Protezione delle origini dei dati utilizzate da Analysis Services
Se utenti non autorizzati ottengono l'accesso alle origini dei dati utilizzate da Microsoft SQL Server Analysis Services per caricare i dati, tali utenti non autorizzati possono accedere alle stesse informazioni archiviate nell'istanza di Analysis Services. È consigliabile limitare l'accesso a queste origini dei dati. Per esplorare cubi e dimensioni, gli utenti di Analysis Services non necessitano di autorizzazioni per queste origini dei dati. Gli utenti di Analysis Services necessitano tuttavia di autorizzazioni per connettersi alle origini dei dati sottostanti per eseguire determinate attività, ad esempio per utilizzare espressioni DMX per eseguire attività di data mining.
Protezione di connessioni alle origini dei dati sottostanti
In Analysis Services viene eseguita la connessione alle origini dei dati sottostanti per le attività seguenti:
Elaborare i dati in Analysis Services.
Risolvere query quando vengono utilizzate le modalità ROLAP o HOLAP.
Registrare voci writeback.
Eseguire query drill-through MDX (Multidimensional Expressions).
In Analysis Services ognuna di queste attività viene eseguita tramite un oggetto DataSource. L'account di protezione utilizzato dall'oggetto DataSource per accedere a queste origini dei dati è costituito dalle credenziali di protezione dell'utente oppure da nome utente e password specificati nella stringa di connessione archiviata nell'oggetto DataSource.
Attenzione |
---|
Se in Analysis Services viene eseguita la connessione a una qualsiasi delle relative origini dei dati utilizzando l'account di accesso di Analysis Services, i membri di un ruolo del database con autorizzazioni di controllo completo possono accedere a tale origine dei dati, indipendentemente dal fatto che sia o meno utilizzata in quel database. |
Le autorizzazioni richieste dall'account di protezione utilizzato da un oggetto DataSource dipendono dall'attività che deve essere eseguita in Analysis Services:
Per connettersi all'origine dei dati, l'account di protezione utilizzato dall'oggetto DataSource deve disporre almeno delle autorizzazioni di lettura nella tabella appropriata dell'origine dei dati. Se viene utilizzata l'archiviazione ROLAP, l'account di protezione deve disporre anche delle autorizzazioni di scrittura dei dati aggregati nell'origine dei dati.
Se il writeback è abilitato, l'account di protezione utilizzato deve inoltre disporre delle autorizzazioni di scrittura nella tabella writeback.
In Analysis Services le informazioni della stringa di connessione utilizzata per connettersi a ogni origine dei dati vengono crittografate e archiviate. Se la stringa di connessione specifica un determinato account di protezione anziché una connessione trusted, è possibile scegliere di archiviare la stringa di connessione con o senza la password. Se la password non è archiviata con la stringa di connessione, in Analysis Services verrà richiesto di specificare un account di protezione e una password appropriati ogni volta che in Analysis Services viene eseguito un tentativo di connessione a tale origine dei dati, ad esempio durante l'elaborazione o in caso di modifica di una vista origine dati.
Durante lo sviluppo, è possibile scegliere di archiviare la password e l'account di protezione della stringa di connessione nel progetto di Analysis Services. Quando si crea il progetto di Analysis Services, in Business Intelligence Development Studio le password e gli account di protezione vengono rimossi da tutte le stringhe di connessione dell'origine dei dati, a meno che si decida di mantenerli nei file di output. Se la password e l'account di protezione vengono archiviati nei file di output per un progetto di Analysis Services, le informazioni della stringa di connessione vengono crittografate. Se tali informazioni della stringa di connessione non vengono mantenute e nella stringa di connessione non viene specificata una connessione trusted, in Analysis Services verrà richiesto di specificare un account di protezione e una password appropriati durante il processo di distribuzione.
Protezione delle connessioni utilizzate dalle query di data mining
Per le query di data mining in cui viene utilizzata la clausola OPENQUERY in un'istruzione DMX per la connessione all'origine dei dati sottostante, in Analysis Services la connessione avviene tramite un oggetto DataSource. L'oggetto DataSource rappresenta il client oppure utilizza nome e password specificati nella stringa di connessione. Per impostazione predefinita, gli utenti non dispongono di autorizzazioni in un oggetto DataSource e non possono eseguire query sull'origine dei dati sottostante utilizzando l'istruzione OPENQUERY. Per utilizzare la clausola OPENQUERY in un'istruzione DMX per eseguire query sull'origine dei dati sottostate, è necessario disporre delle autorizzazioni di lettura/scrittura nell'oggetto DataSource. Se gli utenti dispongono delle autorizzazioni di lettura/scrittura in un oggetto DataSource e nella stringa di connessione è specificato un determinato account, è consigliabile impostare le autorizzazioni più restrittive possibili sulle tabelle nell'origine dei dati sottostante per l'account specificato, ovvero le autorizzazioni di sola lettura nelle tabelle specifiche a cui è necessario accedere. Per ulteriori informazioni su DMX, vedere Istruzioni DMX (Data Mining Extensions) per la definizione dei dati e Istruzioni DMX (Data Mining Extensions) per la manipolazione dei dati.
Per impostazione predefinita, gli utenti non possono utilizzare la clausola OPENROWSET in un'istruzione DMX e inviare query ad hoc in un'origine dei dati sottostante utilizzando una stringa di connessione ad hoc. È possibile modificare la proprietà di configurazione del server DataMining \ AllowAdHocOpenRowsetQueries per consentire agli utenti di utilizzare la clausola OPENROWSET. Per accedere alla proprietà, fare clic con il pulsante destro del mouse sull'istanza di Analysis Services, scegliere Proprietà e quindi individuare la proprietà nella pagina Protezione. In questo modo, non sarà possibile limitare le origini dei dati su cui gli utenti del modello di data mining possono eseguire query. Per ulteriori informazioni, vedere Concessione dell'accesso alle strutture di data mining e ai modelli di data mining e Concessione dell'accesso alle origini dei dati.
Vedere anche