Aracılığıyla paylaş

  • Makale

Kullanıcı erişim güvenlik mimarisi

Microsoft SQL Server Analysis Services relies on Microsoft Windows to authenticate users.Varsayılan olarak, haklarına sahip kullanıcılar yalnızca kimliği doğrulanmış içinde Analysis Services bir bağlantı kurmak Analysis Services.İçin kullanıcı bağlandıktan sonra Analysis Services, söz konusu kullanıcı izni içinde Analysis Services atanan hakları tarafından belirlenen Analysis Services rolleri kullanıcının ait olduğu, ya da doğrudan ya da üyelik yoluylabir Windows rolü.

  • Analysis Servicesbir tek sabit sunucu rolü üyeleri tüm içinde herhangi bir görev gerçekleştirmek için izin verir içeren örnek.

  • Bir veya daha fazla veritabanı rolleri üyeleri sabit sunucu rolü üyesi olmayan kullanıcılar yapılabilir.Her veritabanı rolü izinleri, kullanıcıların veri erişim ve belirli bir veritabanı içinde görevlerini gerçekleştirmek için özelleştirilmiş küme vardır.

  • Bir veritabanı rolü yönetici izinleri verilmiş olması, işleme, nesne izinleri, nesne meta veriler görüntüleme izinleri ve her birden çok düzeyde verileri görüntülemek veya değiştirmek için izinleri Analysis Services veritabanı.

  • Yönetici izinlerine sahip veritabanı rolü üyeleri görüntüleyebilir veya veritabanındaki tüm verileri güncelleştirmek.Diğer üyeleri veritabanı rolleri can yalnızca görüntülemelerine veya için kendilerine özellikle böyle izin verilen veri nesneleri güncelleştir.

  • İzinleri içinde bir Analysis Services veritabanı verilmiş başlangıçta adresindeki veritabanı düzey.Veritabanının veritabanı rolü izinleri varsa düzey, rolü veritabanı içindeki her nesne için belirli izinler verilmiş olması gerekir.Rol izinleri verilebilir nesneleri veritabanı ve küp boyutları, tek tek boyut üyeleri, küpler, tek tek hücreleri içinde bir küp, araştırma yapıları, veri madenciliği modelleri, veri kaynakları ve saklı yordamlar içerir.

  • Bu güvenlik mimarisi bileşenleri ek olarak Analysis Services tüm şifreler yetkisiz kullanıcıların riskini azaltmak için istemci/sunucu iletişimi erişebilir yetkisiz bilgi.Son olarak, özelliklerini Analysis Services , tehlikeye güvenlik açamayacağı yapılandırılmış veya uygunsuz bir ortamda kullanılan varsayılan. tarafından dışıdırÖrneğin, kullanıcılar bağlantı sağlayabilirsiniz Analysis Services olmadan kimlik doğrulaması veya kabul edebileceği şifresiz metin. gönderilen kimlik doğrulamaBöylece yanlış gerçekleştirdiyseniz güvenliğinizi tehlikeye düşürebilir çünkü ancak bu tür özelliklerin başlangıç varsayılan ayarlarını değiştirmek gerekir.

Windows kimlik doğrulaması

Erişim Analysis Services esas Microsoft Windows kimlik doğrulaması.Bu kimlik doğrulaması modelini tüm kullanıcılar içinde depolanan verileri erişmeden önce Windows işletim sistemi tarafından doğrulanması gerekir Analysis Services ve önce yönettikleri Analysis Services nesneler.İşletim sistemi kimlik doğrulaması sağlar gerçekleştirmek sahip Analysis Services Güvenli doğrulama ve parolalar, denetleme, parola zaman aşımı, en az parola uzunluğu ve hesap kilitleme sonra şifreleme de dahil olmak üzere Windows güvenlik özelliklerinin avantajlarından yararlanmak içinbirden çok geçersiz oturum açma istekleri.

Not

örnek , Analysis Services Yapılandırılmış anonim erişime izin vermek için Windows kullanıcı. kimliğini doğrulamaz

Windows kimlik doğrulaması ve Analysis Services aşağıdaki şekilde birlikte çalışma:

  1. Kullanıcı Windows ağına oturum açtığında, kullanıcının kullanıcı adı ve parola, böylece kullanıcının ağ kimlik bilgileri doğrulaması kimlik bilgileri bilgilerini oluşturma, bir Windows etki alanı denetleyicisi doğrular.

  2. Daha sonra kullanıcı bağlanmaya çalıştığında Analysis Services, Analysis Services kimlik bilgileri doğrulaması kullanıcının ağ kimlik bilgileri bilgilerine sahip bir Windows etki alanı denetleyicisi.

Yetkilendirme

Bir kullanıcının kimliğini doğrulamadan sonra Analysis Services sonraki belirler kullanıcı verileri görüntülemek, veri güncelleştirmek, meta veriler, görüntülemek veya gerçekleştirmek için izinleri vardır. yönetimsel görevleri Kullanıcının veya kullanıcının üye olduğu bir grubun izinleri örnek içinde bir çeşit varsa Analysis Services, Analysis Services bağlamak sağlar.Varsayılan olarak, Analysis Services bağlanıyorsanız, kullanıcı izinleri örnek içinde bir çeşit yok kullanıcı izin Analysis Services.

Bir kullanıcı için başarıyla bağlandıktan sonra yetkilendirme ancak durdurmaz Analysis Services.Yetkilendirme devam içinde kullanıcı works olarak Analysis Services, gibi ne zaman kullanıcı yürütür server saklanmış yordamları, veri madenciliği Extensions (dmx) deyimleri, çok boyutlu ifadeleri (mdx) sorguları veya Çözümleme Yönetim Nesneleri (ÇYN) komutları.Her saat, Analysis Services eylem gerçekleştirmek veya bir nesneye erişmek gerekir nesnelere erişmek veya komutu gerçekleştirmek için kullanıcının yetkilisi doğrularKullanıcının uygun izinlere sahip olmaması, Analysis Services döndüren bir izinleri hatası.

Sunucu ve veritabanı rolleri

Analysis ServicesRoller iki tür vardır: sunucu rolünü ve veritabanı rolleri.Bu iki rol arasında fark kısa bir açıklaması aşağıda verilmektedir:

  • Yalnızca bir sunucu rolü vardır ve bu rolün üyeleri içinde tam yönetici haklarına sahip örnek , Analysis Services.

    Not

    Yerel bilgisayardaki yerel Administrators grubunun üyesi olan otomatik olarak sunucu rolü üyelerinin bir örnek , Analysis Services.

  • Birden çok veritabanı rolü olabilir.Sunucu rolü üyelerinin oluşturun bu veritabanı rolleri her veritabanı, yönetim grant veya kullanıcı izinlerini okuma gibi bu veritabanı rolleri veya küpler, Boyutlar, hücreleri, araştırma yapıları, veri madenciliği modelleri ve veri kaynak nesneleri için okuma/yazma izni) ve sonra da Windows kullanıcıları ve grupları için bu veritabanı rolleri ekleyin.

    Önemli notÖnemli

    Rol izinleri eklenebilir.Bir Windows kullanıcısı veya grubu tek bir veritabanı rolü olan izinler, aynı Windows kullanıcısı veya grubu diğer veritabanı rolleri olan izinlere eklenir.Bir rol belirli görevleri gerçekleştirmek veya belirli verileri görüntülemek için bir kullanıcı veya grubu izin vermez, ancak başka bir rolü o kullanıcı veya grup için izin verir, kullanıcı veya grubun görevi gerçekleştirmek veya verileri görüntülemek için izin gerekir.

Daha fazla bilgi için:Kimlik ve erişim denetimi (Analysis Services - çok boyutlu verilerle)

Yönetici hakları

Sunucu rolünün üyeleri otomatik olarak tam yönetici haklarına sahip olsa da, veritabanı rolü üyeleri yoktur.Bir veritabanı rolü daha sınırlı veya tam tersi yönetici olarak bilinen denetim hakları verilebilir küme aşağıdaki listeden yönetici hakları:

  • Veritabanı işlemi

  • Veritabanı meta veriler okuma

  • Bir veya daha fazla işlem boyutları

  • Daha fazla boyutlardan birini tanımı okuyun

  • Bir veya daha fazla Küpleri işle

  • Bir veya daha fazla küp tanımı okuyun

  • İşlem bir veya daha fazla araştırma yapıları

  • İşlem bir veya daha fazla veri madenciliği modelleri

  • Bir veya daha fazla araştırma yapıları tanımı okuyun

  • Bir veya daha fazla veri madenciliği modelleri tanımı okuyun

  • Bir veya daha fazla veri kaynakları tanımı okuyun

Yalnızca sunucu rolü üyeleri ve tam denetime sahip veritabanı rolü üyeleri okuma Analysis Services veri olmadan ek izinler.Diğer kullanıcıların salt okunur Analysis Services , kendi veritabanı rolü açıkça verir veri okuma veya okuma/yazma veri nesneleri için izinleri Analysis Services, boyutları, küpler, hücreler ve veri madenciliği modelleri gibi).

Daha fazla bilgi için:Yönetimsel erişim izni verme

Boyut düzeyi güvenliği

veritabanı rolü üyeleri görüntülemek veya belirtilen veritabanı boyutları Boyut üyeleri güncelleştirmek için izninizin olup olmadığını belirtebilirsiniz.Üstelik, her boyut içinde bir veritabanı rolü hakları verilmiş rol görüntülemek veya tüm boyut üyeleri yerine yalnızca belirli boyut üyeleri güncelleştirmek için izin verilebilir.Bir veritabanı rolü izinleri görüntülemek veya belirli bir boyut ve bazı veya tüm boyutun üyelerinin güncelleştirmek üzere verilir, veritabanı rolünün üyeleri boyut görüntüleme izni yok ya da herhangi bir grubun üyelerine sahip.

Not

Farklı izinler veritabanı boyutu kullanır küp içinde açıkça verilen sürece küp boyutları veritabanı boyut üzerinde temel bir veritabanı rolü izni verilen boyut izinler uygulanır.

Daha fazla bilgi için:Boyut erişim izni vermeand Özel erişim boyut veri verme.

Küp düzeyi güvenliği

veritabanı rolü üyeleri okuma veya okuma/yazma izni bir veritabanındaki bir veya daha fazla küpleri olup olmadığını belirtebilirsiniz.Veritabanı rolü okuma veya okuma/en az bir küp veritabanı rolünün üyeleri veritabanındaki tüm küplerin görüntüleme izniniz yoksa yazma izinleri verilmiş olmayan, hiçbir rağmen bu üyeler boyut üyeleri görmek için rolü ile haklarınız olabilir.

Daha fazla bilgi için:Küp erişim izni verme.

Hücre düzeyinde güvenlik

veritabanı rolü üyeleri okuma izniniz olup olmadığını, belirtebilirsiniz ekip veya bir küp içindeki bazı veya tüm hücreler üzerinde okuma/yazma izinlerini okuyun.Bir veritabanı rolü izinleri küp hücrelerde verilmemişse, veritabanı rolünün üyeleri herhangi bir küp verilerini görüntüleme izniniz yoksa.Bir veritabanı rolü üzerinde boyut güvenlik, hücre - dayalı belirli boyutlarda görüntüleme izni verilmezsedüzey güvenlik o boyutun hücre üyelerinin hakları veritabanı rolü üyelerinin genişletin.Bir veritabanı rolünün bir boyutun üyelerinin, hücre - görüntülemek için izin verilir, diğer yandan,düzey güvenlik veritabanı rolünün üyeleri görüntüleyebilir boyut hücre üyelerinden sınırlandırmak için kullanılabilir.

Daha fazla bilgi için:Hücre veri özel erişim izni verme.

Araştırma yapısı, araştırma modeli ve veri kaynak güvenliği

veritabanı rolü üyeleri okuma veya araştırma yapıları ve veri madenciliği modelleri için izinleri okuma/yazma olup olmadığını belirtebilirsiniz.Bir veritabanı rolü aracılığıyla kaynak verilere ulaşmak için ve bir veya daha fazla veri madenciliği modelleri göz atmak için izni verilebilir.Son olarak, bir veritabanı rolü veri kaynak nesneleri üzerinde okuma/yazma izinleri verilebilir.Bu izin SORGUAÇ yan tümce tümce tümcesinde veri kaynakna başvuru ve bağlantıyı kullanmak rolü sağlar dize veri kaynak nesne tanımlı.

Daha fazla bilgi için:Araştırma yapıları ve veri madenciliği modelleri için erişim izni vermeand Veri kaynakları için erişim verme.

Saklı yordam güvenlik

Saklı yordamlar, Analysis Services yazılan dış yordamları olan bir Microsoft .Yeteneklerini genişleten net programlama dili, Analysis Services.Saklı yordamlar diller arası yararlanmak geliştirici izin tümleştirme, özel durum işleme, sürüm oluşturma desteği, dağıtım destek ve hata ayıklama desteği.

Herhangi bir kullanıcı, bir saklı yordam çağırabilirsiniz.Nasıl yapılandırıldı türüne bağlı olarak, saklı yordam yordam çağırma kullanıcının bağlamında veya bir anonim kullanıcı bağlamında yordamı çalıştırabilirsiniz.Anonim bir kullanıcı, güvenlik içeriği yok olduğundan, bu yeteneği yapılandırma ile birlikte kullanmak örnek , Analysis Services izin ver anonim erişim.

After the user calls a stored procedure but before Analysis Services runs the stored procedure, Analysis Services evaluates the actions within the stored procedure.Analysis Services evaluates the actions in a stored procedure based on the intersection of the permissions granted to the user and the permission set used to run the procedure.Saklı yordam kullanıcı için veritabanı rolü tarafından gerçekleştirilecek bir eylem varsa, bu eylem gerçekleştirilmez.

Saklı yordamlar çalıştırmak için kullanılan izin kümeleri şunlardır:

  • Güvenli ile güvenli izin küme, bir saklı yordam korumalı kaynaklara erişemiyor Microsoft .net Framework.Bu izin küme yalnızca hesaplamaları için izin verir.Bu en güvenli izni, küme; bilgi yok sızıntı dışında Analysis Services, izinleri olamaz yükseltilmiş ve saldırılara müdahale veri riski Minimize.

  • Dış erişim ile dış erişim izin küme, bir saklı yordam dış kaynaklara erişebilir yönetilen kod kullanarak.Bu izin küme için bir saklı yordam ayarlamak için sunucu kararsızlığa yol açabilecek programlama hataları neden olur.Ancak, bu izin küme bilgi sunucu ve bir ayrıcalık izni ve veriler saldırılara müdahale olasılığını dışına sızıntı sonuçlanabilir.

  • Sınırsız ile sınırsız izin küme, bir saklı yordam dış kaynaklara erişebilir herhangi bir kod kullanarak.Bu izin küme ile hiçbir güvenlik vardır veya saklı yordamlar için güvenilirliği garanti eder.

Şifreleme

Varsayılan olarak, Analysis Services, gerektiren örnek ile istemciler arasındaki tüm iletişimi Analysis Services şifreli.

Daha fazla bilgi için:İstemci iletişimi ile bir Analysis Services örneği güvenliğini sağlama

Varsayılan olarak kapalı

Bir örnek , Analysis Services Varsayılan olarak güvenli olacak şekilde tasarlanmıştırBu nedenle, güvenliğini tehlikeye atabilir özellikleri varsayılan olarak devre dışıdır.Aşağıdaki özellikleri varsayılan olarak devre dışıdır ve bunları kullanmak istiyorsanız, özellikle etkinleştirilmesi gerekir:

  • http bağlantısı

  • İzleme

  • Saklı yordamlar

  • Uzak bölümleri

  • Bağlı nesneleri (çok)

  • Bağlı nesneleri (Başlangıç)

  • Veri madenciliği Toplayıcı

  • İstemci koruması düzeyi

  • Web koruma düzeyi

  • Gerekli istemci kimlik doğrulaması

  • Active Directory Tümleştirmesi

  • Geçici OpenRowset sorgular

  • 8.0 İstemci bağlantısı

  • Kilitlenme raporları