مشاركة عبر

المصادقة وأذونات المستخدم

  • مقالة

تستخدم Azure Analysis Services معرف Microsoft Entra لإدارة الهوية ومصادقة المستخدم. يجب أن يكون لدى أي مستخدم يقوم بإنشاء خادم Azure Analysis Services أو إدارته أو الاتصال به هوية مستخدم صالحة في مستأجر Microsoft Entra في نفس الاشتراك.

تدعم Azure Analysis Services تعاون Microsoft Entra B2B. باستخدام B2B، يمكن دعوة المستخدمين من خارج المؤسسة كمستخدمين ضيوف في دليل Microsoft Entra. يمكن أن يكون الضيوف من دليل مستأجر Microsoft Entra آخر أو أي عنوان بريد إلكتروني صالح. بمجرد دعوته وقبول المستخدم للدعوة المرسلة عبر البريد الإلكتروني من Azure، تتم إضافة هوية المستخدم إلى دليل المستأجر. يمكن إضافة هذه الهويات إلى مجموعات الأمان أو كأعضاء في دور مسؤول الخادم أو قاعدة البيانات.

Azure Analysis Services authentication architecture

المصادقة

تستخدم جميع تطبيقات العميل وأدواته واحدة أو أكثر من مكتبات عميل Analysis Services (AMO وMSOLAP وADOMD) للاتصال بخادم.

تدعم جميع مكتبات العملاء الثلاث كلا من التدفق التفاعلي ل Microsoft Entra وأساليب المصادقة غير التفاعلية. يمكن استخدام الأسلوبين غير التفاعليين، كلمة مرور Active Directory وأساليب المصادقة المتكاملة ل Active Directory في التطبيقات التي تستخدم AMOMD وMSOLAP. لا ينتج عن هاتين الطريقتين مربعات حوار منبثقة لتسجيل الدخول.

تقوم تطبيقات العميل مثل Excel وPower BI Desktop وأدوات مثل ملحق مشاريع SSMS و Analysis Services ل Visual Studio بتثبيت أحدث إصدارات مكتبات العميل مع التحديثات العادية. يتم تحديث ملحق مشاريع Power BI Desktop وSSMS و Analysis Services شهريا. يتم تحديث Excel باستخدام Microsoft 365. تعد تحديثات Microsoft 365 أقل تكرارا، وتستخدم بعض المؤسسات القناة المؤجلة، مما يعني أنه يتم تأجيل التحديثات حتى ثلاثة أشهر.

اعتمادا على تطبيق العميل أو الأدوات التي تستخدمها، قد يختلف نوع المصادقة وكيفية تسجيل الدخول. قد يدعم كل تطبيق ميزات مختلفة للاتصال بالخدمات السحابية مثل Azure Analysis Services.

يدعم Power BI Desktop وVisual Studio وSSMS مصادقة Active Directory العالمية، وهي طريقة تفاعلية تدعم أيضا مصادقة Microsoft Entra متعددة العوامل (MFA). تساعد مصادقة Microsoft Entra متعددة العوامل على حماية الوصول إلى البيانات والتطبيقات مع توفير عملية تسجيل دخول بسيطة. يوفر مصادقة قوية مع العديد من خيارات التحقق (مكالمة هاتفية أو رسالة نصية أو بطاقات ذكية مع رمز pin أو إعلام تطبيق الأجهزة المحمولة). يمكن أن ينتج عن المصادقة متعددة العوامل التفاعلية مع معرف Microsoft Entra مربع حوار منبثق للتحقق من الصحة. يوصى بالمصادقة العامة.

إذا كان تسجيل الدخول إلى Azure باستخدام حساب Windows، ولم يتم تحديد المصادقة العامة أو توفرها (Excel)، خدمات الأمان المشترك لـ Active Directory (AD FS) مطلوب. باستخدام الاتحاد، تتم مصادقة معرف Microsoft Entra ومستخدمي Microsoft 365 باستخدام بيانات الاعتماد المحلية ويمكنهم الوصول إلى موارد Azure.

SQL Server Management Studio (SSMS)

تدعم خوادم Azure Analysis Services الاتصالات من SSMS V17.1 والإخراج باستخدام مصادقة Windows ومصادقة كلمة مرور Active Directory والمصادقة العامة ل Active Directory. بشكل عام، يوصى باستخدام مصادقة Active Directory العامة بسبب:

  • يدعم أساليب المصادقة التفاعلية وغير التفاعلية.

  • يدعم مستخدمي Azure B2B الضيوف المدعوين إلى مستأجر Azure AS. عند الاتصال بخادم، يجب على المستخدمين الضيوف تحديد Active Directory Universal Authentication عند الاتصال بالخادم.

  • يدعم المصادقة متعددة العوامل (MFA). تساعد مصادقة Microsoft Entra متعددة العوامل على حماية الوصول إلى البيانات والتطبيقات من خلال مجموعة من خيارات التحقق: مكالمة هاتفية أو رسالة نصية أو بطاقات ذكية مع رمز pin أو إعلام تطبيق الأجهزة المحمولة. يمكن أن ينتج عن المصادقة متعددة العوامل التفاعلية مع معرف Microsoft Entra مربع حوار منبثق للتحقق من الصحة.

Visual Studio

يتصل Visual Studio بخدمات تحليل Azure باستخدام مصادقة Active Directory العالمية مع دعم MFA. تتم مطالبة المستخدمين بتسجيل الدخول إلى Azure في النشر الأول. يجب على المستخدمين تسجيل الدخول إلى Azure باستخدام حساب مع أذونات مسؤول الخادم على الخادم الذي يتم النشر إليه. عند تسجيل الدخول إلى Azure في المرة الأولى، يتم تعيين رمز مميز. يتم تخزين الرمز المميز مؤقتا في الذاكرة لإعادة الاتصال في المستقبل.

Power BI Desktop

يتصل Power BI Desktop بخدمات تحليل Azure باستخدام مصادقة Active Directory العامة مع دعم MFA. تتم مطالبة المستخدمين بتسجيل الدخول إلى Azure على الاتصال الأول. يجب على المستخدمين تسجيل الدخول إلى Azure باستخدام حساب مضمن في دور مسؤول الخادم أو قاعدة البيانات.

Excel

يمكن لمستخدمي Excel الاتصال بخادم باستخدام حساب Windows أو معرف مؤسسة (عنوان بريد إلكتروني) أو عنوان بريد إلكتروني خارجي. يجب أن تكون هويات البريد الإلكتروني الخارجية موجودة في معرف Microsoft Entra كمستخدم ضيف.

أذونات المستخدم

مسؤولو الخادم خاصون بمثيل خادم Azure Analysis Services. وهي تتصل بأدوات مثل مدخل Microsoft Azure وSSMS وVisual Studio لتنفيذ مهام مثل تكوين الإعدادات وإدارة أدوار المستخدم. بشكل افتراضي، تتم إضافة المستخدم الذي يقوم بإنشاء الخادم تلقائيا كمسؤول خادم Analysis Services. يمكن إضافة مسؤولين آخرين باستخدام مدخل Microsoft Azure أو SSMS. يجب أن يكون لدى مسؤولي الخادم حساب في مستأجر Microsoft Entra في نفس الاشتراك. لمعرفة المزيد، راجع إدارة مسؤولي الخادم.

يتصل مستخدمو قاعدة البيانات بقواعد بيانات النموذج باستخدام تطبيقات العميل مثل Excel أو Power BI. يجب إضافة المستخدمين إلى أدوار قاعدة البيانات. تحدد أدوار قاعدة البيانات أذونات المسؤول أو المعالجة أو القراءة لقاعدة بيانات. من المهم فهم أن مستخدمي قاعدة البيانات في دور له أذونات المسؤول يختلف عن مسؤولي الخادم. ومع ذلك، بشكل افتراضي، يكون مسؤولو الخادم أيضا مسؤولين عن قاعدة البيانات. لمعرفة المزيد، راجع إدارة أدوار قاعدة البيانات والمستخدمين.

مالكو موارد Azure. يدير مالكو الموارد الموارد لاشتراك Azure. يمكن لمالكي الموارد إضافة هويات مستخدم Microsoft Entra إلى أدوار المالك أو المساهم ضمن اشتراك باستخدام التحكم في الوصول في مدخل Microsoft Azure، أو باستخدام قوالب Azure Resource Manager.

Access control in Azure portal

تنطبق الأدوار على هذا المستوى على المستخدمين أو الحسابات التي تحتاج إلى تنفيذ المهام التي يمكن إكمالها في المدخل أو باستخدام قوالب Azure Resource Manager. لمعرفة المزيد، راجع التحكم في الوصول استنادا إلى الدور في Azure (Azure RBAC).

أدوار قاعدة البيانات

الأدوار المحددة لنموذج جدولي هي أدوار قاعدة البيانات. أي أن الأدوار تحتوي على أعضاء يتكونون من مستخدمي Microsoft Entra ومجموعات الأمان التي لديها أذونات محددة تحدد الإجراء الذي يمكن لهؤلاء الأعضاء اتخاذه على قاعدة بيانات نموذجية. يتم إنشاء دور قاعدة البيانات ككائن منفصل في قاعدة البيانات، وينطبق فقط على قاعدة البيانات التي تم إنشاء هذا الدور فيها.

بشكل افتراضي، عند إنشاء مشروع نموذج جدولي جديد، لا يكون لمشروع النموذج أي أدوار. يمكن تعريف الأدوار باستخدام مربع الحوار إدارة الأدوار في Visual Studio. عند تحديد الأدوار أثناء تصميم مشروع النموذج، يتم تطبيقها فقط على قاعدة بيانات مساحة عمل النموذج. عند نشر النموذج، يتم تطبيق نفس الأدوار على النموذج المنشور. بعد نشر نموذج، يمكن لمسؤولي الخادم وقاعدة البيانات إدارة الأدوار والأعضاء باستخدام SSMS. لمعرفة المزيد، راجع إدارة أدوار قاعدة البيانات والمستخدمين.

الاعتبارات والقيود

  • لا تدعم Azure Analysis Services استخدام كلمة المرور لمرة واحدة لمستخدمي B2B

الخطوات التالية

إدارة الوصول إلى الموارد باستخدام مجموعات Microsoft Entra
إدارة أدوار قاعدة البيانات والمستخدمين
إدارة مسؤولي الخادم
التحكم في الوصول المستند إلى الدور في Azure (Azure RBAC)