Autorizzazioni e diritti di accesso (Analysis Services - Dati multidimensionali)
In Microsoft Analysis Services i ruoli consentono agli amministratori di definire livelli di protezione per gli oggetti di un database Analysis Services per diversi utenti e gruppi di Windows. A ogni oggetto può essere associata una singola autorizzazione per ruolo e a ogni autorizzazione possono essere associati uno o più diritti di accesso. Un utente o un gruppo di Windows, inoltre, può essere associato a più ruoli di Analysis Services. È così possibile combinare autorizzazioni e diritti di accesso per modelli di protezione complessi nelle applicazioni di Business Intelligence.
Diritti di accesso
Nella tabella seguente viene descritto il set di diritti di accesso disponibile per le autorizzazioni associate a oggetti di database di Analysis Services.
Diritto di accesso |
Descrizione |
---|---|
Access |
Consente di accedere ai metadati di un oggetto. Sono supportati i tipi di accesso seguenti:
|
Administer |
Indica se i membri del ruolo possono amministrare l'oggetto. L'autorizzazione Administer concede ai membri del ruolo l'accesso completo a tutti gli oggetti contenuti nell'oggetto. |
AllowBrowsing |
Consente ai membri del ruolo di esplorare i dati in un modello di data mining. |
AllowDrillthrough |
Concede ai membri del ruolo di eseguire il drill-through da un modello di data mining ai dati sottostanti. |
AllowedSet |
L'autorizzazione AllowedSet definisce i membri di un attributo che possono essere visualizzati da un membro del ruolo. Se il set consentito in [Customer].[CountryRegion] è {Canada}, ad esempio, i membri del ruolo hanno accesso a tutte le province e le città del Canada. In una gerarchia padre-figlio, i membri consentiti sono quelli definiti dal set e i predecessori della gerarchia padre-figlio in cui esistono tali membri. Se un membro di una gerarchia padre-figlio non è incluso in un set consentito, i relativi elementi figlio diversi da membri dei dati non sono accessibili al ruolo. I membri dei dati sono comunque accessibili poiché appartengono all'attributo chiave della dimensione. Se non è definito alcun set per l'autorizzazione AllowedSet, il set predefinito è costituito da tutti i membri dell'attributo. |
AllowPredict |
L'autorizzazione di stima per un modello di data mining concede ai membri del ruolo di eseguire stime in base al modello di data mining. |
ApplyDenied |
Determina se non possono essere visualizzati i membri dell'attributo in cui esistono altri membri esplicitamente non autorizzati. |
DefaultMember |
L'autorizzazione DefaultMember definisce il membro predefinito della dimensione. Il membro predefinito influisce sui set di dati restituiti dalle query eseguite sui cubi in cui è inclusa la dimensione. Quando la dimensione non viene visualizzata su un asse, per impostazione predefinita il set di dati viene filtrato, ovvero sezionato, utilizzando il membro predefinito. |
DeniedSet |
L'autorizzazione DeniedSet definisce i membri di un attributo che non possono essere visualizzati da un membro del ruolo. |
IsAllowed |
Determina se l'accesso a qualsiasi membro dell'attributo è consentito indipendentemente dalle impostazioni per un livello basato sull'attributo. Se la proprietà IsAllowed è False per l'attributo di granularità di una dimensione, impostando VisualTotals per un attributo della dimensione si ottengono valori Null per tutti i membri. Per gli operatori unari, quando VisualTotals è False ogni membro costituisce un rollup di tutti i relativi elementi figlio. In caso di impostazione di VisualTotals su True, ogni membro è un rollup degli elementi figlio autorizzati. L'impostazione predefinita della proprietà è True. |
Process |
L'autorizzazione Process per un oggetto concede ai membri del ruolo di elaborare l'oggetto, nonché di elaborare tutti gli oggetti figlio nell'oggetto a meno che per un oggetto figlio non venga esplicitamente negata tale autorizzazione. L'autorizzazione Process non concede ai membri del ruolo l'accesso ai dati o ai metadati dell'oggetto. |
ReadDefinition |
Indica se i membri del ruolo possono leggere i metadati che definiscono l'oggetto autorizzazioni. L'impostazione di questa proprietà viene ereditata dagli oggetti contenuti nell'oggetto. |
VisualTotals |
L'autorizzazione VisualTotals per i dati della dimensione definisce la modalità di aggregazione dei dati per gli attributi ed è costituita da un'espressione MDX che restituisce True o False. Se VisualTotals è False, i dati vengono aggregati per tutti i membri degli attributi della dimensione indipendentemente dalla visibilità ai membri del ruolo. Se VisualTotals è True, i dati vengono aggregati soltanto per i membri dell'attributo di granularità della dimensione per cui il ruolo dispone di accesso in lettura. Se Customer Name è l'attributo di granularità e l'autorizzazione VisualTotals è impostata su True per l'attributo City, ad esempio, ogni città sarà l'aggregazione dei dati per i clienti per cui il ruolo dispone di accesso in lettura. L'impostazione predefinita è False. |
Autorizzazioni
Nella tabella seguente vengono descritti le autorizzazioni disponibili in un database di Analysis Services e i diritti di accesso gestiti da ogni autorizzazione.
Autorizzazione |
Autorizzazioni di accesso |
Database |
L'accesso ai database definisce l'accesso a oggetti e dati in un database di Analysis Services. Sono disponibili i diritti di accesso seguenti:
|
Origine dei dati |
L'accesso alle origini dei dati definisce l'accesso alle origini dei dati in un database di Analysis Services. Sono disponibili i diritti di accesso seguenti:
|
Cubo |
Un ruolo del cubo, creato a livello di cubo quando viene assegnato un ruolo di database a un cubo, viene applicato solo a tale cubo. Le impostazioni predefinite di un ruolo del cubo sono derivate dal ruolo di database con lo stesso nome, nonostante alcune possano essere sostituite nel ruolo del cubo. Un ruolo del cubo contiene opzioni aggiuntive, ad esempio la protezione a livello di cella, non incluse in un ruolo di database. La concessione dell'accesso in lettura e in lettura/scrittura a parti di cubi offre una notevole flessibilità. È possibile specificare i membri delle dimensioni e le celle dei cubi visualizzabili e aggiornabili da un ruolo. Per ulteriori informazioni vedere protezione delle dimensioni e protezione cella. Sono disponibili i diritti di accesso seguenti:
|
Cella |
L'accesso ai dati delle celle definisce l'accesso alle celle in un cubo. Sono disponibili tre tipi di accesso alle celle in un cubo:
La protezione a livello di cella in un cubo viene definita per ogni tipo di accesso alle celle con un'espressione MDX che viene risolta in True o False per ogni cella del cubo. Qualsiasi valore diverso da zero in un'espressione numerica viene valutato come True, mentre zero viene valutato come False. L'accesso è consentito quando un'espressione viene risolta in True e viene negato in caso di risoluzione in False. Sono disponibili i diritti di accesso seguenti:
|
Dimensione |
Le proprietà di accesso alle dimensioni definiscono l'accesso alle dimensioni di un database indipendentemente dalla relativa partecipazione ai cubi. L'accesso alle dimensioni consente agli utenti che sono membri di un ruolo di esplorare una dimensione nelle applicazioni client. È inoltre possibile specificare autorizzazioni per dimensioni dei cubi che sostituiscono le autorizzazioni di accesso a database per un ruolo in caso di accesso a una dimensione in un determinato cubo. Sono disponibili i diritti di accesso seguenti:
|
Attributo |
L'accesso ai dati delle dimensioni controlla gli attributi delle dimensioni a cui possono accedere i membri di un ruolo. Consentendo o negando l'accesso a un attributo viene definito l'accesso ai livelli delle gerarchie delle dimensioni basati su tale attributo. Se a un ruolo viene negato l'accesso a un attributo, risulta negato l'accesso a tutti i livelli derivati dall'attributo. Se negando l'accesso a un attributo viene creato uno spazio vuoto in una gerarchia, l'intera gerarchia non sarà più valida e accessibile per i membri del ruolo. Nella gerarchia CountryRegion-State-City-Name, ad esempio, i livelli State e Name non sono contigui. Negando l'accesso all'attributo City viene pertanto lasciato uno spazio vuoto e la gerarchia non sarà più valida. Negando invece l'accesso all'attributo CountryRegion non viene creato uno spazio vuoto e viene mantenuta la gerarchia valida di livelli contigui State-City-Name. Analogamente, negando l'accesso all'attributo Name viene mantenuta la gerarchia valida CountryRegion-State-City. Quando si consente ai membri di un ruolo di accedere a un attributo, è possibile consentire o negare l'accesso a membri selezionati dell'attributo. Sono disponibili i diritti di accesso seguenti:
|
Struttura di data mining |
L'accesso alle strutture di data mining determina le autorizzazioni per le strutture e i modelli di data mining e per i relativi dati. Sono disponibili i diritti di accesso seguenti:
|
Modello di data mining |
L'accesso alle strutture di data mining determina le autorizzazioni per le strutture e i modelli di data mining e per i relativi dati. Sono disponibili i diritti di accesso seguenti:
|
1 Il diritto di accesso DefaultMember definisce il membro predefinito della dimensione. Per ulteriori informazioni, vedere Definizione di un membro predefinito.
Autorizzazioni ed ereditarietà
Quando un oggetto contiene altri oggetti (ad esempio, cubi o dimensioni in un database), le autorizzazioni Administer, Process e ReadDefinition per l'oggetto padre vengono ereditate dagli oggetti figlio.
Autorizzazione |
Ereditarietà |
---|---|
Administer |
I membri del ruolo del server di Analysis Services sono autorizzati ad amministrare un server e dispongono pertanto di accesso completo a tutti gli oggetti sul server. I membri di un ruolo di database di Analysis Services a cui è concesso di amministrare un database dispongono di accesso completo a tutti gli oggetti nel database. |
Process |
Per impostazione predefinita, l'impostazione Process per un oggetto viene applicata a qualsiasi oggetto figlio. È inoltre possibile impostare questa proprietà per un oggetto figlio in modo da sostituire l'autorizzazione ereditata dall'oggetto padre.
|
ReadDefinition |
Per impostazione predefinita, l'impostazione della proprietà ReadDefinition di un oggetto viene ereditata da qualsiasi oggetto figlio. È inoltre possibile impostare questa proprietà per un oggetto figlio in modo da sostituire l'autorizzazione ereditata dall'oggetto padre. |
Più ruoli e autorizzazioni
Un utente può appartenere a più ruoli in un database di Analysis Services. Le autorizzazioni presenti in più ruoli si sommano tra loro. Se un ruolo garantisce l'accesso a un oggetto, un membro di tale ruolo ha accesso all'oggetto indipendentemente dal fatto che a tale membro venga o meno esplicitamente negato l'accesso all'oggetto in un altro ruolo.