Предоставление учетной записи службы прав доступа к сетевым ресурсам
Когда службам Microsoft SQL Server Службы Analysis Services необходим доступ к сетевым ресурсам, они могут получить доступ к этим ресурсам одним из следующих способов:
В контексте безопасности собственной учетной записи входа. Если службы Службы Analysis Services получают доступ к этим сетевым ресурсам в контексте безопасности собственной учетной записи входа, то необходимо предоставить этой учетной записи входа соответствующие права на удаленный ресурс.
В контексте безопасности имени и пароля, указанных в строке соединения, используемой для подключения к сетевому ресурсу. Например, если источник данных представляет собой базу данных Microsoft SQL Server и SQL Server запущен в смешанном режиме, то службы Службы Analysis Services могут включить соответствующую учетную запись входа и пароль SQL Server в строку соединения, вместо того чтобы использовать учетную запись входа служб Службы Analysis Services. Аналогично: если источник данных представляет собой базу данных Oracle, то службы Службы Analysis Services могут получить доступ к этой базе данных, используя имя пользователя и пароль, имеющие соответствующие разрешения в этой базе данных Oracle.
При получении доступа к сетевому ресурсу с использованием служб Службы Analysis Services основными ресурсами, к которым необходимо получить доступ, являются источники данных для объектов служб Службы Analysis Services и другие экземпляры служб Службы Analysis Services.
Доступ к источникам данных
При доступе к источникам данных необходимо проанализировать разрешения, необходимые для доступа к этим источникам данных, и определить, какая учетная запись обладает этими необходимыми разрешениями. После определения учетной записи, необходимой для доступа к источнику данных, нужно решить, является ли учетная запись входа служб Службы Analysis Services достаточной или нужно соединяться с использованием строки соединения. При необходимости использования строки соединения службы Службы Analysis Services должны будут обеспечить безопасность данных, содержащихся в этой строке.
Установка разрешений для соединения с источниками данных
Учетная запись, используемая службами Службы Analysis Services для подключения к источнику данных, должна, по крайней мере, обладать разрешениями на чтение данных источника, чтобы службы Службы Analysis Services могли обработать секцию MOLAP или HOLAP. Если в качестве режима хранения используется ROLAP, то учетная запись также должна иметь доступ на запись в данные источника, чтобы обрабатывать секции ROLAP (то есть сохранять агрегаты).
Шифрование строк соединения
Службы Службы Analysis Services шифруют и сохраняют строки соединения, используемые для подключения к каждому из своих источников данных. Если для соединения с источником данных необходимы имя пользователя и пароль, то службы Службы Analysis Services могут сохранять эти имя и пароль в строке соединения или запрашивать имя и пароль каждый раз, когда будет необходимо соединение с источником данных. Если службы Службы Analysis Services запрашивают данные о пользователе, то эти данные не нужно хранить и шифровать. Однако при сохранении этих данных в строке соединения эти данные необходимо шифровать и обеспечивать их безопасность.
Чтобы зашифровать и обеспечить безопасность данных из строки соединения, службы Службы Analysis Services используют API защиты данных. Службы Службы Analysis Services используют отдельный ключ шифрования для шифрования данных из строки соединения для каждой базы данных служб Службы Analysis Services. Службы Службы Analysis Services создают этот ключ при создании базы данных и шифруют данные из строки соединения на основании учетной записи входа служб Службы Analysis Services. При запуске служб Службы Analysis Services зашифрованный ключ для каждой базы данных считывается, расшифровывается и сохраняется. После этого службы Службы Analysis Services используют соответствующий расшифрованный ключ для расшифровки данных из строки соединения с источником данных, когда службам Службы Analysis Services необходимо подключиться к источнику данных.
Доступ к удаленным экземплярам служб Analysis Services
Службы Службы Analysis Services могут получать доступ к удаленным экземплярам только в контексте безопасности собственной учетной записи входа. Для доступа к связанным объектам на удаленном экземпляре служб Службы Analysis Services эта учетная запись входа должна иметь разрешение на чтение соответствующих объектов на удаленном экземпляре, например доступ на чтение определенных измерений.
См. также