User Access Security Architecture
Microsoft SQL Server Analysis Services opiera się na Microsoft System Windows do uwierzytelniania użytkowników. Domyślnie, tylko uwierzytelnieni użytkownicy, którzy mają uprawnienia w Analysis Services można ustanowić połączenia Analysis Services. Po połączeniu się z użytkownikiem Analysis Services, uprawnienia tego użytkownika jest w ciągu Analysis Services zależą od praw przypisanych do Analysis Services role, do której należy dany użytkownik, bezpośrednio lub poprzez członkostwo w roli systemu Windows.
Analysis Services zawiera jeden stała rola serwera, która udziela uprawnień do wykonywać wszelkie zadania w obrębie całej wystąpienie jej członków.
Użytkownicy, którzy nie są członkami rolę serwera stałe mogą być dokonywane członków jednej lub większej liczby ról bazy danych.Każda rola bazy danych został dostosowany zestaw uprawnień, aby umożliwić użytkownikom dostęp do danych i wykonywać zadania w ramach danej bazy danych.
rola bazy danych może mieć uprawnienia administratora, przetwarza uprawnienia do obiektów, wyświetlanie metadane obiektu uprawnień i uprawnienia do przeglądania i modyfikowania danych na wielu poziomach w ramach każdej Analysis Services Baza danych.
Aby wyświetlić członków rola bazy danych, które ma uprawnienia administratora lub zaktualizować wszystkich danych w bazie danych.Członkowie innych bazy danych w widoku tylko role mogą i aktualizowanie obiektów danych, do którego specjalnie nadano im takie uprawnienia.
Uprawnienia w Analysis Services bazy danych są przyznawane początkowo poziom bazy danych. Jeśli rola bazy danych ma uprawnienia poziom bazy danych, rola musi mieć uprawnienia określone dla każdego obiektu w bazie danych.Obiekty, do których rola można im udzielać uprawnień należą bazy danych i wymiary moduł, poszczególnych elementów członkowskich wymiaru, moduły, poszczególnych komórek moduł, struktur wyszukiwania, wyszukiwania modeli, źródeł danych i procedur przechowywanych.
Oprócz tych składników architektury zabezpieczeń Analysis Services szyfruje wszystkie komunikacji klient/serwer, aby zmniejszyć ryzyko, że brak autoryzacji użytkowników mogą uzyskiwać dostęp do informacji nieautoryzowanych. Wreszcie funkcje Analysis Services które może osłabić zabezpieczenia, jeśli są one niewłaściwie skonfigurowany lub używane w środowisku niewłaściwe są domyślnie wyłączone. Na przykład można zezwolić użytkownikom łączyć się z Analysis Services bez uwierzytelnienia lub użytkownik może akceptować uwierzytelnianie, który jest przesyłany zwykły tekst. Jednak ponieważ w ten sposób może osłabić zabezpieczenia, jeśli wykonywane niepoprawnie, uruchomienie tych typów funkcji wymaga zmodyfikowania ustawień domyślnych.
Uwierzytelnianie systemu Windows
Dostęp do Analysis Services na podstawie Microsoft Uwierzytelnianie systemu Windows. Ten model uwierzytelnianie wymaga uwierzytelnianie użytkowników wszystkich przez system operacyjny, aby umożliwić dostęp dane, które są przechowywane w Analysis Services zanim można administrować Analysis Services obiekty. O wykonanie umożliwia uwierzytelnianie systemu operacyjnego Analysis Services Aby korzystać z funkcji zabezpieczeń systemu Windows, w tym sprawdzanie poprawności zabezpieczeń i szyfrowanie haseł, inspekcji, wygaśnięcie hasła, minimalna długość hasła, a blokady konta po wielu żądań logowania nieprawidłowe.
Uwaga
Jeśli wystąpienie Analysis Services skonfigurowano pozwalające na dostęp anonimowy, system Windows nie uwierzytelnienia użytkownika.
Uwierzytelnianie systemu Windows i Analysis Services Praca ze sobą, w następujący sposób:
Gdy użytkownik loguje się do sieci systemu Windows kontroler domena systemu Windows sprawdza poprawność nazwę użytkownika i hasło, ustanawiając poświadczenia uwierzytelnianie w sieci użytkownika.
Później, gdy użytkownik próbuje połączyć się z Analysis Services, Analysis Services sprawdza poprawność poświadczenia uwierzytelnianie użytkownika sieci z kontrolerem domena systemu Windows.
Autoryzacja
Po uwierzytelnieniu użytkownika, Analysis Services następnie określa, czy użytkownik ma uprawnienia do wyświetlania danych, aktualizowanie danych, wyświetlanie metadane lub wykonywać zadania administracyjne. Jeśli użytkownik lub grupa, z których użytkownik jest członkiem, ma pewne typy uprawnień w obrębie wystąpienie Analysis Services, Analysis Services Umożliwia użytkownikowi połączenie. Domyślnie Analysis Services nie zezwala na połączenia, jeśli użytkownik nie ma pewne typy uprawnień w obrębie wystąpienie użytkownika Analysis Services.
Jednak autoryzacja nie zatrzymuje po pomyślnie użytkownik łączy się z Analysis Services. Jak działa użytkownika w ramach w dalszym ciągu autoryzacja Analysis Services, na przykład kiedy użytkownik wykonuje serwera przechowywane procedury, instrukcji DMX (wyszukiwanie danych rozszerzenia), kwerendy Multidimensional Expressions (MDX) lub polecenia Analysis Management Objects (AMO). Za każdym razem, Analysis Services należy wykonać akcja lub uzyskać dostęp do obiektu, weryfikuje, urząd użytkownika, który ma mieć dostęp do obiektów lub wykonanie polecenia. Jeśli użytkownik nie ma odpowiednich uprawnień Analysis Services Zwraca błąd uprawnień.
Serwer i role bazy danych
Analysis Services występują dwa typy ról: Rola serwera i ról bazy danych. Krótki opis różnicy między te dwie role, jest następujący:
Istnieje tylko jedna rola serwera i członkowie tej roli uprawnienia administratora pełną w obrębie wystąpienie Analysis Services.
Uwaga
Członkowie lokalnej grupy administratorów na komputerze lokalnym są automatycznie członkowie roli serwera w wystąpieniu Analysis Services.
Może istnieć wiele ról bazy danych.Członkowie roli serwera tworzyć następujące role bazy danych w każdej bazy danych, przyznanie administracyjnych lub uprawnień użytkowników do tych ról bazy danych, takich jak Odczyt lub uprawnienia odczytu/zapisu do modułów, wymiarów, komórki, struktur wyszukiwania, wyszukiwania modeli i obiekty źródeł danych), a następnie dodać użytkowników i grup do tych ról bazy danych systemu Windows.
.gif "Important note")
Important Note:Uprawnienia roli mogą dodatku.Uprawnienia użytkownika lub grupy użytkowników systemu Windows ma za pośrednictwem roli jednej bazy danych są dodawane do tego samego użytkownika systemu Windows lub grupa ma inne role bazy danych za pomocą uprawnień.Jeśli jedna rola zabrania użytkownikowi lub grupie uprawnienia do wykonywania określonych zadań lub wyświetlić niektórych danych, ale innej roli daje temu użytkownikowi lub grupie to uprawnienie, użytkownika lub grupę, ma uprawnienia do wykonania tego zadania lub wyświetlić dane.
Aby uzyskać więcej informacji:Configuring Security (Analysis Services - Multidimensional Data)
Prawa administratora
Mimo, że członkowie roli serwera automatycznie mają mieć prawa administratora pełną, członkowie rola bazy danych nie.Pełna kontrola, znany także jako administrator, prawa lub bardziej ograniczony zestaw praw administratora z poniższej listy można przyznać rola bazy danych:
Proces bazy danych
Przeczytaj metadane bazy danych
Przetworzenie jednego lub większej liczby wymiarów
Przeczytaj definicji więcej wymiarów
Przetworzenie jednego lub kilku modułów
Przeczytaj definicji jednego lub kilku modułów
Przetwarzaj jednego lub kilku struktur wyszukiwania
Przetwarzaj jednego lub kilku modeli wyszukiwania
Przeczytaj definicji jednego lub kilku struktur wyszukiwania
Przeczytaj definicji jednego lub kilku modeli wyszukiwania
Przeczytaj definicji jednego lub kilku źródeł danych
Może odczytywać tylko członkowie roli serwera i elementy członkowskie rola bazy danych, które mają pełną kontrolę Analysis Services dane bez dodatkowych uprawnień. Inni użytkownicy mogą tylko do odczytu Analysis Services dane, jeśli ich rola bazy danych wyraźnie odczytu lub zapisu i odczytu uprawnień do obiektów danych Analysis Servicestakie jak wymiary, moduły, komórek i modelami wyszukiwania).
Aby uzyskać więcej informacji:Granting Server-Wide Administrative Permissions
Zabezpieczenia poziom wymiaru
rola bazy danych można określić, czy jego członkowie mają uprawnienie do wyświetlania lub aktualizowanie elementów członkowskich wymiaru w wymiarach określonej bazy danych.Ponadto w ramach każdego wymiaru, do którego rola bazy danych udzielono prawa roli można udzielić uprawnienia do przeglądania lub aktualizowania określonego wymiaru tylko zamiast wszystkie elementy członkowskie wymiaru.Jeśli nie przyznano uprawnienia do przeglądania i aktualizowania określonego wymiaru i niektóre lub elementów członkowskich w wymiarze wszystkich ról bazy danych, członkowie rola bazy danych mieć nie uprawnień do wyświetlania wymiaru lub któregokolwiek z jej członków.
Uwaga
Uprawnienia wymiarów przypisanych do rola bazy danych dotyczą wymiary moduł, w zależności od wymiaru bazy danych, o ile nie jawnie udzielono różne uprawnienia w module, który korzysta z wymiaru bazy danych.
Aby uzyskać więcej informacji:Granting Dimension Access i Granting Custom Access to Dimension Data.
Zabezpieczenia poziom moduł
rola bazy danych można określić, czy jej członków mają odczytu lub zapisu i odczytu uprawnień do jednego lub kilku modułów w bazie danych.rola bazy danych nie ma udzielone uprawnienia do odczytu lub zapisu i odczytu co najmniej jeden moduł członkowie rola bazy danych nie ma żadnych uprawnień do wyświetlania wszystkich modułów w bazie danych, pomimo żadnych praw tych elementów może być za pośrednictwem roli, aby wyświetlić elementy członkowskie wymiaru.
Aby uzyskać więcej informacji:Granting Cube Access.
Zabezpieczenia poziom komórka
rola bazy danych można określić czy przeczytaniu jego członków, warunkowe odczytu lub uprawnienia do odczytu/zapisu na niektórych lub wszystkich komórek w moduł.Jeśli rola bazy danych nie przyznano uprawnienia do komórek w module, członkowie rola bazy danych mają nie uprawnień do wyświetlania wszystkich danych moduł.Jeśli rola bazy danych odmówiono uprawnienia do wyświetlania określonych wymiarów oparte na wymiar zabezpieczeń, zabezpieczenia poziom komórka nie można rozwinąć prawa członków rola bazy danych, które mają być dołączone składniki komórka z tego wymiaru.Z drugiej strony jeżeli rola bazy danych jest udzielone uprawnienie do wyświetlania elementów członkowskich wymiaru, zabezpieczenia poziom komórka można ograniczyć komórka elementy członkowskie z wymiaru, które członkowie rola bazy danych mogą wyświetlać.
Aby uzyskać więcej informacji:Granting Custom Access to Cell Data.
Struktura wyszukiwania, wyszukiwanie modelu i bezpieczeństwo urządzenie źródłowe danych
rola bazy danych można określić, czy jej członków przeczytaniu lub uprawnienia odczytu/zapisu do struktur wyszukiwania i modelami wyszukiwania.rola bazy danych można również przyznawane uprawnienia do drążenia wskroś danych źródłowych i uprawnień do przeglądania na jeden lub więcej modeli wyszukiwania.Na koniec rola bazy danych można udzielić uprawnień do odczytu/zapisu obiektów urządzenie źródłowe danych.To uprawnienie umożliwia roli odwołania tego urządzenie źródłowe danych w klauzula OPENQUERY i użyć ciąg połączenia, które zdefiniowano w obiekt urządzenie źródłowe danych.
Aby uzyskać więcej informacji:Granting Access to Mining Structures and Mining Models i Granting Access to Data Sources.
Przechowywana procedura zabezpieczeń
Procedury przechowywane w Analysis Services są procedury zewnętrznego, zapisane w Microsoft Język programowania .NET, które rozszerzają możliwości programu Analysis Services. Procedury przechowywane umożliwiają deweloper wykorzystać integracja wielu języków, obsługi wyjątków, obsługę przechowywania wersji, obsługa wdrażania i obsługi debugowania.
Każdy użytkownik, mogą wywoływać procedura przechowywana.W zależności od tego, jak został skonfigurowany procedura przechowywana procedura można uruchomić w kontekście użytkownika, wywołując procedury lub w kontekście użytkownik anonimowy.Ponieważ użytkownik anonimowy ma kontekst zabezpieczeń nie, za pomocą tej funkcji, łącznie z Konfigurowanie wystąpienie Analysis Services Aby zezwolić na dostęp anonimowy.
After the user calls a stored procedure but before Analysis Services runs the stored procedure, Analysis Services evaluates the actions within the stored procedure.Analysis Services evaluates the actions in a stored procedure based on the intersection of the permissions granted to the user and the permission set used to run the procedure.Procedura przechowywana zawiera wszelkie akcja, które nie mogą być wykonywane przez rola bazy danych dla użytkownika, to działanie nie zostanie wykonane.
Zestawy uprawnień, które są używane do uruchomienia procedury przechowywane są następujące:
**Bezpieczne **Z zestaw uprawnień bezpiecznych procedura przechowywana nie może uzyskać dostępu do chronionych zasobów w Microsoft System .NET framework. To uprawnienie zestaw umożliwia tylko w obliczeniach.Jest to najbezpieczniejszy zestaw uprawnień; informacji nie wycieku poza Analysis Services, nie może być podniesienie uprawnień i ryzyko ataków manipulowania danymi jest zminimalizowany.
**Zewnętrzny dostęp **Z zestaw uprawnień dostępu zewnętrznych procedura przechowywana mogą uzyskać dostęp do zasobów zewnętrznych przy użyciu kod zarządzany.Ustawianie procedura przechowywana do tego zestaw uprawnień nie spowoduje błędy programowania, które może spowodować niestabilność serwera.Jednak ten zestaw uprawnień może spowodować informacji przecieki poza serwerem sieci Web oraz możliwości podniesieniem uprawnień i atakami manipulowania danymi.
**Bez ograniczeń **Z zestaw uprawnień nieograniczony procedura przechowywana mogą uzyskać dostęp do zasobów zewnętrznych przy użyciu dowolnego kodu.Z tego zestaw uprawnień nie ma żadnych zabezpieczeń lub gwarancji niezawodności procedur przechowywanych.
Aby uzyskać więcej informacji:Definiowanie procedur przechowywanych
Szyfrowanie
Domyślnie Analysis Services, wymaga, aby cała komunikacja między klientami i wystąpienie Analysis Services szyfrowane.
Aby uzyskać więcej informacji:Securing Client Communication with an Analysis Services Instance
Wyłączone domyślnie
Wystąpienie Analysis Services zaprojektowano w sposób bezpieczny domyślnie. Dlatego też funkcje, które mogą naruszyć bezpieczeństwo są domyślnie wyłączone.Następujące funkcje są domyślnie wyłączone, a w szczególności musi być włączony, aby ich używać:
Połączenie HTTP
Śledzenia
Procedury przechowywane
Zdalne partycji
Połączone obiekty (do)
Połączone obiekty (Z)
Agregator wyszukiwanie danych
Poziom ochrony klient
Poziom ochrony sieci Web
Wymagane uwierzytelnianie klient
Integracja z usługą Active Directory
Kwerendy ad Hoc OpenRowset
8.0 Połączenie klient
Raporty awarii
See Also