Gestire le origini dati di SQL Server Analysis Services

  • Articolo

Nota

La documentazione del gateway dati locale è stata suddivisa in contenuto specifico di Power BI e contenuto generale applicabile a tutti i servizi supportati dal gateway. Attualmente si è nel contenuto di Power BI. Per fornire commenti e suggerimenti su questo articolo o sull'esperienza generale della documentazione del gateway, scorrere fino alla fine dell'articolo.

Dopo aver installato un gateway dati locale, è possibile aggiungere origini dati da usare con il gateway. Questo articolo descrive come aggiungere un'origine dati di SQL Server Analysis Services (SSAS) al gateway locale da usare per l'aggiornamento pianificato o per le connessioni dinamiche.

Per altre informazioni su come configurare una connessione dinamica a SSAS, guardare questo video della procedura dettagliata di Power BI: Analysis Services Live Connessione.

Nota

Se si dispone di un'origine dati di Analysis Services, è necessario installare il gateway in un computer aggiunto alla stessa foresta o dominio del server Analysis Services.

Nota

Il gateway supporta solo autenticazione di Windows per Analysis Services.

Aggiungere un'origine dati

Per connettersi a un'origine dati multidimensionale o tabulare di Analysis Services:

  1. Nella schermata Nuova connessione per il gateway dati locale selezionare Analysis Services per Connessione tipo di connessione. Per altre informazioni su come aggiungere un'origine dati, vedere Aggiungere un'origine dati.

    Screenshot of adding the Analysis Services data type.

  2. Immettere le informazioni per l'origine dati, che include Server e Database. Il gateway usa le informazioni immesse per Nome utente e Password per connettersi all'istanza di Analysis Services.

    Screenshot that shows the data source credentials settings.

    Nota

    L'account di Windows immesso deve essere membro del ruolo Server Amministrazione istrator nell'istanza di Analysis Services a cui ci si connette. Se la password dell'account è impostata per scadere, gli utenti ricevono un errore di connessione a meno che non si aggiorni la password dell'origine dati. Per altre informazioni sulla modalità di archiviazione delle credenziali, vedere Archiviare le credenziali crittografate nel cloud.

  3. Configurare il livello di privacy per l'origine dati. Questa impostazione controlla come combinare i dati per l'aggiornamento pianificato. L'impostazione a livello di privacy non si applica alle connessioni dinamiche. Per altre informazioni sui livelli di privacy per l'origine dati, vedere Impostare i livelli di privacy (Power Query).

    Screenshot of the Privacy level setting.

  4. Facoltativamente, è possibile configurare ora il mapping dei nomi utente. Per istruzioni, vedere Mapping manuale del nome utente.

  5. Dopo aver completato tutti i campi, selezionare Crea.

È ora possibile usare questa origine dati per l'aggiornamento pianificato o le connessioni dinamiche su un'istanza di Analysis Services locale.

Nomi utente per Analysis Services

Per informazioni sull'autenticazione con le connessioni dinamiche di Analysis Services in Power BI, guardare questo video:

Nota

Questo video potrebbe usare versioni precedenti di Power BI Desktop o il servizio Power BI.

Ogni volta che un utente interagisce con un report connesso ad Analysis Services, il nome utente effettivo passa al gateway e quindi passa al server Analysis Services locale. L'indirizzo di posta elettronica usato per accedere a Power BI passa ad Analysis Services come utente effettivo nella proprietà di connessione EffectiveUserName .

L'indirizzo di posta elettronica deve corrispondere a un nome dell'entità utente definito (UPN) all'interno del dominio di Active Directory (AD) locale. L'UPN è una proprietà di un account AD. L'account di Windows deve essere presente in un ruolo di Analysis Services. Se non è possibile trovare una corrispondenza in ACTIVE Directory, l'accesso non riesce. Per altre informazioni su Active Directory e sulla denominazione degli utenti, vedere Attributi di denominazione degli utenti.

Eseguire il mapping dei nomi utente per le origini dati di Analysis Services

È anche possibile eseguire il mapping del nome di accesso di Power BI a un UPN della directory locale. Per informazioni sul mapping UPN in Power BI, guardare questo video:

Nota

Questo video potrebbe usare versioni precedenti di Power BI Desktop o il servizio Power BI.

Power BI consente il mapping dei nomi utente per le origini dati di Analysis Services. È possibile configurare le regole per eseguire il mapping di un nome utente di accesso di Power BI a un oggetto EffectiveUserName che passa alla connessione di Analysis Services. Questa funzionalità è un'ottima soluzione alternativa quando il nome utente di Microsoft Entra non corrisponde a un UPN nell'istanza di Active Directory locale. Ad esempio, se l'indirizzo di posta elettronica è meganb@contoso.onmicrosoft.com, è possibile eseguirne il mapping a meganb@contoso.come tale valore passa al gateway.

È possibile eseguire il mapping dei nomi utente per Analysis Services in due modi diversi:

  • Modifica manuale del mapping degli utenti in Power BI
  • Mapping di ricerca di Active Directory, che usa la ricerca della proprietà AD locale per eseguire nuovamente il mapping dei nomi UPN di Microsoft Entra agli utenti di ACTIVE Directory locali.

È possibile eseguire il mapping manuale usando la ricerca delle proprietà di Active Directory locale, ma richiede molto tempo e difficile da gestire, soprattutto quando i criteri di ricerca non sono sufficienti. Ad esempio, i nomi di dominio o i nomi degli account utente potrebbero essere diversi tra Microsoft Entra ID e AD locale. Pertanto, il mapping manuale con il secondo approccio non è consigliato.

Le sezioni seguenti descrivono i due approcci di mapping.

Modifica manuale del mapping degli utenti in Power BI

È possibile configurare regole UPN personalizzate in Power BI per le origini dati di Analysis Services. Le regole personalizzate sono utili se il nome di accesso servizio Power BI non corrisponde all'UPN della directory locale. Ad esempio, se si accede a Power BI con meganb@contoso.com ma l'UPN della directory locale è meganb@contoso.local, è possibile configurare una regola di mapping da passare meganb@contoso.local ad Analysis Services.

Importante

Il mapping funziona per l'origine dati specifica configurata. Non è un'impostazione globale. Se sono presenti più origini dati di Analysis Services, è necessario eseguire il mapping degli utenti per ogni origine dati.

Per eseguire il mapping UPN manuale, seguire questa procedura:

  1. Sotto l'icona a forma di ingranaggio di Power BI selezionare Gestisci gateway e connessioni.

  2. Selezionare l'origine dati e quindi selezionare Impostazioni dal menu in alto.

  3. Nella schermata Impostazioni, nella casella Mapping dei nomi utente verificare che EffectiveUserName sia selezionato e quindi selezionare Aggiungi nuova regola.

    Screenshot of the UPN mapping screen.

  4. In Mapping dei nomi utente, per ogni nome utente da mappare, immettere i valori per Nome originale e Nuovo nome e quindi selezionare Aggiungi nuova regola. Il valore Replace è l'indirizzo di accesso per Power BI e il valore With è il valore con cui sostituirlo. La sostituzione passa alla EffectiveUserName proprietà per la connessione di Analysis Services.

    Screenshot of Add new rule in the Map user names box.

    Ad esempio:

    Screenshot of example mapping rules.

    Nota

    Assicurarsi di non modificare gli utenti che non si intende modificare. Ad esempio, se si sostituisce il nome originale di contoso.com con un nuovo nome di @contoso.local, tutti gli accessi utente che contengono @contoso.com vengono sostituiti con @contoso.local. Inoltre, se si sostituisce un nome originale di meganb@contoso.com con un nuovo nome di meganb@contoso.local, un accesso di v-meganb@contoso.com viene inviato come v-meganb@contoso.local.

    È possibile selezionare un elemento nell'elenco e riordinarlo trascinandolo ed eliminando una voce selezionando l'icona Garbage Can.

Usare un carattere jolly

È possibile usare un carattere jolly * per la stringa Sostituisci (nome originale). È possibile usare solo il carattere jolly in modo autonomo e non con altre parti di stringa. Usare un carattere jolly se si desidera sostituire tutti gli utenti con un singolo valore da passare all'origine dati. Questo approccio è utile quando si vuole che tutti gli utenti di un'organizzazione usino lo stesso utente nell'ambiente locale.

Testare la regola di mapping

Per convalidare la sostituzione del nome, immettere un valore per Nome originale e selezionare Regola di test.

Screenshot of testing a mapping rule.

Nota

Le regole salvate funzionano immediatamente nel browser. L'uso delle regole salvate richiede alcuni minuti prima che il servizio Power BI inizi a usare le regole salvate.

Mapping di ricerca di Active Directory

In questa sezione viene descritto come eseguire una ricerca di proprietà Active Directory locale per eseguire il mapping degli UPN di Microsoft Entra agli utenti di AD. Prima di tutto, esaminare il funzionamento del nuovo mapping.

Ogni query eseguita da un utente di Power BI Microsoft Entra a un server SSAS locale passa lungo una stringa UPN, firstName.lastName@contoso.comad esempio .

Il mapping di ricerca in un gateway dati locale con mapping utente personalizzato configurabile segue questa procedura:

  1. Trovare Active Directory in cui eseguire la ricerca. È possibile usare l'opzione automatica o configurabile.
  2. Cercare l'attributo dell'utente di Active Directory, ad esempio Email, dal servizio Power BI. L'attributo si basa su una stringa UPN in ingresso, ad esempio firstName.lastName@contoso.com.
  3. Se la ricerca di Active Directory non riesce, tenta di passare l'UPN a SSAS come EffectiveUserName.
  4. Se la ricerca di Active Directory ha esito positivo, recupera l'oggetto dell'utente UserPrincipalName di Active Directory.
  5. Il mapping passa il UserPrincipalName messaggio di posta elettronica, ad esempio Alias@corp.on-prem.contoso, a SSAS come EffectiveUserName.

Nota

Tutti i mapping utente UPN manuali definiti nella configurazione del gateway dell'origine dati di Power BI vengono applicati prima di inviare la stringa UPN al gateway dati locale.

Affinché la ricerca di Active Directory funzioni correttamente in fase di esecuzione, è necessario modificare il servizio gateway dati locale per l'esecuzione con un account di dominio anziché con un account del servizio locale.

  1. Assicurarsi di scaricare e installare il gateway più recente.

  2. Nell'app gateway dati locale nel computer passare a Impostazioni>del servizio Modificare l'account del servizio. Assicurarsi di avere la chiave di ripristino per il gateway, perché è necessario ripristinarla nello stesso computer, a meno che non si voglia creare un nuovo gateway. Per rendere effettiva la modifica, è necessario riavviare il servizio gateway.

  3. Passare alla cartella di installazione del gateway, C:\Programmi\Gateway dati locale, come amministratore per assicurarsi di disporre delle autorizzazioni di scrittura. Aprire il file Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config .

  4. Modificare i ADUserNameLookupProperty valori e ADUserNameReplacementProperty in base alle configurazioni degli attributi di Active Directory per gli utenti di ACTIVE Directory. I valori nell'immagine seguente sono esempi. Queste configurazioni fanno distinzione tra maiuscole e minuscole, quindi assicurarsi che corrispondano ai valori in AD.

    Screenshot of Active Directory settings.

    Se il file non fornisce alcun valore per la ADServerPath configurazione, il gateway usa il catalogo globale predefinito. È possibile specificare più valori per .ADServerPath I valori devono essere separati da punto e virgola, come nell'esempio seguente:

    <setting name="ADServerPath" serializeAs="String">
    <value> GC://serverpath1; GC://serverpath2;GC://serverpath3</value>
</setting>

    Il gateway analizza i valori per ADServerPath da sinistra a destra fino a quando non trova una corrispondenza. Se il gateway non trova una corrispondenza, usa l'UPN originale. Assicurarsi che l'account che esegue il servizio gateway, PBIEgwService, disponga delle autorizzazioni di query per tutti i server AD specificati in ADServerPath.

    Il gateway supporta due tipi di ADServerPath:

    • Per WinNT: <value="WinNT://usa.domain.corp.contoso.com,computer"/>
    • Per il catalogo globale (GC): <value> GC://USA.domain.com </value>

  5. Riavviare il servizio gateway dati locale per rendere effettiva la modifica della configurazione.

Autenticazione in un'origine dati di Analysis Services in tempo reale

Ogni volta che un utente interagisce con Analysis Services, il nome utente effettivo viene passato al gateway e quindi al server Analysis Services locale. L'UPN, che è in genere l'indirizzo di posta elettronica usato per accedere al cloud, viene passato ad Analysis Services come utente effettivo nella EffectiveUserName proprietà di connessione.

Quando il set di dati è in modalità di importazione, il gateway invierà effectiveUserName dell'UPN del proprietario del set di dati. Ciò significa che l'UPN del proprietario del set di dati verrà passato ad Analysis Services come utente effettivo nella EffectiveUserName proprietà di connessione.

Questo indirizzo di posta elettronica deve corrispondere a un UPN definito all'interno del dominio di Active Directory locale. L'UPN è una proprietà di un account AD. Un account di Windows deve essere presente in un ruolo di Analysis Services per avere accesso al server. Se non viene trovata alcuna corrispondenza in Active Directory, l'accesso non avrà esito positivo.

Sicurezza basata su ruoli e a livello di riga

Analysis Services può anche fornire filtri in base all'account Di Active Directory. Il filtro può usare la sicurezza basata sui ruoli o la sicurezza a livello di riga. La capacità di un utente di eseguire query e visualizzare i dati del modello dipende dai ruoli a cui appartiene l'account utente di Windows e dalla sicurezza dinamica a livello di riga, se configurata.

  • Sicurezza basata sui ruoli. I modelli offrono sicurezza in base ai ruoli utente. È possibile definire i ruoli per un progetto di modello specifico durante la creazione in strumenti di Business Intelligence di SQL Server Data Tools. Dopo la distribuzione di un modello, è possibile definire i ruoli usando SQL Server Management Studio. I ruoli contengono membri assegnati dal nome utente di Windows o dal gruppo di Windows.

    I ruoli definiscono le autorizzazioni che gli utenti devono eseguire query o eseguire azioni sul modello. La maggior parte degli utenti appartiene a un ruolo con autorizzazioni di lettura. Altri ruoli offrono agli amministratori le autorizzazioni per elaborare gli elementi, gestire le funzioni del database e gestire altri ruoli.

  • Sicurezza a livello di riga. I modelli possono fornire sicurezza dinamica a livello di riga. Qualsiasi sicurezza a livello di riga definita è specifica di Analysis Services. Per la sicurezza basata sui ruoli, ogni utente deve avere almeno un ruolo, ma nessun modello tabulare richiede la sicurezza dinamica a livello di riga.

    A livello generale, la sicurezza dinamica definisce l'accesso in lettura di un utente ai dati in determinate righe in determinate tabelle. Analogamente ai ruoli, la sicurezza dinamica a livello di riga si basa sul nome utente di Windows di un utente.

L'implementazione della sicurezza a livello di riga dinamica e del ruolo nei modelli esula dall'ambito di questo articolo. Per altre informazioni, vedere Ruoli nei modelli tabulari e Ruoli di sicurezza (Analysis Services - Dati multidimensionali). Per informazioni più approfondite sulla sicurezza dei modelli tabulari, scaricare il white paper Protezione del modello semantico BI tabulare.

Autenticazione Microsoft Entra

I servizi cloud Microsoft usano Microsoft Entra ID per autenticare gli utenti. Microsoft Entra ID è il tenant che contiene nomi utente e gruppi di sicurezza. In genere, l'indirizzo di posta elettronica con cui un utente accede è uguale all'UPN dell'account.

Ruoli nell'istanza di Active Directory locale

Affinché Analysis Services determini se un utente appartiene a un ruolo con autorizzazioni per la lettura dei dati, il server deve convertire il nome utente effettivo passato da Microsoft Entra ID al gateway e al server Analysis Services. Il server Analysis Services passa il nome utente effettivo a un controller di dominio di Windows Active Directory.The Analysis Services server pass the effective user name to a Windows Active Directory domain controller (DC). Il controller di dominio Active Directory verifica quindi che il nome utente effettivo sia un UPN valido in un account locale. Il controller di dominio restituisce il nome utente di Windows dell'utente al server Analysis Services.

Non è possibile usare EffectiveUserName in un server Analysis Services non aggiunto a un dominio. Il server Analysis Services deve essere aggiunto a un dominio per evitare errori di accesso.

Identificare l'UPN

È possibile che non si conosca l'UPN e che non si sia un amministratore di dominio. È possibile usare il comando seguente dalla workstation per individuare l'UPN per l'account:

whoami /upn

Il risultato è simile a un indirizzo di posta elettronica, ma è l'UPN presente nell'account di dominio. Se si usa un'origine dati di Analysis Services per le connessioni dinamiche e questo UPN non corrisponde all'indirizzo di posta elettronica usato per accedere a Power BI, potrebbe essere necessario eseguire il mapping del nome utente.

Sincronizzare un'istanza locale di AD con Microsoft Entra ID

Se si prevede di usare le connessioni dinamiche di Analysis Services, gli account AD locali devono corrispondere all'ID Microsoft Entra. L'UPN deve corrispondere tra gli account.

I servizi cloud usano solo gli account all'interno di Microsoft Entra ID. Se si aggiunge un account nell'istanza di AD locale che non esiste nell'ID Microsoft Entra, non è possibile usare l'account. Esistono diversi modi per associare gli account AD locali con Microsoft Entra ID:

  • Aggiungere manualmente gli account all'ID Microsoft Entra.

    Creare un account nel portale di Azure o all'interno del interfaccia di amministrazione di Microsoft 365 con un nome di account corrispondente all'UPN dell'account AD locale.

  • Usare Microsoft Entra Connessione Sync per sincronizzare gli account locali con il tenant di Microsoft Entra.

    Microsoft Entra Connessione garantisce che l'UPN corrisponda tra Microsoft Entra ID e l'istanza di AD locale. Lo strumento Microsoft Entra Connessione offre opzioni per la sincronizzazione della directory e la configurazione dell'autenticazione. Le opzioni includono la sincronizzazione dell'hash delle password, l'autenticazione pass-through e la federazione. Se non si è un amministratore o un amministratore di dominio locale, contattare l'amministratore IT per assistenza per la configurazione.

    Nota

    La sincronizzazione degli account con Microsoft Entra Connessione Sync crea nuovi account all'interno del tenant di Microsoft Entra.

Usare l'origine dati

Dopo aver aggiunto l'origine dati SSAS, è disponibile per l'uso con connessioni dinamiche o tramite l'aggiornamento pianificato.

Nota

Il nome del server e del database deve corrispondere tra Power BI Desktop e l'origine dati all'interno del gateway dati locale.

Il collegamento tra il set di dati e l'origine dati all'interno del gateway si basa sul nome del server e sul nome del database. Questi nomi devono corrispondere. Ad esempio, se si specifica un indirizzo IP per il nome del server in Power BI Desktop, è necessario usare l'indirizzo IP per l'origine dati all'interno della configurazione del gateway. Se si usa edizione Standard RVER\INSTANCE in Power BI Desktop, è necessario usare anche edizione Standard RVER\INSTANCE all'interno dell'origine dati configurata per il gateway. Questo requisito è valido sia per le connessioni dinamiche che per l'aggiornamento pianificato.

Usare l'origine dati con connessioni dinamiche

È possibile usare una connessione dinamica su istanze tabulari o multidimensionali. Quando ci si connette per la prima volta ai dati, selezionare una connessione dinamica in Power BI Desktop. Assicurarsi che il server e il nome del database corrispondano tra Power BI Desktop e l'origine dati configurata per il gateway. Inoltre, per poter pubblicare set di dati di connessione dinamica, gli utenti devono essere visualizzati in Utenti nell'elenco delle origini dati.

Dopo aver pubblicato i report, da Power BI Desktop o recuperando i dati nella servizio Power BI, la connessione dati dovrebbe iniziare a funzionare. Potrebbero essere necessari alcuni minuti dopo aver creato l'origine dati nel gateway prima di poter usare la connessione.

Usare l'origine dati con l'aggiornamento pianificato

Se si è elencati nella scheda Utenti dell'origine dati configurata all'interno del gateway e il nome del server e del database corrispondono, viene visualizzato il gateway come opzione da usare con l'aggiornamento pianificato.

Screenshot of selecting the on-premises gateway to use for scheduled refresh.

Limitazioni delle connessioni dinamiche di Analysis Services

  • Le funzionalità di formattazione e traduzione a livello di cella non sono supportate.

  • Le azioni e i set denominati non vengono esposti a Power BI. È comunque possibile connettersi a cubi multidimensionali che contengono azioni o set denominati per creare oggetti visivi e report.

Requisiti dello SKU

Versione del server SKU obbligatorio
2012 SP1 CU4 o versione successiva Business Intelligence e SKU aziendale
2014 Business Intelligence e SKU aziendale
2016 SKU Standard o superiore

Contenuto correlato

Altre domande? Provare il Community di Power BI.