Condividi tramite


Autorizzazione dell'accesso a oggetti e operazioni (Analysis Services)

L'accesso utente non amministrativo ai cubi, alle dimensioni e ai modelli di data mining all'interno di un database di Analysis Services viene concesso tramite l'appartenenza a uno o più ruoli del database. Gli amministratori di Analysis Services creano questi ruoli di database, concedendo autorizzazioni di lettura o lettura/scrittura per gli oggetti Analysis Services e quindi assegnando utenti e gruppi di Microsoft Windows a ogni ruolo.

Analysis Services determina le autorizzazioni effettive per un utente o un gruppo di Windows specifico combinando le autorizzazioni associate a ogni ruolo del database a cui appartiene l'utente o il gruppo. Di conseguenza, se un ruolo del database non concede a un utente o a un gruppo l'autorizzazione per visualizzare una dimensione, una misura o un attributo, ma l'autorizzazione viene concessa a tale utente o gruppo da un ruolo del database diverso, l'utente o il gruppo disporrà comunque di questa autorizzazione.

Importante

I membri del ruolo amministratore di Analysis Services Server e dei membri di un ruolo di database con autorizzazioni di controllo completo (amministratore) possono accedere a tutti i dati e ai metadati nel database e non sono necessarie autorizzazioni aggiuntive per visualizzare oggetti specifici. Inoltre, i membri del ruolo del server Analysis Services non possono essere negati l'accesso a qualsiasi oggetto in qualsiasi database e membri di un ruolo di database di Analysis Services con autorizzazioni di controllo completo (amministratore) all'interno di un database non possono essere negate l'accesso a qualsiasi oggetto all'interno di tale database. Le operazioni amministrative specializzate quali l'elaborazione possono essere autorizzate tramite ruoli separati con minori autorizzazioni. Per informazioni dettagliate, vedere Concedere le autorizzazioni di processo (Analysis Services ).

Visualizzare un elenco dei ruoli definiti per il database

Gli amministratori possono eseguire una semplice query DMV in SQL Server Management Studio per ottenere un elenco di tutti i ruoli definiti nel server.

  1. In SSMS fare clic con il pulsante destro del mouse su un database e selezionare Nuova query | MDX.

  2. Digitare la query seguente e premere F5 per avviare l'esecuzione:

    Select * from $SYSTEM.DBSCHEMA_CATALOGS  
    

    I risultati includono il nome del database, la descrizione, il nome del ruolo e la data dell'ultima modifica. Partendo da queste informazioni è possibile passare ai singoli database per controllare l'appartenenza e le autorizzazioni di un ruolo specifico.

Panoramica dall'alto verso il basso dell'autorizzazione di Analysis Services

Questa sezione descrive il flusso di lavoro di base per la configurazione delle autorizzazioni.

Passaggio 1: Amministrazione del server

Decidere innanzitutto chi dovrà disporre dei diritti di amministratore a livello di server. Durante l'installazione, l'amministratore locale che installa SQL Server deve specificare uno o più account di Windows come amministratore del server di Analysis Services. Gli amministratori del server dispongono di tutte le autorizzazioni possibili in un server, compresa l'autorizzazione per visualizzare, modificare ed eliminare un oggetto nel server o visualizzare i dati associati. Al termine dell'installazione, un amministratore del server può aggiungere o rimuovere gli account per modificare l'appartenenza di questo ruolo. Per informazioni dettagliate su questo livello di autorizzazione, vedere Grant Server Administrator Permissions (Analysis Services).

Passaggio 2: Amministrazione del database

Una volta creata, la soluzione multidimensionale o tabulare viene distribuita nel server come database. Un amministratore del server può delegare le attività di amministrazione del database definendo un ruolo con autorizzazioni di Controllo completo per il database specifico. I membri di questo ruolo possono elaborare o eseguire query sugli oggetti nonché creare ruoli aggiuntivi per l'accesso a cubi, dimensioni e altri oggetti all'interno del database stesso. Per altre informazioni, vedere Concedere le autorizzazioni del database (Analysis Services).

Passaggio 3: Abilitazione dell'accesso a un cubo o a un modello per carichi di lavoro di query e di elaborazione

Per impostazione predefinita, solo gli amministratori del server e del database dispongono dell'accesso ai cubi e ai modelli tabulari. Per rendere queste strutture di dati disponibili ad altri utenti dell'organizzazione sono necessarie assegnazioni di ruolo aggiuntive che eseguono il mapping degli account utente e di gruppo di Windows ai cubi o modelli oltre alle autorizzazioni che specificano i privilegi Read. Per informazioni dettagliate, vedere Concedere autorizzazioni del cubo o del modello (Analysis Services).

Le attività di elaborazione possono essere isolate dalle altre funzioni amministrative consentendo agli amministratori del server e del database di delegare questa attività ad altri utenti o di configurare l'elaborazione automatica specificando gli account del servizio che eseguono il software di pianificazione. Per informazioni dettagliate, vedere Concedere le autorizzazioni di processo (Analysis Services ).

Nota

Gli utenti non richiedono autorizzazioni per le tabelle relazionali nel database relazionale sottostante da cui Analysis Services carica i dati e non richiedono autorizzazioni a livello di file nel computer in cui è in esecuzione l'istanza di Analysis Services.

Passaggio 4 (facoltativo): Concessione o meno dell'accesso a oggetti interni del cubo

Analysis Services fornisce impostazioni di sicurezza per l'impostazione delle autorizzazioni per singoli oggetti, inclusi i membri della dimensione e le celle all'interno di un modello di dati. Per informazioni dettagliate, vedere Concedere l'accesso personalizzato ai dati delle dimensioni (Analysis Services) e Concedere l'accesso personalizzato ai dati delle celle (Analysis Services).

È anche possibile modificare le autorizzazioni in base all'identità utente. Questa operazione viene spesso definita sicurezza dinamica e viene implementata usando la funzione UserName (MDX)

Procedure consigliate

Per migliorare la gestione delle autorizzazioni, è consigliabile adottare un approccio simile al seguente:

  1. Creare i ruoli in base alla funzione, ad esempio dbadmin, cubedeveloper, processadmin, in modo tale che chiunque gestisca i ruoli possa visualizzare subito l'attività consentita dal ruolo. Come indicato altrove, è possibile definire i ruoli nella definizione del modello, mantenendo pertanto tali ruoli nelle distribuzioni successive della soluzione.

  2. Creare un gruppo di sicurezza di Windows corrispondente in Active Directory e quindi mantenere il gruppo di sicurezza in Active Directory per assicurarsi che contenga i singoli account appropriati. In questo modo la responsabilità dell'appartenenza al gruppo di sicurezza viene affidata agli esperti della sicurezza che già conoscono gli strumenti e i processi usati per la gestione degli account nell'organizzazione.

  3. Generare script in SQL Server Management Studio in modo che sia possibile replicare rapidamente le assegnazioni di ruolo ogni volta che il modello viene ridistribuibile dai file di origine a un server. Per informazioni dettagliate su come generare rapidamente uno script, vedere Concedere le autorizzazioni del cubo o del modello (Analysis Services).

  4. Adottare una convenzione di denominazione che rifletta l'ambito e l'appartenenza del ruolo. I nomi dei ruoli sono visibili solo negli strumenti di progettazione e amministrazione. Usare pertanto una convenzione di denominazione appropriata per gli esperti della sicurezza dei cubi. Ad esempio, processadmin-windowsgroup1 indica l'accesso in lettura oltre ai diritti di elaborazione agli utenti dell'organizzazione i cui singoli account utente di Windows sono membri del gruppo di sicurezza windowsgroup1 .

    Se si includono le informazioni sull'account è possibile tenere traccia degli account usati nei vari ruoli. Poiché i ruoli si sommano tra loro, l'insieme dei ruoli associati a windowsgroup1 costituisce il set effettivo di autorizzazioni per gli utenti appartenenti al gruppo di sicurezza.

  5. Gli sviluppatori dei cubi richiedono le autorizzazioni di Controllo completo per i modelli e i database in fase di sviluppo, ma una volta che il database viene implementato in un server di produzione sono sufficienti le autorizzazioni di Lettura. Ricordarsi di sviluppare le definizioni dei ruoli e le assegnazioni per tutti gli scenari, tra cui sviluppo, test e distribuzioni di produzione.

L'uso di un approccio come questo riduce la varianza nelle definizioni dei ruoli e nell'appartenenza ai ruoli all'interno del modello nonché fornisce visibilità nelle assegnazioni dei ruoli semplificando l'implementazione e la gestione delle autorizzazioni dei cubi.

Vedere anche

Concedere autorizzazioni amministrative per il server (Analysis Services)
Ruoli e autorizzazioni (Analysis Services)
Metodologie di autenticazione supportate da Analysis Services