Udostępnij za pośrednictwem

  • Artykuł

Architektura zabezpieczeń dostępu użytkownika

Microsoft SQL Server Usługi Analysis Services relies on Microsoft Windows to authenticate users.Domyślnie, tylko uwierzytelnieni użytkownicy, którzy mają uprawnienia w Usługi Analysis Services można ustanowić połączenie z Usługi Analysis Services.Po połączeniu się z użytkownikiem Usługi Analysis Services, uprawnienia tego użytkownika w Usługi Analysis Services są określane przez prawa, które są przypisane do Usługi Analysis Services ról, do której należy użytkownik, albo bezpośrednio albo poprzez członkostwo w roli systemu Windows.

  • Usługi Analysis Serviceszawiera rolę pojedynczego serwera stałych udziela uprawnień do wykonywania wszelkich zadań w obrębie całego jego członków wystąpienie.

  • Użytkownicy, którzy nie są członkami z stała rola serwera można dokonać członkowie jedną lub więcej ról bazy danych.Każdej rola bazy danych ma dostosowany zestaw uprawnień, aby umożliwić użytkownikom dostęp do danych i wykonywać zadania w ramach danej bazy danych.

  • rola bazy danych może mieć uprawnienia administratora, przetwarzanie uprawnień obiektu, wyświetlić metadane obiektu uprawnień i uprawnień do wyświetlania lub modyfikowania danych na wielu poziomach w ramach każdej Usługi Analysis Services bazy danych.

  • Członkowie rola bazy danych, które ma uprawnienia administratora, można wyświetlić lub zaktualizować wszystkich danych w bazie danych.Członkowie innych bazy danych ról można tylko widok lub aktualizacji obiektów danych, do których jawnie nadano im takie uprawnienia.

  • Uprawnienia w Usługi Analysis Services bazy danych są udzielone początkowo poziom bazy danych.Jeśli rola bazy danych ma uprawnienia poziom bazy danych, rola musi mieć uprawnienia specyficzne dla każdego obiektu w bazie danych.Obiekty, do których rola można udzielić uprawnień obejmują bazy danych i wymiary moduł, indywidualnych elementów członkowskich wymiar, modułów, pojedynczych komórek moduł, struktur górnictwa, modele górnictwa, źródeł danych i procedur przechowywanych.

  • Oprócz tych składników architektury zabezpieczeń Usługi Analysis Services Wszystkie szyfruje komunikacji klient serwer, aby zmniejszyć ryzyko, że nieupoważniony użytkownicy mogą uzyskać dostęp do informacji nieautoryzowanych.Wreszcie, funkcje Usługi Analysis Services , może osłabić zabezpieczenia, jeżeli są one niewłaściwie skonfigurowany lub używane w środowisku niewłaściwe są wyłączone domyślnieNa przykład można zezwolić użytkownikom na nawiązywanie Usługi Analysis Services bez uwierzytelnianie lub użytkownik może zaakceptować uwierzytelnianie, który złożono w wyraźny tekst.Ponieważ w ten sposób może osłabić zabezpieczenia, jeżeli wykonane niepoprawnie, uruchamianie tych typów funkcji wymaga jednak zmodyfikować ustawienia domyślne.

Uwierzytelnianie systemu Windows

Dostęp do Usługi Analysis Services na podstawie Microsoft uwierzytelniania systemu Windows.Ten model uwierzytelnianie wymaga wszystkich użytkowników być uwierzytelniani przez system operacyjny, zanim uzyska dostęp do danych przechowywanych w Usługi Analysis Services i przed mogą administrować Usługi Analysis Services obiektów.Posiadające systemu operacyjnego wykonać uwierzytelnianie umożliwia Usługi Analysis Services korzystać z funkcji zabezpieczeń systemu Windows, w tym bezpiecznego sprawdzania poprawności i szyfrowanie haseł inspekcji wygaśnięcie hasła, minimalna długość hasła i blokady konta po wielu żądań logowania nieprawidłowe.

Ostrzeżenie

Jeśli wystąpienie Usługi Analysis Services jest skonfigurowany, aby umożliwić dostęp anonimowy, system Windows nie uwierzytelnić użytkownika.

Uwierzytelnianie systemu Windows i Usługi Analysis Services współpracują w następujący sposób:

  1. Gdy użytkownik loguje się do sieci Windows, nazwa użytkownika i hasło, ustanawiając poświadczenia uwierzytelnianie sieciowego sprawdza poprawność kontrolera domena systemu Windows.

  2. Później, gdy użytkownik próbuje połączyć się z Usługi Analysis Services, Usługi Analysis Services sprawdza poświadczenia uwierzytelnianie sieciowego użytkownika z kontrolerem domena systemu Windows.

Autoryzacja

Po uwierzytelnieniu użytkownika, Usługi Analysis Services Dalej Określa, czy użytkownik ma uprawnienia do przeglądania danych, aktualizowanie danych, metadane, wyświetlanie i wykonywać zadań administracyjnych.Jeśli użytkownik lub grupa, której użytkownik jest element członkowski, typie uprawnień w obrębie wystąpienia Usługi Analysis Services, Usługi Analysis Services umożliwia użytkownikowi łączenie.Domyślnie Usługi Analysis Services nie pozwoli użytkownikowi połączenie, jeśli użytkownik nie ma pewien typ uprawnienia w wystąpienie z Usługi Analysis Services.

Jednak autoryzacja nie zatrzymuje się po pomyślnie użytkownik łączy się z Usługi Analysis Services.Kontynuuje autoryzacji jako works użytkownika w Usługi Analysis Services, na przykład gdy użytkownik wykonuje serwera przechowywanych procedur, instrukcji danych górnictwa rozszerzenia (DMX), kwerendy Multidimensional Expressions (MDX) lub Analysis Management Objects (AMO) poleceń.Każdy czas , Usługi Analysis Services musi wykonać akcja lub dostępu do obiektu, sprawdza, czy organ użytkownikowi dostępu do obiektów lub wykonać polecenia.Jeśli użytkownik nie ma odpowiednich uprawnień, Usługi Analysis Services zwraca błąd uprawnień.

Serwer i role bazy danych

Usługi Analysis Serviceswystępują dwa typy ról: Rola serwera i role bazy danych.Krótki opis różnicy między te dwie role jest następujący:

  • Istnieje tylko jedna rola serwera i członkowie tej roli mieć prawa administratora ukończone w wystąpienie z Usługi Analysis Services.

    Ostrzeżenie

    Członkowie lokalnej grupy Administratorzy na komputerze lokalnym są automatycznie członkowie roli serwera w wystąpienie z Usługi Analysis Services.

  • Może istnieć wiele ról bazy danych.Członkowie roli serwera tworzyć tych ról bazy danych w każdej bazy danych, przyznanie administracyjnych lub użytkownikowi uprawnień do tych ról bazy danych, takich jak Odczyt lub uprawnienia odczytu i zapisu do modułów, wymiarów, komórki, struktur górnictwa, modeli wyszukiwania i danych źródło obiektów), a następnie dodaj użytkowników systemu Windows i grupy do tych ról bazy danych.

    Ważna informacjaWażne:

    Uprawnienia roli są addytywne.Uprawnienia grupy lub użytkowników systemu Windows za pośrednictwem jednego rola bazy danych są dodawane do uprawnień, które sam Windows użytkownik lub grupa ma inny rola bazy danychs.Jedna rola zabrania użytkownikowi lub grupie uprawnienia do wykonywania pewnych zadań lub wyświetlanie pewnych danych, ale innej roli udziela uprawnienia użytkownika lub grupy, użytkownika lub grupy ma uprawnienie do wykonywania zadania lub wyświetlić dane.

Aby uzyskać więcej informacji:Tożsamości i kontroli dostępu (Analysis Services - wielowymiarowych danych)

Prawa administratora

Chociaż członkowie roli serwera automatycznie mieć prawa administratora pełną, członkowie rola bazy danych nie.rola bazy danych mogą być udzielane Pełna kontrola, znany także jako Administrator, prawa lub bardziej ograniczony zestaw praw administratora z poniższej listy:

  • Proces bazy danych

  • Metadane bazy danych do odczytu

  • Przetwarzanie jednego lub więcej wymiarów

  • Odczytanie definicji więcej wymiarów

  • Przetwarzanie modułów jeden lub więcej

  • Czytaj definicję jednego lub więcej modułów

  • Proces jedną lub kilka struktur górnictwo

  • Przetwarzanie jednego lub więcej modeli wyszukiwania

  • Czytaj definicję jedną lub kilka struktur górnictwo

  • Czytaj definicję jednego lub więcej modeli wyszukiwania

  • Czytaj definicję jedno lub więcej źródeł danych

Można odczytać tylko członkowie roli serwera i członkowie rola bazy danych, które mają pełną kontrolę Usługi Analysis Services danych bez dodatkowych uprawnień.Inni użytkownicy mogą odczytywać tylko Usługi Analysis Services danych, jeśli ich rola bazy danych wyraźnie udziela odczytu lub odczyt/zapis uprawnienia do obiektów danych w Usługi Analysis Services, takich jak wymiary, modułów, komórek i modeli wyszukiwania).

Aby uzyskać więcej informacji:Udzielanie dostępu administracyjnego

Zabezpieczenia na poziomie wymiaru

rola bazy danych można określić, czy jej członkowie mają uprawnienie do wyświetlania lub aktualizowanie elementów członkowskich wymiar w wymiarach określonej bazy danych.Ponadto w ramach każdego wymiar, do którego została przyznana rola bazy danych praw roli można mieć uprawnienie na wyświetlanie i aktualizowanie elementów członkowskich wymiar określone tylko zamiast wszystkich elementów członkowskich wymiar.Jeśli rola bazy danych nie udzielono uprawnienia do przeglądania i aktualizowania określonego wymiar i niektóre lub wszystkie wymiar członków, członkowie rola bazy danych mają nie uprawnień do wyświetlania wymiar lub któregokolwiek z członków.

Ostrzeżenie

Uprawnienia wymiar przypisanych do rola bazy danych dotyczą wymiary moduł, w zależności od wymiar bazy danych, chyba że wyraźnie przyznano różne uprawnienia w module, który korzysta z wymiar bazy danych.

Aby uzyskać więcej informacji:Udzielanie dostępu do wymiaruand Przyznając dostęp niestandardowe dane wymiaru.

Zabezpieczenia na poziomie kostki

rola bazy danych można określić, czy jego członków mieć uprawnienia do odczytu lub odczyt/zapis uprawnienie do jednego lub więcej modułów w bazie danych.rola bazy danych nie udzielono uprawnień do odczytu lub zapisu i odczytu co najmniej jeden moduł członkowie rola bazy danych nie ma uprawnień do wyświetlenia wszystkich modułów w bazie danych, pomimo wszelkich praw członków może być za pośrednictwem roli do wyświetlania elementów członkowskich wymiar.

Aby uzyskać więcej informacji:Udzielanie dostępu do modułu.

Zabezpieczenia na poziomie komórki

rola bazy danych można określić, czy po przeczytaniu jego członków, warunkowe odczytu lub uprawnienia do odczytu i zapisu na niektórych lub wszystkich komórek w moduł.Jeśli rola bazy danych nie udzielono uprawnień do komórek moduł, członkowie rola bazy danych nie ma uprawnień do wyświetlania danych moduł.Jeśli rola bazy danych jest odmowa uprawnień do wyświetlania określonych wymiarów oparte na wymiar zabezpieczeń, zabezpieczenia poziom komórka nie można rozwinąć praw członków rola bazy danych do zawierać składniki komórka z tego wymiaru.Z drugiej strony Jeżeli rola bazy danych jest udzielone uprawnienie do wyświetlania elementów członkowskich wymiar, komórka poziom zabezpieczeń można ograniczyć członków komórka z wymiar, który można wyświetlić członków rola bazy danych.

Aby uzyskać więcej informacji:Przyznanie niestandardowe dostępu do danych komórki.

Struktura górnictwa, Model górnictwa i zabezpieczeń źródła danych

rola bazy danych można określić, czy jego członków po przeczytaniu lub uprawnienia odczytu/zapisu do struktur górnictwa i modeli wyszukiwania.rola bazy danych mogą być również udzielone uprawnienie do drążenia wskroś do źródło danych i uprawnień do przeglądania na jeden lub więcej modeli wyszukiwania.Wreszcie rola bazy danych można udzielić uprawnień do odczytu i zapisu obiektów źródło danych.To uprawnienie umożliwia roli odniesienie w klauzula OTWÓRZKWERENDĘ źródło danych i połączenia z ciąg zdefiniowanego obiektu źródło danych.

Aby uzyskać więcej informacji:Udzielanie dostępu do struktur górnictwa i modeli wyszukiwaniaand Udzielanie dostępu do źródeł danych.

Przechowywana procedura zabezpieczeń

Przechowywane procedury w Usługi Analysis Services są procedurach zewnętrznych, napisane w Microsoft .NET języka programowania, które rozszerzają możliwości Usługi Analysis Services.Procedury przechowywane umożliwiają developer zalet integracja wielu języków, obsługi wyjątków, obsługa wersji, obsługa wdrażania i obsługa debugowania.

Każdy użytkownik może wywołać procedura składowana.W zależności od tego, jak skonfigurowano procedura składowana procedury można uruchomić w kontekście użytkownika wywołuje procedurę lub w kontekście użytkownika anonimowego.Ponieważ kontekst zabezpieczeń nie anonimowy użytkownik, za pomocą tej funkcji wraz z konfigurowanie wystąpienie Usługi Analysis Services , aby zezwolić na dostęp anonimowy.

After the user calls a stored procedure but before Usługi Analysis Services runs the stored procedure, Usługi Analysis Services evaluates the actions within the stored procedure.Usługi Analysis Services evaluates the actions in a stored procedure based on the intersection of the permissions granted to the user and the permission set used to run the procedure.Jeżeli procedura składowana zawiera wszelkie akcja, które nie mogą być wykonywane przez rola bazy danych użytkownika, nie można wykonać tej akcja.

Zestawy uprawnień, które są używane do uruchomienia procedury przechowywane są następujące:

  • Bezpieczne z awaryjnym zestaw uprawnień procedura składowana nie może uzyskać dostęp do zasobów chronionych Microsoft .NET Framework.To uprawnienie zestaw zezwala tylko w obliczeniach.Jest to najbezpieczniejszy zestaw uprawnień; informacje nie wycieku poza Usługi Analysis Services, nie podniesienie uprawnień i zminimalizować ryzyko ataków manipulowania danymi.

  • Zewnętrzny dostęp z dostępem z zewnątrz zestaw uprawnień, procedura składowana dostęp do zewnętrznych zasobów przy użyciu kod zarządzany.Ustawienie to zestaw uprawnień procedura składowana nie spowoduje błędy programowania, które mogłyby prowadzić do niestabilności serwera.Jednak ten zestaw uprawnień może spowodować informacji przecieki poza serwera i możliwość podniesienia uprawnień i ataki manipulowania danymi.

  • Bez ograniczeń z nieograniczonymi zestaw uprawnień, procedura składowana dostęp do zewnętrznych zasobów przy użyciu dowolnego kodu.Ten zestaw uprawnień nie ma żadnych zabezpieczeń lub gwarancji niezawodności procedur przechowywanych.

Szyfrowanie

Domyślnie Usługi Analysis Services, wymaga komunikacji między klientami a wystąpienie Usługi Analysis Services zaszyfrowana.

Aby uzyskać więcej informacji:Zabezpieczanie komunikacji klientów z Analysis Services instancji

Domyślnie wyłączone

Wystąpienie Usługi Analysis Services jest przeznaczony do zabezpieczania domyślnieDlatego też funkcje, które mogłyby naruszyć bezpieczeństwo są domyślnie wyłączone.Następujące funkcje są domyślnie wyłączone, a w szczególności musi być włączony, jeśli chcesz ich użyć:

  • Połączenie HTTP

  • Trace

  • Procedury przechowywane

  • Partycje zdalnego

  • Obiekty połączone (do)

  • Obiekty połączone (Z)

  • Agregator wyszukiwania danych

  • Poziom ochrony klienta

  • Poziom ochrony sieci Web

  • Wymagane uwierzytelnianie klienta

  • Integracja z usługą Active Directory

  • Kwerendy Ad Hoc OpenRowset

  • 8.0 Połączenie klienta

  • Raporty z awarii