Ruoli di sicurezza (Analysis Services - Dati multidimensionali)
Si applica a: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium
I ruoli vengono usati in Microsoft SQL Server SQL Server Analysis Services per gestire la sicurezza per gli oggetti e i dati SQL Server Analysis Services. In termini di base, un ruolo associa gli identificatori di sicurezza (SID) degli utenti e dei gruppi di Microsoft Windows con diritti di accesso e autorizzazioni specifici definiti per gli oggetti gestiti da un'istanza di SQL Server Analysis Services. Sono disponibili due tipi di ruoli in SQL Server Analysis Services:
Ruolo server, un ruolo fisso che fornisce l'accesso amministratore a un'istanza di SQL Server Analysis Services.
Ruoli di database, ruoli definiti dagli amministratori per controllare l'accesso a oggetti e dati per gli utenti non amministratori.
La sicurezza in Microsoft SQL Server SQL Server Analysis Services sicurezza viene gestita usando ruoli e autorizzazioni. I ruoli sono gruppi di utenti. Gli utenti, denominati anche membri, possono essere aggiunti o rimossi dai ruoli. Le autorizzazioni per gli oggetti sono specificate dai ruoli e tutti i membri di un ruolo possono utilizzare gli oggetti per i quali il ruolo dispone delle autorizzazioni. Tutti i membri di un ruolo dispongono delle stesse autorizzazioni per gli oggetti. Le autorizzazioni sono specifiche degli oggetti: per ciascun oggetto è disponibile una raccolta delle autorizzazioni concesse su di esso. A un oggetto possono essere concessi diversi set di autorizzazioni. A ogni autorizzazione presente nella raccolta delle autorizzazioni dell'oggetto è assegnato un solo ruolo.
Oggetti ruolo e membri del ruolo
Un ruolo è un oggetto contenitore per una raccolta di utenti (membri). Una definizione di ruolo stabilisce l'appartenenza degli utenti in SQL Server Analysis Services. Poiché le autorizzazioni sono assegnate per ruolo, è necessario che un utente sia membro di un ruolo affinché possa accedere a un oggetto.
Un oggetto Role è composto dai parametri Name, ID e Members. Members rappresenta una raccolta di stringhe. Ciascun membro contiene il nome utente nel formato "dominio\nome utente". Name è una stringa che contiene il nome del ruolo. ID è una stringa che contiene l'identificatore univoco del ruolo.
Ruolo server
Il ruolo del server SQL Server Analysis Services definisce l'accesso amministrativo di utenti e gruppi Windows a un'istanza di SQL Server Analysis Services. I membri di questo ruolo hanno accesso a tutti i database e agli oggetti SQL Server Analysis Services in un'istanza di SQL Server Analysis Services e possono eseguire le attività seguenti:
Eseguire funzioni amministrative a livello di server usando SQL Server Management Studio o SQL Server Data Tools, inclusa la creazione di database e l'impostazione delle proprietà a livello di server.
Eseguire funzioni amministrative a livello di programmazione con la libreria AMO (Analysis Management Objects).
Gestire i ruoli del database SQL Server Analysis Services.
Avviare tracce, per finalità diverse dall'elaborazione degli eventi che può essere eseguita da un ruolo di database con accesso di tipo Process.
Ogni istanza di SQL Server Analysis Services ha un ruolo server che definisce quali utenti possono amministrare tale istanza. A differenza dei ruoli di database, questo ruolo, con nome e ID "Administrators", non può essere eliminato. Non è inoltre possibile aggiungere o rimuovere autorizzazioni. In altre parole, un utente è o non è un amministratore per un'istanza di SQL Server Analysis Services, a seconda che sia incluso nel ruolo del server per tale istanza di SQL Server Analysis Services.
Ruoli di database
Un ruolo di database SQL Server Analysis Services definisce l'accesso utente a oggetti e dati in un database di SQL Server Analysis Services. Un ruolo del database viene creato come oggetto separato in un database SQL Server Analysis Services e si applica solo al database in cui viene creato tale ruolo. Utenti e gruppi di Windows vengono inclusi nel ruolo da un amministratore, che definisce inoltre le autorizzazioni all'interno del ruolo.
Le autorizzazioni di un ruolo consentono ai membri di accedere al database e amministrarlo, in aggiunta agli oggetti e ai dati all'interno del database. A ogni autorizzazione è associato uno o più diritti di accesso, in grado di garantire all'autorizzazione un maggiore controllo sull'accesso a un determinato oggetto del database.
Oggetti Permission
Le autorizzazioni sono associate a un oggetto (cubo, dimensione e così via) di un determinato ruolo e determinano le operazioni che il membro del ruolo in questione può eseguire sull'oggetto.
La classe Permission è astratta. È pertanto necessario utilizzare le classi derivate per definire le autorizzazioni per gli oggetti corrispondenti. Per ogni oggetto è definita una classe derivata dell'autorizzazione.
Nell'elenco sono riportate le azioni possibili attivate dalle autorizzazioni:
Azione | Valori | Spiegazione |
---|---|---|
Processo | {true, false} Valore predefinito =false |
Se true, i membri possono elaborare l'oggetto e qualsiasi altro oggetto in esso contenuto. Le autorizzazioni di elaborazione non si applicano ai modelli di data mining. Le autorizzazioni MiningModel sono ereditate sempre da MiningStructure. |
ReadDefinition | {None, Basic, Allowed} Valore predefinito =None |
Specifica se i membri possono leggere la definizione dei dati (ASSL) associata all'oggetto. Se Allowed, i membri possono leggere la definizione ASSL associata all'oggetto. I valoriBasic e Allowed sono ereditati dagli oggetti contenuti nell'oggetto. Allowed sovrascrive Basic e None. Allowed è richiesto per DISCOVER_XML_METADATA su un oggetto. Basic è necessario per creare oggetti collegati e cubi locali. |
Lettura | {None, Allowed} Valore predefinito =None (tranne per DimensionPermission, il cui valore predefinito =Allowed) |
Specifica se i membri dispongono dell'accesso in lettura al set di righe dello schema e al contenuto dei dati. Allowed fornisce l'accesso in lettura per un database, che consente di individuare un database. Consentito in un cubo consente l'accesso in lettura nei set di righe dello schema e l'accesso al contenuto del cubo (a meno che non sia vincolato da CellPermission e CubeDimensionPermission). Consentito in una dimensione concede che l'autorizzazione di lettura per tutti gli attributi nella dimensione (a meno che non sia vincolata da CubeDimensionPermission). L'autorizzazione alla lettura è utilizzata solamente per l'ereditarietà statica a CubeDimensionPermission. Il valoreNone per una dimensione nasconde la dimensione e fornisce al membro predefinito solo l'accesso agli attributi aggregabili. Se la dimensione contiene un attributo non aggregabile, viene generato un errore. Consentito per MiningModelPermission le autorizzazioni di concessione per visualizzare gli oggetti nei set di righe dello schema e per eseguire le stime dei join. NotaAllowed è necessario per leggere o scrivere in qualsiasi oggetto nel database. |
Scrittura | {None, Allowed} Valore predefinito =None |
Specifica se i membri dispongono dell'accesso in scrittura ai dati dell'oggetto padre. L'accesso si applica alle sottoclassi Dimension, Cube e MiningModel, ma non alle sottoclassi MiningStructure del database. In questo caso, viene generato un errore di convalida. Consentito in una Dimension concessione di autorizzazione di scrittura per tutti gli attributi nella dimensione. Consentito in un'autorizzazione Cube di scrittura per le celle del cubo per le partizioni definite come Type=writeback. Consentito in un'autorizzazione MiningModel di concessione per modificare il contenuto del modello. Consentito in un MiningStructure oggetto non ha alcun significato specifico in SQL Server Analysis Services. Nota: La scrittura non può essere impostata su Consentito a meno che la lettura non sia impostata anche su Consentito |
Amministrazione Nota: solo nelle autorizzazioni del database |
{true, false} Valore predefinito =false |
Specifica se i membri possono amministrare un database. true concede ai membri l'accesso a tutti gli oggetti in un database. Un membro può disporre delle autorizzazioni Administer per un database specifico, ma non per altri database. |
Vedere anche
Autorizzazioni e diritti di accesso (Analysis Services - Dati multidimensionali)
Autorizzazione dell'accesso a oggetti e operazioni (Analysis Services)