Granting Custom Access to Dimension Data
After a Microsoft SQL Server 2005 Analysis Services (SSAS) database role has read or read/write permission to the dimensions in a cube, you can define security on each dimension attribute member (also called dimension security).Domyślnie rola bazy danych ma dostęp do wszystkich członków wszystkich atrybutów wymiaru w module, do których mają dostęp do odczytu.Można zdefiniować określonego zestaw elementów członkowskich atrybut dla każdego atrybut wymiaru, do których członkowie roli ma dostęp specyficzny (prawaAllowedSet) lub do których one specjalnie odmówiono dostępu ()DeniedSet). Można także zdefiniować domyślny element członkowski dla każdego hierarchia atrybutu; domyślnie, wszystkie element członkowski jest domyślny element członkowski.Jeśli odmówisz uprawnienia do odczytu do niektórych członków atrybut można mieć wartości dla wszystkich element członkowski można łącznie z członków, których członkowie roli mają dostęp do, a nie agregacja wszystkich element członkowski z hierarchia atrybutu.Aby określić to zachowanie, włączanie VisualTotals. Po włączeniu VisualTotals agregacja jest obliczana w czasie kwerendy zamiast pobierane z pre-calculated agregacja.
Uwaga
Typ dostępu, których członkowie roli wymiaru opiera się na dostęp wymiaru udzielona odczytu lub zapisu i odczytu.
Opis właściwość IsAllowed
The IsAllowed właściwość determines whether the rola bazy danych can access atrybut members. Domyślnie rola bazy danych, które ma dostęp do wymiaru nie można uzyskać dostępu do hierarchii atrybut.
Opis właściwość AllowedSet
The AllowedSet właściwość uses a Multidimensional Expressions (MDX) wyrażenie to determine which atrybut members can be viewed by the rola bazy danych (the allowed zestaw). Dozwolone zestaw może zawierać nie (ustawienie domyślne), wszystkich lub niektórych członków atrybut.Jeśli zezwalają na dostęp do atrybut, a nie zostanie zdefiniowana wszystkich członków zestaw dozwolonych, uzyskuje dostęp do wszystkich elementów członkowskich.Jeśli zezwalają na dostęp do atrybut i zdefiniować określonego zestaw elementów członkowskich atrybut, widoczne są tylko wyraźnie dozwolone członków.Definiowanie wyraźnie dozwolonych zestaw mogą ograniczać widoczności członków atrybut dodane po zdefiniowaniu zestaw dozwolonych.
Ograniczanie dozwolonych zestaw dla jednego atrybut ma wpływ na widoczność innych atrybut.Na przykład, załóżmy, że dozwolone zestaw Customer atrybut zawiera tylko niektórych członków atrybut, ale zestaw dozwolonych dla City atrybut zawiera wszystkie elementy atrybutu. W tym przypadek tylko członkowie City atrybut, który będzie widoczne są tych miast, których klienci zestaw dozwolonych Customer atrybut. W przypadku miasta, w którym klienci nie atrybut elementów członkowskich dla tego miasta nie będzie widoczny.Innymi słowy element członkowski atrybut może być tylko widoczne, jeśli element członkowski członkowski członkowski atrybutu z co najmniej jeden element członkowski zestaw dozwolonych.
Uwaga
Po zdefiniowaniu pustego zestaw elementów członkowskich atrybut żadnych członków atrybut będzie widoczna dla rola bazy danych.Brak zestaw dozwolonych nie jest interpretowany jako pustego zestaw.
Opis właściwość DeniedSet
The DeniedSet właściwość uses an MDX wyrażenie to determine the atrybut members to which a rola bazy danych is explicitly denied access (the denied zestaw). Odmowa zestaw może zawierać nie, wszystkie (domyślnie) lub niektórych członków atrybut.Domyślnie nie odmówiono zestaw jest zdefiniowany.
Gdy odmowa zestaw zawiera tylko określony zestaw elementów członkowskich atrybut, rola bazy danych odmowa dostępu tylko do tych określonych elementów członkowskich.Specjalnie Definiowanie odmowa zestaw może mieć wpływ na ułatwienia dostępu atrybut elementach, które są dodawane po zdefiniowaniu zestawu odmowy.
Po zdefiniowaniu wyróżniony zestaw atrybutów w zestawie odmowa efekt tego odmowa zestawu o ułatwienia dostępu innych atrybutów zależy od tego, czy ApplyDenied Właściwość jest włączona. Na przykład, załóżmy, że istnieje zestaw odmowa na State atrybut oraz ApplyDenied Właściwość jest włączona. W takim przypadek rola bazy danych nie będą mogli uzyskać dostępu do żadnych z Customer atrybuty te stany w obrębie danego zestaw odmowy.
Opis właściwość ApplyDenied
The ApplyDenied właściwość indicates whether members of a denied zestaw are used in determining whether members of an hierarchia atrybutu are visible to the rola bazy danych. Domyślnie ApplyDenied Właściwość jest ustawiona na wartość True (włączone) dla każdego hierarchia atrybutu.
Uwaga
W przeciwieństwie do zestaw odmowa zależy od których mają wpływ na to ApplyDenied Właściwość dozwolonych zestaw jest zawsze stosowany przy określaniu czy członkowie hierarchia atrybut są widoczne dla rola bazy danych.
Gdy ApplyDenied Właściwość jest włączona i jest zestaw odmowy, rola bazy danych nie będą mogli uzyskać dostęp do wszystkich członków hierarchia atrybutu Jeśli tej hierarchii zawiera żadnego z elementów członkowskich zestaw odmowy. Na przykład ApplyDenied Właściwość jest włączona i odrzuconych zestaw składa się z Stanów State atrybut. Oprócz nie można uzyskać dostępu do State atrybut, rola bazy danych nie będzie można uzyskać dostępu do Customers atrybut dla dowolnego stanu w obrębie danego zestaw odmowy.
Gdy ApplyDenied Właściwość jest wyłączona i jest zestaw odmowy, rola bazy danych będą mogli uzyskać dostęp wszystkie składniki hierarchii atrybut nawet wtedy, gdy tej hierarchii zawiera żadnego z elementów członkowskich zestaw odmowa. Na przykład ApplyDenied Właściwość jest wyłączona i odrzuconych zestaw składa się z Stanów State atrybut. Mimo że rola bazy danych będzie nie mogą uzyskać dostępu do State atrybut, rola bazy danych będą mieli dostęp do Customers atrybut dla dowolnego stanu w obrębie danego zestaw odmowy.
Opis właściwość VisualTotals
The VisualTotals właściwość indicates whether the aggregated komórka values that are displayed are calculated according to all komórka values or only according to the komórka values that are visible to the rola bazy danych.
Domyślnie VisualTotals Właściwość jest wyłączona (zestaw do False). To ustawienie domyślne maksymalizuje wydajność, ponieważ Analysis Services można szybko obliczyć sumę wszystkich komórka wartości, zamiast wybierania wartości komórka s, które służy do obliczania czas.
Jednak po VisualTotals Właściwość wyłączone może utworzyć zabezpieczeń, jeśli użytkownik będzie mógł użyć wartości zagregowane komórek do wywnioskowanie wartości dla atrybut członków, których rola bazy danych nie ma dostępu. Na przykład Analysis Services używa wartości dla trzech atrybut elementów członkowskich do obliczeń komórka zagregowane. Rola bazy danych ma dostęp do wyświetlania dwóch z tych trzech atrybut członków.Za pomocą wartości zagregowane komórka, jest członkiem tej rola bazy danych będzie mógł wywnioskowanie wartością dla trzeciego element członkowski członkowski atrybut.
Jeśli użytkownik może wywnioskowanie wartości dla atrybut członków, których rola bazy danych nie ma dostępu, ze względów bezpieczeństwa oznacza, że zostanie włączone (wartość True) VisualTotals Właściwość atrybut. Po włączeniu VisualTotals właściwość rola bazy danych można przeglądać tylko sumy zagregowane dla elementów członkowskich wymiaru, do których dana rola ma uprawnienie. Na przykład, umożliwiając VisualTotals Właściwość oznacza, że rola bazy danych zostaną wyświetlone podsumowania łącznego, który zawiera tylko te województwa, (to znaczy członków State atrybut), które są widoczne dla roli. Podsumowania łącznego nie zawierają wartości dla wszystkich stanów.
Opis właściwość DefaultMember
The DefaultMember właściwość determines the data zestaw that is returned to a klient when an atrybut is not explicitly included in a query. Jeśli atrybut nie jest jawnie włączone, Analysis Services używa jednego z następujących członków domyślnych dla atrybutu:
Jeśli rola bazy danych definiuje domyślny element członkowski dla atrybut, Analysis Services używa tej wartości domyślnej element członkowski.
Jeśli rola bazy danych nie definiuje elementu domyślny dla atrybut, Analysis Services używa domyślny element członkowski, który jest zdefiniowany dla samego atrybut. Domyślny element członkowski atrybutu, chyba że zostanie to zmienione, to All Członek (o ile ten atrybut jest zdefiniowany jako nie kumulowane).
Na przykład określa rola bazy danych Male jako domyślny element członkowski Gender atrybut. O ile jawnie zawiera kwerendy zarówno Gender atrybut i określa różnych element członkowski dla tego atrybutu Analysis Services zwróci zestaw danych, które uwzględnione tylko użytkowników, płci męskiej. Aby uzyskać więcej informacji na temat ustawiania domyślnego element członkowski, zobacz Definiowanie domyślnego element element członkowskiiu element członkowskiiego.
Ustawianie uprawnień dostępu element członkowski w wymiarze
Przed ustawieniem uprawnienia dostępu na element członkowski w wymiarze, możesz przejrzeć przykładowe dostępu jak różne ustawienia mają wpływ na to zestaw wyników, która jest zwracana, gdy podczas badania element członkowski s.Te ustawienia na przykład można znaleźć w następujących tematach:
Example 3—Using the Except Function to Exempt Members from a Denied Set
Example 4—Using the Exists Function to Exempt Members from a Denied Set
Example 5—Using the Exists Function to Specify an Allowed Set
Example 6—Using the Exists and Except Functions to Specify Allowed and Denied Sets
Po zrozumieć jak dostęp do różnych pracy uprawnienia można przyznać uprawnienia.Aby udzielić uprawnień dostępu element członkowski w wymiarze, użytkownik musi być element członkowski z Analysis Services Rola serwera lub element członkowski z Analysis Services Rola bazy danych, które ma uprawnienia Pełna kontrola (Administrator).
Kiedy używać Business Intelligence Development Studio Aby udzielić uprawnień dostępu element członkowski w wymiarze, należy użyć standardowych opcji na Podstawowe Karta Dostęp do danych wymiarów karty lub za pomocą opcji bardziej dostosowane na Zaawansowane tab.
Important Note: |
---|
Jeśli Microsoft Użytkownika lub grupy systemu Windows należy do wielu ról bazy danych, czynnych uprawnień dla użytkownika lub grupy są addytywne we wszystkich ról bazy danych (Unia uprawnienia). Jeśli jedną rola bazy danych powoduje zablokowanie dostępu użytkownika do element członkowski atrybut, ale roli innej bazy danych przyznano dostęp użytkownika do tego element członkowski członkowski atrybutu, użytkownik będzie miał dostępu do elementu członkowskiego atrybutu. |
Używanie karty podstawowej do udostępnienia rola bazy danych do element członkowski w wymiarze
W SQL Server Management Studio, łączyć się z wystąpienie Analysis Services, rozwiń węzeł Role dla odpowiedniego bazy danych w Eksploratorze obiektów, a następnie kliknij rola bazy danych (lub utworzyć nową rola bazy danych).
Kliknij przycisk Dostęp do danych niestandardowe wymiaru in the Wybierz strona Okienko wybierz wymiarWymiar listy, a następnie wybierz opcję Zezwalaj na atrybut on the Zaawansowane tab.
Zaznaczenie tej opcji ustawia IsAllowed Właściwość True.
W Atrybut zaznacz atrybut, dla którego chcesz określić elementy członkowskie, które powinny być wyświetlane przez rola bazy danych.
Aby jawnie odmówiono dostępu do niektórych członków atrybut, należy wprowadzić wyrażenie MDX dla tych atrybut element członkowski w Odmowa zestaw element członkowski box.Inni członkowie atrybut będzie widoczny.
- Aby specjalnie przyznanie dostępu tylko do niektórych elementów, wprowadź wyrażenie MDX dla tych atrybut element członkowski w Dozwolone zestaw element członkowski box.Inni członkowie atrybut będzie widoczny.
Aby użyć karty Zaawansowane udzielić praw dostępu rola bazy danych do element członkowski w wymiarze
W SQL Server Management Studio, łączyć się z wystąpienie Analysis Services, rozwiń węzeł Role dla odpowiedniego bazy danych w Eksploratorze obiektów, a następnie kliknij rola bazy danych (lub utworzyć nową rola bazy danych).
Kliknij przycisk Dostęp do danych niestandardowe wymiaru in the Wybierz strona Okienko wybierz wymiarWymiar listy, a następnie wybierz opcję Zezwalaj na atrybut on the Zaawansowane tab.
Zaznaczenie tej opcji ustawia IsAllowed Właściwość True.
W Atrybut zaznacz atrybut, dla którego chcesz określić elementy członkowskie, które powinny być wyświetlane przez rola bazy danych.
Aby jawnie odmówiono dostępu do niektórych członków atrybut, należy wprowadzić wyrażenie MDX dla tych atrybut element członkowski w Odmowa zestaw element członkowski box.Inni członkowie atrybut będzie widoczny.
Aby specjalnie przyznanie dostępu tylko do niektórych elementów, wprowadź wyrażenie MDX dla tych atrybut element członkowski w Dozwolone zestaw element członkowski box.Inni członkowie atrybut będzie widoczny.