Autenticação e permissões de utilizador

  • Artigo

O Azure Analysis Services utiliza o Microsoft Entra ID para a gestão de identidades e a autenticação de utilizadores. Qualquer usuário que crie, gerencie ou se conecte a um servidor do Azure Analysis Services deve ter uma identidade de usuário válida em um locatário do Microsoft Entra na mesma assinatura.

O Azure Analysis Services suporta a colaboração B2B do Microsoft Entra. Com o B2B, os utilizadores externos a uma organização podem ser convidados como utilizadores convidados num diretório do Microsoft Entra. Os convidados podem ser de outro diretório de inquilinos do Microsoft Entra ou de qualquer endereço de e-mail válido. Uma vez convidado e o usuário aceita o convite enviado por email do Azure, a identidade do usuário é adicionada ao diretório do locatário. Essas identidades podem ser adicionadas a grupos de segurança ou como membros de um administrador de servidor ou função de base de dados.

Azure Analysis Services authentication architecture

Autenticação

Todas as aplicações e ferramentas cliente utilizam uma ou mais bibliotecas de cliente (AMO, MSOLAP, ADOMD) do Analysis Services para ligar a um servidor.

Todas as três bibliotecas de cliente suportam o fluxo interativo do Microsoft Entra e métodos de autenticação não interativos. Os dois métodos não interativos, Senha do Ative Directory e Autenticação Integrada do Ative Directory, podem ser usados em aplicativos que utilizam AMOMD e MSOLAP. Esses dois métodos nunca resultam em caixas de diálogo pop-up para entrar.

Aplicativos cliente como Excel e Power BI Desktop e ferramentas como SSMS e extensão de projetos do Analysis Services para Visual Studio instalam as versões mais recentes das bibliotecas de cliente com atualizações regulares. A extensão de projetos do Power BI Desktop, SSMS e Analysis Services é atualizada mensalmente. O Excel é atualizado com o Microsoft 365. As atualizações do Microsoft 365 são menos frequentes e algumas organizações usam o canal adiado, o que significa que as atualizações são adiadas até três meses.

Dependendo da aplicação cliente ou das ferramentas que utiliza, o tipo de autenticação e a forma como inicia sessão podem ser diferentes. Cada aplicação pode suportar diferentes funcionalidades para estabelecer ligação a serviços cloud, como o Azure Analysis Services.

O Power BI Desktop, o Visual Studio e o SQL Server Management Studio suportam a Autenticação Universal do Active Directory, um método interativo que também suporta a autenticação multifator (MFA) do Microsoft Entra. A autenticação multifator Microsoft Entra ajuda a proteger o acesso a dados e aplicativos enquanto fornece um processo de entrada simples. Ele oferece autenticação forte com várias opções de verificação (chamada telefônica, mensagem de texto, cartões inteligentes com pino ou notificação de aplicativo móvel). A MFA interativa com o Microsoft Entra ID pode resultar numa caixa de diálogo de pop-up para validação. A autenticação universal é recomendada.

Se entrar no Azure usando uma conta do Windows e a Autenticação Universal não estiver selecionada ou disponível (Excel), os Serviços de Federação do Ative Directory (AD FS) serão necessários. Com a Federação, os usuários do Microsoft Entra ID e do Microsoft 365 são autenticados usando credenciais locais e podem acessar os recursos do Azure.

SQL Server Management Studio (SSMS)

Os servidores do Azure Analysis Services dão suporte a conexões do SSMS V17.1 e superior usando a Autenticação do Windows, a Autenticação de Senha do Ative Directory e a Autenticação Universal do Ative Directory. Em geral, é recomendável usar a Autenticação Universal do Ative Directory porque:

  • Suporta métodos de autenticação interativos e não interativos.

  • Suporta utilizadores convidados B2B do Azure convidados para o inquilino do Azure AS. Ao se conectar a um servidor, os usuários convidados devem selecionar Autenticação Universal do Ative Directory ao se conectar ao servidor.

  • Suporta autenticação multifator (MFA). A autenticação multifator Microsoft Entra ajuda a proteger o acesso a dados e aplicativos com uma variedade de opções de verificação: chamada telefônica, mensagem de texto, cartões inteligentes com PIN ou notificação de aplicativo móvel. A MFA interativa com o Microsoft Entra ID pode resultar numa caixa de diálogo de pop-up para validação.

Visual Studio

O Visual Studio se conecta ao Azure Analysis Services usando a Autenticação Universal do Ative Directory com suporte a MFA. Os usuários são solicitados a entrar no Azure na primeira implantação. Os usuários devem entrar no Azure com uma conta com permissões de administrador de servidor no servidor em que estão implantando. Ao entrar no Azure pela primeira vez, um token é atribuído. O token é armazenado em cache na memória para futuras reconexões.

Power BI Desktop

O Power BI Desktop se conecta ao Azure Analysis Services usando a Autenticação Universal do Ative Directory com suporte a MFA. Os usuários são solicitados a entrar no Azure na primeira conexão. Os usuários devem entrar no Azure com uma conta incluída em uma função de administrador de servidor ou banco de dados.

Excel

Os usuários do Excel podem se conectar a um servidor usando uma conta do Windows, uma ID da organização (endereço de email) ou um endereço de email externo. Identidades de email externas devem existir na ID do Microsoft Entra como um usuário convidado.

Permissões de utilizador

Os administradores de servidor são específicos de uma instância de servidor do Azure Analysis Services. Eles se conectam a ferramentas como o portal do Azure, SSMS e Visual Studio para executar tarefas como definir configurações e gerenciar funções de usuário. Por padrão, o usuário que cria o servidor é adicionado automaticamente como administrador do servidor do Analysis Services. Outros administradores podem ser adicionados usando o portal do Azure ou o SSMS. Os administradores de servidor devem ter uma conta no locatário do Microsoft Entra na mesma assinatura. Para saber mais, consulte Gerenciar administradores de servidor.

Os usuários de banco de dados se conectam a bancos de dados modelo usando aplicativos cliente como Excel ou Power BI. Os usuários devem ser adicionados às funções de banco de dados. As funções de banco de dados definem permissões de administrador, processo ou leitura para um banco de dados. É importante entender que os usuários de banco de dados em uma função com permissões de administrador são diferentes dos administradores de servidor. No entanto, por padrão, os administradores de servidor também são administradores de banco de dados. Para saber mais, consulte Gerenciar funções e usuários do banco de dados.

Proprietários de recursos do Azure. Os proprietários de recursos gerenciam recursos para uma assinatura do Azure. Os proprietários de recursos podem adicionar identidades de usuário do Microsoft Entra a Funções de Proprietário ou Colaborador em uma assinatura usando o Controle de acesso no portal do Azure ou com modelos do Azure Resource Manager.

Access control in Azure portal

As funções nesse nível se aplicam a usuários ou contas que precisam executar tarefas que podem ser concluídas no portal ou usando modelos do Azure Resource Manager. Para saber mais, veja Controlo de acesso baseado em funções do Azure (Azure RBAC)

Funções do banco de dados

As funções definidas para um modelo tabular são funções de banco de dados. Ou seja, as funções contêm membros que consistem em usuários do Microsoft Entra e grupos de segurança que têm permissões específicas que definem a ação que esses membros podem executar em um banco de dados modelo. Uma função de base de dados é criada como um objeto separado na base de dados e aplica-se apenas à base de dados na qual essa função é criada.

Por padrão, quando você cria um novo projeto de modelo de tabela, o projeto de modelo não tem nenhuma função. As funções podem ser definidas usando a caixa de diálogo Gerenciador de Funções no Visual Studio. Quando as funções são definidas durante o design do projeto de modelo, elas são aplicadas somente ao banco de dados do espaço de trabalho do modelo. Quando o modelo é implantado, as mesmas funções são aplicadas ao modelo implantado. Após a implantação de um modelo, os administradores de servidor e banco de dados podem gerenciar funções e membros usando o SSMS. Para saber mais, consulte Gerenciar funções e usuários do banco de dados.

Considerações e limitações

  • O Azure Analysis Services não oferece suporte ao uso de senha única para usuários B2B

Próximos passos

Gerenciar o acesso a recursos com grupos do Microsoft Entra
Gerenciar funções e usuários do banco de dados
Gerir administradores de servidor
Controle de acesso baseado em função do Azure (Azure RBAC)