Identitätswechsel
Gilt für:
SQL Server Analysis Services Azure Analysis Services 
Fabric/Power BI Premium
In diesem Artikel erfahren Autoren des tabellarischen Modells, wie Anmeldeinformationen von Analysis Services beim Herstellen einer Verbindung mit einer Datenquelle zum Importieren und Verarbeiten (Aktualisieren) von Daten verwendet werden.
Konfigurieren des Identitätswechsels
Wo und in welchem Kontext ein Modell vorhanden ist, bestimmt, wie der Identitätswechsel konfiguriert wird. Beim Erstellen eines neuen Modellprojekts wird der Identitätswechsel in Visual Studio konfiguriert, wenn Sie eine Verbindung mit einer Datenquelle zum Importieren von Daten herstellen. Wenn ein Modell bereitgestellt wird, kann der Identitätswechsel in einer Modelldatenbank Verbindungszeichenfolge Eigenschaft mithilfe von SQL Server Management Studio (SSMS) konfiguriert werden. Für tabellarische Modelle in Azure Analysis Services können Sie SSMS oder den Modus Ansicht als: Skript im browserbasierten Designer verwenden, um die Datei Model.bim in JSON zu bearbeiten.
Verwendung des Identitätswechsels
Identitätswechsel ist die Fähigkeit einer Serveranwendung, z.B. Analysis Services, die Identität einer Clientanwendung anzunehmen. Analysis Services wird mit einem Dienstkonto ausgeführt. Wenn der Server jedoch eine Verbindung mit einer Datenquelle herstellt, verwendet er den Identitätswechsel, sodass Zugriffsprüfungen für den Datenimport und die Datenverarbeitung durchgeführt werden können.
Es ist wichtig zu verstehen, wie Anmeldeinformationen für den Identitätswechsel angegeben und geschützt werden, sowie den Unterschied zwischen Kontexten, in denen sowohl Ihre Anmeldeinformationen für angemeldete Benutzer verwendet werden, als auch, wenn andere Identitätswechselanmeldeinformationen verwendet werden.
Grundlegendes zu serverseitigen Anmeldeinformationen
Wenn Daten importiert oder verarbeitet werden, werden Identitätswechselanmeldeinformationen verwendet, um eine Verbindung mit der Datenquelle herzustellen und die Daten abzurufen. Diese Verbindung ist ein serverseitiger Vorgang, der im Kontext einer Clientanwendung ausgeführt wird, da der Analysis Services-Server, der die Arbeitsbereichsdatenbank hostt, eine Verbindung mit der Datenquelle herstellt und die Daten abruft.
Wenn Sie ein Modell auf einem Analysis Services-Server bereitstellen und sich die Arbeitsbereichsdatenbank während der Bereitstellung des Modells im Arbeitsspeicher befindet, werden die Anmeldeinformationen an den Analysis Services-Server übergeben, auf dem das Modell bereitgestellt wird. Benutzeranmeldeinformationen werden nie auf dem Datenträger gespeichert.
Wenn ein bereitgestelltes Modell Daten aus einer Datenquelle verarbeitet, werden die Identitätswechselanmeldeinformationen, die in der In-Memory-Datenbank beibehalten werden, verwendet, um eine Verbindung mit der Datenquelle herzustellen und die Daten abzurufen. Da dieser Prozess vom Analysis Services-Server verarbeitet wird, der die Modelldatenbank verwaltet, ist diese Verbindung erneut ein serverseitiger Vorgang.
Grundlegendes zu clientseitigen Anmeldeinformationen
Wenn Sie ein neues Modell erstellen oder einem vorhandenen Modell eine Datenquelle hinzufügen, stellen Sie eine Verbindung mit einer Datenquelle her und wählen Tabellen und Ansichten aus, die in das Modell importiert werden sollen. Im Tabellenimport-Assistenten oder im Abrufen von Daten\Query Designer Vorschau- und Filterfunktionen wird ein Beispiel der importierten Daten angezeigt. Sie können auch Filter angeben, um Daten auszuschließen, die im Modell nicht benötigt werden.
In ähnlicher Weise verwenden Sie für vorhandene Modelle, die bereits erstellt wurden, das Dialogfeld Tabelleneigenschaften , um eine Vorschau der in eine Tabelle importierten Daten anzuzeigen und zu filtern.
Die Vorschau- und Filterfeatures, Tabelleneigenschaften und Partitions-Manager-Dialogfelder sind ein prozessinterner clientseitiger Vorgang. Das heißt, was während dieses Vorgangs ausgeführt wird, unterscheidet sich von der Art, mit der die Datenquelle verbunden ist und Daten aus der Datenquelle abgerufen werden. ein serverseitiger Vorgang. Die Anmeldeinformationen, die für die Vorschau und das Filtern von Daten verwendet werden, sind die Anmeldeinformationen des benutzers, der aktuell angemeldet ist, und ihre Anmeldeinformationen.
Die Trennung der Anmeldeinformationen, die bei serverseitigen und clientseitigen Vorgängen verwendet werden, kann zu einem Konflikt bei der Angezeigten und den abgerufenen Daten während eines Imports oder Prozesses (serverseitiger Vorgang) führen. Wenn die Anmeldeinformationen, mit denen Sie derzeit angemeldet sind, und die angegebenen Anmeldeinformationen für den Identitätswechsel unterschiedlich sind, können die Daten, die in den Vorschau- und Filterfeatures oder im Dialogfeld Tabelleneigenschaften angezeigt werden, und die daten, die während eines Imports oder Prozesses abgerufen werden, je nach den von der Datenquelle benötigten Anmeldeinformationen unterschiedlich sein.
Wichtig
Stellen Sie beim Erstellen eines Modells sicher, dass die Anmeldeinformationen, mit denen Sie angemeldet sind, und die für den Identitätswechsel angegebenen Anmeldeinformationen über ausreichende Rechte verfügen, um die Daten aus der Datenquelle abzurufen.
Optionen
Geben Sie beim Konfigurieren des Identitätswechsels oder beim Bearbeiten von Eigenschaften für eine vorhandene Datenquellenverbindung eine der folgenden Optionen an:
Tabellarische Modelle ab 1400
| Option | Beschreibung |
|---|---|
| Identität eines Kontos annehmen | Gibt an, dass das Modell ein Windows-Benutzerkonto zum Importieren oder Verarbeiten von Daten aus der Datenquelle verwendet. Die Domäne und der Name des Benutzerkontos verwenden das folgende Format: <Domänenname>\<Benutzername>. |
| Identität des aktuellen Benutzers annehmen | Gibt an, dass über die Datenquelle mithilfe der Identität des Benutzers, der die Anforderung gesendet hat, auf Daten zugegriffen werden soll. Diese Einstellung gilt nur für den DirectQuery-Modus. |
| Identität annehmen | Gibt einen Benutzernamen für den Zugriff auf die Datenquelle an, muss aber das Kennwort des Kontos nicht angeben. Diese Einstellung gilt nur, wenn die Kerberos-Delegierung aktiviert ist und die S4U-Authentifizierung verwendet werden soll. |
| Identität des Dienstkontos annehmen | Gibt an, dass das Modell die Sicherheitsanmeldeinformationen verwendet, die dem Analysis Services-Dienst instance zugeordnet sind, der das Modell verwaltet. |
| Identitätswechsel eines unbeaufsichtigten Kontos | Gibt an, dass das Analysis Services-Modul ein vorkonfiguriertes unbeaufsichtigtes Konto verwenden soll, um auf die Daten zuzugreifen. |
Wichtig
Der Identitätswechsel eines aktuellen Benutzers wird in einigen Umgebungen nicht unterstützt. Die Identität des aktuellen Benutzers wird für tabellarische Modelle, die in Azure Analysis Services bereitgestellt werden und eine Verbindung mit lokalen Datenquellen herstellen, nicht unterstützt. Da eine Azure Analysis Services Serverressource nicht mit der Domäne eines organization verbunden ist, können Clientanmeldeinformationen nicht bei einem Datenquellenserver in dieser Domäne authentifiziert werden. Azure Analysis Services ist derzeit auch nicht in (Azure) SQL-Datenbank Unterstützung für einmaliges Anmelden (Single Sign-On, SSO) integriert. Abhängig von Ihrer Umgebung haben auch andere Identitätswechseleinstellungen Einschränkungen. Beim Versuch, eine Einstellung für den Identitätswechsel zu verwenden, die nicht unterstützt wird, wird ein Fehler zurückgegeben.
Tabellarische 1200-Modelle
| Option | Beschreibung |
|---|---|
| Bestimmter Windows-Benutzername und bestimmtes Kennwort | Diese Option gibt an, dass das Modell ein Windows-Benutzerkonto zum Importieren oder Verarbeiten von Daten aus der Datenquelle verwendet. Die Domäne und der Name des Benutzerkontos verwenden das folgende Format: <Domänenname>\<Benutzername>. |
| Dienstkonto | Diese Option gibt an, dass das Modell die Sicherheitsanmeldeinformationen verwendet, die der Analysis Services-Dienstinstanz zugeordnet sind, die das Modell verwaltet. |
Sicherheit
Anmeldeinformationen, die beim Identitätswechsel verwendet werden, werden vom VertiPaq-Modul im Arbeitsspeicher beibehalten. Anmeldeinformationen werden nie auf den Datenträger geschrieben. Wenn sich die Arbeitsbereichsdatenbank bei der Bereitstellung des Modells nicht im Arbeitsspeicher befindet, wird der Benutzer aufgefordert, die Anmeldeinformationen einzugeben, die zum Herstellen einer Verbindung mit der Datenquelle und zum Abrufen von Daten verwendet werden.
Hinweis
Es wird empfohlen, ein Windows-Benutzerkonto und ein Kennwort für Identitätswechselanmeldeinformationen anzugeben. Ein Windows-Benutzerkonto kann so konfiguriert werden, dass es die geringsten Berechtigungen verwendet, die zum Herstellen einer Verbindung mit und zum Lesen von Daten aus der Datenquelle erforderlich sind.
Weitere Informationen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für