Autenticazione e autorizzazioni utenteAuthentication and user permissions

Azure Analysis Services usa Azure Active Directory (Azure AD) per la gestione delle identità e l'autenticazione degli utenti.Azure Analysis Services uses Azure Active Directory (Azure AD) for identity management and user authentication. Qualsiasi utente che crea, gestisce o si connette a un server Azure Analysis Services deve disporre di un'identità utente valida in un tenant di Azure AD nella stessa sottoscrizione.Any user creating, managing, or connecting to an Azure Analysis Services server must have a valid user identity in an Azure AD tenant in the same subscription.

Azure Analysis Services supporta la collaborazione B2B di Azure AD.Azure Analysis Services supports Azure AD B2B collaboration. Con B2B, gli utenti esterni all'organizzazione possono essere invitati come utenti guest in una directory di Azure AD.With B2B, users from outside an organization can be invited as guest users in an Azure AD directory. Gli utenti guest possono appartenere a un'altra directory di tenant di Azure AD o a qualsiasi indirizzo e-mail valido.Guests can be from another Azure AD tenant directory or any valid email address. Dopo che l'utente è stato invitato e ha accettato l'invito inviato da Azure tramite posta elettronica, l'identità dell'utente viene aggiunta alla directory tenant.Once invited and the user accepts the invitation sent by email from Azure, the user identity is added to the tenant directory. Le identità possono essere aggiunte ai gruppi di sicurezza o come membri di un ruolo del database o di amministratore del server.Those identities can be added to security groups or as members of a server administrator or database role.

Architettura dell'autenticazione di Azure Analysis Services

AutenticazioneAuthentication

Per connettersi a un server tutti gli strumenti e le applicazioni client usano una o più librerie client di Analysis Services (AMO, MSOLAP, ADOMD).All client applications and tools use one or more of the Analysis Services client libraries (AMO, MSOLAP, ADOMD) to connect to a server.

Queste tre librerie client supportano sia il flusso interattivo di Azure AD sia i metodi di autenticazione non interattivi.All three client libraries support both Azure AD interactive flow, and non-interactive authentication methods. I due metodi di autenticazione integrata di Active Directory e della password di Active Directory non interattive possono essere usati nelle applicazioni che adottano AMOMD e MSOLAP.The two non-interactive methods, Active Directory Password and Active Directory Integrated Authentication methods can be used in applications utilizing AMOMD and MSOLAP. Questi due metodi non aprono mai finestre di dialogo popup.These two methods never result in pop-up dialog boxes.

Applicazioni client quali Excel e Power BI Desktop e strumenti come SQL Server Management Studio (SSMS) e SQL Server Data Tools (SSDT) installano le versioni più recenti delle librerie quando vengono aggiornate alla versione più recente.Client applications like Excel and Power BI Desktop, and tools like SSMS and SSDT install the latest versions of the libraries when updated to the latest release. Power BI Desktop, SQL Server Management Studio e SQL Server Data Tools vengono aggiornati ogni mese.Power BI Desktop, SSMS, and SSDT are updated monthly. Excel viene aggiornato con Office 365.Excel is updated with Office 365. Gli aggiornamenti di Office 365 sono meno frequenti e alcune organizzazioni usano il canale di aggiornamento Deferred Channel, che posticipa gli aggiornamenti di tre mesi.Office 365 updates are less frequent, and some organizations use the deferred channel, meaning updates are deferred up to three months.

A seconda dello strumento o dell'applicazione client in uso, il tipo di autenticazione e la modalità di accesso possono essere diverse.Depending on the client application or tool you use, the type of authentication and how you sign in may be different. Ogni applicazione può supportare funzionalità diverse per la connessione ai servizi cloud quali Azure Analysis Services.Each application may support different features for connecting to cloud services like Azure Analysis Services.

Power BI Desktop, SSDT e SSMS supportano l'autenticazione universale di Active Directory, ovvero un metodo interattivo che supporta anche Azure Multi-Factor Authentication (MFA).Power BI Desktop, SSDT, and SSMS support Active Directory Universal Authentication, an interactive method that also supports Azure Multi-Factor Authentication (MFA). Azure MFA consente di proteggere l'accesso ai dati e alle applicazioni, offrendo al tempo stesso una procedura di accesso semplice.Azure MFA helps safeguard access to data and applications while providing a simple sign-in process. MFA include funzionalità avanzate di autenticazione con varie opzioni di verifica (chiamata telefonica, SMS, smart card con PIN o notifica tramite app per dispositivi mobili).It delivers strong authentication with several verification options (phone call, text message, smart cards with pin, or mobile app notification). La convalida di MFA interattiva con Azure AD può avvenire attraverso una finestra popup.Interactive MFA with Azure AD can result in a pop-up dialog box for validation. È consigliata l'autenticazione universale.Universal Authentication is recommended.

Se si accede ad Azure con un account di Windows e l'autenticazione universale non è selezionata o disponibile (Excel), è richiesto Active Directory Federation Services (AD FS).If signing in to Azure by using a Windows account, and Universal Authentication is not selected or available (Excel), Active Directory Federation Services (AD FS) is required. Con la federazione, Azure AD e gli utenti di Office 365 vengono autenticati usando credenziali locali e possono accedere alle risorse di Azure.With Federation, Azure AD and Office 365 users are authenticated using on-premises credentials and can access Azure resources.

SQL Server Management Studio (SSMS)SQL Server Management Studio (SSMS)

I server di Azure Analysis Services supportano connessioni da SSMS V17.1 e versioni successive usando l'autenticazione di Windows, l'autenticazione della password di Active Directory e l'autenticazione universale di Active Directory.Azure Analysis Services servers support connections from SSMS V17.1 and higher by using Windows Authentication, Active Directory Password Authentication, and Active Directory Universal Authentication. In generale, è consigliabile usare l'autenticazione universale di Active Directory per i motivi indicati di seguito:In general, it's recommended you use Active Directory Universal Authentication because:

  • Supporta i metodi autenticazione interattiva e non interattiva.Supports interactive and non-interactive authentication methods.

  • Supporta gli utenti guest di Azure B2B invitati al tenant di Azure AS.Supports Azure B2B guest users invited into the Azure AS tenant. Quando si connettono a un server, gli utenti guest devono selezionare l'autenticazione universale di Active Directory.When connecting to a server, guest users must select Active Directory Universal Authentication when connecting to the server.

  • Supporta l'autenticazione a più fattori (Multi-Factor Authentication, MFA).Supports Multi-Factor Authentication (MFA). Azure MFA agevola la protezione dell'accesso ai dati e alle applicazioni con una serie di semplici opzioni di verifica, tra cui: chiamata telefonica, SMS, smart card con pin o notifica tramite app per dispositivi mobili.Azure MFA helps safeguard access to data and applications with a range of verification options: phone call, text message, smart cards with pin, or mobile app notification. La convalida di MFA interattiva con Azure AD può avvenire attraverso una finestra popup.Interactive MFA with Azure AD can result in a pop-up dialog box for validation.

SQL Server Data Tools (SSDT)SQL Server Data Tools (SSDT)

SSDT si connette ad Azure Analysis Services tramite l'autenticazione universale di Active Directory con supporto MFA.SSDT connects to Azure Analysis Services by using Active Directory Universal Authentication with MFA support. Agli utenti viene richiesto di accedere ad Azure alla prima distribuzione.Users are prompted to sign in to Azure on the first deployment. Gli utenti devono accedere ad Azure con un account che disponga delle autorizzazioni di amministratore del server per il server nel quale stanno eseguendo la distribuzione.Users must sign in to Azure with an account with server administrator permissions on the server they are deploying to. Al primo accesso ad Azure viene loro assegnato un token.When signing in to Azure the first time, a token is assigned. SSDT memorizza il token nella cache per le connessioni future.SSDT caches the token in-memory for future reconnects.

Power BI DesktopPower BI Desktop

Power BI Desktop si connette ad Azure Analysis Services tramite l'autenticazione universale di Active Directory con supporto MFA.Power BI Desktop connects to Azure Analysis Services using Active Directory Universal Authentication with MFA support. Agli utenti viene richiesto di accedere ad Azure alla prima connessione.Users are prompted to sign in to Azure on the first connection. Gli utenti devono accedere ad Azure con un account incluso in ruolo del database o di amministratore del server.Users must sign in to Azure with an account that is included in a server administrator or database role.

ExcelExcel

Gli utenti di Excel possano connettersi a un server usando un account di Windows, un ID aziendale (indirizzo e-mail) o un indirizzo e-mail esterno.Excel users can connect to a server by using a Windows account, an organization ID (email address), or an external email address. Le identità di posta elettronica esterne deve essere già presenti in Azure AD come utenti guest.External email identities must exist in the Azure AD as a guest user.

Autorizzazioni utenteUser permissions

Gli amministratori del server sono specifici di un'istanza del server Azure Analysis Services.Server administrators are specific to an Azure Analysis Services server instance. Si connettono usando strumenti quali il portale di Azure, SQL Server Management Studio e SQL Server Data Tools per eseguire attività quali l'aggiunta di database e la gestione dei ruoli utente.They connect with tools like Azure portal, SSMS, and SSDT to perform tasks like adding databases and managing user roles. Per impostazione predefinita, l'utente che crea il server viene automaticamente aggiunto come amministratore del server di Analysis Services.By default, the user that creates the server is automatically added as an Analysis Services server administrator. È possibile aggiungere altri amministratori tramite il portale di Azure o SSMS.Other administrators can be added by using Azure portal or SSMS. Gli amministratori del server devono disporre di un account nel tenant di Azure AD nella stessa sottoscrizione.Server administrators must have an account in the Azure AD tenant in the same subscription. Per altre informazioni, vedere Gestire gli amministratori del server.To learn more, see Manage server administrators.

Gli utenti del database si connettono ai database modello tramite applicazioni client quali Excel o Power BI.Database users connect to model databases by using client applications like Excel or Power BI. Gli utenti devono essere aggiunti ai ruoli database.Users must be added to database roles. I ruoli database definiscono l'amministratore, il processo o le autorizzazioni di lettura per un database.Database roles define administrator, process, or read permissions for a database. È importante comprendere che gli utenti del database in un ruolo con autorizzazioni di amministratore sono diversi dagli amministratori di server.It's important to understand database users in a role with administrator permissions is different than server administrators. Per impostazione predefinita, tuttavia, gli amministratori del server sono anche amministratori del database.However, by default, server administrators are also database administrators. Per altre informazioni, vedere Gestire ruoli e utenti del database.To learn more, see Manage database roles and users.

Proprietari delle risorse di Azure.Azure resource owners. I proprietari delle risorse gestiscono le risorse di una sottoscrizione di Azure.Resource owners manage resources for an Azure subscription. Possono aggiungere le identità degli utenti di Azure AD ai ruoli di proprietario o collaboratore di una sottoscrizione usando il controllo di accesso nel portale di Azure o i modelli di Azure Resource Manager.Resource owners can add Azure AD user identities to Owner or Contributor Roles within a subscription by using Access control in Azure portal, or with Azure Resource Manager templates.

Controllo di accesso nel portale di Azure

I ruoli di questo livello si applicano agli utenti o agli account che devono eseguire attività completabili nel portale o tramite i modelli di Azure Resource Manager.Roles at this level apply to users or accounts that need to perform tasks that can be completed in the portal or by using Azure Resource Manager templates. Per altre informazioni, vedere l'articolo relativo al controllo degli accessi in base al ruolo.To learn more, see Role-Based Access Control.

Ruoli del databaseDatabase roles

I ruoli definiti per un modello tabulare sono ruoli del database,Roles defined for a tabular model are database roles. ovvero contengono membri costituiti da utenti di Azure AD e gruppi di sicurezza che dispongono di autorizzazioni specifiche che definiscono le azioni che tali membri possono eseguire su un database modello.That is, the roles contain members consisting of Azure AD users and security groups that have specific permissions that define the action those members can take on a model database. Un ruolo del database viene creato come oggetto separato nel database e si applica solo al database in cui è stato creato.A database role is created as a separate object in the database, and applies only to the database in which that role is created.

Per impostazione predefinita, quando si crea un nuovo progetto di modello tabulare, esso non contiene alcun ruolo.By default, when you create a new tabular model project, the model project does not have any roles. È possibile definire i ruoli nella finestra di dialogo Gestione ruoli di SSDT.Roles can be defined by using the Role Manager dialog box in SSDT. Se i ruoli vengono definiti durante la progettazione dei modelli di progetto, sono applicati solo ai database dell'area di lavoro del modello.When roles are defined during model project design, they are applied only to the model workspace database. Quando il modello viene distribuito, gli stessi ruoli vengono applicati al modello distribuito.When the model is deployed, the same roles are applied to the deployed model. Dopo la distribuzione di un modello, gli amministratori del server e del database possono gestire ruoli e membri tramite SSMS.After a model has been deployed, server and database administrators can manage roles and members by using SSMS. Per altre informazioni, vedere Gestire ruoli e utenti del database.To learn more, see Manage database roles and users.

Passaggi successiviNext steps

Gestire l'accesso alle risorse tramite i gruppi di Azure Active Directory Manage access to resources with Azure Active Directory groups
Gestire ruoli e utenti del databaseManage database roles and users
Gestire gli amministratori di serverManage server administrators
Controllo degli accessi in base al ruoloRole-Based Access Control