• Article

Vue d'ensemble de la sécurité (Analysis Services - Exploration de données)

La sécurisation de MicrosoftSQL ServerAnalysis Services a lieu à plusieurs niveaux. Vous devez sécuriser chaque instance Analysis Services et ses sources de données pour que seuls les utilisateurs autorisés disposent des autorisations de lecture ou de lecture/écriture sur les dimensions, les sources de données et les modèles d'exploration de données sélectionnés, et pour empêcher les utilisateurs non autorisés de compromettre intentionnellement les données sensibles de l'entreprise. Le processus de protection d'une instance Analysis Services est décrit dans les étapes suivantes.

  1. Architecture de la sécurité

  2. Configuration du compte d'ouverture de session d'Analysis Services

  3. Sécurisation d'une instance Analysis Services

  4. Configuration de l'accès à Analysis Services

  5. Considérations de sécurité relatives à l'exploration de données

Architecture de la sécurité

Tout d'abord, il est important de comprendre l'architecture de sécurité d'une instance Analysis Services, y compris la manière dont Analysis Services utilise l'authentification Microsoft Windows pour authentifier l'accès des utilisateurs.

Pour plus d'informations, consultez Rôles de sécurité (Analysis Services - Données multidimensionnelles),Propriétés de sécurité, Gestion d'Analysis Services à l'aide de SQL Server Management Studio

Configuration du compte d'ouverture de session d'Analysis Services

Vous devez sélectionner un compte d'ouverture de session approprié pour Analysis Services et définir ses autorisations. Vous devez vous assurer que le compte d'ouverture de session Analysis Services dispose uniquement des autorisations indispensables pour effectuer les tâches nécessaires, y compris les autorisations appropriées sur les sources de données sous-jacentes.

Dans le cadre de l'exploration de données, le jeu d'autorisations permettant de créer et de traiter des modèles doit être différent de celui permettant de les afficher et de les interroger. L'élaboration de prédictions sur un modèle est une sorte de requête et ne requiert pas d'autorisations d'administration.

Pour plus d'informations, consultez Configuration du compte de service d'Analysis Services

Sécurisation d'une instance Analysis Services

Ensuite, vous devez protéger l'ordinateur Analysis Services, le système d'exploitation Windows de l'ordinateur Analysis Services, les services Analysis Services eux-mêmes et les sources de données utilisées par Analysis Services.

Pour plus d'informations, consultez Sécurisation de l'instance Analysis Services

Configuration de l'accès à Analysis Services

Lorsque vous configurez et définissez les utilisateurs autorisés d'une instance Analysis Services, vous devez déterminer quels utilisateurs sont également autorisés à administrer des objets de base de données spécifiques, ceux qui peuvent afficher la définition d'objets ou parcourir les modèles, et ceux qui ont la possibilité d'accéder directement aux sources de données.

Pour plus d'informations, consultez Configuration de la sécurité (Analysis Services - Données multidimensionnelles)

Considérations spéciales relatives à l'exploration de données

Pour permettre à un analyste ou un développeur de créer et de tester des modèles d'exploration de données, vous devez lui donner des autorisations administratives sur la base de données dans laquelle les modèles d'exploration de données sont stockés. Par conséquent, l'analyste ou le développeur d'exploration de données peut potentiellement créer ou supprimer d'autres objets qui ne sont pas associés à l'exploration de données, y compris les objets d'exploration de données qui ont été créés et utilisés par d'autres analystes ou développeurs, ou les objets OLAP non inclus dans la solution d'exploration de données.

De ce fait, lorsque vous créez une solution d'exploration de données, vous devez trouver le juste équilibre entre les besoins de l'analyste ou du développeur pour développer, tester et paramétrer des modèles et ceux des autres utilisateurs, et devez prendre les mesures nécessaire pour protéger les objets de base de données existants. L'une des approches possibles consiste à créer une base de données distincte réservée à l'exploration de données, ou à créer des bases de données différentes pour chaque analyste.

Même si la création de modèles requiert le niveau d'autorisations le plus élevé, vous pouvez contrôler l'accès de l'utilisateur aux modèles d'exploration de données pour d'autres opérations, telles que le traitement, l'exploration ou l'interrogation, en utilisant la sécurité basée sur les rôles. Lorsque vous créez un rôle, vous définissez des autorisations spécifiques aux objets d'exploration de données. Tout utilisateur membre d'un rôle dispose automatiquement de toutes les autorisations qui lui sont associées.

Pour plus d'informations, consultez Octroi d'accès aux utilisateurs

En outre, les modèles d'exploration de données référencent souvent des sources de données qui contiennent des informations sensibles. Si le modèle et la structure d'exploration de données ont été configurés pour autoriser l'extraction du modèle vers les données de la structure, vous devez prendre les précautions nécessaires pour masquer les informations sensibles ou limiter le nombre d'utilisateurs qui ont accès aux données sous-jacentes.

Pour plus d'informations, consultez Protection des sources de données utilisées par Analysis Services

Si vous utilisez des packages Integration Services pour nettoyer des données, pour mettre à jour des modèles d'exploration de données ou pour élaborer des prédictions, vous devez vous assurer que le service Integration Services dispose des autorisations appropriées sur la base de données dans laquelle le modèle est stocké et sur les données sources.

Pour plus d'informations, consultez Vue d'ensemble de la sécurité (Integration Services)