Авторизация доступа к объектам и операциям (службы Analysis Services)

  • Статья

Доступ пользователей, не являющихся администраторами, к кубам, измерениям и моделям интеллектуального анализа данных в базе данных Службы Analysis Services предоставляется посредством членства в одной или нескольких ролях базы данных. Администраторы Службы Analysis Services создают эти роли базы данных, предоставляют разрешения на чтение или чтение и запись для объектов Службы Analysis Services, а затем назначают каждой роли Microsoft пользователей и группы Windows.

Службы Службы Analysis Services определяют действительные разрешения для конкретного пользователя или группы Windows, объединяя разрешения, связанные с ролью базы данных, к которой пользователь или группа принадлежит. Как следствие, если одна роль базы данных не предоставляет пользователю или группе разрешения на просмотр измерения, меры или атрибута, но при этом другая роль базы данных предоставляет пользователю или группе такое разрешение, то у пользователя или группы будет разрешение на просмотр объекта.

Важное примечаниеВажно!

Члены роли «Администратор сервера Службы Analysis Services» и члены роли базы данных с разрешениями «Полный доступ (Администратор)» имеют доступ ко всем данным и метаданным в базе данных и не нуждаются в дополнительных разрешениях для просмотра тех или иных объектов. Более того, членам роли сервера служб Службы Analysis Services не может быть отказано в доступе к любому объекту любой базы данных, а членам роли базы данных служб Службы Analysis Services, обладающей разрешениями «Полный доступ» (администратор) в рамках базы данных, не может быть отказано в доступе к любому объекту в рамках такой базы данных. Отдельные административные операции, такие как обработка, можно авторизовать с помощью отдельных ролей с менее широкими правами доступа. Дополнительные сведения см. в разделе Предоставление разрешений процессам (службы Analysis Services).

Список ролей, заданных для базы данных

Чтобы получить список ролей, заданных на сервере, администраторы могут выполнить простой запрос динамических административных представлений (DMV) в SQL Server Management Studio.

  1. В SSMS щелкните правой кнопкой мыши базу данных и выберите команду Создать запрос | MDX.

  2. Введите следующий запрос и нажмите клавишу F5, чтобы выполнить его:

    Select * from $SYSTEM.DBSCHEMA_CATALOGS

    В результате запроса будет показано имя базы данных, описание, имя роли и дата последнего изменения. Используя эти сведения в качестве отправной точки, можно переходить к отдельным базам данных и проверять членство и разрешения конкретной роли.

Обзор авторизации в службах Analysis Services

В этом разделе рассматривается базовый процесс настройки разрешений.

Шаг 1. Администрирование сервера

На первом этапе следует решить, кто получит права администратора на уровне сервера. При установке локальный администратора, устанавливающий SQL Server, должен указать одну или несколько учетных записей Windows в качестве администратора сервера Analysis Services. Администраторы сервера обладают всеми возможными разрешениями на сервере, включая возможность просматривать, изменять и удалять любые объекты на сервере, а также возможность просматривать связанные данные. После завершения установки администратор сервера может добавлять или удалять учетные записи, чтобы изменить членство в этой роли. Сведения об этом уровне разрешений см. в разделе Предоставление разрешений администратора сервера (службы Analysis Services).

Шаг 2. Администрирование базы данных

Затем, после создания табличного или многомерного решения, оно развертывается на сервере в виде базы данных. Администратор сервера может делегировать задачи администрирования базы данных, создав роль, обладающую полным доступом к нужной базе данных. Члены этой роли могут обрабатывать и запрашивать объекты в базе данных, создавать дополнительные роли для доступа к кубам, измерениям и другим объектам внутри этой данных. Дополнительные сведения см. в разделе Предоставление разрешений для баз данных (службы Analysis Services).

Шаг 3. Включите доступ к кубу или модели для запросов и обработки

По умолчанию только администраторы серверов и администраторы баз данных имеют доступ к кубам или табличным моделям. Чтобы сделать эти структуры данных доступными для других пользователей, нужно назначить дополнительные роли, связывающие учетные записи пользователей и групп Windows с кубами или моделями, с разрешениями, указывающими права доступа Read. Дополнительные сведения см. в разделе Предоставление разрешений для куба или модели (службы Analysis Services).

Задачи обработки можно отделить от прочих функций администрирования. Администраторы сервера и базы данных могут делегировать эту задачу другим пользователям или настроить автоматическую обработку, указав учетные записи служб, запускающие программы планировки. Дополнительные сведения см. в разделе Предоставление разрешений процессам (службы Analysis Services).

ПримечаниеПримечание

Пользователям не требуется ни разрешений для реляционных таблиц в базовой реляционной базе данных, из которой службы Службы Analysis Services загружают свои данные, ни разрешений на уровне файла на компьютере, на котором запущен экземпляр служб Службы Analysis Services.

Шаг 4 (необязательный). Разрешение или запрет доступа к внутренним объектам куба

Службы Analysis Services предоставляет параметры безопасности для настройки разрешений доступа к индивидуальным объектам, включая члены измерений и ячейки в модели данных. Дополнительные сведения см. в разделах Предоставление настраиваемого доступа к данным измерений (службы Analysis Services) и Предоставление настраиваемого доступа к данным ячеек (службы Analysis Services).

Также можно изменять разрешения на основе удостоверения пользователя. Такой подход часто называется «динамической безопасностью» и реализуется с помощью функции UserName (многомерные выражения)

Рекомендации

Для наиболее эффективного управления разрешениями рекомендуем использовать подход, близкий к следующему:

  1. Создайте роли по областям ответственности (например, dbadmin, cubedeveloper, processadmin), чтобы человек, занимающийся обслуживанием ролей, сразу могу видеть, какими разрешениями обладает каждая роль. Как уже было сказано ранее, можно задать роли в определении модели, сохранив тем самым роли при последующих этапах развертывания решения.

  2. Создайте соответствующую группу безопасности Windows в Active Directory и поддерживайте ее, следя за тем, чтобы она содержала нужные индивидуальные учетные записи. Ответственность за членство в группах безопасности несут специалисты по безопасности, хорошо ориентирующиеся в инструментах и процессах, применяемых для обслуживания учетных записей в вашей организации.

  3. Создавайте сценарии Среда SQL Server Management Studio, чтобы можно было быстро реплицировать назначение ролей при каждом повторном развертывании модели из исходных файлов на сервер. Подробные сведения о быстром создании сценариев см. в разделе Предоставление разрешений для куба или модели (службы Analysis Services).

  4. Используйте формат имен, отражающий область и членство ролей. Имена ролей отображаются только в средствах проектирования и администрирования, поэтому используйте такой формат имен, который будет понятен вашим специалистам по безопасности куба. Например, имя роли processadmin-windowsgroup1 указывает доступ на чтение и права на обработку для пользователей вашей организации, чьи индивидуальные учетные записи Windows входят в группу безопасности windowsgroup1.

    Добавление данных учетной записи поможет следить за тем, какие учетные записи используются в различных ролях. Поскольку разрешения ролей суммируются, сочетание ролей, связанных с группой windowsgroup1, образует достаточный набор разрешений для пользователей, входящих в эту группу.

  5. Разработчикам кубов потребуется полный доступ к разрабатываемым моделям и базам данных, но им будет достаточно разрешения на чтение после развертывания базы данных на рабочем сервере. Разрабатывайте определения и назначения ролей для всех сценариев, включая разработку, тестирование и рабочую среду.

Применение такого подхода снижает избыточность определений ролей и повышает эффективность членства ролей в модели, обеспечивает наглядность назначения ролей и упрощает внедрение и обслуживание разрешений для кубов.

См. также

Задания

Предоставление разрешений администратора сервера (службы Analysis Services)

Основные понятия

Роли и разрешения (службы Analysis Services)

Методики проверки подлинности, поддерживаемые службами Analysis Services