à la structure d'exploration de données détermine les autorisations d'accéder aux structures d'exploration de données, ainsi qu'aux modèles d'exploration de données et à leurs données.

Les droits d'accès disponibles incluent :

  • Access
    (None, Read ou Read/Write)
  • Browse
  • Drill Through
  • Read Definition

1 Le droit d'accès DefaultMember définit le membre par défaut de la dimension. Pour plus d'informations, consultez Définition d'un membre par défaut.

Autorisations et héritage

Lorsqu'un objet contient d'autres objets (tels que les cubes ou les dimensions dans une base de données), les autorisations Administer, Process et ReadDefinition sur l'objet parent sont héritées par les objets enfants.

Autorisation Héritage

Administer

Les membres du rôle de serveur Analysis Services ayant l'autorisation d'administrer un serveur, ils disposent d'un accès complet à tous les objets du serveur. Les membres d'un rôle de base de données Analysis Services qui sont autorisés à administrer une base de données ont un accès complet à toutes les objets de la base de données.

Process

Par défaut, le paramètre Process sur un objet s'applique à n'importe quel objet enfant. Cette propriété peut également être définie sur un objet enfant pour l'emporter sur l'autorisation héritée de l'objet parent.

  • Si un utilisateur a l'autorisation de traiter un cube mais n'a pas l'autorisation de traiter une dimension dans le cube, il peut uniquement traiter le cube correctement si la dimension est déjà traitée.
  • Lorsqu'un utilisateur traite une base de données, seuls les cubes et la dimension de la base de données qu'il est autorisé à traiter sont effectivement traités.

Read Definition

Par défaut, le paramètre de la propriété Read Definition sur un objet est hérité par tous les objets enfants. Cette propriété peut également être définie sur un objet enfant pour l'emporter sur l'autorisation héritée de l'objet parent.

Rôles multiples et autorisations

Un utilisateur peut être membre de plusieurs rôles dans une base de données Analysis Services. Les autorisations de plusieurs rôles s'ajoutent les unes aux autres. Si un rôle donne accès à un objet, un membre de ce rôle a accès à l'objet, que ce membre se voit refuser ou pas explicitement à l'objet dans un autre rôle.

Voir aussi

Concepts

Sécurisation d'Analysis Services

Aide et Informations

Assistance sur SQL Server 2005

Historique des modifications

Version Historique

12 décembre 2006

Contenu modifié :
  • Clarification de l'architecture de sécurité par défaut.