Authentication and user permissions

Az Azure Analysis Services a Microsoft Entra ID-t használja a személyazonosság-kezeléshez és a felhasználói hitelesítéshez. Az Azure Analysis Services-kiszolgálót létrehozó, kezelő vagy ahhoz csatlakozó összes felhasználónak érvényes felhasználói identitással kell rendelkeznie egy Microsoft Entra-bérlőben ugyanabban az előfizetésben.

Az Azure Analysis Services támogatja a Microsoft Entra B2B együttműködést. A B2B segítségével a szervezeten kívüli felhasználók meghívhatók vendégfelhasználóként egy Microsoft Entra könyvtárba. A vendégek származhatnak egy másik Microsoft Entra bérlői könyvtárból vagy bármely érvényes e-mail címről. Miután meghívták, és a felhasználó elfogadta az Azure-ból e-mailben küldött meghívót, a rendszer hozzáadja a felhasználói identitást a bérlői címtárhoz. Those identities can be added to security groups or as members of a server administrator or database role.

Authentication

Az összes ügyfélalkalmazás és eszköz legalább egyet használ az Analysis Services ügyfélkódtárai (AMO, MSOLAP, ADOMD) közül a kiszolgálóhoz történő csatlakozáshoz.

Mindhárom ügyfélkódtár támogatja a Microsoft Entra interaktív folyamatát és a nem interaktív hitelesítési módszereket is. A két nem interaktív metódus, az Active Directory Jelszó és az Active Directory integrált hitelesítési módszer használható az AMOMD és az MSOLAP alkalmazást használó alkalmazásokban. Ez a két módszer soha nem eredményez előugró párbeszédpaneleket a bejelentkezéshez.

Az olyan ügyfélalkalmazások, mint az Excel és a Power BI Desktop, valamint a Visual Studio SSMS- és Analysis Services-projektbővítményei rendszeres frissítésekkel telepítik az ügyfélkódtárak legújabb verzióit. A Power BI Desktop, az SSMS és az Analysis Services-projektek bővítménye havonta frissül. Az Excel frissül a Microsoft 365-ös verzióval. A Microsoft 365-frissítések ritkábban fordulnak elő, és egyes szervezetek a késleltetett csatornát használják, ami azt jelenti, hogy a frissítéseket legfeljebb három hónapra halasztják.

Depending on the client application or tools you use, the type of authentication and how you sign in may be different. Az egyes alkalmazások különböző funkciókat támogathatnak a felhőszolgáltatásokhoz, például az Azure Analysis Serviceshez történő csatlakozáshoz.

A Power BI Desktop, a Visual Studio és az SSMS támogatja az Active Directory univerzális hitelesítést, egy olyan interaktív módszert, amely a Microsoft Entra többfaktoros hitelesítést (MFA) is támogatja. A Microsoft Entra többtényezős hitelesítése segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést, miközben egyszerű bejelentkezési folyamatot biztosít. Erős hitelesítést biztosít több ellenőrzési lehetőséggel (telefonhívás, szöveges üzenet, pin-kóddal ellátott intelligens kártyák vagy mobilalkalmazás-értesítés). Az interaktív MFA a Microsoft Entra ID-vel egy felugró párbeszédpanelt eredményezhet az érvényesítéshez. Univerzális hitelesítés használata ajánlott.

Ha Windows-fiókkal jelentkezik be az Azure-ba, és az univerzális hitelesítés nincs kiválasztva vagy nem érhető el (Excel), Active Directory összevonási szolgáltatások (AD FS) (AD FS) szükséges. Az összevonással a Microsoft Entra-azonosító és a Microsoft 365-felhasználók helyszíni hitelesítő adatokkal vannak hitelesítve, és hozzáférhetnek az Azure-erőforrásokhoz.

SQL Server Management Studio (SSMS)

Az Azure Analysis Services-kiszolgálók a Windows-hitelesítés, az Active Directory jelszóhitelesítés és az Active Directory univerzális hitelesítés használatával támogatják az SSMS V17.1-s és újabb verzióiból érkező kapcsolatokat. Általában az Active Directory univerzális hitelesítés használata ajánlott, mert:

• Támogatja az interaktív és nem interaktív hitelesítési módszereket.

• Támogatja az Azure AS-bérlőbe meghívott Azure B2B-vendégfelhasználókat. Kiszolgálóhoz való csatlakozáskor a vendégfelhasználóknak az Active Directory univerzális hitelesítést kell választaniuk a kiszolgálóhoz való csatlakozáskor.

• Támogatja a többtényezős hitelesítést (MFA). A Microsoft Entra többtényezős hitelesítés számos ellenőrzési lehetőséggel biztosítja az adatokhoz és alkalmazásokhoz való hozzáférést: telefonhívás, szöveges üzenet, pin-kóddal ellátott intelligens kártyák vagy mobilalkalmazás-értesítés. Az interaktív MFA a Microsoft Entra ID-vel egy felugró párbeszédpanelt eredményezhet az érvényesítéshez.

Visual Studio

A Visual Studio az Active Directory univerzális hitelesítés és MFA-támogatás használatával csatlakozik az Azure Analysis Serviceshez. A rendszer arra kéri a felhasználókat, hogy jelentkezzenek be az Azure-ba az első üzembe helyezéskor. A felhasználóknak olyan fiókkal kell bejelentkezniük az Azure-ba, amelyen kiszolgálói rendszergazdai engedélyekkel rendelkeznek azon a kiszolgálón, amelyen üzembe helyezték őket. Amikor első alkalommal jelentkezik be az Azure-ba, a rendszer jogkivonatot rendel hozzá. A jogkivonat a memóriában lesz gyorsítótárazva a jövőbeli újracsatlakozásokhoz.

Power BI Desktop

A Power BI Desktop az Active Directory univerzális hitelesítéssel, MFA-támogatással csatlakozik az Azure Analysis Serviceshez. A rendszer arra kéri a felhasználókat, hogy jelentkezzenek be az Azure-ba az első kapcsolaton. A felhasználóknak olyan fiókkal kell bejelentkezniük az Azure-ba, amely egy kiszolgálói rendszergazdai vagy adatbázis-szerepkör részét képezi.

Excel

Az Excel-felhasználók Windows-fiók, szervezeti azonosító (e-mail-cím) vagy külső e-mail-cím használatával csatlakozhatnak a kiszolgálóhoz. A külső e-mail-identitásnak vendégfelhasználóként kell léteznie a Microsoft Entra-azonosítóban.

Felhasználói engedélyek

A kiszolgálógazdák egy Azure Analysis Services-kiszolgálópéldányra vonatkoznak. Olyan eszközökkel csatlakoznak, mint az Azure Portal, az SSMS és a Visual Studio, hogy olyan feladatokat hajtsanak végre, mint a beállítások konfigurálása és a felhasználói szerepkörök kezelése. Alapértelmezés szerint a kiszolgálót létrehozó felhasználó automatikusan hozzáadódik Az Analysis Services-kiszolgáló rendszergazdájaként. Más rendszergazdák az Azure Portal vagy az SSMS használatával vehetők fel. A kiszolgálógazdáknak ugyanabban az előfizetésben kell rendelkezniük egy fiókkal a Microsoft Entra-bérlőben. További információ: Kiszolgálói rendszergazdák kezelése.

Az adatbázis-felhasználók olyan ügyfélalkalmazásokkal csatlakoznak a modelladatbázisokhoz, mint az Excel vagy a Power BI. A felhasználókat hozzá kell adni az adatbázis-szerepkörökhöz. Az adatbázis-szerepkörök rendszergazdai, folyamat- vagy olvasási engedélyeket határoznak meg egy adatbázishoz. Fontos megérteni, hogy a rendszergazdai engedélyekkel rendelkező szerepkörök adatbázis-felhasználói eltérnek a kiszolgáló rendszergazdáitól. Alapértelmezés szerint azonban a kiszolgálógazdák is adatbázis-rendszergazdák. További információ: Adatbázis-szerepkörök és -felhasználók kezelése.

Azure-erőforrás-tulajdonosok. Az erőforrás-tulajdonosok egy Azure-előfizetés erőforrásait kezelik. Az erőforrás-tulajdonosok az Azure Portal hozzáférés-vezérlésével vagy Azure Resource Manager-sablonokkal hozzáadhatják a Microsoft Entra felhasználói identitásokat az előfizetés tulajdonosi vagy közreműködői szerepköreihez.

Ezen a szinten a szerepkörök olyan felhasználókra vagy fiókokra vonatkoznak, amelyeknek el kell végeznie a portálon vagy az Azure Resource Manager-sablonok használatával elvégezhető feladatokat. További információk: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC).

Adatbázis-szerepkörök

A táblázatos modellhez definiált szerepkörök adatbázis-szerepkörök. A szerepkörök olyan Microsoft Entra-felhasználókból és biztonsági csoportokból álló tagokat tartalmaznak, amelyek meghatározott engedélyekkel rendelkeznek, amelyek meghatározzák, hogy a tagok milyen műveletet hajthatnak végre egy modelladatbázison. A rendszer az adatbázis-szerepkört külön objektumként hozza létre az adatbázisban, és csak arra az adatbázisra vonatkozik, amelyben az adott szerepkör létre lett hozva.

Ha új táblázatos modellprojektet hoz létre, alapértelmezés szerint a modellprojekt nem rendelkezik szerepkörrel. A szerepkörök a Visual Studióban a Szerepkörkezelő párbeszédpanelen határozhatók meg. Ha a szerepkörök a modellprojekt tervezése során vannak definiálva, azok csak a modell-munkaterület adatbázisára lesznek alkalmazva. A modell üzembe helyezésekor ugyanazok a szerepkörök lesznek alkalmazva az üzembe helyezett modellre. A modell üzembe helyezése után a kiszolgáló- és adatbázis-rendszergazdák az SSMS használatával kezelhetik a szerepköröket és a tagokat. További információ: Adatbázis-szerepkörök és -felhasználók kezelése.

Szempontok és korlátozások

• Az Azure Analysis Services nem támogatja az egyszeri jelszó használatát a B2B-felhasználók számára

Következő lépések

Erőforrásokhoz való hozzáférés kezelése Microsoft Entra-csoportokkal
Adatbázis-szerepkörök és -felhasználók kezelése
A kiszolgálók rendszergazdáinak kezelése
Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)