Authentifizierung und BenutzerberechtigungenAuthentication and user permissions

Azure Analysis Services verwendet Azure Active Directory (Azure AD) zur Identitätsverwaltung und Benutzerauthentifizierung.Azure Analysis Services uses Azure Active Directory (Azure AD) for identity management and user authentication. Jeder Benutzer, der einen Azure Analysis Services-Server erstellt, verwaltet oder eine Verbindung mit diesem herstellt, muss über eine gültige Benutzeridentität in einem Azure AD-Mandanten im selben Abonnement verfügen.Any user creating, managing, or connecting to an Azure Analysis Services server must have a valid user identity in an Azure AD tenant in the same subscription.

Azure Analysis Services unterstützt die Azure AD B2B-Zusammenarbeit.Azure Analysis Services supports Azure AD B2B collaboration. Mit B2B können Benutzer außerhalb einer Organisation als Gastbenutzer in ein Azure AD-Verzeichnis eingeladen werden.With B2B, users from outside an organization can be invited as guest users in an Azure AD directory. Gäste können Benutzer aus einem anderen Azure AD-Mandantenverzeichnis oder mit einer gültigen E-Mail-Adresse sein.Guests can be from another Azure AD tenant directory or any valid email address. Wenn ein Benutzer eingeladen wurde und die von Azure per E-Mail gesendete Einladung annimmt, wird die Benutzeridentität dem Mandantenverzeichnis hinzugefügt.Once invited and the user accepts the invitation sent by email from Azure, the user identity is added to the tenant directory. Diese Identitäten können Sicherheitsgruppen oder als Mitglieder einer Serveradministrator- oder Datenbankrolle hinzugefügt werden.Those identities can be added to security groups or as members of a server administrator or database role.

Architektur der Azure Analysis Services-Authentifizierung

AuthenticationAuthentication

In allen Clientanwendungen und Tools werden eine oder mehrere Analysis Services-Clientbibliotheken (AMO, MSOLAP, ADOMD) für die Verbindung mit einem Server verwendet.All client applications and tools use one or more of the Analysis Services client libraries (AMO, MSOLAP, ADOMD) to connect to a server.

Alle drei Clientbibliotheken unterstützen den interaktiven Azure AD-Ablauf sowie nicht interaktive Authentifizierungsmethoden.All three client libraries support both Azure AD interactive flow, and non-interactive authentication methods. Die beiden nicht interaktiven Methoden – die Active Directory-Kennwortauthentifizierung und die integrierte Active Directory-Authentifizierung – können in Anwendungen eingesetzt werden, die AMOMD und MSOLAP verwenden.The two non-interactive methods, Active Directory Password and Active Directory Integrated Authentication methods can be used in applications utilizing AMOMD and MSOLAP. Bei diesen beiden Methoden werden niemals Popupdialogfelder angezeigt.These two methods never result in pop-up dialog boxes.

Clientanwendungen wie Excel und Power BI Desktop und Tools wie SSMS und Analysis Services-Projekterweiterungen für Visual Studio installieren die aktuellen Versionen der Bibliotheken, wenn sie auf das neueste Release aktualisiert werden.Client applications like Excel and Power BI Desktop, and tools like SSMS and Analysis Services projects extension for Visual Studio install the latest versions of the libraries when updated to the latest release. Power BI Desktop, SSMS und Analysis Services-Projekterweiterungen werden monatlich aktualisiert.Power BI Desktop, SSMS, and Analysis Services projects extension are updated monthly. Excel wird über Office 365 aktualisiert.Excel is updated with Office 365. Office 365-Updates erfolgen seltener, und manche Organisationen verwenden den verzögerten Kanal, d.h., dass Updates bis zu drei Monate verzögert werden.Office 365 updates are less frequent, and some organizations use the deferred channel, meaning updates are deferred up to three months.

Abhängig von den verwendeten Clientanwendungen oder Tools können sich die Art der Authentifizierung und der Anmeldevorgang unterscheiden.Depending on the client application or tool you use, the type of authentication and how you sign in may be different. Jede Anwendung unterstützt möglicherweise unterschiedliche Features für die Verbindung mit Clouddiensten wie Azure Analysis Services.Each application may support different features for connecting to cloud services like Azure Analysis Services.

Power BI Desktop, Visual Studio und SSMS unterstützen die universelle Active Directory-Authentifizierung, eine interaktive Methode, die auch die Azure Multi-Factor Authentication (MFA) unterstützt.Power BI Desktop, Visual Studio, and SSMS support Active Directory Universal Authentication, an interactive method that also supports Azure Multi-Factor Authentication (MFA). Azure MFA hilft beim Schützen des Zugriffs auf Daten und Anwendungen und stellt gleichzeitig ein einfaches Anmeldeverfahren bereit.Azure MFA helps safeguard access to data and applications while providing a simple sign-in process. Es bietet eine sichere Authentifizierung über verschiedene einfache Überprüfungsoptionen (Telefonanruf, SMS, Smartcard mit PIN oder Benachrichtigung in einer mobilen App).It delivers strong authentication with several verification options (phone call, text message, smart cards with pin, or mobile app notification). Bei der interaktiven MFA mit Azure AD kann ein Popupdialogfeld zur Überprüfung geöffnet werden.Interactive MFA with Azure AD can result in a pop-up dialog box for validation. Universelle Authentifizierung wird empfohlen.Universal Authentication is recommended.

Wenn Sie sich über ein Windows-Konto bei Azure anmelden und universelle Authentifizierung nicht aktiviert oder verfügbar ist (Excel), ist Active Directory-Verbunddienste (AD FS) erforderlich.If signing in to Azure by using a Windows account, and Universal Authentication is not selected or available (Excel), Active Directory Federation Services (AD FS) is required. Mit den Verbunddiensten werden Azure AD- und Office 365-Benutzer über lokale Anmeldeinformationen authentifiziert und können auf Azure-Ressourcen zugreifen.With Federation, Azure AD and Office 365 users are authenticated using on-premises credentials and can access Azure resources.

SQL Server Management Studio (SSMS)SQL Server Management Studio (SSMS)

Azure Analysis Services-Server unterstützen Verbindungen über SSMS V17.1 und höher mithilfe der Windows-Authentifizierung, Active Directory-Kennwortauthentifizierung und der universellen Active Directory-Authentifizierung.Azure Analysis Services servers support connections from SSMS V17.1 and higher by using Windows Authentication, Active Directory Password Authentication, and Active Directory Universal Authentication. Im Allgemeinen empfiehlt sich die Verwendung der universellen Active Directory-Authentifizierung aus folgenden Gründen:In general, it's recommended you use Active Directory Universal Authentication because:

  • Interaktive und nicht interaktive Authentifizierungsmethoden werden unterstützt.Supports interactive and non-interactive authentication methods.

  • Einladungen von Azure B2B-Gastbenutzern in den Azure AS-Mandanten werden unterstützt.Supports Azure B2B guest users invited into the Azure AS tenant. Bei der Herstellung einer Verbindung mit einem Server müssen Gastbenutzer die universelle Active Directory-Authentifizierung auswählen.When connecting to a server, guest users must select Active Directory Universal Authentication when connecting to the server.

  • Multi-Factor Authentication (MFA) wird unterstützt.Supports Multi-Factor Authentication (MFA). Azure MFA schützt den Zugriff auf Daten und Anwendungen durch eine Reihe von Überprüfungsoptionen: Telefonanruf, Textnachricht, Smartcard mit PIN oder Benachrichtigung über eine mobile App.Azure MFA helps safeguard access to data and applications with a range of verification options: phone call, text message, smart cards with pin, or mobile app notification. Bei der interaktiven MFA mit Azure AD kann ein Popupdialogfeld zur Überprüfung geöffnet werden.Interactive MFA with Azure AD can result in a pop-up dialog box for validation.

Visual StudioVisual Studio

Visual Studio stellt die Verbindung mit Azure Analysis Services mithilfe der universellen Active Directory-Authentifizierung mit MFA-Unterstützung her.Visual Studio connects to Azure Analysis Services by using Active Directory Universal Authentication with MFA support. Benutzer werden bei der ersten Bereitstellung aufgefordert, sich bei Azure anzumelden.Users are prompted to sign in to Azure on the first deployment. Benutzer müssen sich bei Azure mit einem Konto mit Serveradministratorberechtigungen für den Server anmelden, auf dem sie die Bereitstellung durchführen.Users must sign in to Azure with an account with server administrator permissions on the server they are deploying to. Bei der ersten Anmeldung bei Azure wird ein Token zugewiesen.When signing in to Azure the first time, a token is assigned. Das Token wird für zukünftige Verbindungswiederherstellungen im In-Memory-Cache zwischengespeichert.The token is cached in-memory for future reconnects.

Power BI DesktopPower BI Desktop

Power BI Desktop stellt die Verbindung mit Azure Analysis Services mithilfe der universellen Active Directory-Authentifizierung mit MFA-Unterstützung her.Power BI Desktop connects to Azure Analysis Services using Active Directory Universal Authentication with MFA support. Benutzer werden bei der ersten Verbindung aufgefordert, sich bei Azure anzumelden.Users are prompted to sign in to Azure on the first connection. Benutzer müssen sich bei Azure mit einem Konto anmelden, das in einer Serveradministrator- oder Datenbankrolle enthalten ist.Users must sign in to Azure with an account that is included in a server administrator or database role.

ExcelExcel

Excel-Benutzer können eine Verbindung mit einem Server über ein Windows-Konto, eine Organisations-ID (E-Mail-Adresse) oder eine externe E-Mail-Adresse herstellen.Excel users can connect to a server by using a Windows account, an organization ID (email address), or an external email address. Externe E-Mail-Identitäten müssen in Azure AD als Gastbenutzer vorhanden sein.External email identities must exist in the Azure AD as a guest user.

BenutzerberechtigungenUser permissions

Serveradministratoren sind spezifisch für eine Azure Analysis Services-Serverinstanz definiert.Server administrators are specific to an Azure Analysis Services server instance. Sie stellen eine Verbindung mit Tools wie dem Azure-Portal, SSMS und Visual Studio her, um bestimmte Aufgaben durchzuführen, z. B. Hinzufügen von Datenbanken oder Verwalten von Benutzerrollen.They connect with tools like Azure portal, SSMS, and Visual Studio to perform tasks like adding databases and managing user roles. Standardmäßig wird der Benutzer, der den Server erstellt, automatisch als Analysis Services-Serveradministrator hinzugefügt.By default, the user that creates the server is automatically added as an Analysis Services server administrator. Andere Administratoren können über das Azure-Portal oder über SSMS hinzugefügt werden.Other administrators can be added by using Azure portal or SSMS. Serveradministratoren müssen über ein Konto im Azure AD-Mandanten im selben Abonnement verfügen.Server administrators must have an account in the Azure AD tenant in the same subscription. Weitere Informationen finden Sie unter Verwalten von Serveradministratoren.To learn more, see Manage server administrators.

Datenbankbenutzer stellen über Clientanwendungen wie Excel oder Power BI eine Verbindung mit Modelldatenbanken her.Database users connect to model databases by using client applications like Excel or Power BI. Benutzer müssen Datenbankrollen hinzugefügt werden.Users must be added to database roles. Datenbankrollen definieren die Berechtigungen „Administrator“, „Verarbeiten“ oder „Lesen“ für eine Datenbank.Database roles define administrator, process, or read permissions for a database. Dabei ist zu beachten, dass Datenbankbenutzer in einer Rolle mit Administratorberechtigungen nicht mit Serveradministratoren identisch sind.It's important to understand database users in a role with administrator permissions is different than server administrators. Standardmäßig sind Serveradministratoren jedoch auch immer Datenbankadministratoren.However, by default, server administrators are also database administrators. Weitere Informationen finden Sie unter Verwalten von Datenbankrollen und Benutzern.To learn more, see Manage database roles and users.

Azure-Ressourcenbesitzer:Azure resource owners. Ressourcenbesitzer verwalten Ressourcen für ein Azure-Abonnement.Resource owners manage resources for an Azure subscription. Ressourcenbesitzer können über Zugriffssteuerung im Azure-Portal oder mit Azure Resource Manager-Vorlagen Azure AD-Benutzeridentitäten zu den Rollen „Besitzer“ oder „Mitwirkender“ innerhalb eines Abonnements hinzufügen.Resource owners can add Azure AD user identities to Owner or Contributor Roles within a subscription by using Access control in Azure portal, or with Azure Resource Manager templates.

Access Control im Azure-Portal

Rollen auf dieser Ebene gelten für Benutzer oder Konten, die sie zum Ausführen von Aufgaben im Portal oder mithilfe von Azure Resource Manager-Vorlagen benötigen.Roles at this level apply to users or accounts that need to perform tasks that can be completed in the portal or by using Azure Resource Manager templates. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung.To learn more, see Role-Based Access Control.

DatenbankrollenDatabase roles

Rollen, die für ein tabellarisches Modell definiert wurden, sind Datenbankrollen.Roles defined for a tabular model are database roles. Das bedeutet, dass die Rollen Mitglieder mit Azure AD-Benutzern und -Sicherheitsgruppen enthalten, die über die spezifischen Berechtigungen verfügen, mit denen die Aktionen definiert werden, die diese Mitglieder in einer Modelldatenbank ausführen können.That is, the roles contain members consisting of Azure AD users and security groups that have specific permissions that define the action those members can take on a model database. Eine Datenbankrolle wird als separates Objekt in der Datenbank erstellt und gilt nur für die Datenbank, in der diese Rolle erstellt wird.A database role is created as a separate object in the database, and applies only to the database in which that role is created.

Wenn Sie ein neues Projekt für ein tabellarisches Modell erstellen, enthält das Modellprojekt standardmäßig keine Rollen.By default, when you create a new tabular model project, the model project does not have any roles. Rollen können im Dialogfeld „Rollen-Manager“ in Visual Studio definiert werden.Roles can be defined by using the Role Manager dialog box in Visual Studio. Werden Rollen während des Modellprojektentwurfs definiert, werden sie nur auf die Arbeitsbereichsdatenbank des Modells angewendet.When roles are defined during model project design, they are applied only to the model workspace database. Bei der Bereitstellung des Modells werden die gleichen Rollen auf das bereitgestellte Modell angewendet.When the model is deployed, the same roles are applied to the deployed model. Nach der Bereitstellung eines Modells können Server- und Datenbankadministratoren Rollen und Mitglieder über SSMS verwalten.After a model has been deployed, server and database administrators can manage roles and members by using SSMS. Weitere Informationen finden Sie unter Verwalten von Datenbankrollen und Benutzern.To learn more, see Manage database roles and users.

Nächste SchritteNext steps

Verwalten des Zugriffs auf Ressourcen mit Azure Active Directory-Gruppen Manage access to resources with Azure Active Directory groups
Verwalten von Datenbankrollen und BenutzernManage database roles and users
Verwalten von ServeradministratorenManage server administrators
Rollenbasierte ZugriffssteuerungRole-Based Access Control