Bagikan melalui

Mengautorisasi akses ke objek dan operasi (Analysis Services)

  • Artikel

Berlaku untuk: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

Akses pengguna non-administratif ke kubus, dimensi, dan model penambangan dalam database SQL Server Analysis Services diberikan melalui keanggotaan dalam satu atau beberapa peran database. SQL Server Analysis Services administrator membuat peran database ini, memberikan izin Baca atau Baca/Tulis pada objek SQL Server Analysis Services, lalu menetapkan pengguna dan grup Microsoft Windows untuk setiap peran.

SQL Server Analysis Services menentukan izin efektif untuk pengguna atau grup Windows tertentu dengan menggabungkan izin yang terkait dengan setiap peran database tempat pengguna atau grup berada. Akibatnya, jika satu peran database tidak memberikan izin kepada pengguna atau grup untuk melihat dimensi, ukuran, atau atribut, tetapi peran database yang berbeda memberikan izin pengguna atau grup tersebut, pengguna atau grup akan memiliki izin untuk melihat objek.

Penting

Anggota peran Administrator server SQL Server Analysis Services dan anggota peran database yang memiliki izin Kontrol Penuh (Administrator) dapat mengakses semua data dan metadata dalam database dan tidak memerlukan izin tambahan untuk melihat objek tertentu. Selain itu, anggota peran server SQL Server Analysis Services tidak dapat ditolak akses ke objek apa pun dalam database apa pun, dan anggota peran database SQL Server Analysis Services yang memiliki izin Kontrol Penuh (Administrator) dalam database tidak dapat ditolak akses ke objek apa pun dalam database tersebut. Operasi administratif khusus, seperti pemrosesan, dapat diotorisasi melalui peran terpisah yang memiliki lebih sedikit izin. Lihat Memberikan izin proses (Analysis Services) untuk detailnya.

Mencantumkan peran yang ditentukan untuk database Anda

Administrator dapat menjalankan kueri DMV sederhana di SQL Server Management Studio untuk mendapatkan daftar semua peran yang ditentukan di server.

  1. Di SQL Server Management Studio, klik kanan database dan pilih Kueri | BaruMDX.

  2. Ketik kueri berikut dan tekan F5 untuk menjalankan:

    Select * from $SYSTEM.DBSCHEMA_CATALOGS

    Hasilnya mencakup nama database, deskripsi, nama peran, dan tanggal terakhir diubah. Dengan menggunakan informasi ini sebagai titik awal, Anda dapat melanjutkan ke database individual untuk memeriksa keanggotaan dan izin peran tertentu.

Gambaran umum top-down otorisasi Analysis Services

Bagian ini mencakup alur kerja dasar untuk mengonfigurasi izin.

Langkah 1: Administrasi Server

Sebagai langkah pertama, putuskan siapa yang akan memiliki hak administrator di tingkat server. Selama penginstalan, administrator lokal yang menginstal SQL Server diperlukan untuk menentukan satu atau beberapa akun Windows sebagai administrator server Analysis Services. Administrator server memiliki semua izin yang mungkin ada di server, termasuk izin untuk melihat, mengubah, dan menghapus objek apa pun di server, atau melihat data terkait. Setelah penginstalan selesai, administrator server dapat menambahkan atau menghapus akun untuk mengubah keanggotaan peran ini. Lihat Memberikan hak admin server ke instans Analysis Services untuk detail tentang tingkat izin ini.

Langkah 2: Administrasi Database

Selanjutnya, setelah solusi tabular atau multidimensi dibuat, solusi tersebut disebarkan ke server sebagai database. Administrator server dapat mendelegasikan tugas administrasi database dengan menentukan peran yang memiliki izin Kontrol Penuh untuk database yang dimaksud. Anggota peran ini dapat memproses atau mengkueri objek dalam database, serta membuat peran tambahan untuk mengakses kubus, dimensi, dan objek lain dalam database itu sendiri. Lihat Memberikan izin database (Analysis Services) untuk informasi selengkapnya.

Langkah 3: Aktifkan akses kubus atau model untuk beban kerja kueri dan pemrosesan

Secara default, hanya administrator server dan database yang memiliki akses ke kubus atau model tabular. Membuat struktur data ini tersedia untuk orang lain di organisasi Anda memerlukan penetapan peran tambahan yang memetakan akun pengguna dan grup Windows ke kubus atau model, bersama dengan izin yang menentukan hak istimewa Baca . Lihat Memberikan izin kubus atau model (Analysis Services) untuk detailnya.

Tugas pemrosesan dapat diisolasi dari fungsi administratif lainnya, memungkinkan administrator server dan database untuk mendelegasikan tugas ini ke orang lain, atau untuk mengonfigurasi pemrosesan tanpa pengawas dengan menentukan akun layanan yang menjalankan perangkat lunak penjadwalan. Lihat Memberikan izin proses (Analysis Services) untuk detailnya.

Catatan

Pengguna tidak memerlukan izin apa pun ke tabel relasional dalam database relasional yang mendasar tempat SQL Server Analysis Services memuat datanya, dan tidak memerlukan izin tingkat file apa pun di komputer tempat instans SQL Server Analysis Services berjalan.

Langkah 4 (Opsional): Izinkan atau tolak akses ke objek kubus interior

SQL Server Analysis Services menyediakan pengaturan keamanan untuk mengatur izin pada objek individual, termasuk anggota dimensi dan sel dalam model data. Untuk detailnya, lihat Memberikan akses kustom ke data dimensi (Analysis Services) dan Memberikan akses kustom ke data sel (Analysis Services).

Anda juga dapat memvariasikan izin berdasarkan identitas pengguna. Ini sering disebut sebagai keamanan dinamis, dan diimplementasikan menggunakan fungsi UserName (MDX)

Praktik terbaik

Untuk mengelola izin dengan lebih baik, kami menyarankan pendekatan yang mirip dengan yang berikut ini:

  1. Buat peran menurut fungsi (misalnya, dbadmin, cubedeveloper, processadmin) sehingga siapa pun yang mempertahankan peran dapat melihat sekilas apa yang diizinkan peran tersebut. Seperti disebutkan di tempat lain, Anda dapat menentukan peran dalam definisi model, sehingga mempertahankan peran tersebut atas penyebaran solusi berikutnya.

  2. Buat grup keamanan Windows yang sesuai di Direktori Aktif, lalu pertahankan grup keamanan di Direktori Aktif untuk memastikannya berisi akun individual yang sesuai. Ini menempatkan tanggung jawab keanggotaan kelompok keamanan pada spesialis keamanan yang sudah memiliki kemampuan dengan alat dan proses yang digunakan untuk pemeliharaan akun di organisasi Anda.

  3. Hasilkan skrip dalam SQL Server Management Studio sehingga Anda dapat dengan cepat mereplikasi penetapan peran setiap kali model disebarkan ulang dari file sumbernya ke server. Lihat Memberikan izin kubus atau model (Analysis Services) untuk detail tentang cara membuat skrip dengan cepat.

  4. Mengadopsi konvensi penamaan yang mencerminkan cakupan dan keanggotaan peran. Nama peran hanya terlihat dalam alat desain dan administrasi, jadi gunakan konvensi penamaan yang masuk akal untuk spesialis keamanan kubus Anda. Misalnya, processadmin-windowsgroup1 menunjukkan akses baca, ditambah hak pemrosesan, kepada orang-orang di organisasi Anda yang akun pengguna Windows individualnya adalah anggota grup keamanan windowsgroup1 .

    Menyertakan informasi akun dapat membantu Anda melacak akun mana yang digunakan dalam berbagai peran. Karena peran bersifat aditif, peran gabungan yang terkait dengan windowsgroup1 membentuk izin efektif yang ditetapkan untuk orang-orang yang termasuk dalam kelompok keamanan tersebut.

  5. Pengembang kubus akan memerlukan izin Kontrol Penuh untuk model dan database yang sedang dikembangkan, tetapi hanya memerlukan izin Baca setelah database diluncurkan ke server produksi. Ingatlah untuk mengembangkan definisi peran dan penugasan untuk semua skenario, termasuk pengembangan, pengujian, dan penyebaran produksi.

Menggunakan pendekatan seperti ini meminimalkan churn pada definisi peran dan keanggotaan peran dalam model, dan memberikan visibilitas ke dalam penetapan peran yang membuat izin kubus lebih mudah diterapkan dan dikelola.

Lihat juga

Memberikan hak admin server ke instans Analysis Services
Peran dan Izin (Analysis Services)
Metodologi autentikasi yang didukung oleh Analysis Services