Autenticação e permissões de usuário

  • Artigo

O Azure Analysis Services usa a ID do Microsoft Entra no gerenciamento de identidade e a autenticação do usuário. Qualquer usuário criando, gerenciando ou se conectando a um servidor do Azure Analysis Services deve ter uma identidade de usuário válida no locatário do Microsoft Entra na mesma assinatura.

O Azure Analysis Services oferece suporte à colaboração B2B do Microsoft Entra. Com o B2B, os usuários de fora de uma organização podem ser convidados como usuários convidados em um diretório do Microsoft Entra. Os convidados podem ser de outro diretório do locatário do Microsoft Entra ou qualquer endereço de email válido. Após ser convidado e o usuário aceitar o convite enviado por email do Azure, a identidade do usuário é adicionada ao diretório do locatário. Essas identidades podem ser adicionadas a grupos de segurança ou como membros de uma função de banco de dados ou administrador do servidor.

Azure Analysis Services authentication architecture

Autenticação

Todas as ferramentas e aplicativos cliente usam uma ou mais das bibliotecas de cliente do Analysis Services (AMO, MSOLAP, ADOMD) para se conectar a um servidor.

Todas as três bibliotecas de cliente dão suporte ao fluxo interativo do Microsoft Entra e a métodos de autenticação não interativos. Os dois métodos não interativos, os métodos Senha do Active Directory e Autenticação Integrada do Active Directory, podem ser usados em aplicativos utilizando AMOMD e MSOLAP. Esses dois métodos nunca resultam em caixas de diálogo pop-up para entrar.

Aplicativos cliente como o Excel e o Power BI Desktop, e ferramentas como o SSMS e a extensão de projetos do Analysis Services para o Visual Studio instalam as versões mais recentes das bibliotecas cliente com atualizações regulares. A extensão de projetos do Power BI Desktop, SSMS e Analysis Services é atualizada mensalmente. O Excel é atualizado com o Microsoft 365. O Microsoft 365 é atualizado com menos frequência e algumas organizações usam o canal adiado, o que significa que as atualizações são adiadas por até três meses.

Dependendo das ferramentas ou do aplicativo cliente usado, o tipo de autenticação e como você entra podem ser diferentes. Cada aplicativo pode dar suporte a recursos diferentes para se conectar a serviços de nuvem como o Azure Analysis Services.

O Power BI Desktop, o Visual Studio e o SSMS oferecem suporte à Autenticação Universal do Active Directory, um método interativo que também oferece suporte ao à autenticação multifator (MFA) do Microsoft Entra. A autenticação multifator do Microsoft Entra ajuda a proteger o acesso aos dados e aplicativos enquanto atende à demanda do usuário por um processo de entrada simples. Ele fornece uma autenticação forte com diversas opções de verificação (chamada telefônica, mensagem de texto, cartões inteligentes com PIN ou notificação por aplicativos móveis). A MFA interativa com o Microsoft Entra ID pode resultar em uma caixa de diálogo pop-up para validação. Recomenda-se a Autenticação Universal.

Se você estiver conectando-se ao Azure usando uma conta do Windows e a autenticação Universal não estiver selecionada ou disponível (Excel), os Serviços de Federação do Active Directory (AD FS) serão necessários. Com a Federação, os usuários do Microsoft Entra ID e do Microsoft 365 são autenticados usando credenciais locais e podem acessar os recursos do Azure.

SQL Server Management Studio (SSMS)

Os servidores do Azure Analysis Services dão suporte a conexões do SSMS V17.1 e superior usando a Autenticação do Windows, a Autenticação de Senha do Active Directory e a Autenticação Universal do Active Directory. Em geral, é recomendável usar a Autenticação Universal do Active Directory porque:

  • Dá suporte a métodos de autenticação interativos e não interativos.

  • Dá suporte a usuários convidados de B2B do Azure no locatário do Azure AS. Ao se conectar a um servidor, os usuários convidados devem selecionar a Autenticação Universal do Active Directory ao se conectar ao servidor.

  • Dá suporte à MFA (Autenticação Multifator). A MFA do Microsoft Entra ajuda a proteger o acesso aos dados e aplicativos com uma variedade de opções de verificação: chamada telefônica, mensagem de texto, cartões inteligentes com PIN ou notificação por aplicativo móvel. A MFA interativa com o Microsoft Entra ID pode resultar em uma caixa de diálogo pop-up para validação.

Visual Studio

O Visual Studio se conecta ao Azure Analysis Services usando a Autenticação Universal do Active Directory com suporte à MFA. Na primeira implantação, é solicitado que os usuários conectem-se ao Azure. Os usuários devem entrar no Azure com uma conta com permissões de administrador do servidor no servidor em que estão realizando a implantação. Ao entrar no Azure pela primeira vez, é atribuído um token. O token está em cache na memória para reconexões futuras.

Power BI Desktop

O Power BI Desktop se conecta ao Azure Analysis Services usando a Autenticação Universal do Active Directory com o suporte à MFA. Na primeira conexão, é solicitado que os usuários conectem-se ao Azure. Os usuários devem entrar no Azure com uma conta que está incluída na função de banco de dados ou administrador do servidor.

Excel

Os usuários do Excel podem se conectar a um servidor usando uma conta do Windows, uma ID de organização (endereço de email) ou um endereço de email externo. Identidades de email externas devem existir no Microsoft Entra ID como um usuário convidado.

Permissões de acesso do usuário

Os administradores de servidor são específicos para uma instância de servidor do Azure Analysis Services. Eles se conectam com ferramentas como o portal do Azure, o SSMS e o Visual Studio para realizar tarefas como a definição de configurações e o gerenciamento de funções de usuário. Por padrão, o usuário que cria o servidor no é adicionado automaticamente como administrador do servidor do Analysis Services. Outros administradores podem ser adicionados usando o SSMS ou o Portal do Azure. Os administradores de servidor devem ter uma conta no locatário do Microsoft Entra na mesma assinatura. Para obter mais informações, consulte Gerenciar administradores de servidor.

Os usuários de banco de dados se conectam a modelos de bancos de dados usando aplicativos cliente como o Excel ou o Power BI. Os usuários devem ser adicionados às funções de banco de dados. As funções de banco de dados definem a permissão de administrador, de leitura ou de processo para um banco de dados. É importante entender que os usuários de banco de dados em uma função com permissões de administrador são diferentes dos administradores do servidor. No entanto, por padrão, os administradores de servidor também são administradores de banco de dados. Para obter mais informações, consulte Gerenciar usuários e funções de banco de dados.

Proprietários de recursos do Azure. Os proprietários do recurso gerenciam os recursos de uma assinatura do Azure. Os proprietários de recursos podem adicionar identidades de usuário do Microsoft Entra às funções de proprietário ou colaborador em uma assinatura usando o Controle de acesso no portal do Azure ou com modelos do Azure Resource Manager.

Access control in Azure portal

As funções nesse nível se aplicam a usuários ou contas que precisam executar tarefas que podem ser realizadas no Portal ou usando modelos do Azure Resource Manager. Para saber mais, confira o RBAC do Azure (controle de acesso baseado em função do Azure).

Funções de banco de dados

As funções, definidas para um modelo de tabela, são funções de banco de dados. Ou seja, as funções contêm membros que consistem em usuários do Microsoft Entra e grupos de segurança que têm permissões específicas que definem a ação que esses membros podem realizar em um modelo de banco de dados. Uma função de banco de dados é criada como um objeto separado no banco de dados e se aplica somente ao banco de dados no qual a função foi criada.

Por padrão, quando você cria um novo projeto de modelo de tabela, o projeto de modelo não tem nenhuma função. As funções podem ser definidas usando a caixa de diálogo do Gerenciador de Funções no Visual Studio. Quando as funções são definidas durante a criação do projeto de modelo, elas são aplicadas apenas ao banco de dados de workspace do modelo. Quando o modelo é implantado, as mesmas funções são aplicadas ao modelo implantado. Depois que um modelo foi implantado, os administradores de servidor e de banco de dados podem gerenciar funções e membros usando o SSMS. Para obter mais informações, consulte Gerenciar usuários e funções de banco de dados.

Considerações e limitações

  • O Azure Analysis Services não dá suporte ao uso de Senha Avulsa para usuários B2B

Próximas etapas

Gerenciar o acesso a recursos com grupos do Microsoft Entra
Gerenciar usuários e funções de banco de dados
Gerenciar administradores de servidor
RBAC do Azure (controle de acesso baseado em função do Azure)