Erteilen von Cube- oder Modellberechtigungen (Analysis Services)

  • Artikel

Gilt für: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

Ein Cube oder tabellarisches Modell ist das primäre Abfrageobjekt in einem Analysis Services-Datenmodell. Wenn sich Benutzer mit mehrdimensionalen oder tabellarischen Daten von Excel aus verbinden, um Daten ad hoc zu untersuchen, beginnen sie in der Regel damit, einen bestimmten Cube oder ein tabellarisches Modell als Datenstruktur hinter dem Pivot-Berichtsobjekt auszuwählen. In diesem Thema wird erklärt, wie die erforderlichen Berechtigungen für den Zugriff auf Cube- oder tabellarische Daten vergeben werden.

Standardmäßig hat nur der Server- oder Datenbankadministrator die Berechtigung, Cubes in einer Datenbank abzufragen. Der Zugriff auf Cubes durch einen Benutzer, der kein Administrator ist, setzt dessen Mitgliedschaft in einer Rolle voraus, die für die Datenbank, die den Cube enthält, erstellt wurde. Die Mitgliedschaft wird für Windows-Benutzer- oder -Gruppenkonten unterstützt, die entweder in Active Directory oder auf dem lokalen Computer definiert wurden. Bevor Sie beginnen, geben Sie an, welche Konten Mitgliedschaft in den zu erstellenden Rollen erhalten werden.

Read -Zugriff auf einen Cube umfasst auch Berechtigungen für die Dimensionen, Measuregruppen und Perspektiven darin. Die meisten Administratoren gewähren Leseberechtigungen auf Cubeebene und schränken dann die Berechtigungen auf bestimmte Objekte, auf zugehörige Daten oder nach Benutzeridentität ein.

Um Rollendefinitionen bei aufeinanderfolgenden Lösungsbereitstellungen beizubehalten, empfiehlt es sich, Rollen in SQL Server Data Tools als integraler Bestandteil des Modells zu definieren und anschließend von einem Datenbankadministrator Rollenmitgliedschaften in SQL Server Management Studio zuzuweisen, nachdem die Datenbank veröffentlicht wurde. Sie können jedoch beide Tools für beide Aufgaben verwenden. Um die Übung zu vereinfachen, verwenden wir SQL Server Management Studio sowohl für die Rollendefinition als auch für die Mitgliedschaft.

Hinweis

Nur Serveradministratoren, oder Datenbankadministratoren mit Vollzugriff, können einen Cube von Quelldateien auf einem Server bereitstellen bzw. Rollen erstellen und Mitglieder zuweisen. Ausführliche Informationen zu diesen Berechtigungsstufen finden Sie unter Erteilen von Serveradministratorrechten für eine Analysis Services-instance und Gewähren von Datenbankberechtigungen (Analysis Services).

Schritt 1: Erstellen der Rolle

  1. Verbinden Sie sich in SSMS mit Analysis Services. Informationen zu diesem Schritt finden Sie unter Herstellen einer Verbindung mit Clientanwendungen (Analysis Services).

  2. Öffnen Sie den Ordner Datenbanken in Objekt-Explorer, und wählen Sie eine Datenbank aus.

  3. Klicken Sie mit der rechten Maustaste auf Rollen , und wählen Sie Neue Rolleaus. Beachten Sie, dass Rollen auf Datenbankebene erstellt werden und für die darin enthaltenen Objekte gelten. Sie können Rollen nicht datenbankübergreifend verwenden.

  4. Geben Sie im Bereich Allgemein einen Namen und optional eine Beschreibung ein. Dieser Bereich enthält auch mehrere Datenbankberechtigungen wie beispielsweise "Vollzugriff", "Datenbank verarbeiten" und "Definition lesen". Keine dieser Berechtigungen sind für das Abfragen eines Cubes oder tabellarischen Modells erforderlich. Weitere Informationen zu diesen Berechtigungen finden Sie unter Erteilen von Datenbankberechtigungen (Analysis Services).

  5. Nachdem Sie einen Namen und ggf. eine Beschreibung eingegeben haben, fahren Sie mit dem nächsten Schritt fort.

Schritt 2: Zuweisen der Mitgliedschaft

  1. Klicken Sie im Bereich Mitgliedschaft auf Hinzufügen , um die Windows-Benutzer- oder -Gruppenkonten einzugeben, die über diese Rolle auf den Cube zugreifen werden. Analysis Services unterstützt nur Windows-Sicherheitsidentitäten. Beachten Sie, dass in diesem Schritt keine Datenbankanmeldungen erstellt werden. In Analysis Services verbinden sich Benutzer über Windows-Konten.

  2. Fahren Sie mit dem nächsten Schritt fort, um Cubeberechtigungen festzulegen.

    Sie sehen, dass wir den Bereich "Datenquelle" übergehen. Die meisten Benutzer der Daten von Analysis Services benötigen keine Berechtigungen für das Datenquellenobjekt. Weitere Informationen dazu, wann Sie diese Berechtigung festlegen können, finden Sie unter Erteilen von Berechtigungen für ein Datenquellenobjekt (Analysis Services).

Schritt 3: Festlegen von Cubeberechtigungen

  1. Wählen Sie im Bereich Cubes einen Cube aus, und klicken Sie dann auf den Zugriff Lesen oder Lesen/Schreiben .

    Der ZugriffLesen reicht für die meisten Vorgänge aus. Lesen/Schreiben wird nur zum Rückschreiben, nicht für die Verarbeitung verwendet. Weitere Informationen zu dieser Funktion finden Sie unter Set Partition Writeback .

    Beachten Sie, dass Sie mehrere Cubes auswählen können sowie andere Objekte, die im Dialogfeld "Rolle erstellen" verfügbar sind. Wenn Sie Berechtigungen für einen Cube erteilen, gewährt dies auch Zugriff auf die Dimensionen und Perspektiven, die mit dem Cube verknüpft sind. Es besteht keine Notwendigkeit, Objekte, die bereits im Cube vorhanden sind, manuell hinzuzufügen.

    Wenn Sie je nach Objekt oder Benutzer andere Berechtigungen vergeben müssen, zum Beispiel, um bestimmte Measures nicht verfügbar zu machen, können Sie Zugriff unteilbar auf bestimmte Objekte (sogar auf Zellen) erlauben oder verweigern. Weitere Informationen finden Sie unter Gewähren des benutzerdefinierten Zugriffs auf Dimensionsdaten (Analysis Services) und Gewähren des benutzerdefinierten Zugriffs auf Zelldaten (Analysis Services).

  2. Wenn Sie nun auf OKklicken, haben alle Mitglieder dieser Rolle Zugriff auf die Cubes, und zwar auf den Berechtigungsebenen, die Sie angegeben haben.

    Im Bereich Cubes können Sie Benutzern über Drillthrough und lokaler Cubedie Berechtigung erteilen, lokale Cubes von einem Servercube zu erstellen, oder über die Berechtigung Drillthrough nur das Drillthrough erlauben.

    In diesem Bereich können Sie Datenbank verarbeiten -Rechte für den Cube gewähren, um allen Mitgliedern dieser Rolle die Möglichkeit zu geben, Daten für diesen Cube zu verarbeiten. Da die Verarbeitung in der Regel ein eingeschränkter Vorgang ist, empfehlen wir, diese Aufgabe den Administratoren zu überlassen oder speziell für diese Aufgabe separate Rollen zu definieren. Weitere Informationen zu bewährten Methoden zur Verarbeitung von Berechtigungen finden Sie unter Erteilen von Prozessberechtigungen (Analysis Services).

Schritt 4: Testen

  1. Verwenden Sie Excel, um die Cube-Zugriffsberechtigungen zu testen. Sie können auch SQL Server Management Studio verwenden, indem Sie dieselbe Technik verwenden, die als Nächstes beschrieben wird: Ausführen der Anwendung als Nicht-Administratorbenutzer.

    Hinweis

    Wenn Sie Analysis Services-Administrator sind, werden die Administratorberechtigungen mit Rollen kombiniert, die über geringere Berechtigungen verfügen, was das isolierte Testen von Rollenberechtigungen erschwert. Um das Testen zu vereinfachen, sollten Sie eine zweite Instanz von SSMS öffnen, indem Sie das Konto verwenden, das der zu testenden Rolle zugewiesen ist.

  2. Halten Sie die UMSCHALTTASTE gedrückt, und klicken Sie mit der rechten Maustaste auf die Verknüpfung Excel , um auf die Option Als anderer Benutzer ausführen zuzugreifen. Geben Sie eines der Windows-Benutzer oder -Gruppenkonten ein, die Mitglied dieser Rolle sind.

  3. Wenn Excel geöffnet wird, verbinden Sie sich über die Registerkarte "Daten" mit Analysis Services. Da Sie Excel als anderer Windows-Benutzer ausführen, ist die Option Windows-Authentifizierung verwenden der richtige Anmeldeinformationstyp für das Testen von Rollen. Informationen zu diesem Schritt finden Sie unter Herstellen einer Verbindung mit Clientanwendungen (Analysis Services).

    Wenn bei der Verbindung Fehlermeldungen angezeigt werden, überprüfen Sie die Portkonfiguration für Analysis Services, und vergewissern Sie sich, dass der Server Remoteverbindungen akzeptiert. Weitere Informationen finden Sie unter Konfigurieren der Windows-Firewall zum Zulassen des Analysis Services-Zugriffs für die Portkonfiguration.

Schritt 5: Definition und Zuweisungen der Skriptrolle

  1. Als letzten Schritt sollten Sie ein Skript generieren, in dem die gerade erstellte Rollendefinition erfasst wird.

    Durch das erneute Bereitstellen eines Projekts über SQL Server Data Tools werden alle Rollen oder Rollenmitgliedschaften überschrieben, die nicht innerhalb des Projekts definiert sind. Die schnellste Methode zur erneuten Erstellung von Rollen und Rollenmitgliedschaften nach einer erneuten Bereitstellung besteht in der Verwendung eines Skripts.

  2. Navigieren Sie in SSMS zum Ordner Rollen , und klicken Sie mit der rechten Maustaste auf eine vorhandene Rolle.

  3. Wählen Sie Skriptrolle als | CREATE TO-Datei | aus.

  4. Speichern Sie die Datei unter der Erweiterung ".xmla". Um das Skript zu testen, löschen Sie die aktuelle Rolle, öffnen Sie die Datei in SSMS, und drücken Sie F5, um das Skript auszuführen.

Nächster Schritt

Sie können die Cubeberechtigungen verfeinern, um den Zugriff auf Zellen- oder Dimensionsdaten zu beschränken. Weitere Informationen finden Sie unter Gewähren des benutzerdefinierten Zugriffs auf Dimensionsdaten (Analysis Services) und Gewähren des benutzerdefinierten Zugriffs auf Zelldaten (Analysis Services).

Weitere Informationen

Von Analysis Services unterstützte Authentifizierungsmethoden
Erteilen von Berechtigungen für Data Mining-Strukturen und -Modellen (Analysis Services)
Erteilen von Berechtigungen für ein Datenquellenobjekt (Analysis Services)