Общие сведения о безопасности (интеллектуальный анализ данных)
Защита служб Microsoft SQL Server Analysis Services выполняется на нескольких уровнях. Необходимо защитить каждый экземпляр служб Analysis Services и его источники данных, чтобы убедиться, что только авторизованные пользователи имеют разрешения на чтение или на чтение и запись в выбранных измерениях, моделях интеллектуального анализа данных и источниках данных. Необходимо также обезопасить базовые источники данных, чтобы предотвратить несанкционированный доступ к конфиденциальным бизнес-данным. Процесс защиты экземпляра служб Analysis Services описывается в следующих разделах.
Архитектура защиты
В следующих источниках приводятся сведения об архитектуре безопасности экземпляра служб Analysis Services, включая то, как службы Analysis Services используют проверку подлинности Microsoft Windows для проверки подлинности доступа пользователей.
Роли безопасности (службы Analysis Services — многомерные данные)
Управление службами Analysis Services в среде SQL Server Management Studio
Предоставление пользовательских разрешений на многомерную базу данных служб Analysis Services
Защита источников данных, используемых службами Analysis Services
Настройка учетной записи входа для служб Analysis Services
Необходимо выбрать подходящую учетную запись входа для служб Analysis Services и указать для нее разрешения. Следует убедиться, что учетная запись входа служб Analysis Services обладает только теми разрешениями, которые необходимы для выполнения требуемых задач, включая соответствующие разрешения на доступ к базовым источникам данных.
Набор разрешений для создания и обработки моделей, необходимых при выполнении интеллектуального анализа данных, отличается от набора разрешений, необходимых при просмотре моделей или при выполнении запросов к ним. Выполнение прогнозов с помощью модели является одним из типов запроса и не требует разрешений администратора.
Защита экземпляра служб Analysis Services
Необходимо защитить компьютер служб Analysis Services, ОС Windows на этом компьютере, сами службы Analysis Services и источники данных, которые используются службами Analysis Services.
Настройка доступа к службам Analysis Services
После установки и указания авторизованных пользователей для экземпляра служб Analysis Services необходимо определить, какие пользователи будут иметь дополнительные разрешения на администрирование конкретных объектов базы данных, просмотр определения объектов либо моделей или прямой доступ к источникам данных.
Особые соображения при выполнении интеллектуального анализа данных
Чтобы аналитик или разработчик мог создавать и испытывать модели интеллектуального анализа данных, необходимо предоставить ему административные разрешения на базу данных, в которой хранятся эти модели интеллектуального анализа данных. Вследствие этого аналитик интеллектуального анализа данных или разработчик будут иметь возможность создавать либо удалять другие объекты, не связанные с интеллектуальным анализом данных, включая объекты интеллектуального анализа данных, созданные другими аналитиками либо разработчиками и используемые в настоящее время, или объекты OLAP, не включенные в решение интеллектуального анализа данных.
Соответственно, при создании решений для интеллектуального анализа данных необходимо учитывать как потребности аналитиков и разработчиков, которые должны разрабатывать, тестировать и настраивать модели, так и потребности других пользователей и принимать меры по защите существующих объектов баз данных. Одним из решений является создание отдельной базы данных, специально предназначенной для интеллектуального анализа данных, или создание отдельных баз данных для каждого аналитика.
Хотя для создания моделей требуется максимальный уровень разрешений, доступом пользователя к моделям интеллектуального анализа данных для осуществления других операций, таких как обработка, просмотр или выполнение запросов, можно управлять с помощью средств безопасности на основе ролей. При создании ролей следует назначать разрешения, применяемые к объектам интеллектуального анализа данных. Каждый пользователь, являющийся членом той или иной роли, автоматически получает все разрешения, связанные с данной ролью.
Кроме того, модели интеллектуального анализа данных часто ссылаются на источники данных, содержащие конфиденциальные сведения. Если структура интеллектуального анализа данных и модель интеллектуального анализа данных настроены для предоставления пользователям возможности выполнять детализацию от модели к данным структуры, необходимо принимать меры предосторожности для скрытия конфиденциальных сведений или ограничивать число пользователей, имеющих доступ к базовым данным.
При использовании пакетов служб Integration Services для очистки данных, обновления моделей интеллектуального анализа данных или для прогнозирования необходимо позаботиться о том, чтобы служба Integration Services имела соответствующие разрешения на работу с базой данных, в которой хранится модель, и соответствующие разрешения на работу с данными источника.