Autenticação e permissões de utilizador

Azure Analysis Services utiliza o Azure Ative Directory (Azure AD) para gestão de identidade e autenticação do utilizador. Qualquer utilizador que crie, gere ou se conecte a um servidor Azure Analysis Services deve ter uma identidade de utilizador válida num Azure AD inquilino na mesma subscrição.

Azure Analysis Services apoia Azure AD colaboração B2B. Com o B2B, os utilizadores de fora de uma organização podem ser convidados como utilizadores convidados num Azure AD diretório. Os hóspedes podem ser de outro Azure AD lista de inquilinos ou qualquer endereço de e-mail válido. Uma vez convidado e o utilizador aceita o convite enviado por e-mail da Azure, a identidade do utilizador é adicionada ao diretório do arrendatário. Essas identidades podem ser adicionadas a grupos de segurança ou como membros de um administrador de servidor ou papel de base de dados.

arquitetura de autenticação Azure Analysis Services

Autenticação

Todas as aplicações e ferramentas do cliente utilizam uma ou mais bibliotecas de clientes dos Serviços de Análise (AMO, MSOLAP, ADOMD) para se conectarem a um servidor.

As três bibliotecas de clientes suportam Azure AD fluxo interativo e métodos de autenticação não interativos. Os dois métodos não interativos, Password de Diretório Ativo e Métodos de Autenticação Integrado de Diretório Ativo podem ser utilizados em aplicações que usassem AMOMD e MSOLAP. Estes dois métodos nunca resultam em caixas de diálogo pop-up para iniciar surgiu.

Aplicações de clientes como o Excel e Power BI Desktop, e ferramentas como a extensão de projetos SSMS e Serviços de Análise para o Visual Studio instalam as versões mais recentes das bibliotecas de clientes com atualizações regulares. Power BI Desktop, SSMS e extensão de projetos de serviços de análise são atualizados mensalmente. O Excel é atualizado com o Microsoft 365. As atualizações da Microsoft 365 são menos frequentes e algumas organizações usam o canal diferido, o que significa que as atualizações são adiadas até três meses.

Dependendo da aplicação ou ferramentas do cliente que utiliza, o tipo de autenticação e a forma como se inscreve podem ser diferentes. Cada aplicação pode suportar diferentes funcionalidades para ligar a serviços na nuvem como Azure Analysis Services.

Power BI Desktop, Visual Studio e SSMS apoiam a Autenticação Universal do Diretório Ativo, um método interativo que também suporta Azure AD Autenticação Multi-Factor (MFA). Azure AD MFA ajuda a salvaguardar o acesso a dados e aplicações, ao mesmo tempo que fornece um sinal simples no processo. Oferece autenticação forte com várias opções de verificação (chamada telefónica, mensagem de texto, cartões inteligentes com pin ou notificação de aplicações móveis). MFA interativo com Azure AD pode resultar numa caixa de diálogo pop-up para validação. Recomenda-se a autenticação universal.

Se iniciar sessão no Azure utilizando uma conta Windows e a Autenticação Universal não for selecionada ou disponível (Excel), é necessário Serviços de Federação do Ative Directory (AD FS) (AD FS). Com a Federação, os utilizadores Azure AD e Microsoft 365 são autenticados utilizando credenciais no local e podem aceder aos recursos do Azure.

SQL Server Management Studio (SSMS)

Azure Analysis Services servidores suportam ligações a partir de SSMS V17.1 e superior através da autenticação do Windows, autenticação de passwords do Diretório Ativo e Autenticação Universal do Diretório Ativo. Em geral, recomenda-se que utilize a Autenticação Universal do Diretório Ativo porque:

  • Suporta métodos de autenticação interativa e não interativo.

  • Suporta utilizadores convidados Azure B2B convidados para o inquilino Azure AS. Ao ligar-se a um servidor, os utilizadores convidados devem selecionar a Autenticação Universal do Diretório Ativo ao ligarem-se ao servidor.

  • Suporta a autenticação multi-factor (MFA). Azure AD MFA ajuda a salvaguardar o acesso a dados e aplicações com um leque de opções de verificação: chamada telefónica, mensagem de texto, cartões inteligentes com pin ou notificação de aplicações móveis. MFA interativo com Azure AD pode resultar numa caixa de diálogo pop-up para validação.

Visual Studio

O Visual Studio conecta-se a Azure Analysis Services utilizando a Autenticação Universal do Diretório Ativo com suporte MFA. Os utilizadores são solicitados a iniciar súm na Azure na primeira implementação. Os utilizadores devem iniciar súm na Azure com uma conta com permissões de administrador de servidor no servidor para onde estão a implementar. Ao iniciar sessão no Azure pela primeira vez, é atribuído um sinal. O token está em cache na memória para futuras reconectações.

Power BI Desktop

Power BI Desktop liga-se a Azure Analysis Services utilizando a Autenticação Universal do Diretório Ativo com suporte MFA. Os utilizadores são solicitados a iniciar sôs-se no Azure na primeira ligação. Os utilizadores devem iniciar súpido no Azure com uma conta incluída num administrador de servidor ou numa função de base de dados.

Excel

Os utilizadores do Excel podem ligar-se a um servidor utilizando uma conta Windows, um ID de organização (endereço de e-mail) ou um endereço de e-mail externo. As identidades de e-mail externas devem existir no Azure AD como utilizador convidado.

Permissões de utilizador

Os administradores do servidor são específicos de uma Azure Analysis Services de servidores. Conectam-se com ferramentas como portal do Azure, SSMS e Visual Studio para executar tarefas como configurar definições e gerir funções de utilizador. Por predefinição, o utilizador que cria o servidor é automaticamente adicionado como administrador de servidores de Serviços de Análise. Outros administradores podem ser adicionados utilizando portal do Azure ou SSMS. Os administradores do servidor devem ter uma conta no Azure AD inquilino na mesma subscrição. Para saber mais, consulte Gerir os administradores do servidor.

Os utilizadores de bases de dados conectam-se a bases de dados de modelos utilizando aplicações de clientes como o Excel ou o Power BI. Os utilizadores devem ser adicionados às funções de base de dados. As funções de base de dados definem permissões de administrador, processo ou leitura para uma base de dados. É importante entender que os utilizadores de bases de dados numa função com permissões de administrador é diferente dos administradores de servidores. No entanto, por padrão, os administradores de servidores também são administradores de bases de dados. Para saber mais, consulte Gerir as funções de base de dados e os utilizadores.

Proprietários de recursos Azure. Os proprietários de recursos gerem recursos para uma subscrição da Azure. Os proprietários de recursos podem adicionar Azure AD identidades de utilizador a Funções De Proprietário ou Contribuinte dentro de uma subscrição, utilizando o controlo do Access em portal do Azure, ou com modelos de Resource Manager Azure.

Controlo de acesso em portal do Azure

As funções a este nível aplicam-se aos utilizadores ou contas que precisam de executar tarefas que possam ser concluídas no portal ou utilizando modelos de Resource Manager Azure. Para saber mais, consulte o controlo de acesso baseado em funções Azure (Azure RBAC).

Funções de base de dados

As funções definidas para um modelo tabular são as funções de base de dados. Ou seja, as funções contêm membros constituídos por Azure AD utilizadores e grupos de segurança que possuam permissões específicas que definem a ação que esses membros podem tomar numa base de dados de modelos. Uma função de base de dados é criada como um objeto separado na base de dados e aplica-se apenas à base de dados na qual essa função é criada.

Por padrão, quando cria um novo projeto de modelo tabular, o projeto modelo não tem quaisquer funções. As funções podem ser definidas utilizando a caixa de diálogo Role Manager no Estúdio Visual. Quando as funções são definidas durante o design do projeto de modelo, são aplicadas apenas na base de dados do espaço de trabalho do modelo. Quando o modelo é implantado, as mesmas funções são aplicadas ao modelo implantado. Depois de ter sido implementado um modelo, os administradores de servidores e de bases de dados podem gerir funções e membros utilizando SSMS. Para saber mais, consulte Gerir as funções de base de dados e os utilizadores.

Considerações e limitações

  • Azure Analysis Services não suporta a utilização de One-Time palavra-passe para utilizadores B2B

Passos seguintes

Gerir o acesso a recursos com grupos do Azure Active Directory
Gerir funções de base de dados e utilizadores
Gerir administradores de servidor
Controlo de acesso baseado em funções Azure (Azure RBAC)