Предоставление учетной записи входа прав доступа к сетевым ресурсам
Когда службам Microsoft SQL Server 2005 Analysis Services (SSAS) необходим доступ к сетевым ресурсам, они могут получить доступ к этим ресурсам одним из следующих способов.
- В контексте безопасности собственной учетной записи входа. Если службы Analysis Services получают доступ к этим сетевым ресурсам в контексте безопасности собственной учетной записи входа, то необходимо предоставить этой учетной записи входа соответствующие права на удаленный ресурс.
- В контексте безопасности имени и пароля, указанных в строке соединения, используемой для подключения к сетевому ресурсу. Например, если источник данных представляет собой базу данных Microsoft SQL Server и SQL Server запущен в смешанном режиме, то службы Analysis Services могут включить соответствующую учетную запись входа и пароль SQL Server в строку соединения, вместо того чтобы использовать учетную запись входа служб Analysis Services. Аналогично: если источник данных представляет собой базу данных Oracle, то службы Analysis Services могут получить доступ к этой базе данных, используя имя пользователя и пароль, имеющие соответствующие разрешения в этой базе данных Oracle.
При получении доступа к сетевому ресурсу с использованием служб Analysis Services основными ресурсами, к которым необходимо получить доступ, являются источники данных для объектов служб Analysis Services и другие экземпляры служб Analysis Services.
Доступ к источникам данных
При доступе к источникам данных необходимо проанализировать разрешения, необходимые для доступа к этим источникам данных, и определить, какая учетная запись обладает этими необходимыми разрешениями. После определения учетной записи, необходимой для доступа к источнику данных, нужно решить, является ли учетная запись входа служб Analysis Services достаточной или нужно соединяться с использованием строки соединения. При необходимости использования строки соединения службы Analysis Services должны будут обеспечить безопасность данных, содержащихся в этой строке.
Установка разрешений для соединения с источниками данных
Учетная запись, используемая службами Analysis Services для подключения к источнику данных, должна, по крайней мере, обладать разрешениями на чтение данных источника, чтобы службы Analysis Services могли обработать секцию MOLAP или HOLAP. Если в качестве режима хранения используется ROLAP, то учетная запись также должна иметь доступ на запись в данные источника, чтобы обрабатывать секции ROLAP (то есть сохранять агрегаты).
Шифрование строк соединения
Службы Analysis Services шифруют и сохраняют строки соединения, используемые для подключения к каждому из своих источников данных. Если для соединения с источником данных необходимы имя пользователя и пароль, то службы Analysis Services могут сохранять эти имя и пароль в строке соединения или запрашивать имя и пароль каждый раз, когда будет необходимо соединение с источником данных. Если службы Analysis Services запрашивают данные о пользователе, то эти данные не нужно хранить и шифровать. Однако при сохранении этих данных в строке соединения эти данные необходимо шифровать и обеспечивать их безопасность.
Чтобы зашифровать и обеспечить безопасность данных из строки соединения, службы Analysis Services используют API защиты данных. Службы Analysis Services используют отдельный ключ шифрования для шифрования данных из строки соединения для каждой базы данных служб Analysis Services. Службы Analysis Services создают этот ключ при создании базы данных и шифруют данные из строки соединения на основании учетной записи входа служб Analysis Services. При запуске служб Analysis Services зашифрованный ключ для каждой базы данных считывается, расшифровывается и сохраняется. После этого службы Analysis Services используют соответствующий расшифрованный ключ для расшифровки данных из строки соединения с источником данных, когда службам Analysis Services необходимо подключиться к источнику данных.
Доступ к удаленным экземплярам служб Analysis Services
Службы Analysis Services могут получать доступ к удаленным экземплярам только в контексте безопасности собственной учетной записи входа. Для доступа к связанным объектам на удаленном экземпляре служб Analysis Services эта учетная запись входа должна иметь разрешение на чтение соответствующих объектов на удаленном экземпляре, например доступ на чтение определенных измерений.
См. также
Основные понятия
Выбор учетной записи входа
Предоставление дополнительных прав для конкретных задач