管理 SQL Server Analysis Services 資料來源
注意
我們已將內部部署資料閘道文件分成 Power BI 特有的內容和適用於閘道所支援的所有服務的一般內容。 您目前正在瀏覽 Power BI 內容。 若要提供關於本文或整體閘道文件體驗的意見反應,請向下捲動至本文底部。
安裝內部部署資料閘道之後,您可以新增資料來源來搭配閘道使用。 本文說明如何將 SQL Server Analysis Services (SSAS) 資料來源新增至您的內部部署閘道,以用於排程重新整理或即時連線。
若要深入了解如何設定與 SSAS 的即時連線, 請觀看下列影片:Power BI 逐步解說:Analysis Services Live Connect (英文)。
注意
如果您有 Analysis Services 資料來源,則需要在與 Analysis Services 伺服器加入同一個樹系或網域的電腦上安裝閘道。
注意
閘道僅支援對 Analysis Services 進行 Windows 驗證。
新增資料來源
若要連線到多維度或表格式 Analysis Services 資料來源:
在內部部署資料閘道的 [新增連線] 畫面上,針對 [連線類型] 選取 [Analysis Services]。 如需如何新增資料來源的詳細資訊,請參閱新增資料來源。
填入資料來源的資訊,包括 [伺服器] 和 [資料庫]。 閘道會使用您針對 [使用者名稱] 和 [密碼] 輸入的資訊連線到 Analysis Services 執行個體。
注意
您輸入的 Windows 帳戶必須是您所連線 Analysis Services 執行個體上伺服器管理員角色成員。 如果此帳戶的密碼即將到期,除非更新資料來源密碼,否則使用者會收到連線錯誤。 如需認證儲存方式的詳細資訊,請參閱在雲端中儲存加密認證。
設定您資料來源的 [隱私權等級]。 此設定會控制如何結合資料以進行排程重新整理。 隱私權層級設定不適用於即時連線。 若要深入了解您資料來源的隱私權等級,請參閱設定隱私權等級 (Power Query)。
![[隱私權等級] 設定的螢幕擷取畫面。](media/service-gateway-enterprise-manage-ssas/privacy-level-setting.png)
(選擇性) 您現在可以設定使用者名稱對應。 如需相關指示,請參閱手動使用者名稱重新對應。
在完成所有欄位之後,請選取 [建立]。
您現在可以使用此資料來源,對內部部署 Analysis Services 執行個體進行排程重新整理或即時連線。
Analysis Services 的使用者名稱
每次使用者與連線到 Analysis Services 的報表互動時,都會將有效使用者名稱先傳遞至閘道,再傳遞至內部部署 Analysis Services 伺服器。 您用來登入 Power BI 的電子郵件地址會傳遞至 Analysis Services 作為 EffectiveUserName 連線屬性中的有效使用者。
電子郵件地址必須與本機 Active Directory (AD) 網域內定義的使用者主體名稱 (UPN) 相符。 UPN 是 AD 帳戶的屬性。 Windows 帳戶必須出現在 Analysis Services 角色中。 如果在 AD 中找不到相符項目,則登入會失敗。 若要深入了解 AD 和使用者命名,請參閱使用者命名屬性。
對應 Analysis Services 資料來源的使用者名稱
Power BI 可讓您對應 Analysis Services 資料來源的使用者名稱。 您可以設定規則,將 Power BI 登入使用者名稱對應至傳遞給 Analysis Services 連線的 EffectiveUserName。 當您的 Microsoft Entra 使用者名稱不符合本機 Active Directory 執行個體中的 UPN 時,此功能是很好的因應措施。 例如,若您的電子郵件地址為 meganb@contoso.onmicrosoft.com,您可以將其對應至 meganb@contoso.com,然後該值就會傳遞至閘道。
您可以使用兩種不同的方式對應 Analysis Services 的使用者名稱:
- Power BI 中的手動使用者重新對應
- Active Directory 查閱對應,其使用內部部署 AD 屬性查閱,將 Microsoft Entra UPN 重新對應至內部部署 AD 使用者。
您可以使用內部部署 AD 屬性查閱進行手動對應,但相當耗時且難以維護,尤其是在模式比對不夠時。 例如,網域名稱或使用者帳戶名稱在 Microsoft Entra ID 與內部部署 AD 之間可能會不同。 因此,不建議使用第二種方法進行手動對應。
下列各節會描述這兩種對應方法。
Power BI 中的手動使用者重新對應
您可以在 Power BI 中針對 Analysis Services 資料來源設定自訂 UPN 規則。 如果您的 Power BI 服務登入名稱不符合本機目錄 UPN,則自訂規則可能會有所幫助。 例如,若您使用 meganb@contoso.com 登入 Power BI,但本機目錄 UPN 為 meganb@contoso.local,則您可以設定對應規則,將 meganb@contoso.local 傳遞至 Analysis Services。
重要
對應適用於正在設定的特定資料來源。 它並不是全域設定。 若您有多個 Analysis Services 資料來源,您必須對應每個資料來源的使用者。
若要進行手動 UPN 對應,請遵循下列步驟:
在 Power BI 齒輪圖示下,選取 [管理閘道和連線]。
選取資料來源,然後從頂端功能表中選取 [設定]。
在 [設定] 畫面的 [對應使用者名稱] 方塊中,確定已選取 [EffectiveUserName],然後選取 [新增規則]。
在 [對應使用者名稱] 下,針對要對應的每個使用者名稱,輸入 [原始名稱] 和 [新名稱] 的值,然後選取 [新增規則]。 [取代] 值是 Power BI 的登入位址,而 [使用] 值是用於取代的值。 取代值會傳遞至 Analysis Services 連線的
EffectiveUserName屬性。![[對應使用者名稱] 方塊中 [新增規則] 的螢幕擷取畫面。](media/service-gateway-enterprise-manage-ssas/add-new-rules.png)
例如:
注意
請務必不要變更您不想要變更的使用者。 例如,若將
contoso.com的 [原始名稱] 取代為@contoso.local的 [新名稱],則所有包含@contoso.com的使用者登入都會取代為@contoso.local。 此外,若將meganb@contoso.com的 [原始名稱] 取代為meganb@contoso.local的 [新名稱],則v-meganb@contoso.com的登入會以v-meganb@contoso.local傳送。您可以選取清單中的項目,然後透過拖放來重新排序,或透過選取垃圾箱圖示來刪除項目。
使用萬用字元
您可以針對 [取代] (原始名稱) 字串使用 * 萬用字元。 您只能單獨使用萬用字元,不能搭配任何其他字串部分使用。 如果您想要以單一值取代所有使用者來傳遞至資料來源,請使用萬用字元。 當您希望組織中的所有使用者在本機環境中使用同一使用者時,這個方法非常有用。
測試對應規則
若要驗證名稱取代,請輸入 [原始名稱] 的值,然後選取 [測試規則]。
注意
儲存的規則會在瀏覽器中立即運作。 Power BI 服務需要幾分鐘的時間才會開始使用儲存的規則。
Active Directory 查閱對應
本節說明如何執行內部部署 Active Directory 屬性查閱,將 Microsoft Entra UPN 重新對應至 AD 使用者。 首先,檢閱此重新對應的運作方式。
Power BI Microsoft Entra 使用者對內部部署 SSAS 伺服器的每個查詢,都會一起傳遞 UPN 字串 (例如 firstName.lastName@contoso.com)。
若要在具有可設定自訂使用者對應的內部部署資料閘道中查閱對應,請遵循下列步驟:
- 尋找要搜尋的 Active Directory。 您可以使用 [自動] 或 [可設定]。
- 從 Power BI 服務查閱 Active Directory 使用者的屬性 (例如 [電子郵件])。 屬性的依據為連入的 UPN 字串,例如
firstName.lastName@contoso.com。 - 如果 Active Directory 查閱失敗,則會嘗試將 UPN 一起傳遞至 SSAS 作為
EffectiveUserName。 - 如果 Active Directory 查閱成功,則會擷取該 Active Directory 使用者的
UserPrincipalName。 - 對應會將
UserPrincipalName電子郵件 (例如Alias@corp.on-prem.contoso) 傳遞至 SSAS 作為EffectiveUserName。
注意
將 UPN 字串傳送至內部部署資料閘道之前,會套用 Power BI 資料來源閘道設定中所定義的任何手動 UPN 使用者對應。
若要讓 Active Directory 查閱在執行階段正常運作,您必須將內部部署資料閘道服務變更為使用網域帳戶 (而非本機服務帳戶) 來執行。
確定下載並安裝最新的閘道。
在您電腦上的內部部署資料閘道應用程式中,前往 [服務設定]>[變更服務帳戶]。 除非您想要建立新的閘道,否則請確定您有此閘道的修復金鑰,因為您必須在相同的電腦上才能進行還原。 您必須重新啟動閘道服務,變更才會生效。
以系統管理員身分前往閘道的安裝資料夾 C:\Program Files\On-premises data gateway,確認您具有寫入權限。 開啟 Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config 檔案。
根據您 AD 使用者的 AD 屬性設定,編輯
ADUserNameLookupProperty和ADUserNameReplacementProperty值。 下圖中的值是範例。 這些設定會區分大小寫,因此請確定其符合 AD 中的值。
如果檔案沒有為
ADServerPath設定提供任何值,則閘道會使用預設通用類別目錄。 您可以為ADServerPath指定多個值。 這些值必須以分號分隔,如下列範例所示:<setting name="ADServerPath" serializeAs="String"> <value> GC://serverpath1; GC://serverpath2;GC://serverpath3</value> </setting>閘道會從左到右剖析
ADServerPath的值,直到找到相符項目為止。 如果閘道找不到相符項目,則會使用原始 UPN。 請確定執行閘道服務 PBIEgwService 的帳戶對您在ADServerPath中指定的所有 AD 伺服器具有查詢權限。閘道支援兩種
ADServerPath類型:- 針對 WinNT:
<value="WinNT://usa.domain.corp.contoso.com,computer"/> - 針對通用類別目錄 (GC):
<value> GC://USA.domain.com </value>
- 針對 WinNT:
重新啟動內部部署資料閘道服務,以讓設定變更生效。
即時 Analysis Services 資料來源的驗證
每次使用者與 Analysis Services 互動時,都會將有效使用者名稱先傳遞至閘道,再傳遞至內部部署 Analysis Services 伺服器。 UPN 通常是您用來登入雲端的電子郵件地址,會傳遞至 Analysis Services 作為 EffectiveUserName 連線屬性中的有效使用者。
當資料集處於匯入模式時,閘道會傳送資料集擁有者 UPN 的 EffectiveUserName。 這表示資料集擁有者的 UPN 會傳遞至 Analysis Services 作為 EffectiveUserName 連線屬性中的有效使用者。
此電子郵件地址應符合本機 Active Directory 網域內定義的 UPN。 UPN 是 AD 帳戶的屬性。 Analysis Services 角色中必須有 Windows 帳戶,才能存取伺服器。 如果沒有在 Active Directory 中找到符合的項目,則登入不會成功。
角色型和資料列層級安全性
Analysis Services 也可讓您根據 Active Directory 帳戶進行篩選。 此篩選可以使用角色型安全性或資料列層級安全性。 使用者查詢和檢視模型資料的能力取決於其 Windows 使用者帳戶所屬的角色,以及動態資料列層級安全性 (如已設定)。
角色型安全性。 模型會依據使用者角色來提供安全性。 您可以在使用 SQL Server Data Tools 商業智慧工具撰寫期間,定義特定模型專案的角色。 部署模型之後,您可以使用 SQL Server Management Studio 來定義角色。 角色所包含的成員是依 Windows 使用者名稱或 Windows 群組指派。
角色定義使用者在模型上查詢或採取動作的權限。 大部分使用者屬於擁有讀取權限的角色。 其他角色會授與系統管理員處理項目、管理資料庫函式及管理其他角色的權限。
資料列層級安全性。 模型可以提供動態資料列層級安全性。 任何已定義的資料列層級安全性皆為 Analysis Services 所特有。 針對角色型安全性,每個使用者都必須至少有一個角色,但表格式模型不需要動態資料列層級安全性。
在較高的層級,動態安全性會定義使用者讀取特定資料表特定資料列中資料的權限。 動態資料列層級安全性與角色類似,也仰賴使用者的 Windows 使用者名稱。
在模型中實作角色和動態資料列層級安全性已超出本文的範圍。 如需詳細資訊,請參閱表格式模型中的角色和安全性角色 (Analysis Services - 多維度資料)。 為了徹底了解表格式模型安全性,請下載保護表格式 BI 語意模型 (英文) 技術白皮書。
Microsoft Entra 驗證
Microsoft 雲端服務會使用 Microsoft Entra ID 來驗證使用者。 Microsoft Entra ID 是包含使用者名稱和安全性群組的租用戶。 一般而言,使用者登入時使用的電子郵件地址與帳戶的 UPN 相同。
本機 Active Directory 執行個體中的角色
為了讓 Analysis Services 判斷屬於某個角色的使用者是否有權讀取資料,伺服器必須轉換從 Microsoft Entra ID 傳遞至閘道再傳遞至 Analysis Services 伺服器的有效使用者名稱。 Analysis Services 伺服器會將有效使用者名稱傳遞至 Windows Active Directory 網域控制站 (DC)。 然後 Active Directory DC 會驗證有效使用者名稱是否為本機帳戶的有效 UPN。 DC 會將使用者的 Windows 使用者名稱傳回給 Analysis Services 伺服器。
您無法在未加入網域的 Analysis Services 伺服器上使用 EffectiveUserName。 Analysis Services 伺服器必須已加入網域中,以避免登入錯誤。
識別您的 UPN
您可能不知道您的 UPN 為何,且您可能不是網域系統管理員。 您可以從工作站使用下列命令來查明您帳戶的 UPN:
whoami /upn
結果看起來會與電子郵件地址相似,但這是您網域帳戶上的 UPN。 如果您使用 Analysis Services 資料來源進行即時連線,且這個 UPN 不符合您用來登入 Power BI 的電子郵件地址,您必須對應使用者名稱。
將內部部署 AD 與 Microsoft Entra ID 同步
如果您打算使用 Analysis Services 即時連線,您的本機 AD 帳戶必須符合 Microsoft Entra ID。 帳戶之間的 UPN 必須相符。
雲端服務只會使用 Microsoft Entra ID 內的帳戶。 如果您在本機 AD 執行個體中新增 Microsoft Entra ID 中不存在的帳戶,則無法使用該帳戶。 您可以透過幾種方式來比對本機 AD 帳戶與 Microsoft Entra ID:
手動將帳戶新增至 Microsoft Entra ID。
在 Azure 入口網站或 Microsoft 365 系統管理中心建立帳戶,帳戶名稱必須符合本機 AD 帳戶的 UPN。
使用 Microsoft Entra Connect 同步,將本機帳戶同步至您的 Microsoft Entra 租用戶。
Microsoft Entra Connect 可確保 Microsoft Entra ID 與您本機 AD 執行個體之間的 UPN 相符。 Microsoft Entra Connect 工具提供目錄同步處理和設定驗證的選項。 選項包括密碼雜湊同步處理、傳遞驗證和同盟。 如果您不是系統管理員或本機網域系統管理員,請連絡 IT 管理員來協助進行這項設定。
注意
使用 Microsoft Entra Connect 同步來同步帳戶會在您的 Microsoft Entra 租用戶中建立新的帳戶。
使用資料來源
新增 SSAS 資料來源之後,即可搭配即時連線或透過排程重新整理使用此資料來源。
注意
Power BI Desktop 和內部部署資料閘道內資料來源的伺服器和資料庫名稱必須相符。
您的資料集和閘道內的資料來源是根據您的伺服器名稱和資料庫名稱以建立連結。 這些名稱必須相符。 例如,若您在 Power BI Desktop 中為伺服器名稱提供 IP 位址,則必須在閘道設定中針對資料來源使用 IP 位址。 如果您在 Power BI Desktop 中使用 SERVER\INSTANCE,則也必須在為閘道設定的資料來源內使用 SERVER\INSTANCE。 即時連線和排程重新整理都需要滿足此需求。
使用即時連線來使用資料來源
您可以使用即時連線針對表格式或多維度執行個體。 當您第一次連線到資料時,您會在 Power BI Desktop 中選取一個即時連線。 請確定在 Power BI Desktop 和針對閘道所設定的資料來源之間具有相符的伺服器和資料庫名稱。 此外,若要能夠發佈即時連線資料集,您的使用者必須出現在資料來源清單中的 [使用者] 底下。
當您從 Power BI Desktop 或在 Power BI 服務中取得資料來發佈報表之後,您的資料連線應該會開始運作。 在閘道中建立資料來源之後,可能需要幾分鐘的時間才能使用連線。
使用已排程的重新整理使用資料來源
如果您已列於閘道內所設定資料來源的 [使用者] 索引標籤中,且伺服器和資料庫名稱相符,您將會看到可與排程重新整理搭配使用的閘道選項。
Analysis Services 即時連線的限制
不支援資料格層級格式化與轉譯功能。
動作和命名集不會公開至 Power BI。 您仍可連線到包含動作或命名集的多維度 Cube,以建立視覺效果和報表。
SKU 需求
| 伺服器版本 | 必要的 SKU |
|---|---|
| 2014 | 商業智慧和企業版 SKU |
| 2016 | 標準 SKU 或更高版本 |
| 2017 | 標準 SKU 或更高版本 |
| 2019 | 標準 SKU 或更高版本 |
| 2022 | 標準 SKU 或更高版本 |
相關內容
更多問題嗎? 試試 Power BI 社群。