Предоставление разрешений кубу или модели (службы Analysis Services)
Применимо к: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium
Куб или табличная модель являются основным объектом запроса в модели данных службы Analysis Service. При подключении к многомерным или табличным данным из Excel для просмотра данных ad hoc, пользователи обычно начинают с выбора определенного куба или табличной модели в качестве структуры данных Сводного объекта отчета. Данная тема объясняет, как предоставить необходимые разрешения для доступа к кубу или табличным данным.
По умолчанию, никто, кроме Администратора Сервера или Администратора Базы данных не имеет разрешения давать запросы кубу в базе данных. Доступ к кубу без прав администратора требует членство в роли, созданной для базы данных, содержащей куб. Членство поддерживается для пользователя Windows или для учетных записей групп, определенных либо в службе Active Directory, либо на локальном компьютере. Перед тем как начать, определите, какие учетные записи будут назначены как членские в ролях, которые вы собираетесь создать.
Read доступ к кубу также передает разрешения на измерения, группы мер и перспективы в его рамках. Большая часть администраторов передаст разрешения чтения на уровне куба, а затем ограничит разрешения на определенных объектах, на связанных данных или по удостоверению пользователя.
Чтобы сохранить определения ролей при последующих развертываниях решений, рекомендуется определить роли в SQL Server Data Tools как неотъемлемую часть модели, а затем администратор базы данных назначит членство в SQL Server Management Studio после публикации базы данных. Однако вы можете использовать любое средство для обоих заданий. Чтобы упростить упражнение, мы будем использовать SQL Server Management Studio как для определения роли, так и для членства.
Примечание
Только администраторы сервера или администраторы базы данных, которые обладают разрешениями на полный доступ, могут развернуть куб из исходных файлов на сервер, или создать роли и назначить членов. Дополнительные сведения об этих уровнях разрешений см. в разделах Предоставление прав администратора сервера экземпляру служб Analysis Services и Предоставление разрешений для базы данных (службы Analysis Services ).
Шаг 1. Создание роли
Подключитесь к Analysis Services в среде SSMS. См. раздел Подключение из клиентских приложений (служб Analysis Services), если вам нужна помощь в этом шаге.
Откройте папку Базы данных в Обозревателе объектов и выберите базу данных.
Щелкните правой кнопкой мыши Роли и выберите Создать роль. Обратите внимание на то, что роли создаются на уровне базы данных и применяются к объектам в ее рамках. Вы не можете делиться ролями по базам данных.
На вкладке Общие , введите название и, при необходимости, описание. Данная вкладка также содержит несколько разрешений базы данных, таких как Полный Доступ, Обработка Базы данных и Чтение Описания. Ни одно из этих разрешений не нужно для запроса куба или табличной модели. Дополнительные сведения об этих разрешениях см. в статье Предоставление разрешений для базы данных (службы Analysis Services ).
Переходите к следующему шагу после ввода названия и дополнительного описания.
Шаг 2. Назначение членства
На вкладке Членство , нажмите Добавить для ввода пользователя Windows или учетных записей групп, которые будут получать доступ к кубу, используя данную роль. Служба Analysis Services поддерживает только удостоверение безопасности Windows. Обратите внимание на то, что на данном этапе вы не создаете имена для входа в базу данных. В службе Analysis Services пользователи подключаются посредством учетных записей Windows.
Переходите к следующему шагу, настраивая разрешения куба.
Обратите внимание на то, что мы пропускаем вкладку Источник Данных. Для большинства обычных потребителей данных Analysis Services не необходимости в разрешениях на объекте источника данных. Дополнительные сведения о том, когда можно задать это разрешение, см. в статье Предоставление разрешений на объект источника данных (службы Analysis Services).
Шаг 3. Установка разрешений куба
На вкладке Кубы выберите куб, а затем доступ на Чтение или Чтение и запись .
ДоступЧтение достаточен для большинства операций. ДоступЧтение и запись используется только для обратной записи, но не для обработки. Обратитесь к разделу Set Partition Writeback за дополнительной информацией об этой возможности.
Обратите внимание на то, что вы можете выбрать несколько кубов, так же как и другие объекты, доступные в диалоговом окне Создать Роль. Предоставление разрешений кубу разрешает доступ к измерениям и перспективам, связанным с кубом. Нет необходимости в ручном добавлении объектов, которые уже представлены в кубе.
Если вам необходимо изменить авторизацию по объектам или пользователю, например, чтобы сделать недоступными некоторые меры, вы можете автоматически открыть или запретить доступ на определенных объектах, даже на ячейках. Дополнительные сведения см. в разделах Предоставление пользовательского доступа к данным измерений (службы Analysis Services) и Предоставление пользовательского доступа к данным ячеек (службы Analysis Services).
На данном этапе, после того, как вы нажмете ОК, все члены данной роли получат доступ к кубам на определенных вами уровнях разрешений.
Обратите внимание на то, что на вкладке Кубы вы можете предоставлять пользователям разрешение на создание локальных кубов из серверного куба посредством Детализация и Локальный Куб, или разрешать только детализацию посредством разрешения Детализация .
Наконец, данная вкладка позволяет вам предоставлять права Обработка Базы данных в кубе для предоставления всем членам данной роли возможности обработки данных для этого куба. Поскольку обработка обычно является ограниченной операцией, мы рекомендуем вам оставить это задание администраторам или определить отдельные роли специально для этого задания. Дополнительные сведения о рекомендациях по обработке разрешений см. в статье Предоставление разрешений процесса (службы Analysis Services).
Шаг 4. Тест
Используйте Excel для проверки разрешений доступа к кубу. Вы также можете использовать SQL Server Management Studio, следуя той же методике, которая описана далее — запуск приложения от имени пользователя без прав администратора.
Примечание
Если вы являетесь администратором службы Analysis Services, разрешения администратора будут комбинироваться с ролями, которые имеют меньше разрешений, затрудняя проверку разрешений роли в изоляции. Для облегчения процесса проверки мы рекомендуем вам открыть второй экземпляр SSMS, используя учетную запись, назначенную роли, которую вы проверяете.
Удерживайте клавишу SHIFT и щелкните правой кнопкой мыши значок Excel , чтобы получить доступ к параметру Запуск от имени другого пользователя . Введите одну из учетных записей пользователя Windows или группы, которые обладают членством в данной роли.
После того, как Excel откроется, используйте вкладку Данные для подключения к службе Analysis Services. Поскольку вы используете Excel в качестве другого пользователя Windows, параметр Используйте проверку подлинности Windows является правильным типом учетных данных для использования при проверке ролей. См. раздел Подключение из клиентских приложений (служб Analysis Services), если вам нужна помощь в этом шаге.
Если при подключении вы получаете ошибки, проверьте конфигурацию порта Analysis Services и удостоверьтесь, что сервер принимает удаленные подключения. Сведения о настройке портов см. в статье Настройка брандмауэра Windows для разрешения доступа к службам Analysis Services .
Шаг 5. Определение и назначения роли скрипта
В качестве последнего шага вам необходимо создать сценарий, который фиксирует определение роли, которую вы только что создали.
Повторное развертывание проекта из SQL Server Data Tools перезапишет все роли или членства в ролях, которые не определены в проекте. Самым быстрым способом перестройки роли и членство роли после повторного развертывания является сценарий.
В SSMS пройдите к папке Роли и щелкните правой кнопкой мыши существующую роль.
Выберите Роль скрипта в качестве | файлаCREATE TO | .
Сохраните файл с разрешением файла .xmla. Для проверки сценария удалите текущую роль, откройте файл в SSMS и нажмите F5 для запуска сценария.
Следующий шаг
Мы можете детализировать разрешения куба для ограничения доступа к ячейке или данным измерения. Дополнительные сведения см. в разделах Предоставление пользовательского доступа к данным измерений (службы Analysis Services) и Предоставление пользовательского доступа к данным ячеек (службы Analysis Services).
См. также:
Методики проверки подлинности, поддерживаемые службами Analysis Services
Предоставление разрешений структурам интеллектуального анализа данных и моделям интеллектуального анализа данных (службы Analysis Services)
Предоставление разрешений объекту источника данных (службы Analysis Services