Разрешения и права доступа (службы Analysis Services — многомерные данные)
В службах MicrosoftAnalysis Services роли позволяют администраторам определять уровни безопасности в объектах в базе данных служб Analysis Services для различных пользователей и групп Windows. Каждый объект может иметь одно разрешение, связанное с ролью, и каждое разрешение может иметь одно или несколько связанных с ним прав доступа. Кроме того, пользователей или группы Windows можно связать с несколькими ролями служб Analysis Services, что дает возможность объединить разрешения и права доступа для сложных моделей безопасности в приложениях бизнес-аналитики.
Права доступа
В следующей таблице описан набор прав доступа для разрешений, связанных с объектами в базах данных служб Analysis Services.
Право доступа |
Описание |
---|---|
Access |
Обеспечивает доступ к метаданным объекта. Поддерживаются следующие типы доступа.
|
Administer |
Указывает возможность администрирования объекта членами роли. Разрешение Administer предоставляет членам роли полный доступ ко всем объектам, которые содержатся в объекте. |
AllowBrowsing |
Позволяет членам роли просматривать данные в модели интеллектуального анализа данных. |
AllowDrillthrough |
Предоставляет членам роли разрешение на детализацию из модели интеллектуального анализа данных в базовые данные. |
AllowedSet |
Разрешение AllowedSet определяет элементы атрибута, которые может просматривать член роли. Например, если допустимый набор в [Customer].[CountryRegion] равен {Canada}, то члены роли имеют доступ ко всем провинциям и городам Канады. Для иерархии типа «родители-потомки» допустимые члены определяются набором плюс предками в иерархии «родители-потомки», которые имеются для этих членов. Если член иерархии «родители-потомки» находится не в допустимом наборе, то его потомки, отличные от элементов данных, недоступны роли. Элементы данных по-прежнему доступны, так как они принадлежат ключевому атрибуту измерения. По умолчанию, если не определен набор, то разрешение AllowedSet определяется набором всех элементов атрибута. |
AllowPredict |
Разрешение на прогноз для модели интеллектуального анализа данных предоставляет членам роли разрешение на прогнозы, основанные на модели интеллектуального анализа данных. |
ApplyDenied |
Определяет запрет на просмотр элементов этого атрибута, имеющих другие элементы с явным запретом. |
DefaultMember |
Разрешение DefaultMember определяет элемент измерения по умолчанию. Элемент по умолчанию оказывает влияние на наборы данных, возвращаемых запросами в кубы, включающие измерение. Если измерение не отображается на оси, то набор данных по умолчанию отфильтровывается (срезается) с использованием элемента по умолчанию. |
DeniedSet |
Разрешение DeniedSet определяет элементы атрибута, которые не может просматривать член роли. |
IsAllowed |
Определяет запрет на доступ к любому элементу независимо от настройки уровня на основе атрибута. Если свойству IsAllowed задано значение False для атрибута гранулярности в измерении, то настройка разрешения VisualTotals в атрибуте измерения приводит к получению значений NULL для всех его элементов. Для унарных операторов, если для разрешения VisualTotals установлено значение False, каждый элемент является сверткой для всех своих потомков. Если для разрешения VisualTotals установлено значение True, то каждый элемент является сверткой разрешенных потомков. По умолчанию установлено значение True. |
Process |
Разрешение Process для объекта дает членам роли разрешение на обработку объекта. Также предоставляется разрешение на обработку всех дочерних объектов, если это разрешение явно не запрещено в дочернем объекте. Разрешение Process не предоставляет членам роли доступ к данным или метаданным объекта. |
ReadDefinition |
Указывает, могут ли члены роли считывать метаданные, определяющие объект разрешения. Этот параметр свойства наследуется объектами, содержащимися в объекте. |
VisualTotals |
Разрешение VisualTotals для данных измерений определяет, как выполняется статистическое вычисление данных для атрибутов. Это многомерное выражение, возвращающее значение True или False. Если для права VisualTotals установлено значение False, то выполняется статистическое вычисление данных во всех элементах атрибутов измерения, независимо от их видимости для членов роли. Если для права VisualTotals установлено значение True, то статистическое вычисление данных выполняется только для тех элементов атрибута гранулярности измерения, к которому роль имеет доступ на чтение. Например, если Customer Name является атрибутом гранулярности и для права VisualTotals установлено значение True для атрибута City, то каждый город представляет собой сумму данных для потребителей, к которым роль имеет доступ на чтение. Значение по умолчанию равно False. |
Разрешения
В следующей таблице описаны разрешения, доступные в базе данных служб Analysis Services, а также права доступа, которые управляются каждым разрешением.
Разрешение |
Разрешения доступа |
База данных |
Доступ к базе данных определяет доступ к объектам и данным в базе данных служб Analysis Services. Доступны следующие права доступа:
|
Источник данных |
Этот Доступ определяет доступ к источникам данных в базе данных служб Analysis Services. Доступны следующие права доступа:
|
Куб |
Создается на уровне куба, когда роль базы данных назначается кубу. Роль куба применяется только к этому кубу. По умолчанию роль куба зависит от роли базы данных с тем же именем, но некоторые из этих умолчаний можно переопределить в роли куба. Роль куба содержит дополнительные параметры, например безопасность ячеек, не включенные в роль базы данных. Можно гибко регулировать доступ на чтение, а также на чтение и запись к частям куба. Можно определить, какие элементы измерения и ячейки куба может просматривать и обновлять роль. Дополнительные сведения см. в разделе «Безопасность измерений и ячеек». Доступны следующие права доступа:
|
Ячейка |
Доступ к данным в ячейках определяет доступ к ячейкам в кубе. Имеется три типа доступа к ячейкам в кубе:
Безопасность ячеек в кубе определяется для каждого типа доступа к ячейкам с помощью многомерных выражений, возвращающих значение True или False для всех ячеек куба. Любое ненулевое значение в числовом выражении оценивается как True, ноль — как False. Доступ разрешен, если выражение возвращает значение True, и запрещен — если False. Доступны следующие права доступа:
|
Измерение |
Свойства доступа к измерению определяют доступ к измерениям в базе данных независимо от их участия в кубе. Доступ к измерению позволяет членам роли просматривать измерения в клиентских приложениях. Можно также определить разрешения измерений куба, которые переопределяют разрешения роли на доступ к базе данных, если доступ к измерению осуществляется в определенном кубе. Доступны следующие права доступа:
|
Атрибут |
Доступ к данным измерения управляет доступом к атрибутам измерения для членов роли. Разрешение или запрет на доступ к атрибуту определяет доступ на уровнях иерархий измерения на основе этого атрибута. Если роли запрещен доступ к атрибуту, то запрещен и доступ ко всем уровням, выведенным из атрибута. Если запрет доступа к атрибуту создает пропуск в иерархии, то вся иерархия считается недействительной и недоступной для членов роли. Например, в иерархии Страна-Область-Город-Имя уровни Область и Имя не являются непрерывными. Запрет доступа к атрибуту City, следовательно, создает пробел и приводит к недействительности иерархии. Запрет доступа к атрибуту CountryRegion не создает пробела, и иерархия State-City-Name считается действительной с непрерывными уровнями. Точно так же запрет доступа к атрибуту Name не приводит к недействительности иерархии CountryRegion-State-City. Если членам роли предоставлен доступ к атрибуту, то можно разрешить или запретить доступ к выбранным элементам атрибута. Доступны следующие права доступа:
|
Структура интеллектуального анализа данных |
Разрешения управляют доступом к структуре и модели интеллектуального анализа и их данным. Доступны следующие права доступа:
|
Модель интеллектуального анализа данных |
Разрешения управляют доступом к структуре и модели интеллектуального анализа и их данным. Доступны следующие права доступа:
|
1 Право доступа DefaultMember определяет элемент измерения по умолчанию. Дополнительные сведения см. в разделе Определение элемента по умолчанию.
Разрешения и наследование
Если объект содержит другие объекты (например кубы или измерения в базе данных), то разрешения Administer, Process и ReadDefinition родительского объекта наследуются в дочерних объектах.
Разрешение |
Наследование |
---|---|
Administer |
Члены роли сервера Analysis Services имеют разрешение на администрирование сервера. Следовательно, они также имеют полный доступ ко всем объектам на сервере. Члены роли базы данных Analysis Services с разрешением на администрирование базы данных имеют полный доступ ко всем объектам в базе данных. |
Process |
По умолчанию свойство права Process применяется к любому дочернему объекту. Данное свойство можно также задать в дочернем объекте, чтобы заменить разрешение, унаследованное от родительского объекта.
|
ReadDefinition |
По умолчанию свойство ReadDefinition объекта наследуется всеми дочерними объектами. Данное свойство можно также задать в дочернем объекте, чтобы заменить разрешение, унаследованное от родительского объекта. |
Несколько ролей и разрешений
Пользователь может быть членом нескольких ролей в базе данных служб Analysis Services. Разрешения, предоставляемые несколькими ролями, суммируются. Если роль предоставляет доступ к объекту, то элемент этой роли имеет доступ к объекту, даже если для него доступ к этому объекту в другой роли запрещен.