Autorisations et droits d'accès (Analysis Services - Données multidimensionnelles)
Dans Microsoft Analysis Services, les rôles autorisent les administrateurs à définir des niveaux de sécurité sur les objets d'une base de données Analysis Services pour différents utilisateurs et groupes Windows. Une autorisation unique par rôle peut être associée à chaque objet et un ou plusieurs droits d'accès peuvent être associés à chaque autorisation. De plus, un utilisateur ou un groupe Windows peut être associé à plusieurs rôles Analysis Services, ce qui vous permet de combiner des autorisations et des droits d'accès pour des modèles de sécurité complexes dans les applications de décisionnel.
Droits d'accès
Le tableau suivant décrit l'ensemble des droits d'accès disponibles pour les autorisations associées aux objets des bases de données Analysis Services.
Droit d'accès |
Description |
---|---|
Access |
Permet d'accéder aux métadonnées d'un objet. Les types d'accès suivants sont pris en charge :
|
Administer |
Indique si les membres du rôle peuvent administrer l'objet. L'autorisation Administer donne aux membres du rôle accès à tous les objets contenus dans l'objet. |
AllowBrowsing |
Permet aux membres du rôle de parcourir les données dans un modèle d'exploration des données. |
AllowDrillthrough |
Accorde aux membres du rôle l'autorisation d'effectuer une extraction dans les données sous-jacentes à partir d'un modèle d'exploration de données. |
AllowedSet |
L'autorisation AllowedSet définit les membres d'un attribut qu'un membre du rôle peut visualiser. Par exemple, si le jeu autorisé dans [Customer].[CountryRegion] est {Canada}, les membres du rôle ont accès à toutes les provinces et les villes du Canada. Pour une hiérarchie parent-enfant, les membres autorisés sont ceux définis par le jeu, ainsi que les ascendants de la hiérarchie parent-enfant qui existent avec ces membres. Si un membre de la hiérarchie parent-enfant ne fait pas partie d'un jeu autorisé, le rôle ne peut pas accéder à ses enfants, à l'exception des données membres. Les données membres restent accessibles car elles appartiennent à l'attribut clé de la dimension. Si aucun jeu n'est défini pour l'autorisation AllowedSet, le jeu de tous les membres d'attribut est défini par défaut. |
AllowPredict |
Cette autorisation permet aux membres du rôle de prédire à partir du modèle d'exploration de données. |
ApplyDenied |
Détermine s'il est interdit de visualiser les membres de cet attribut qui existent avec d'autres membres explicitement refusés. |
DefaultMember |
L'autorisation DefaultMember définit le membre par défaut de la dimension. Celui-ci affecte les jeux de données renvoyés par les requêtes sur les cubes incluant la dimension. Lorsque la dimension n'est pas affichée sur un axe, par défaut le jeu de données est filtré (c'est-à-dire découpé) en utilisant le membre par défaut. |
DeniedSet |
L'autorisation DeniedSet définit les membres d'un attribut qu'un membre du rôle ne peut pas visualiser. |
IsAllowed |
Détermine si l'accès à tous les membres de l'attribut est autorisé, quels que soient les paramètres de niveau basés sur l'attribut. Si la propriété IsAllowed a la valeur False pour l'attribut de granularité d'une dimension, la valeur VisualTotals affectée à un attribut de dimension génère des valeurs NULL pour tous ses membres. Pour les opérateurs unaires, lorsque VisualTotals a la valeur False, chaque membre est un cumul de tous ses enfants. Si VisualTotals a la valeur True, chaque membre est un cumul des enfants autorisés. La valeur par défaut de cette propriété est True. |
Process |
L'autorisation Process pour un objet donne aux membres du rôle l'autorisation de traiter l'objet. Elle autorise également le traitement de tous les objets enfants de l'objet, sauf si cette autorisation est explicitement refusée sur un objet enfant. L'autorisation Process ne permet pas aux membres du rôle d'accéder aux données ou aux métadonnées de l'objet. |
ReadDefinition |
Indique si les membres du rôle peuvent lire les métadonnées qui définissent l'objet de l'autorisation. Ce paramètre de propriété est hérité par les objets contenus dans l'objet. |
VisualTotals |
L'autorisation VisualTotals pour les données de dimension définit la façon dont les données sont agrégées pour les attributs. Il s'agit d'une expression MDX qui renvoie True ou False. Si VisualTotals a la valeur False, les données sont agrégées sur tous les membres des attributs de la dimension, que les membres du rôle puissent ou pas les visualiser. Si VisualTotals a la valeur True, les données sont uniquement agrégées pour les membres de l'attribut de granularité de la dimension pour lesquels le rôle a l'accès en lecture. Par exemple, si Customer Name est l'attribut de granularité et que VisualTotals a la valeur True pour l'attribut City, chaque ville sera l'agrégation des données sur les clients auxquelles le rôle a un accès en lecture. La valeur par défaut est False. |
Autorisations
Le tableau suivant décrit les autorisations disponibles dans une base de données Analysis Services, ainsi que les droits d'accès gérés par chaque autorisation.
Autorisation |
Autorisations d'accès |
Base de données |
L'accès à la base de données définit l'accès aux objets et aux données d'une base de données Analysis Services. Les droits d'accès disponibles incluent :
|
Source de données |
L'accès à la source de données définit l'accès aux sources de données d'une base de données Analysis Services. Les droits d'accès disponibles incluent :
|
Cube |
Créé au niveau du cube lors de l'affectation d'un rôle de base de données à un cube, un rôle de cube s'applique uniquement à ce cube. Les valeurs par défaut du rôle de cube proviennent du rôle de base de données de même nom, mais certaines de ces valeurs peuvent être écrasées. Un rôle de cube contient des options qui n'existent pas dans un rôle de base de données, par exemple la sécurité de cellule. Vous pouvez bénéficier d'une grande souplesse dans l'attribution des accès en lecture et en lecture/écriture à des parties de cubes. Vous pouvez ainsi spécifier quels membres de dimension et quelles cellules de cube un rôle peut afficher et mettre à jour. Pour plus d'informations, consultez la section relative à la Sécurité des dimensions et à la Sécurité de cellules. Les droits d'accès disponibles incluent :
|
Cellule |
L'accès aux données des cellules définit l'accès aux cellules d'un cube. Il existe trois types de cellules dans un cube :
La sécurité des cellules dans un cube est définie pour chaque type d'accès aux cellules via une expression MDX qui affecte True ou False à chaque cellule du cube. Toute valeur autre que zéro dans une expression numérique équivaut à True et zéro équivaut à False. L'accès est autorisé lorsqu'une expression correspond à True et refusé lorsqu'une expression correspond à False. Les droits d'accès disponibles incluent :
|
Dimension |
Les propriétés d'accès à la dimension définissent l'accès aux dimensions de la base de données quelle que soit leur participation dans les cubes. L'accès à la dimension permet aux utilisateurs qui sont membres d'un rôle d'explorer une dimension dans les applications clientes. Les autorisations de dimension de cube peuvent également être spécifiées comme l'emportant sur les autorisations d'accès à la base de données d'un rôle lorsqu'une dimension fait l'objet d'un accès dans un cube particulier. Les droits d'accès disponibles incluent :
|
Attribut |
L'accès aux données de la dimension définit les attributs de dimension auxquels les membres d'un rôle peuvent accéder. Le fait d'autoriser ou de refuser l'accès à un attribut définit l'accès aux niveaux des hiérarchies de dimension basés sur cet attribut. Si l'accès à un attribut est refusé à un rôle, l'accès à tous les niveaux dérivés de l'attribut lui est refusé. Si l'accès refusé à un attribut crée une faille dans la hiérarchie, toute la hiérarchie est invalidée et n'est plus accessible pour les membres du rôle. Par exemple, dans la hiérarchie CountryRegion-State-City-Name, les niveaux State et Name ne sont pas contigus dans la hiérarchie. Lorsque l'accès à l'attribut City est refusé, une faille apparaît dans la hiérarchie et elle est invalidée. En revanche, l'accès refusé à l'attribut CountryRegion ne crée pas de faille et laisse la hiérarchie State-City-Name de niveaux contigus valide. De la même façon, l'accès refusé à l'attribut Name n'affecte pas la validité de la hiérarchie CountryRegion-State-City. Lorsque vous autorisez les membres d'un rôle à accéder à un attribut, vous pouvez autoriser ou refuser l'accès à des membres sélectionnés de l'attribut. Les droits d'accès disponibles incluent :
|
Structure d'exploration de données |
L'accès à la structure d'exploration de données détermine les autorisations d'accéder aux structures d'exploration de données, ainsi qu'aux modèles d'exploration de données et à leurs données. Les droits d'accès disponibles incluent :
|
Modèle d'exploration de données |
L'accès à la structure d'exploration de données détermine les autorisations d'accéder aux structures d'exploration de données, ainsi qu'aux modèles d'exploration de données et à leurs données. Les droits d'accès disponibles incluent :
|
1 Le droit d'accès DefaultMember définit le membre par défaut de la dimension. Pour plus d'informations, consultez Définition d'un membre par défaut.
Autorisations et héritage
Lorsqu'un objet contient d'autres objets (tels que les cubes ou les dimensions dans une base de données), les autorisations Administer, Process et ReadDefinition sur l'objet parent sont héritées par les objets enfants.
Autorisation |
Héritage |
---|---|
Administer |
Les membres du rôle de serveur Analysis Services ayant l'autorisation d'administrer un serveur, ils disposent d'un accès complet à tous les objets du serveur. Les membres d'un rôle de base de données Analysis Services qui sont autorisés à administrer une base de données ont un accès complet à toutes les objets de la base de données. |
Process |
Par défaut, le paramètre Process sur un objet s'applique à n'importe quel objet enfant. Cette propriété peut également être définie sur un objet enfant pour l'emporter sur l'autorisation héritée de l'objet parent.
|
ReadDefinition |
Par défaut, le paramètre de la propriété ReadDefinition sur un objet est hérité par tous les objets enfants. Cette propriété peut également être définie sur un objet enfant pour l'emporter sur l'autorisation héritée de l'objet parent. |
Rôles multiples et autorisations
Un utilisateur peut être membre de plusieurs rôles dans une base de données Analysis Services. Les autorisations de plusieurs rôles s'ajoutent les unes aux autres. Si un rôle donne accès à un objet, un membre de ce rôle a accès à l'objet, que ce membre se voit refuser ou pas explicitement à l'objet dans un autre rôle.