SQL Server Analysis Services-gegevensbronnen beheren
Nadat u een on-premises gegevensgateway hebt geïnstalleerd, kunt u gegevensbronnen toevoegen voor gebruik met de gateway. In dit artikel wordt beschreven hoe u een SSAS-gegevensbron (SQL Server Analysis Services) toevoegt aan uw on-premises gateway om te gebruiken voor geplande vernieuwing of voor liveverbindingen.
Notitie
We hebben de on-premises gegevensgatewaydocumenten gesplitst in inhoud die specifiek is voor Power BI en algemene inhoud die van toepassing is op alle services die door de gateway worden ondersteund. U bevindt zich momenteel in de Power BI-inhoud. Als u feedback wilt geven over dit artikel of de algehele ervaring met gatewaydocumenten, bladert u naar de onderkant van het artikel.
Notitie
Als u een Analysis Services-gegevensbron hebt, moet u de gateway installeren op een computer die is gekoppeld aan hetzelfde forest of domein als uw Analysis Services-server.
Notitie
De gateway ondersteunt alleen Windows-verificatie voor Analysis Services.
Een gegevensbron toevoegen
Verbinding maken met een multidimensionale of tabellaire Analysis Services-gegevensbron:
Selecteer Analysis Services voor verbindingstype in het scherm Nieuwe verbinding voor uw on-premises gegevensgateway. Zie Een gegevensbron toevoegen voor meer informatie over het toevoegen van een gegevensbron.
Vul de gegevens in voor de gegevensbron, waaronder Server en Database. De gateway gebruikt de gegevens die u invoert voor gebruikersnaam en wachtwoord om verbinding te maken met het Analysis Services-exemplaar.
Notitie
Het Windows-account dat u invoert, moet lid zijn van de rol Serverbeheerder op het Analysis Services-exemplaar waarmee u verbinding maakt. Als het wachtwoord van dit account is ingesteld op verlopen, krijgen gebruikers een verbindingsfout, tenzij u het wachtwoord voor de gegevensbron bijwerkt. Zie Versleutelde referenties opslaan in de cloud voor meer informatie over hoe referenties worden opgeslagen.
Configureer het privacyniveau voor uw gegevensbron. Met deze instelling bepaalt u hoe gegevens kunnen worden gecombineerd voor geplande vernieuwing. De instelling op privacyniveau is niet van toepassing op liveverbindingen. Zie Privacyniveaus instellen (Power Query) voor meer informatie over privacyniveaus voor uw gegevensbron.
U kunt nu ook de toewijzing van gebruikersnaam configureren. Zie Handmatig opnieuw toewijzen van gebruikersnaam voor instructies.
Nadat u alle velden hebt voltooid, selecteert u Maken.
U kunt deze gegevensbron nu gebruiken voor geplande vernieuwing of liveverbindingen voor een on-premises Analysis Services-exemplaar.
Gebruikersnamen voor Analysis Services
Telkens wanneer een gebruiker communiceert met een rapport dat is verbonden met Analysis Services, wordt de effectieve gebruikersnaam doorgegeven aan de gateway en vervolgens doorgegeven aan uw on-premises Analysis Services-server. Het e-mailadres dat u gebruikt om u aan te melden bij Power BI, wordt doorgegeven aan Analysis Services als de effectieve gebruiker in de eigenschap EffectiveUserName-verbinding .
Het e-mailadres moet overeenkomen met een gedefinieerde UPN (User Principal Name) binnen het lokale Ad-domein (Active Directory). De UPN is een eigenschap van een AD-account. Het Windows-account moet aanwezig zijn in een Analysis Services-rol. Als een overeenkomst niet kan worden gevonden in AD, is de aanmelding niet gelukt. Zie Kenmerken voor gebruikersnamen voor meer informatie over AD en gebruikersnamen.
Gebruikersnamen toewijzen voor Analysis Services-gegevensbronnen
Met Power BI kunnen gebruikersnamen worden toegewezen voor Analysis Services-gegevensbronnen. U kunt regels configureren om een aanmeldingsnaam van Power BI toe te wijzen aan een EffectiveUserName
gebruiker die wordt doorgegeven aan de Analysis Services-verbinding. Deze functie is een uitstekende tijdelijke oplossing wanneer uw Microsoft Entra-gebruikersnaam niet overeenkomt met een UPN in uw lokale Active Directory-exemplaar. Als uw e-mailadres bijvoorbeeld is meganb@contoso.onmicrosoft.com
, kunt u dit toewijzen aan meganb@contoso.com
en die waarde wordt doorgegeven aan de gateway.
U kunt gebruikersnamen voor Analysis Services op twee verschillende manieren toewijzen:
- Handmatig opnieuw toewijzen van gebruikers in Power BI
- Active Directory-zoektoewijzing, die gebruikmaakt van on-premises AD-eigenschappen opzoeken om Microsoft Entra UPN's opnieuw toe te kennen aan on-premises AD-gebruikers.
Handmatige toewijzing met behulp van het opzoeken van on-premises AD-eigenschappen is mogelijk, maar is tijdrovend en moeilijk te onderhouden, vooral wanneer patroonkoppeling niet voldoende is. Domeinnamen of gebruikersaccountnamen kunnen bijvoorbeeld verschillen tussen Microsoft Entra-id en on-premises AD. Daarom wordt handmatige toewijzing met de tweede methode niet aanbevolen.
In de volgende secties worden de twee toewijzingsmethoden beschreven.
Handmatig opnieuw toewijzen van gebruikers in Power BI
U kunt aangepaste UPN-regels configureren in Power BI voor Analysis Services-gegevensbronnen. Aangepaste regels helpen als uw Power BI-service aanmeldingsnaam niet overeenkomt met de UPN van uw lokale directory. Als u zich bijvoorbeeld aanmeldt bij Power BI met meganb@contoso.com
maar de UPN meganb@contoso.local
van uw lokale adreslijst, kunt u een toewijzingsregel configureren om door te geven meganb@contoso.local
aan Analysis Services.
Belangrijk
De toewijzing werkt voor de specifieke gegevensbron die wordt geconfigureerd. Het is geen globale instelling. Als u meerdere Analysis Services-gegevensbronnen hebt, moet u de gebruikers toewijzen voor elke gegevensbron.
Voer de volgende stappen uit om handmatige UPN-toewijzingen uit te voeren:
Selecteer onder het tandwielpictogram van Power BI de optie Gateways en verbindingen beheren.
Selecteer de gegevensbron en selecteer vervolgens Instellingen in het bovenste menu.
Controleer in het scherm Instellingen in het vak Gebruikersnamen toewijzen of EffectiveUserName is geselecteerd en selecteer vervolgens Nieuwe regel toevoegen.
Voer onder Gebruikersnamen toewijzen voor elke toe te wijzen gebruikersnaam waarden in voor de oorspronkelijke naam en nieuwe naam en selecteer vervolgens Nieuwe regel toevoegen. De waarde Replace is het aanmeldingsadres voor Power BI en de waarde With is de waarde waarmee deze moet worden vervangen. De vervanging wordt doorgegeven aan de
EffectiveUserName
eigenschap voor de Analysis Services-verbinding.Notitie
Zorg ervoor dat u geen gebruikers wijzigt die u niet wilt wijzigen. Als u bijvoorbeeld de oorspronkelijke naam
contoso.com
vervangt door een nieuwe naam ,@contoso.local
worden alle aanmeldingen van gebruikers die deze bevatten@contoso.com
, vervangen@contoso.local
door . Als u ook een oorspronkelijke naam vervangt doormeganb@contoso.com
een nieuwe naammeganb@contoso.local
, wordt er een aanmeldingv-meganb@contoso.com
verzonden alsv-meganb@contoso.local
.U kunt een item in de lijst selecteren en de volgorde ervan wijzigen door een item te slepen en te verwijderen of door het prullenbakpictogram te selecteren.
Een jokerteken gebruiken
U kunt een *-jokerteken gebruiken voor de tekenreeks Vervangen (oorspronkelijke naam). U kunt het jokerteken alleen gebruiken en niet met een ander tekenreeksonderdeel. Gebruik een jokerteken als u alle gebruikers wilt vervangen door één waarde die moet worden doorgegeven aan de gegevensbron. Deze methode is handig als u wilt dat alle gebruikers in een organisatie dezelfde gebruiker in uw lokale omgeving gebruiken.
De toewijzingsregel testen
Als u de naamvervanging wilt valideren, voert u een waarde in voor de oorspronkelijke naam en selecteert u Testregel.
Notitie
De opgeslagen regels werken direct in de browser. Het duurt enkele minuten voordat de Power BI-service de opgeslagen regels gaat gebruiken.
Toewijzing van Active Directory-zoekopdrachten
In deze sectie wordt beschreven hoe u een on-premises Active Directory-eigenschappenzoekactie uitvoert om Microsoft Entra UPN's opnieuw toe te kennen aan AD-gebruikers. Bekijk eerst hoe deze opnieuw wordt toegepast.
Elke query door een Power BI Microsoft Entra-gebruiker naar een on-premises SSAS-server geeft een UPN-tekenreeks door, zoals firstName.lastName@contoso.com
.
Opzoektoewijzing in een on-premises gegevensgateway met configureerbare aangepaste gebruikerstoewijzing volgt deze stappen:
- Zoek de Active Directory om te zoeken. U kunt automatisch of configureerbaar gebruiken.
- Zoek het kenmerk van de Active Directory-gebruiker, zoals E-mail, op uit de Power BI-service. Het kenmerk is gebaseerd op een binnenkomende UPN-tekenreeks zoals
firstName.lastName@contoso.com
. - Als de Active Directory-zoekopdracht mislukt, wordt geprobeerd de UPN door te geven aan SSAS als de
EffectiveUserName
. - Als de Active Directory-zoekactie slaagt, wordt de
UserPrincipalName
active directory-gebruiker opgehaald. - De toewijzing geeft de
UserPrincipalName
e-mail, zoalsAlias@corp.on-prem.contoso
, door aan SSAS als deEffectiveUserName
.
Notitie
Handmatige UPN-gebruikerstoewijzingen die zijn gedefinieerd in de configuratie van de Power BI-gegevensbrongateway, worden toegepast voordat de UPN-tekenreeks naar de on-premises gegevensgateway wordt verzonden.
Als u wilt dat de Active Directory-zoekopdracht tijdens runtime goed werkt, moet u de on-premises gegevensgatewayservice wijzigen om te worden uitgevoerd met een domeinaccount in plaats van een lokaal serviceaccount.
Zorg ervoor dat u de meest recente gateway downloadt en installeert.
Ga in de on-premises gegevensgateway-app op uw computer naar Service-instellingen>Wijzigen serviceaccount. Zorg ervoor dat u de herstelsleutel voor de gateway hebt, omdat u deze op dezelfde computer moet herstellen, tenzij u een nieuwe gateway wilt maken. U moet de gatewayservice opnieuw starten om de wijziging van kracht te laten worden.
Ga als beheerder naar de installatiemap van de gateway, C:\Program Files\On-premises gegevensgateway om ervoor te zorgen dat u schrijfmachtigingen hebt. Open het bestand Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config .
Bewerk de
ADUserNameLookupProperty
waarden en deADUserNameReplacementProperty
waarden op basis van de configuraties van ad-kenmerken voor uw AD-gebruikers. De waarden in de volgende afbeelding zijn voorbeelden. Deze configuraties zijn hoofdlettergevoelig, dus zorg ervoor dat ze overeenkomen met de waarden in AD.Als het bestand geen waarde voor de
ADServerPath
configuratie biedt, gebruikt de gateway de standaard globale catalogus. U kunt meerdere waarden opgeven voor deADServerPath
. De waarden moeten worden gescheiden door puntkomma's, zoals in het volgende voorbeeld:<setting name="ADServerPath" serializeAs="String"> <value> GC://serverpath1; GC://serverpath2;GC://serverpath3</value> </setting>
De gateway parseert de waarden voor
ADServerPath
van links naar rechts totdat er een overeenkomst wordt gevonden. Als de gateway geen overeenkomst vindt, wordt de oorspronkelijke UPN gebruikt. Zorg ervoor dat het account waarmee de gatewayservice, PBIEgwService, wordt uitgevoerd, querymachtigingen heeft voor alle AD-servers die u opgeeft inADServerPath
.De gateway ondersteunt twee typen:
ADServerPath
- Voor WinNT:
<value="WinNT://usa.domain.corp.contoso.com,computer"/>
- Voor globale catalogus (GC):
<value> GC://USA.domain.com </value>
- Voor WinNT:
Start de on-premises gegevensgatewayservice opnieuw om de configuratiewijziging van kracht te laten worden.
Verificatie voor een live Analysis Services-gegevensbron
Telkens wanneer een gebruiker communiceert met Analysis Services, wordt de effectieve gebruikersnaam doorgegeven aan de gateway en vervolgens aan de on-premises Analysis Services-server. De UPN, meestal het e-mailadres dat u gebruikt om u aan te melden bij de cloud, wordt doorgegeven aan Analysis Services als de effectieve gebruiker in de EffectiveUserName
verbindingseigenschap.
Wanneer de gegevensset zich in de importmodus bevindt, verzendt de gateway de EffectiveUserName van de UPN van de eigenaar van de gegevensset. Dit betekent dat de UPN van de eigenaar van de gegevensset wordt doorgegeven aan Analysis Services als de effectieve gebruiker in de EffectiveUserName
verbindingseigenschap.
Dit e-mailadres moet overeenkomen met een gedefinieerde UPN binnen het lokale Active Directory-domein. De UPN is een eigenschap van een AD-account. Een Windows-account moet aanwezig zijn in een Analysis Services-rol om toegang te hebben tot de server. Als er geen overeenkomst wordt gevonden in Active Directory, is de aanmelding niet gelukt.
Beveiliging op basis van rollen en rijniveau
Analysis Services kan ook filteren bieden op basis van het Active Directory-account. Het filteren kan gebruikmaken van beveiliging op basis van rollen of beveiliging op rijniveau. De mogelijkheid van een gebruiker om modelgegevens op te vragen en weer te geven, is afhankelijk van de rollen waartoe het Windows-gebruikersaccount behoort, en van dynamische beveiliging op rijniveau als deze is geconfigureerd.
Beveiliging op basis van rollen. Modellen bieden beveiliging op basis van gebruikersrollen. U kunt rollen definiëren voor een bepaald modelproject tijdens het ontwerpen in BUSINESS Intelligence-hulpprogramma's voor SQL Server Data Tools. Nadat een model is geïmplementeerd, kunt u rollen definiëren met behulp van SQL Server Management Studio. Rollen bevatten leden die zijn toegewezen door de gebruikersnaam van Windows of door de Windows-groep.
Rollen definiëren de machtigingen die gebruikers nodig hebben om query's uit te voeren of acties uit te voeren op het model. De meeste gebruikers behoren tot een rol met leesmachtigingen. Andere rollen geven beheerders machtigingen om items te verwerken, databasefuncties te beheren en andere rollen te beheren.
Beveiliging op rijniveau. Modellen kunnen dynamische beveiliging op rijniveau bieden. Elke gedefinieerde beveiliging op rijniveau is specifiek voor Analysis Services. Voor beveiliging op basis van rollen moet elke gebruiker ten minste één rol hebben, maar voor geen tabellair model is dynamische beveiliging op rijniveau vereist.
Dynamische beveiliging definieert op hoog niveau de leestoegang van een gebruiker tot gegevens in bepaalde rijen in bepaalde tabellen. Net als bij rollen is dynamische beveiliging op rijniveau afhankelijk van de Windows-gebruikersnaam van een gebruiker.
Het implementeren van rol- en dynamische beveiliging op rijniveau in modellen valt buiten het bereik van dit artikel. Zie Rollen in tabellaire modellen en beveiligingsrollen (Analysis Services - Multidimensionale gegevens) voor meer informatie. Download het technisch document over het beveiligen van het semantische BI-model in tabelvorm voor het meest uitgebreide inzicht in de beveiliging van tabellaire modellen.
Microsoft Entra-verificatie
Microsoft-cloudservices gebruiken De Microsoft Entra-id om gebruikers te verifiëren. Microsoft Entra-id is de tenant die gebruikersnamen en beveiligingsgroepen bevat. Normaal gesproken is het e-mailadres waarmee een gebruiker zich aanmeldt hetzelfde als de UPN van het account.
Rollen in het lokale Active Directory-exemplaar
Om te bepalen of een gebruiker deel uitmaakt van een rol met machtigingen voor het lezen van gegevens, moet de server de effectieve gebruikersnaam converteren die is doorgegeven van Microsoft Entra-id naar de gateway en naar de Analysis Services-server. De Analysis Services-server geeft de effectieve gebruikersnaam door aan een Windows Active Directory-domeincontroller (DC). De Active Directory DC valideert vervolgens of de effectieve gebruikersnaam een geldige UPN is voor een lokaal account. De domeincontroller retourneert de Windows-gebruikersnaam van de gebruiker terug naar de Analysis Services-server.
U kunt deze niet gebruiken EffectiveUserName
op een Analysis Services-server die geen lid is van een domein. De Analysis Services-server moet worden toegevoegd aan een domein om aanmeldingsfouten te voorkomen.
Uw UPN identificeren
Mogelijk weet u niet wat uw UPN is en bent u mogelijk geen domeinbeheerder. U kunt de volgende opdracht van uw werkstation gebruiken om de UPN voor uw account te achterhalen:
whoami /upn
Het resultaat lijkt op een e-mailadres, maar is de UPN die zich in uw domeinaccount bevindt. Als u een Analysis Services-gegevensbron gebruikt voor liveverbindingen en deze UPN niet overeenkomt met het e-mailadres dat u gebruikt om u aan te melden bij Power BI, moet u mogelijk uw gebruikersnaam toewijzen.
Een on-premises AD synchroniseren met Microsoft Entra-id
Als u van plan bent om liveverbindingen van Analysis Services te gebruiken, moeten uw lokale AD-accounts overeenkomen met de Microsoft Entra-id. De UPN moet overeenkomen tussen de accounts.
Cloudservices maken alleen gebruik van accounts binnen Microsoft Entra ID. Als u een account toevoegt in uw lokale AD-exemplaar dat niet bestaat in Microsoft Entra-id, kunt u het account niet gebruiken. Er zijn verschillende manieren waarop u uw lokale AD-accounts kunt vergelijken met Microsoft Entra-id:
Voeg accounts handmatig toe aan de Microsoft Entra-id.
Maak een account in Azure Portal of binnen de Microsoft 365-beheercentrum, met een accountnaam die overeenkomt met de UPN van het lokale AD-account.
Gebruik Microsoft Entra Connect Sync om lokale accounts te synchroniseren met uw Microsoft Entra-tenant.
Microsoft Entra Connect zorgt ervoor dat de UPN overeenkomt met de Microsoft Entra-id en uw lokale AD-exemplaar. Het hulpprogramma Microsoft Entra Connect biedt opties voor adreslijstsynchronisatie en het instellen van verificatie. Opties zijn onder andere wachtwoord-hashsynchronisatie, passthrough-verificatie en federatie. Als u geen beheerder of een lokale domeinbeheerder bent, neemt u contact op met uw IT-beheerder om u te helpen bij de configuratie.
Notitie
Als u accounts synchroniseert met Microsoft Entra Connect Sync, worden nieuwe accounts gemaakt binnen uw Microsoft Entra-tenant.
De gegevensbron gebruiken
Nadat u de SSAS-gegevensbron hebt toegevoegd, is deze beschikbaar voor gebruik met liveverbindingen of via geplande vernieuwing.
Notitie
De server- en databasenaam moeten overeenkomen tussen Power BI Desktop en de gegevensbron in de on-premises gegevensgateway.
De koppeling tussen uw gegevensset en de gegevensbron binnen de gateway is gebaseerd op de servernaam en databasenaam. Deze namen moeten overeenkomen. Als u bijvoorbeeld een IP-adres opgeeft voor de servernaam in Power BI Desktop, moet u het IP-adres voor de gegevensbron in de gatewayconfiguratie gebruiken. Als u SERVER\INSTANCE in Power BI Desktop gebruikt, moet u ook SERVER\INSTANCE gebruiken in de gegevensbron die is geconfigureerd voor de gateway. Deze vereiste geldt voor zowel liveverbindingen als geplande vernieuwing.
De gegevensbron gebruiken met liveverbindingen
U kunt een liveverbinding gebruiken voor tabellaire of multidimensionale exemplaren. U selecteert een liveverbinding in Power BI Desktop wanneer u voor het eerst verbinding maakt met de gegevens. Zorg ervoor dat de server- en databasenaam overeenkomt met power BI Desktop en de geconfigureerde gegevensbron voor de gateway. Als u gegevenssets voor liveverbindingen wilt kunnen publiceren, moeten uw gebruikers ook worden weergegeven onder Gebruikers in de lijst met gegevensbronnen.
Nadat u rapporten hebt gepubliceerd, hetzij vanuit Power BI Desktop of door gegevens op te halen in de Power BI-service, moet uw gegevensverbinding beginnen te werken. Het kan enkele minuten duren nadat u de gegevensbron in de gateway hebt gemaakt voordat u de verbinding kunt gebruiken.
De gegevensbron gebruiken met geplande vernieuwing
Als u wordt vermeld op het tabblad Gebruikers van de gegevensbron die is geconfigureerd in de gateway en de server- en databasenaam overeenkomen, ziet u de gateway als optie voor gebruik met geplande vernieuwing.
Beperkingen van Live-verbindingen van Analysis Services
Opmaak en vertaalfuncties op celniveau worden niet ondersteund.
Acties en benoemde sets worden niet weergegeven in Power BI. U kunt nog steeds verbinding maken met multidimensionale kubussen die acties of benoemde sets bevatten om visuals en rapporten te maken.
SKU-vereisten
Serverversie | Vereiste SKU |
---|---|
2014 | Business Intelligence en Enterprise SKU |
2016 | Standaard-SKU of hoger |
2017 | Standaard-SKU of hoger |
2019 | Standaard-SKU of hoger |
2022 | Standaard-SKU of hoger |
Gerelateerde inhoud
Meer vragen? Probeer de Power BI-community.