• Статья

Защита источников данных, используемых службами Analysis Services

Если неавторизованные пользователи получат доступ к источникам данных, из которых службы Microsoft SQL Server Службы Analysis Services загружают данные, эти пользователи будут иметь доступ к сведениям, которые хранятся в экземпляре служб Службы Analysis Services. Ограничьте доступ к этим источникам данных. Для просмотра кубов и измерений пользователям служб Службы Analysis Services не нужны разрешения на эти источники данных. Однако им все же нужны разрешения на соединения с базовыми источниками данных для выполнения отдельных задач, например для использования выражений интеллектуального анализа данных.

Обеспечение безопасности соединений с базовыми источниками данных

Службы Службы Analysis Services подключаются к базовым источникам данных, чтобы:

  • обрабатывать данные;

  • разрешать запросы при использовании ROLAP или HOLAP;

  • выполнять обратную запись данных;

  • выполнять запросы детализации многомерных выражений.

Службы Службы Analysis Services выполняют все эти задачи с помощью объекта DataSource. Учетная запись безопасности, которую использует объект DataSource для доступа к этим источникам данных, — это или собственные учетные данные пользователя, или имя и пароль, указанные в строке соединения, хранимой в объекте DataSource.

ПредупреждениеВнимание!

Если службы Службы Analysis Services подключаются к какому-либо из своих источников данных с помощью учетной записи входа служб Службы Analysis Services, члены роли базы данных, у которой есть разрешение «Полный доступ», имеют доступ к этому источнику данных независимо от того, используется ли он в этой базе данных.

Разрешения, необходимые для учетной записи, используемой объектом DataSource, зависят от задачи, которую нужно выполнить службам Службы Analysis Services:

  • Для соединения с источником данных учетная запись безопасности, используемая объектом DataSource, должна иметь как минимум разрешение на чтение соответствующей таблицы источника данных. При использовании хранилища ROLAP учетная запись также должна обладать разрешением на запись данных статистических вычислений в источник данных.

  • Если включена обратная запись, используемая учетная запись безопасности также должна обладать разрешением на запись в таблицу обратной записи.

Службы Службы Analysis Services хранят данные строки соединения, которые используются для соединения с каждым источником данных, в зашифрованном виде. Если строка соединения задает конкретную учетную запись вместо доверенного соединения, можно выбрать, сохранять ли строку соединения с паролем или без него. Если пароль не хранится в строке соединения, службы Службы Analysis Services предложат пользователю предоставить соответствующие учетную запись и пароль при попытке соединения с источником данных (например, во время обработки или при изменении представления источника данных).

На стадии разработки можно указать хранение пароля и учетной записи безопасности строки соединения в проекте служб Службы Analysis Services. При построении проекта служб Службы Analysis Services среда Business Intelligence Development Studio удаляет учетные записи и пароли из всех строк соединения с источниками данных, если не указано сохранение их в выходных файлах. Если учетная запись и пароль в выходных файлах проекта служб Службы Analysis Services сохраняются, данные этой строки соединения будут зашифрованы. Если они не сохраняются и в строке соединения не задано доверенное соединение, службы Службы Analysis Services предложат предоставить соответствующие учетную запись и пароль во время обработки развертывания.

Обеспечение безопасности соединений, используемых запросами интеллектуального анализа данных

Для выполнения запросов интеллектуального анализа данных, которые используют предложение OPENQUERY в инструкции расширений интеллектуального анализа данных для соединения с базовыми источниками данных, службы Службы Analysis Services устанавливают соединение через объект DataSource. Объект DataSource либо олицетворяет клиента, либо использует имя и пароль, указанные в строке соединения. По умолчанию у пользователей нет разрешений на объект DataSource, и они не могут выполнять запросы к базовым источникам данных посредством инструкции OPENQUERY. Чтобы использовать предложение OPENQUERY в инструкции расширений интеллектуального анализа данных для запроса к базовым источникам данных, пользователям должны быть предоставлены разрешения на чтение и запись для объекта DataSource. Если у пользователей есть эти разрешения и в строке соединения указана конкретная учетная запись, наилучшим решением будет установить минимально возможные разрешения на таблицы базовых источников данных для этой учетной записи, указав для нужных таблиц доступ только на чтение. Дополнительные сведения о расширениях интеллектуального анализа данных см. в разделах Инструкции определения расширений интеллектуального анализа данных и Инструкции управления данными расширений интеллектуального анализа данных.

По умолчанию пользователи не могут использовать предложение OPENROWSET в инструкции расширений интеллектуального анализа данных или выполнять нерегламентированные запросы к базовым источникам данных с помощью нерегламентированных строк соединения. Можно изменить значение по умолчанию свойства конфигурации DataMining \ AllowAdHocOpenRowsetQueries на сервере, чтобы разрешить пользователям использовать предложение OPENROWSET. Для доступа к этому свойству щелкните правой кнопкой мыши экземпляр служб Службы Analysis Services, выберите пункт «Свойства» и найдите нужное свойство на странице «Безопасность». При изменении значений по умолчанию нельзя будет ограничить источники данных, к которым могут отправлять запросы пользователи модели интеллектуального анализа. Дополнительные сведения см. в разделах Предоставление доступа к структурам и моделям интеллектуального анализа данных и Предоставление доступа к источникам данных.