Поделиться через

Предоставление разрешений для куба или модели (службы Analysis Services)

  • Статья

Куб или табличная модель является основным объектом запросов в модели данных Analysis Services. При подключении к многомерным или табличным данным из Excel для произвольного просмотра данных сначала выберите определенный куб или табличную модель в качестве структуры данных в основе объекта сводного отчета. В этом разделе поясняется, как предоставлять необходимые разрешения для доступа к кубам и к табличным данным.

По умолчанию никто, кроме администратора сервера и администратора базы данных, не имеет прав выполнять запросы для кубов в базе данных. Пользователь, не являющийся администратором, может получить доступ к кубу, если этот пользователь станет членом роли, созданной для содержащей куб базы данных. Членство поддерживается для учетных записей пользователей и групп Windows, заданных в Active Directory или на локальном компьютере. Перед началом определите все учетные записи, которым должно быть назначено членство в создаваемых ролях.

Наличие доступа Read к кубу означает наличие разрешений доступа к измерениям, группам мер и перспективам в этом кубе. В большинстве случаев администраторы предоставляют разрешения на чтение на уровне куба, а затем ограничивают разрешения для определенных объектов, для связанных данных или для определенных пользователей.

Чтобы сохранить заданные роли при последовательных развертываниях решения. рекомендуется определить роли в SQL Server Data Tools в качестве составной части модели, а затем попросить администратора базы данных назначить членство ролей в SQL Server Management Studio после публикации базы данных. Для выполнения обеих задач можно использовать любой из этих инструментов. Чтобы упростить задачу, мы используем SQL Server Management Studio и для определения роли, и для членства.

ПримечаниеПримечание

Только администраторы сервера и администраторы базы данных с разрешением «Полный доступ» могут развертывать куб из исходных файлов на сервер, создавать роли и назначать членов. Сведения об этом уровне разрешений см. в разделах Предоставление разрешений администратора сервера (службы Analysis Services) и Предоставление разрешений для баз данных (службы Analysis Services) .

Шаг 1. Создание роли

  1. В SSMS установите подключение к Analysis Services. Для справки см. Подключение из клиентских приложений (службы Analysis Services).

  2. Откройте папку Базы данных в обозревателе объектов и выберите базу данных.

  3. Щелкните правой кнопкой мыши Роли и выберите Создать роль. Обратите внимание, что роли создаются на уровне базы данных и применяются к содержащихся в ней объектах. Невозможно совместно использовать какую-либо роль несколькими базами данных.

  4. На панели Общие введите имя, а также, при желании, описание. Здесь находится несколько разрешений для баз данных, например «Полный доступ», «Обработка базы данных» и «Чтение определения». Ни одно из этих разрешений не требуется для запроса данных в кубе или в табличной модели. Дополнительные сведения об этих разрешениях см. в разделе Предоставление разрешений для баз данных (службы Analysis Services).

  5. После ввода имени и необязательного описания перейдите к следующему шагу.

Шаг 2. Назначение членства

  1. На панели Членство нажмите кнопку Добавить и введите учетные записи пользователей Windows и групп, которые подключаются к кубу с помощью этой роли. Службы Analysis Services поддерживают только удостоверения безопасности Windows. Обратите внимание, что на этом этапе вы не создаете имена пользователей базы данных. В службах Analysis Services пользователи подключаются с помощью учетных записей Windows.

  2. Перейдите к следующему шагу: настройка разрешений куба.

    Обратите внимание, что мы пропускаем панель «Источник данных». Большинству обычных потребителей данных Analysis Services не нужны разрешения для объекта источника данных. Подробные сведения о случаях, в которых такое разрешение может понадобиться, см. в разделе Предоставление разрешений для объектов источника данных (службы Analysis Services).

Шаг 3. Настройка разрешений для кубов

  1. В области Кубы выберите куб, затем щелкните Чтение или Чтение и запись.

    Доступ Чтение достаточен для большинства операций. Доступ Чтение и запись используется только для обратной записи, но не для обработки. Дополнительные сведения об этой функции см. в разделе Настройка обратной записи секции.

    Обратите внимание, что можно выбрать несколько кубов и других объектов, доступных в диалоговом окне «Создание роли». При предоставлении разрешений к кубу разрешается доступ к измерениям и перспективам, связанным с этим кубом. Нет необходимости вручную добавлять объекты, уже представленные в кубе.

    Если нужно изменять авторизацию для разных объектов или пользователей, например, чтобы сделать некоторые меры недоступными, можно автоматически разрешать или запрещать доступ к определенным объектам и даже к ячейкам. Дополнительные сведения см. в разделах Предоставление настраиваемого доступа к данным измерений (службы Analysis Services) и Предоставление настраиваемого доступа к данным ячеек (службы Analysis Services).

  2. Сейчас, после нажатия кнопки ОК, все члены этой роли получат доступ к кубам с указанными уровнями разрешений.

    Обратите внимание, что на панели Кубы можно предоставить пользователям разрешение создавать локальные кубы из серверного куба с помощью разрешения Детализация и локальный куб либо разрешить только детализацию с помощью разрешения Детализация .

    И наконец, здесь можно предоставить права Обработка базы данных для куба, чтобы предоставить всем членам этой роли возможность обрабатывать данные для этого куба. Обработка обычно является ограниченной операцией, поэтому рекомендуем предоставить эту задачу администратором или определить отдельные роли только для этой задачи. Дополнительные сведения о лучших методиках разрешений на обработку см. в разделе Предоставление разрешений процессам (службы Analysis Services).

Шаг 4. Тест

  1. Используйте Excel для тестирования разрешений доступа к кубу. Также можно использовать SQL Server Management Studio с применением методики, описанной ниже: запускать приложение от имени пользователя, не являющегося администратором.

    ПримечаниеПримечание

    Если вы являетесь администратором Analysis Services, разрешения администратора будут сочетаться с ролями с более строгими ограничениями, вследствие чего будет труднее тестировать разрешения отдельных ролей. Для упрощения тестирования рекомендуем открыть второй экземпляр SSMS с использованием учетной записи, которая назначена тестируемой роли.

  2. Удерживайте клавишу SHIFT и щелкните правой кнопкой мыши значок Excel, чтобы получить доступ к параметру Запуск от имени другого пользователя. Введите одну из учетных записей пользователей или групп Windows, располагающих членством в этой роли.

  3. Когда откроется Excel, используйте вкладку «Данные» для подключения к службам Analysis Services. Поскольку вы запустили Excel от имени другого пользователя Windows, при тестировании ролей нужно выбрать параметр Использовать проверку подлинности Windows. Для справки см. Подключение из клиентских приложений (службы Analysis Services).

    Если возникают ошибки подключения, проверьте настройку портов Analysis Services и убедитесь, что сервер принимает удаленные подключения. Сведения о настройке портов см. в разделе Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services.

Шаг 5. Определение и назначение ролей для сценариев

  1. В заключение нужно создать сценарий, записывающий только что созданное определение роли.

    При повторном развертывании проекта из SQL Server Data Tools все роли и членства ролей, не определенные внутри проекта, будут перезаписаны. Быстрее всего восстановить роли и членства ролей после повторного развертывания можно с помощью сценария.

  2. В SSMS перейдите в папку Роли и щелкните правой кнопкой мыши существующую роль.

  3. Выберите Создать сценарий для роли | Использовать CREATE | файл.

  4. Сохраните файл с расширением .xmla. Для тестирования сценария удалите текущую роль, откройте файл в SSMS и нажмите клавишу F5 для выполнения сценария.

Следующий шаг

Можно уточнить разрешения куба, чтобы ограничить доступ к данным ячеек или измерений. Дополнительные сведения см. в разделах Предоставление настраиваемого доступа к данным измерений (службы Analysis Services) и Предоставление настраиваемого доступа к данным ячеек (службы Analysis Services).

См. также

Задания

Предоставление разрешений для структур интеллектуального анализа данных и моделей (Analysis Services)

Предоставление разрешений для объектов источника данных (службы Analysis Services)

Основные понятия

Методики проверки подлинности, поддерживаемые службами Analysis Services