Rôles de sécurité (Analysis Services - Données multidimensionnelles)
S’applique à : SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium
Les rôles sont utilisés dans Microsoft SQL Server SQL Server Analysis Services pour gérer la sécurité des objets et des données SQL Server Analysis Services. En termes de base, un rôle associe les identificateurs de sécurité (SID) des utilisateurs et groupes Microsoft Windows qui ont des droits d’accès et des autorisations spécifiques définis pour les objets gérés par un instance de SQL Server Analysis Services. Deux types de rôles sont fournis dans SQL Server Analysis Services :
Rôle serveur, rôle fixe qui fournit un accès administrateur à un instance de SQL Server Analysis Services.
les rôles de base de données, des rôles définis par les administrateurs pour contrôler l'accès des utilisateurs qui ne sont pas administrateurs aux objets et aux données.
La sécurité dans Microsoft SQL Server SQL Server Analysis Services la sécurité est gérée à l’aide de rôles et d’autorisations. Les rôles sont des groupes d'utilisateurs. Les utilisateurs, également appelés membres, peuvent être ajoutés ou supprimés des rôles. Les autorisations pour les objets sont spécifiées par les rôles et tous les membres dans un rôle peuvent utiliser les objets pour lesquels le rôle a des autorisations. Tous les membres dans un rôle ont des autorisations aux objets égales. Les autorisations sont particulières aux objets. Chaque objet a une collection d'autorisations incluant les autorisations accordées pour cet objet, différents jeux d'autorisations peuvent être accordés sur un objet. Chaque autorisation de la collection d'autorisations de l'objet se voit attribuer un rôle unique.
Rôle et objets membres du rôle
Un rôle est un objet conteneur d'une collection d'utilisateurs (membres). Une définition de rôle établit l’appartenance des utilisateurs dans SQL Server Analysis Services. Parce que les autorisations sont assignées par rôle, un utilisateur doit être le membre d'un rôle avant d'avoir accès à tout objet.
Un objet Role est composé des paramètres Name, Id et Members. Le paramètre Members est une collection de chaînes. Chaque membre contient le nom d'utilisateur sous la forme « domaine\nom d'utilisateur ». Le nom est une chaîne qui contient le nom du rôle. L'ID est une chaîne qui contient l'identificateur unique du rôle.
Rôle serveur
Le rôle serveur SQL Server Analysis Services définit l’accès administratif des utilisateurs et des groupes Windows à un instance de SQL Server Analysis Services. Les membres de ce rôle ont accès à toutes les bases de données et objets SQL Server Analysis Services sur un instance de SQL Server Analysis Services et peuvent effectuer les tâches suivantes :
Effectuez des fonctions d’administration au niveau du serveur à l’aide de SQL Server Management Studio ou de SQL Server Data Tools, notamment la création de bases de données et la définition de propriétés au niveau du serveur.
effectuer des fonctions d'administration par programme avec AMO (Analysis Management Objects) ;
Conservez SQL Server Analysis Services rôles de base de données.
démarrer des traces (à des fins autres que le traitement des événements, qui peut être effectué par un rôle de base de données ayant accès aux processus).
Chaque instance de SQL Server Analysis Services a un rôle serveur qui définit les utilisateurs qui peuvent administrer ces instance. Le nom et ID de ce rôle est Administrateurs et contrairement aux rôles de base de données, le rôle du serveur ne peut pas être supprimé et des autorisations ne peuvent pas être ajoutées ou supprimées. En d’autres termes, un utilisateur est ou n’est pas administrateur d’un instance de SQL Server Analysis Services, selon qu’il est inclus dans le rôle serveur pour cette instance de SQL Server Analysis Services.
Rôles de base de données
Un rôle de base de données SQL Server Analysis Services définit l’accès utilisateur aux objets et aux données d’une base de données SQL Server Analysis Services. Un rôle de base de données est créé en tant qu’objet distinct dans une base de données SQL Server Analysis Services et s’applique uniquement à la base de données dans laquelle ce rôle est créé. Les utilisateurs et les groupes Windows sont inclus dans le rôle par un administrateur, qui définit également les autorisations à l'intérieur du rôle.
Les autorisations d'un rôle peuvent permettre aux membres d'accéder à la base de données et de l'administrer, y compris les objets et les données qu'elle contient. Chaque autorisation a un ou plusieurs droits d'accès qui lui sont associés, ce qui permet d'affiner le contrôle relatif à l'accès à un objet particulier de la base de données.
Objets Permission
Les autorisations sont associées à un objet (cube, dimension et autres) pour un rôle particulier. Les autorisations spécifient les opérations que le membre d'un rôle peut effectuer sur un objet.
La classe Permission est une classe abstraite. Par conséquent, vous devez utiliser les classes dérivées pour définir des autorisations sur les objets correspondants. Pour chaque objet, une classe d'autorisation dérivée est définie.
Object | Classe |
---|---|
Database | DatabasePermission |
DataSource | DataSourcePermission |
Dimension | DimensionPermission |
Cube | CubePermission |
MiningStructure | MiningStructurePermission |
MiningModel | MiningModelPermission |
Les actions possibles activées par les autorisations sont répertoriées dans la liste :
Action | Valeurs | Explication |
---|---|---|
Processus | {true, false} Default=false |
Si true, les membres peuvent traiter l'objet et tout objet contenu dans l'objet. Les autorisations de processus ne s'appliquent pas aux modèles d'exploration de données. Les autorisations MiningModel sont toujours héritées de l'objet MiningStructure. |
ReadDefinition | {None, Basic, Allowed} Default=None |
Spécifie si les membres peuvent lire les définitions de données (ASSL) associées à l'objet. Si Allowed, les membres peuvent lire les définitions ASSL associées à l'objet. Basic et Allowed sont hérités par les objets contenus dans l'objet. Allowed remplace Basic et None. Allowed est requis pour DISCOVER_XML_METADATA sur un objet. Basic est requis pour créer des objets liés et des cubes locaux. |
Lire | {None, Allowed} Valeur par défaut =None (sauf pour DimensionPermission, où la valeur par défaut estAllowed) |
Spécifie si les membres ont l'accès en lecture aux ensembles de lignes et au contenu des données du schéma. Allowed donne l'accès en lecture à une base de données, vous permettant de la découvrir. Autorisé sur un cube donne un accès en lecture dans les ensembles de lignes de schéma et un accès au contenu du cube (sauf contrainte par CellPermission et CubeDimensionPermission). Autorisé sur une dimension accorde l’autorisation de lecture sur tous les attributs de la dimension (sauf contrainte par CubeDimensionPermission). L'autorisation de lecture est utilisée uniquement pour l'héritage statique à l'objet CubeDimensionPermission. None sur une dimension masque la dimension et donne uniquement l'accès au membre par défaut pour les attributs pouvant faire l'objet d'une agrégation ; une erreur est levée si la dimension contient un attribut ne pouvant pas faire l'objet d'une agrégation. Autorisé sur un MiningModelPermission octroi d’autorisations pour voir des objets dans des ensembles de lignes de schéma et pour effectuer des jointures de prédiction. RemarqueAllowed est requis pour lire ou écrire dans n’importe quel objet de la base de données. |
Write | {None, Allowed} Default=None |
Spécifie si les membres ont un accès en écriture aux données de l'objet parent. L'accès s'applique aux sous-classes Dimension, Cube, et MiningModel. Il ne s'applique pas aux sous-classes MiningStructure de base de données, qui génèrent une erreur de validation. Autorisé sur un accorde l’autorisation Dimension d’écriture sur tous les attributs de la dimension. Autorisé sur un Cube accorde l’autorisation d’écriture sur les cellules du cube pour les partitions définies comme Type=writeback. Autorisé sur une octroie MiningModel l’autorisation de modifier le contenu du modèle. Autorisé sur un n’a pas de MiningStructure signification spécifique dans SQL Server Analysis Services. Remarque : L’écriture ne peut pas être définie sur Autorisé , sauf si la lecture est également définie sur Autorisé |
Administrer Remarque : Uniquement dans les autorisations de base de données |
{true, false} Default=false |
Spécifie si les membres peuvent administrer une base de données. true accorde aux membres l'accès à tous les objets dans une base de données. Un membre peut avoir des autorisations d'administrateur pour une base de données spécifique, mais pas pour les autres. |
Voir aussi
Autorisations et droits d'accès (Analysis Services - Données multidimensionnelles)
Autorisation de l'accès à des objets et des opérations (Analysis Services)