Autorizzazione dell'accesso a oggetti e operazioni (Analysis Services)
Si applica a: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium
L'accesso utente non amministrativo ai cubi, alle dimensioni e ai modelli di data mining all'interno di un database SQL Server Analysis Services viene concesso tramite l'appartenenza a uno o più ruoli di database. SQL Server Analysis Services amministratori creano questi ruoli di database, concedendo autorizzazioni di lettura o lettura/scrittura per gli oggetti SQL Server Analysis Services e quindi assegnando utenti e gruppi di Microsoft Windows a ogni ruolo.
SQL Server Analysis Services determina le autorizzazioni effettive per un utente o un gruppo di Windows specifico combinando le autorizzazioni associate a ogni ruolo di database a cui appartiene l'utente o il gruppo. Di conseguenza, se un ruolo del database non concede a un utente o a un gruppo l'autorizzazione per visualizzare una dimensione, una misura o un attributo, ma l'autorizzazione viene concessa a tale utente o gruppo da un ruolo del database diverso, l'utente o il gruppo disporrà comunque di questa autorizzazione.
Importante
I membri del ruolo amministratore del server SQL Server Analysis Services e i membri di un ruolo di database con autorizzazioni di controllo completo (amministratore) possono accedere a tutti i dati e ai metadati nel database e non sono necessarie autorizzazioni aggiuntive per visualizzare oggetti specifici. Inoltre, i membri del ruolo server SQL Server Analysis Services non possono essere negati l'accesso a qualsiasi oggetto in qualsiasi database e i membri di un ruolo di database SQL Server Analysis Services con autorizzazioni full control (amministratore) all'interno di un database non possono essere negate l'accesso a qualsiasi oggetto all'interno di tale database. Le operazioni amministrative specializzate quali l'elaborazione possono essere autorizzate tramite ruoli separati con minori autorizzazioni. Per informazioni dettagliate, vedere Concedere le autorizzazioni di processo (Analysis Services ).
Visualizzare un elenco dei ruoli definiti per il database
Gli amministratori possono eseguire una semplice query DMV in SQL Server Management Studio per ottenere un elenco di tutti i ruoli definiti nel server.
In SSMS fare clic con il pulsante destro del mouse su un database e selezionare Nuova query | MDX.
Digitare la query seguente e premere F5 per avviare l'esecuzione:
Select * from $SYSTEM.DBSCHEMA_CATALOGS
I risultati includono il nome del database, la descrizione, il nome del ruolo e la data dell'ultima modifica. Partendo da queste informazioni è possibile passare ai singoli database per controllare l'appartenenza e le autorizzazioni di un ruolo specifico.
Panoramica dall'alto verso il basso dell'autorizzazione di Analysis Services
Questa sezione descrive il flusso di lavoro di base per la configurazione delle autorizzazioni.
Passaggio 1: Amministrazione del server
Decidere innanzitutto chi dovrà disporre dei diritti di amministratore a livello di server. Durante l'installazione, l'amministratore locale che installa SQL Server deve specificare uno o più account di Windows come amministratore del server di Analysis Services. Gli amministratori del server dispongono di tutte le autorizzazioni possibili in un server, compresa l'autorizzazione per visualizzare, modificare ed eliminare un oggetto nel server o visualizzare i dati associati. Al termine dell'installazione, un amministratore del server può aggiungere o rimuovere gli account per modificare l'appartenenza di questo ruolo. Per informazioni dettagliate su questo livello di autorizzazione, vedere Concedere i diritti di amministratore del server a un'istanza di Analysis Services .
Passaggio 2: Amministrazione del database
Una volta creata, la soluzione multidimensionale o tabulare viene distribuita nel server come database. Un amministratore del server può delegare le attività di amministrazione del database definendo un ruolo con autorizzazioni di Controllo completo per il database specifico. I membri di questo ruolo possono elaborare o eseguire query sugli oggetti nonché creare ruoli aggiuntivi per l'accesso a cubi, dimensioni e altri oggetti all'interno del database stesso. Per altre informazioni, vedere Concedere le autorizzazioni del database (Analysis Services).
Passaggio 3: Abilitazione dell'accesso a un cubo o a un modello per carichi di lavoro di query e di elaborazione
Per impostazione predefinita, solo gli amministratori del server e del database dispongono dell'accesso ai cubi e ai modelli tabulari. Per rendere queste strutture di dati disponibili ad altri utenti dell'organizzazione sono necessarie assegnazioni di ruolo aggiuntive che eseguono il mapping degli account utente e di gruppo di Windows ai cubi o modelli oltre alle autorizzazioni che specificano i privilegi di lettura . Per informazioni dettagliate, vedere Concedere autorizzazioni del cubo o del modello (Analysis Services).
Le attività di elaborazione possono essere isolate dalle altre funzioni amministrative consentendo agli amministratori del server e del database di delegare questa attività ad altri utenti o di configurare l'elaborazione automatica specificando gli account del servizio che eseguono il software di pianificazione. Per informazioni dettagliate, vedere Concedere le autorizzazioni di processo (Analysis Services ).
Nota
Gli utenti non richiedono autorizzazioni per le tabelle relazionali nel database relazionale sottostante da cui SQL Server Analysis Services carica i dati e non richiedono autorizzazioni a livello di file nel computer in cui è in esecuzione l'istanza di SQL Server Analysis Services.
Passaggio 4 (facoltativo): Concessione o meno dell'accesso a oggetti interni del cubo
SQL Server Analysis Services fornisce impostazioni di sicurezza per l'impostazione delle autorizzazioni per singoli oggetti, inclusi i membri della dimensione e le celle all'interno di un modello di dati. Per informazioni dettagliate, vedere Concedere l'accesso personalizzato ai dati delle dimensioni (Analysis Services) e Concedere l'accesso personalizzato ai dati delle celle (Analysis Services).
È anche possibile modificare le autorizzazioni in base all'identità utente. Questa operazione viene spesso definita sicurezza dinamica e viene implementata usando la funzione UserName (MDX)
Procedure consigliate
Per migliorare la gestione delle autorizzazioni, è consigliabile adottare un approccio simile al seguente:
Creare i ruoli in base alla funzione, ad esempio dbadmin, cubedeveloper, processadmin, in modo tale che chiunque gestisca i ruoli possa visualizzare subito l'attività consentita dal ruolo. Come indicato altrove, è possibile definire i ruoli nella definizione del modello, mantenendo pertanto tali ruoli nelle distribuzioni successive della soluzione.
Creare un gruppo di sicurezza di Windows corrispondente in Active Directory e quindi mantenere il gruppo di sicurezza in Active Directory per assicurarsi che contenga i singoli account appropriati. In questo modo la responsabilità dell'appartenenza al gruppo di sicurezza viene affidata agli esperti della sicurezza che già conoscono gli strumenti e i processi usati per la gestione degli account nell'organizzazione.
Generare script in SQL Server Management Studio in modo che sia possibile replicare rapidamente le assegnazioni di ruolo ogni volta che il modello viene ridistribuibile dai file di origine a un server. Per informazioni dettagliate su come generare rapidamente uno script, vedere Concedere le autorizzazioni del cubo o del modello (Analysis Services).
Adottare una convenzione di denominazione che rifletta l'ambito e l'appartenenza del ruolo. I nomi dei ruoli sono visibili solo negli strumenti di progettazione e amministrazione. Usare pertanto una convenzione di denominazione appropriata per gli esperti della sicurezza dei cubi. Ad esempio, processadmin-windowsgroup1 indica l'accesso in lettura oltre ai diritti di elaborazione agli utenti dell'organizzazione i cui singoli account utente di Windows sono membri del gruppo di sicurezza windowsgroup1 .
Se si includono le informazioni sull'account è possibile tenere traccia degli account usati nei vari ruoli. Poiché i ruoli si sommano tra loro, l'insieme dei ruoli associati a windowsgroup1 costituisce il set effettivo di autorizzazioni per gli utenti appartenenti al gruppo di sicurezza.
Gli sviluppatori dei cubi richiedono le autorizzazioni di Controllo completo per i modelli e i database in fase di sviluppo, ma una volta che il database viene implementato in un server di produzione sono sufficienti le autorizzazioni di Lettura. Ricordarsi di sviluppare le definizioni dei ruoli e le assegnazioni per tutti gli scenari, tra cui sviluppo, test e distribuzioni di produzione.
L'uso di un approccio come questo riduce la varianza nelle definizioni dei ruoli e nell'appartenenza ai ruoli all'interno del modello nonché fornisce visibilità nelle assegnazioni dei ruoli semplificando l'implementazione e la gestione delle autorizzazioni dei cubi.
Vedere anche
Concedere diritti di amministratore del server a un'istanza di Analysis Services
Ruoli e autorizzazioni (Analysis Services)
Metodologie di autenticazione supportate da Analysis Services