Condividi tramite


Autorizzazioni e diritti di accesso (SSAS)

Data aggiornamento: 12 dicembre 2006

In Microsoft i ruoli consentono agli amministratori di definire livelli di protezione per gli oggetti di un database di Analysis Services per diversi utenti e gruppi di Windows. A ogni oggetto può essere associata una singola autorizzazione per ruolo e a ogni autorizzazione possono essere associati uno o più diritti di accesso. Un utente o un gruppo di Windows, inoltre, può essere associato a più ruoli di Analysis Services. È così possibile combinare autorizzazioni e diritti di accesso per modelli di protezione complessi nelle applicazioni di Business Intelligence.

Diritti di accesso

Nella tabella seguente viene descritto il set di diritti di accesso disponibile per le autorizzazioni associate a oggetti di database di Analysis Services.

Diritto di accesso Descrizione

Access

Consente di accedere ai metadati di un oggetto. Sono supportati i tipi di accesso seguenti:

  • None nega l'accesso all'oggetto.
  • Read consente ai membri del ruolo la lettura dall'oggetto.
  • ReadContingent consente ai membri del ruolo di leggere il valore di una cella soltanto se l'utente può accedere a tutte le celle da cui il valore è derivato. ReadContingent offre l'accesso Read per qualsiasi cella specificata dall'autorizzazione che non è derivata da altre celle.
    Se ad esempio il valore della cella Profit viene calcolato dal valore della cella Sales meno il valore della cella Costs, un utente può leggere la cella Profit solo se l'accesso alla cella è impostato su Read o Write sia per la cella Sales che per la cella Costs.
  • ReadWrite consente ai membri del ruolo la lettura e la scrittura nell'oggetto.

Administer

Indica se i membri del ruolo possono amministrare l'oggetto.

L'autorizzazione Administer concede ai membri del ruolo l'accesso completo a tutti gli oggetti contenuti nell'oggetto.

AllowBrowsing

Consente ai membri del ruolo di esplorare i dati in un modello di data mining.

AllowDrillthrough

Concede ai membri del ruolo di eseguire il drill-through da un modello di data mining ai dati sottostanti.

AllowedSet

L'autorizzazione AllowedSet definisce i membri di un attributo che possono essere visualizzati da un membro del ruolo. Se il set consentito in [Customer].[CountryRegion] è {Canada}, ad esempio, i membri del ruolo hanno accesso a tutte le province e le città del Canada.

In una gerarchia padre-figlio, i membri consentiti sono quelli definiti dal set e i predecessori della gerarchia padre-figlio in cui esistono tali membri. Se un membro di una gerarchia padre-figlio non è incluso in un set consentito, i relativi elementi figlio diversi da membri dei dati non sono accessibili al ruolo. I membri dei dati sono comunque accessibili poiché appartengono all'attributo chiave della dimensione.

Se non è definito alcun set per l'autorizzazione AllowedSet, il set predefinito è costituito da tutti i membri dell'attributo.

AllowPredict

L'autorizzazione di stima per un modello di data mining concede ai membri del ruolo di eseguire stime in base al modello di data mining.

ApplyDenied

Determina se non possono essere visualizzati i membri dell'attributo in cui esistono altri membri esplicitamente non autorizzati.

DefaultMember

L'autorizzazione DefaultMember definisce il membro predefinito della dimensione. Il membro predefinito influisce sui set di dati restituiti dalle query eseguite sui cubi in cui è inclusa la dimensione. Quando la dimensione non viene visualizzata su un asse, per impostazione predefinita il set di dati viene filtrato, ovvero sezionato, utilizzando il membro predefinito.

DeniedSet

L'autorizzazione DeniedSet definisce i membri di un attributo che non possono essere visualizzati da un membro del ruolo.

IsAllowed

Determina se l'accesso a qualsiasi membro dell'attributo è consentito indipendentemente dalle impostazioni per un livello basato sull'attributo.

Se la proprietà IsAllowed è False per l'attributo di granularità di una dimensione, impostando VisualTotals per un attributo della dimensione si ottengono valori Null per tutti i membri. Per gli operatori unari, quando VisualTotals è False ogni membro costituisce un rollup di tutti i relativi elementi figlio. In caso di impostazione di VisualTotals su True, ogni membro è un rollup degli elementi figlio autorizzati.

L'impostazione predefinita della proprietà è True.

Process

L'autorizzazione Process per un oggetto concede ai membri del ruolo di elaborare l'oggetto, nonché di elaborare tutti gli oggetti figlio nell'oggetto a meno che per un oggetto figlio non venga esplicitamente negata tale autorizzazione. L'autorizzazione Process non concede ai membri del ruolo l'accesso ai dati o ai metadati dell'oggetto.

ReadDefinition

Indica se i membri del ruolo possono leggere i metadati che definiscono l'oggetto autorizzazioni. L'impostazione di questa proprietà viene ereditata dagli oggetti contenuti nell'oggetto.

VisualTotals

L'autorizzazione VisualTotals per i dati della dimensione definisce la modalità di aggregazione dei dati per gli attributi ed è costituita da un'espressione MDX che restituisce True o False. Se VisualTotals è False, i dati vengono aggregati per tutti i membri degli attributi della dimensione indipendentemente dalla visibilità ai membri del ruolo. Se VisualTotals è True, i dati vengono aggregati soltanto per i membri dell'attributo di granularità della dimensione per cui il ruolo dispone di accesso in lettura. Se Customer Name è l'attributo di granularità e l'autorizzazione VisualTotals è impostata su True per l'attributo City, ad esempio, ogni città sarà l'aggregazione dei dati per i clienti per cui il ruolo dispone di accesso in lettura.

L'impostazione predefinita è False.

Autorizzazioni

Nella tabella seguente vengono descritti le autorizzazioni disponibili in un database di Analysis Services e i diritti di accesso gestiti da ogni autorizzazione.

Autorizzazione Autorizzazioni di accesso

Database

L'accesso ai database definisce l'accesso a oggetti e dati in un database di Analysis Services.

Sono disponibili i diritti di accesso seguenti:

  • Administer
  • Process
  • Read Definition

Origine dei dati

L'accesso alle origini dei dati definisce l'accesso alle origini dei dati in un database di Analysis Services.

Sono disponibili i diritti di accesso seguenti:

  • Access
    (None o Read)
  • Read Definition

Cubo

Un ruolo del cubo, creato a livello di cubo quando viene assegnato un ruolo di database a un cubo, viene applicato solo a tale cubo. Le impostazioni predefinite di un ruolo del cubo sono derivate dal ruolo di database con lo stesso nome, nonostante alcune possano essere sostituite nel ruolo del cubo. Un ruolo del cubo contiene opzioni aggiuntive, ad esempio la protezione a livello di cella, non incluse in un ruolo di database. La concessione dell'accesso in lettura e in lettura/scrittura a parti di cubi offre una notevole flessibilità. È possibile specificare i membri delle dimensioni e le celle dei cubi visualizzabili e aggiornabili da un ruolo.

Sono disponibili i diritti di accesso seguenti:

  • Access
    (None, Read o Read/Write)
  • LocalCube/DrillthroughAccess
    (None, Drillthrough/Drillthrough and Local Cube)
  • Process

Cella

L'accesso ai dati delle celle definisce l'accesso alle celle in un cubo. Sono disponibili tre tipi di accesso alle celle in un cubo:

  • Read
  • Read Contingent
  • Read/Write

La protezione a livello di cella in un cubo viene definita per ogni tipo di accesso alle celle con un'espressione MDX che viene risolta in True o False per ogni cella del cubo. Qualsiasi valore diverso da zero in un'espressione numerica viene valutato come True, mentre zero viene valutato come False. L'accesso è consentito quando un'espressione viene risolta in True e viene negato in caso di risoluzione in False.

Sono disponibili i diritti di accesso seguenti:

  • Access
    (None, Read, Read Contingent o Read/Write)

Dimensione

Le proprietà di accesso alle dimensioni definiscono l'accesso alle dimensioni di un database indipendentemente dalla relativa partecipazione ai cubi. L'accesso alle dimensioni consente agli utenti che sono membri di un ruolo di esplorare una dimensione nelle applicazioni client. È inoltre possibile specificare autorizzazioni per dimensioni dei cubi che sostituiscono le autorizzazioni di accesso a database per un ruolo in caso di accesso a una dimensione in un determinato cubo.

Sono disponibili i diritti di accesso seguenti:

  • Access
    (Read o Read/Write)
  • Process
  • Read Definition

Attributo

L'accesso ai dati delle dimensioni controlla gli attributi delle dimensioni a cui possono accedere i membri di un ruolo. Consentendo o negando l'accesso a un attributo viene definito l'accesso ai livelli delle gerarchie delle dimensioni basati su tale attributo. Se a un ruolo viene negato l'accesso a un attributo, risulta negato l'accesso a tutti i livelli derivati dall'attributo.

Se negando l'accesso a un attributo viene creato uno spazio vuoto in una gerarchia, l'intera gerarchia non sarà più valida e accessibile per i membri del ruolo. Nella gerarchia CountryRegion-State-City-Name, ad esempio, i livelli State e Name non sono contigui. Negando l'accesso all'attributo City viene pertanto lasciato uno spazio vuoto e la gerarchia non sarà più valida. Negando invece l'accesso all'attributo CountryRegion non viene creato uno spazio vuoto e viene mantenuta la gerarchia valida di livelli contigui State-City-Name. Analogamente, negando l'accesso all'attributo Name viene mantenuta la gerarchia valida CountryRegion-State-City.

Quando si consente ai membri di un ruolo di accedere a un attributo, è possibile consentire o negare l'accesso a membri selezionati dell'attributo.

Sono disponibili i diritti di accesso seguenti:

  • Allowed Set
  • Default Member1
  • Denied Set
  • VisualTotals

Struttura di data mining

L'accesso alle strutture di data mining determina le autorizzazioni per le strutture e i modelli di data mining e per i relativi dati.

Sono disponibili i diritti di accesso seguenti:

  • Access
    (None o Read)
  • Process
  • Read Definition

Modello di data mining

L'accesso alle strutture di data mining determina le autorizzazioni per le strutture e i modelli di data mining e per i relativi dati.

Sono disponibili i diritti di accesso seguenti:

  • Access
    (None, Read o Read/Write)
  • Browse
  • Drill Through
  • Read Definition

1 Il diritto di accesso DefaultMember definisce il membro predefinito della dimensione. Per ulteriori informazioni, vedere Definizione di un membro predefinito.

Autorizzazioni ed ereditarietà

Quando un oggetto contiene altri oggetti (ad esempio, cubi o dimensioni in un database), le autorizzazioni Administer, Process e ReadDefinition per l'oggetto padre vengono ereditate dagli oggetti figlio.

Autorizzazione Ereditarietà

Administer

I membri del ruolo del server di Analysis Services sono autorizzati ad amministrare un server e dispongono pertanto di accesso completo a tutti gli oggetti sul server. I membri di un ruolo di database di Analysis Services a cui è concesso di amministrare un database dispongono di accesso completo a tutti gli oggetti nel database.

Process

Per impostazione predefinita, l'impostazione Process per un oggetto viene applicata a qualsiasi oggetto figlio. È inoltre possibile impostare questa proprietà per un oggetto figlio in modo da sostituire l'autorizzazione ereditata dall'oggetto padre.

  • Se un utente dispone dell'autorizzazione necessaria per l'elaborazione di un cubo ma non per l'elaborazione di una dimensione nel cubo, l'utente può elaborare correttamente il cubo solo se la dimensione è già stata elaborata.
  • Quando un utente elabora un database, vengono elaborati soltanto i cubi e le dimensioni nel database che l'utente è autorizzato a elaborare.

Read Definition

Per impostazione predefinita, l'impostazione della proprietà Read Definition per un oggetto viene ereditata da qualsiasi oggetto figlio. È inoltre possibile impostare questa proprietà per un oggetto figlio in modo da sostituire l'autorizzazione ereditata dall'oggetto padre.

Più ruoli e autorizzazioni

Un utente può appartenere a più ruoli in un database di Analysis Services. Le autorizzazioni presenti in più ruoli si sommano tra loro. Se un ruolo garantisce l'accesso a un oggetto, un membro di tale ruolo ha accesso all'oggetto indipendentemente dal fatto che a tale membro venga o meno esplicitamente negato l'accesso all'oggetto in un altro ruolo.

Vedere anche

Concetti

Protezione di Analysis Services

Guida in linea e informazioni

Assistenza su SQL Server 2005

Cronologia modifiche

Versione Cronologia

12 dicembre 2006

Contenuto modificato:
  • Chiarimento dell'architettura di protezione predefinita.