• Article

Octroi au compte d'ouverture de session de droits d'accès aux ressources réseau

Lorsque MicrosoftSQL ServerAnalysis Services doit accéder aux ressources réseau, il peut accéder à ces ressources de l'une des manières suivantes :

  • Dans le contexte de sécurité de son compte d'ouverture de session.   Si Analysis Services accède aux ressources réseau dans le contexte de sécurité de son compte d'ouverture de session, vous devez accorder au compte d'ouverture de session les droits appropriés sur la ressource distante.

  • Dans le contexte de sécurité du nom et du mot de passe définis dans la chaîne de connexion utilisée pour se connecter à la ressource réseau.   Si, par exemple, la ressource de données est une base de données MicrosoftSQL Server et qu'SQL Server est exécuté en mode mixte, Analysis Services peut inclure le compte d'ouverture de session et le mot de passe SQL Server appropriés dans la chaîne de connexion au lieu d'utiliser le compte d'ouverture de session Analysis Services. De même, si la source de données est une base de données Oracle, Analysis Services peut accéder à cette base de données en utilisant un nom et un mot de passe ayant les autorisations appropriées dans la base de données Oracle.

Lors de l'accès à une ressource réseau en utilisant Analysis Services, les ressources principales auxquelles vous devez accéder sont les sources de données des objets Analysis Services et les autres instances Analysis Services.

Accès aux sources de données

Lorsque vous accédez aux sources de données, vous devez tenir compte des autorisations nécessaires pour y accéder, et identifier le compte qui dispose de ces autorisations. Une fois que vous avez identifié le compte nécessaire pour accéder aux sources de données, vous devez déterminer si le compte d'ouverture de session Analysis Services est approprié, ou si vous devez vous connecter en utilisant une chaîne de connexion. Si vous devez utiliser une chaîne de connexion, Analysis Services doit protéger les informations qui se trouvent dans cette chaîne.

Définition des autorisations de connexion aux sources de données

Le compte qu'utilise Analysis Services pour se connecter à une source de données doit disposer au minimum de l'autorisation de lecture sur les données source pour qu'Analysis Services puisse traiter une partition MOLAP ou HOLAP. Si le mode de stockage ROLAP est utilisé, le compte doit également disposer d'un accès en écriture sur les données sources pour pouvoir traiter les partitions ROLAP (c'est-à-dire pour stocker les agrégations).

Chiffrement des chaînes de connexion

Analysis Services chiffre et stocke les chaînes de connexion qu'il utilise pour se connecter à chacune de ses sources de données. Si la connexion à une source de données nécessite un nom d'utilisateur et un mot de passe, vous pouvez demander à Analysis Services de stocker le nom et le mot de passe avec la chaîne de connexion, ou lui indiquer de demander le nom et le mot de passe chaque fois qu'une connexion à la source de données est nécessaire. Si vous indiquez à Analysis Services de vous demander les informations utilisateur, ceci implique que ces informations ne doivent pas être stockées et chiffrées. En revanche, si vous stockez ces informations dans la chaîne de connexion, ces informations doivent être chiffrées et protégées.

Pour chiffrer et protéger les informations de la chaîne de connexion, Analysis Services utilise l'API de protection des données. Analysis Services utilise une clé de chiffrement distincte pour chiffrer les informations de la chaîne de connexion de chaque base de données Analysis Services. Analysis Services crée cette clé lorsque vous créez une base de données, et chiffe les informations de la chaîne de connexion en fonction du compte d'ouverture de session Analysis Services. Lorsque Analysis Services démarre, la clé chiffrée de chaque base de données est lue, déchiffrée et stockée. Analysis Services utilise ensuite la clé déchiffrée appropriée pour déchiffrer les informations de la chaîne de connexion à la source de données lorsque Analysis Services doit se connecter à cette dernière.

Accès aux instances Analysis Services distantes

Analysis Services peut accéder uniquement aux instances distantes dans le contexte de sécurité de son compte d'ouverture de session. Pour pouvoir accéder aux objets liés d'une instance distante Analysis Services, le compte d'ouverture de session doit être autorisé à lire les objets appropriés sur l'instance distante (accès en lecture sur certaines dimensions, par exemple).