Поделиться через

Разрешения и права доступа (службы SSAS)

  • Статья

Изменения: 12 декабря 2006 г.

В службах Microsoft роли позволяют администраторам определять уровни безопасности в объектах в базе данных служб Analysis Services для различных пользователей и групп Windows. Каждый объект может иметь одно разрешение, связанное с ролью, и каждое разрешение может иметь одно или несколько связанных с ним прав доступа. Кроме того, пользователей или группы Windows можно связать с несколькими ролями служб Analysis Services, что дает возможность объединить разрешения и права доступа для сложных моделей безопасности в приложениях бизнес-аналитики.

Права доступа

В следующей таблице описан набор прав доступа для разрешений, связанных с объектами в базах данных служб Analysis Services.

Право доступа Описание

Access

Обеспечивает доступ к метаданным объекта. Поддерживаются следующие типы доступа.

  • Тип None запрещает доступ к объекту.
  • Тип Read позволяет членам роли считывать данные из объекта.
  • Тип ReadContingent позволяет членам роли считывать значения ячеек только в том случае, если пользователь имеет доступ ко всем ячейкам, от которых зависит значение в выбранной ячейке. Тип ReadContingent предоставляет тип доступа Read ко всем ячейкам, указанным этим разрешением, значения в которых не зависят от других ячеек.
    Например, если значение в ячейке Profit рассчитывается по значению ячейки Sales минус значение в ячейке Costs, то пользователь может считывать значение из ячейки Profit, если установлен тип доступа Read (или тип Write) для обеих ячеек Sales и Costs.
  • Тип ReadWrite позволяет членам роли считывать и записывать данные в объект.

Administer

Указывает возможность администрирования объекта членами роли.

Разрешение Administer предоставляет членам роли полный доступ ко всем объектам, которые содержатся в объекте.

AllowBrowsing

Позволяет членам роли просматривать данные в модели интеллектуального анализа данных.

AllowDrillthrough

Предоставляет членам роли разрешение на детализацию из модели интеллектуального анализа данных в базовые данные.

AllowedSet

Разрешение AllowedSet определяет элементы атрибута, которые может просматривать член роли. Например, если допустимый набор в [Customer].[CountryRegion] равен {Canada}, то члены роли имеют доступ ко всем провинциям и городам Канады.

Для иерархии типа «родители-потомки» допустимые члены определяются набором плюс предками в иерархии «родители-потомки», которые имеются для этих членов. Если член иерархии «родители-потомки» находится не в допустимом наборе, то его потомки, отличные от элементов данных, недоступны роли. Элементы данных по-прежнему доступны, так как они принадлежат ключевому атрибуту измерения.

По умолчанию, если не определен набор, то разрешение AllowedSet определяется набором всех элементов атрибута.

AllowPredict

Разрешение на прогноз для модели интеллектуального анализа данных предоставляет членам роли разрешение на прогнозы, основанные на модели интеллектуального анализа данных.

ApplyDenied

Определяет запрет на просмотр элементов этого атрибута, имеющих другие элементы с явным запретом.

DefaultMember

Разрешение DefaultMember определяет элемент измерения по умолчанию. Элемент по умолчанию оказывает влияние на наборы данных, возвращаемых запросами в кубы, включающие измерение. Если измерение не отображается на оси, то набор данных по умолчанию отфильтровывается (срезается) с использованием элемента по умолчанию.

DeniedSet

Разрешение DeniedSet определяет элементы атрибута, которые не может просматривать член роли.

IsAllowed

Определяет запрет на доступ к любому элементу независимо от настройки уровня на основе атрибута.

Если свойству IsAllowed задано значение False для атрибута гранулярности в измерении, то настройка разрешения VisualTotals в атрибуте измерения приводит к получению значений NULL для всех его элементов. Для унарных операторов, если для разрешения VisualTotals установлено значение False, каждый элемент является сверткой для всех своих потомков. Если для разрешения VisualTotals установлено значение True, то каждый элемент является сверткой разрешенных потомков.

По умолчанию установлено значение True.

Process

Разрешение Process для объекта дает членам роли разрешение на обработку объекта. Также предоставляется разрешение на обработку всех дочерних объектов, если это разрешение явно не запрещено в дочернем объекте. Разрешение Process не предоставляет членам роли доступ к данным или метаданным объекта.

ReadDefinition

Указывает, могут ли члены роли считывать метаданные, определяющие объект разрешения. Этот параметр свойства наследуется объектами, содержащимися в объекте.

VisualTotals

Разрешение VisualTotals для данных измерений определяет, как выполняется статистическое вычисление данных для атрибутов. Это многомерное выражение, возвращающее значение True или False. Если для права VisualTotals установлено значение False, то выполняется статистическое вычисление данных во всех элементах атрибутов измерения, независимо от их видимости для членов роли. Если для права VisualTotals установлено значение True, то статистическое вычисление данных выполняется только для тех элементов атрибута гранулярности измерения, к которому роль имеет доступ на чтение. Например, если Customer Name является атрибутом гранулярности и для права VisualTotals установлено значение True для атрибута City, то каждый город представляет собой сумму данных для потребителей, к которым роль имеет доступ на чтение.

Значение по умолчанию равно False.

Разрешения

В следующей таблице описаны разрешения, доступные в базе данных служб Analysis Services, а также права доступа, которые управляются каждым разрешением.

Разрешение Разрешения доступа

База данных

Доступ к базе данных определяет доступ к объектам и данным в базе данных служб Analysis Services.

Доступны следующие права доступа:

  • Administer
  • Process
  • Read Definition

Источник данных

Этот Доступ определяет доступ к источникам данных в базе данных служб Analysis Services.

Доступны следующие права доступа:

  • Access
    (None или Read)
  • Read Definition

Куб

Создается на уровне куба, когда роль базы данных назначается кубу. Роль куба применяется только к этому кубу. По умолчанию, роль куба зависит от роли базы данных с тем же именем, но некоторые из этих умолчаний можно переопределить в роли куба. Роль куба содержит дополнительные параметры, например безопасность ячеек, не включенные в роль базы данных. Можно гибко предоставлять доступ на чтение, а также на чтение и запись в частях куба. Можно определить, какие элементы измерения и ячейки куба может просматривать и обновлять роль.

Доступны следующие права доступа:

  • Access
    (None, Read или Read/Write)
  • LocalCube/DrillthroughAccess
    (None, Drillthrough/Drillthrough and Local Cube)
  • Process

Ячейка

Доступ к данным в ячейках определяет доступ к ячейкам в кубе. Имеется три типа доступа к ячейкам в кубе:

  • Read
  • Read Contingent
  • Read/Write

Безопасность ячеек в кубе определяется для каждого типа доступа к ячейкам с помощью многомерных выражений, возвращающих значение True или False для всех ячеек куба. Любое ненулевое значение в числовом выражении оценивается как True, ноль — как False. Доступ разрешен, если выражение возвращает значение True, и запрещен — если False.

Доступны следующие права доступа:

  • Access
    (None, Read, Read Contingent или Read/Write)

Измерение

Свойства доступа к измерению определяют доступ к измерениям в базе данных независимо от их участия в кубе. Доступ к измерению позволяет членам роли просматривать измерения в клиентских приложениях. Можно также определить разрешения измерений куба, которые переопределяют разрешения роли на доступ к базе данных, если доступ к измерению осуществляется в определенном кубе.

Доступны следующие права доступа:

  • Access
    (Read или Read/Write)
  • Process
  • Read Definition

Атрибут

Доступ к данным измерения определяет доступ к атрибутам измерения для членов роли. Разрешение или запрет на доступ к атрибуту определяет доступ на уровнях иерархий измерения на основе этого атрибута. Если роли запрещен доступ к атрибуту, то запрещен и доступ ко всем уровням, выведенным из атрибута.

Если запрет доступа к атрибуту создает пропуск в иерархии, то вся иерархия считается недействительной и недоступной для членов роли. Например, в иерархии Страна-Область-Город-Имя уровни Область и Имя не являются непрерывными. Запрет доступа к атрибуту City, следовательно, создает пробел и приводит к недействительности иерархии. Запрет доступа к атрибуту CountryRegion не создает пробела, и иерархия State-City-Name считается действительной с непрерывными уровнями. Точно так же запрет доступа к атрибуту Name не приводит к недействительности иерархии CountryRegion-State-City.

Если членам роли предоставлен доступ к атрибуту, то можно разрешить или запретить доступ к выбранным элементам атрибута.

Доступны следующие права доступа:

  • Allowed Set
  • Default Member1
  • Denied Set
  • VisualTotals

Структура интеллектуального анализа данных

Разрешения управляют доступом к структуре и модели интеллектуального анализа и их данным.

Доступны следующие права доступа:

  • Access
    (None или Read)
  • Process
  • Read Definition

Модель интеллектуального анализа данных

Разрешения управляют доступом к структуре и модели интеллектуального анализа и их данным.

Доступны следующие права доступа:

  • Access
    (None, Read или Read/Write)
  • Browse
  • Drill Through
  • Read Definition

1 Право доступа DefaultMember определяет элемент измерения по умолчанию. Дополнительные сведения см. в разделе Определение элемента по умолчанию.

Разрешения и наследование

Если объект содержит другие объекты (например, кубы или измерения в базе данных), то разрешения Administer, Process и ReadDefinition родительского объекта наследуются в дочерних объектах.

Разрешение Наследование

Administer

Члены серверной роли служб Analysis Services имеют разрешение на администрирование сервера. Следовательно, они также имеют полный доступ ко всем объектам на сервере. Члены роли базы данных служб Analysis Services с разрешением на администрирование базы данных имеют полный доступ ко всем объектам в базе данных.

Process

По умолчанию, свойство права Process применяется к любому дочернему объекту. Данное свойство можно также задать в дочернем объекте, чтобы заменить разрешение, унаследованное от родительского объекта.

  • Если пользователь имеет разрешение на обработку куба, но не имеет разрешение на обработку измерения в кубе, то этот пользователь может успешно обрабатывать куб только в том случае, если измерение уже обработано.
  • При обработке пользователем базы данных обрабатываются только те кубы и измерения в базе данных, которые пользователю разрешено обрабатывать.

Read Definition

По умолчанию, свойство Read Definition объекта наследуется всеми дочерними объектами. Данное свойство можно также задать в дочернем объекте, чтобы заменить разрешение, унаследованное от родительского объекта.

Несколько ролей и разрешений

Пользователь может быть членом нескольких ролей в базе данных служб Analysis Services. Разрешения, предоставляемые несколькими ролями, суммируются. Если роль предоставляет доступ к объекту, то элемент этой роли имеет доступ к объекту, даже если для него доступ к этому объекту в другой роли запрещен.

См. также

Основные понятия

Защита служб Analysis Services

Справка и поддержка

Получение помощи по SQL Server 2005

Журнал изменений

Версия Журнал

12 декабря 2006 г.
Измененное содержимое
  • Разъяснена архитектура безопасности, принятая по умолчанию.