連線遠端analysis service 伺服器的驗證方法
Microsoft SQL Server 2005 Analysis Services (SSAS) 依賴 Microsoft Windows 來對使用者進行身份驗證。預設情況下,只有經過身份驗證的使用者(在 Analysis Services 內具有許可權)才能建立與 Analysis Services 的連線。當用戶連線到 Analysis Services 之後,則使用者在Analysis Services 內具有的許可權由直接分配或通過 Windows 角色中成員身份分配給該使用者所屬 Analysis Services
角色的許可權來確定。
Analysis Services 包含單個固定伺服器角色,該角色授予其成員在整個例項內執行任意任務的許可權。
非固定伺服器角色成員的使用者可以成為一個或多個數據庫角色的成員。每個資料庫角色都具有一組自定義的許可權,以允許使用者在特定資料庫內訪問資料以及執行任務。
資料庫角色可以被授予管理員許可權、處理物件許可權、檢視物件元資料許可權以及在每個 Analysis Services 資料庫內檢視或修改多個級別的資料的許可權。
具有管理員許可權的資料庫角色的成員可以檢視或更新資料庫內的所有資料。其他資料庫角色的成員僅可以檢視或更新那些針對其專門授予角色相應許可權的資料物件。
Analysis Services 資料庫內的許可權最初在資料庫級別進行授予。如果資料庫角色具有資料庫級別的許可權,則必須針對資料庫內的每個物件授予該角色特定的許可權。可針對其授予角色許可權的物件包括資料庫維度和多維資料集維度、各個維度成員、多維資料集、多維資料集內的各個單元、挖掘結構、挖掘模型、資料來源以及儲存過程。
除了這些安全體系結構元件以外,Analysis Services 還會對所有客戶端/伺服器通訊進行加密,從而降低未經授權的使用者訪問未經授權的資訊的風險。最後,預設禁用那些如果配置不正確或在不適當的環境中使用就可能危及安全性的 Analysis Services 功能。例如,您可以讓使用者在不經過身份驗證的情況下連線到 Analysis Services,也可以接受以明文形式提交的身份驗證。但是,如果未能正確執行,這樣做可能危及安全性,所以啟動這些型別的功能需要您修改預設的設定。
Windows 身份驗證
對 Analysis Services 的許可權基於 Microsoft Windows 身份驗證。這種身份驗證模式要求所有使用者在訪問 Analysis Services 中儲存的資料以及管理 Analysis Services 物件之前都經過 Windows 作業系統的身份驗證。作業系統執行身份驗證可使 Analysis Services 利用 Windows 的各種安全功能,包括安全驗證和密碼加密、稽核、密碼過期、密碼最小長度以及在多次無效的登入請求之後鎖定帳戶。
注意:
如果將 Analysis Services 例項配置為允許匿名訪問,則 Windows 不會對使用者進行身份驗證。
Windows 身份驗證和 Analysis Services 按如下方式配合使用:
當用戶登入到 Windows 網路時,Windows 域控制器便會驗證使用者的使用者名稱和密碼,從而建立使用者的網路身份驗證憑據。
之後,當用戶嘗試連線到 Analysis Services 時,Analysis Services 將通過 Windows 域控制器驗證使用者的網路身份驗證憑據。
授權
對使用者進行了身份驗證之後,Analysis Services 接下來確定該使用者是否具有檢視資料、更新資料、檢視元資料或執行管理任務的許可權。如果使用者或使用者所屬的組在 Analysis Services 例項內具有某些型別的許可權,則 Analysis Services 允許使用者進行連線。預設情況下,如果使用者在 Analysis Services 例項內不具有某些型別的許可權,則 Analysis Services 不允許使用者進行連線。
但是,當用戶成功連線到 Analysis Services 之後,授權不會停止。當用戶在 Analysis Services 內執行操作(例如,當用戶執行伺服器儲存過程、資料探勘擴充套件外掛 (DMX) 語句、多維表示式 (MDX) 查詢或分析管理物件 (AMO) 命令)時,授權仍會繼續。每次當 Analysis Services 必須執行操作或訪問物件時,它都會驗證使用者訪問物件或執行命令的許可權。如果使用者沒有相應的許可權,則 Analysis Services 返回許可權錯誤。
伺服器角色和資料庫角色
Analysis Services 具有兩種型別的角色:伺服器角色和資料庫角色。下面是對這兩種角色之間差異的簡短說明:
只有一個伺服器角色,並且該角色的成員在 Analysis Services 例項內具有完全的管理員許可權。
注意:
本地計算機上的 Administrators 本地組的成員自動成為 Analysis Services 例項中的伺服器角色的成員。
可以有多個數據庫角色。伺服器角色成員在每個資料庫內建立這些資料庫角色,向這些資料庫角色授予管理或使用者許可權(例如,讀取或讀/寫多
維資料集、維度、單元、挖掘結構、挖掘模型以及資料來源物件的許可權),然後將 Windows 使用者和組新增到這些資料庫角色中。
重要事項:
角色許可權具有累加性。Windows 使用者或使用者組通過某個資料庫角色獲得的許可權可新增到同一個 Windows 使用者或使用者組通過其他資料庫角色獲得的許可權上。如果某個角色拒絕使用者或使用者組執行特定任務或檢視特定資料的許可權,但是另一個角色為該使用者或使用者組授予相應的執行或檢視許可權,則該使用者或使用者組具有執行任務或檢視資料的許可權。