Hantera SQL Server Analysis Services-datakällor

  • Artikel

Kommentar

Vi har delat upp dokumenten för den lokala datagatewayen i innehåll som är specifikt för Power BI och allmänt innehåll som gäller för alla tjänster som gatewayen stöder. Du finns för närvarande i Power BI-innehållet. Om du vill ge feedback om den här artikeln eller den övergripande gatewaydokumentupplevelsen bläddrar du längst ned i artikeln.

När du har installerat en lokal datagateway kan du lägga till datakällor som ska användas med gatewayen. Den här artikeln beskriver hur du lägger till en SQL Server Analysis Services-datakälla (SSAS) till din lokala gateway som ska användas för schemalagd uppdatering eller för liveanslutningar.

Om du vill veta mer om hur du konfigurerar en live-anslutning till SSAS kan du titta på den här Power BI-genomgången: Analysis Services Live Anslut video.

Kommentar

Om du har en Analysis Services-datakälla måste du installera gatewayen på en dator som är ansluten till samma skog eller domän som Analysis Services-servern.

Kommentar

Gatewayen stöder endast Windows-autentisering för Analysis Services.

Lägga till en datakälla

Så här ansluter du till antingen en flerdimensionell eller tabellbaserad Analysis Services-datakälla:

  1. På skärmen Ny anslutning för din lokala datagateway väljer du Analysis Services för Anslut ionstyp. Mer information om hur du lägger till en datakälla finns i Lägga till en datakälla.

    Screenshot of adding the Analysis Services data type.

  2. Fyll i informationen för datakällan, som innehåller Server och Databas. Gatewayen använder den information som du anger för Användarnamn och Lösenord för att ansluta till Analysis Services-instansen.

    Screenshot that shows the data source credentials settings.

    Kommentar

    Det Windows-konto som du anger måste vara medlem i rollen Serveradministratör på analysis services-instansen som du ansluter till. Om kontots lösenord är inställt på att upphöra att gälla får användarna ett anslutningsfel om du inte uppdaterar lösenordet för datakällan. Mer information om hur autentiseringsuppgifter lagras finns i Lagra krypterade autentiseringsuppgifter i molnet.

  3. Konfigurera sekretessnivån för din datakälla. Den här inställningen styr hur data kan kombineras för schemalagd uppdatering. Sekretessnivåinställningen gäller inte för liveanslutningar. Mer information om sekretessnivåer för din datakälla finns i Ange sekretessnivåer (Power Query).

    Screenshot of the Privacy level setting.

  4. Du kan också konfigurera mappning av användarnamn nu. Anvisningar finns i Manuell mappning av användarnamn.

  5. När du har slutfört alla fält väljer du Skapa.

Du kan nu använda den här datakällan för schemalagd uppdatering eller live-anslutningar mot en lokal Analysis Services-instans.

Användarnamn för Analysis Services

Om du vill veta mer om autentisering med Analysis Services live-anslutningar i Power BI kan du titta på den här videon:

Kommentar

Den här videon kan använda tidigare versioner av Power BI Desktop eller Power BI-tjänst.

Varje gång en användare interagerar med en rapport som är ansluten till Analysis Services skickas det effektiva användarnamnet till gatewayen och skickas sedan vidare till din lokala Analysis Services-server. Den e-postadress som du använder för att logga in på Power BI skickas till Analysis Services som den effektiva användaren i anslutningsegenskapen EffectiveUserName .

E-postadressen måste matcha ett definierat användarhuvudnamn (UPN) inom den lokala Active Directory-domänen (AD). UPN är en egenskap för ett AD-konto. Windows-kontot måste finnas i en Analysis Services-roll. Om det inte går att hitta en matchning i AD lyckas inte inloggningen. Mer information om AD och namngivning av användare finns i Namngivningsattribut för användare.

Mappa användarnamn för Analysis Services-datakällor

Du kan också mappa ditt Power BI-inloggningsnamn till ett lokalt katalog-UPN. Om du vill veta mer om UPN-mappning i Power BI kan du titta på den här videon:

Kommentar

Den här videon kan använda tidigare versioner av Power BI Desktop eller Power BI-tjänst.

Power BI tillåter mappning av användarnamn för Analysis Services-datakällor. Du kan konfigurera regler för att mappa ett Power BI-inloggningsanvändarnamn till en EffectiveUserName som skickas till Analysis Services-anslutningen. Den här funktionen är en bra lösning när ditt Microsoft Entra-användarnamn inte matchar ett UPN i din lokala Active Directory-instans. Om din e-postadress till exempel är meganb@contoso.onmicrosoft.comkan du mappa den till meganb@contoso.comoch det värdet skickas vidare till gatewayen.

Du kan mappa användarnamn för Analysis Services på två olika sätt:

  • Manuell användarmappning i Power BI
  • Active Directory-sökningsmappning, som använder lokal AD-egenskapsökning för att mappa om Microsoft Entra UPN till lokala AD-användare.

Manuell mappning med hjälp av lokal AD-egenskapsökning är möjlig, men det är tidskrävande och svårt att underhålla, särskilt när mönstermatchning inte räcker. Domännamn eller användarnamn kan till exempel skilja sig mellan Microsoft Entra-ID och lokal AD. Därför rekommenderas inte manuell mappning med den andra metoden.

I följande avsnitt beskrivs de två mappningsmetoderna.

Manuell användarmappning i Power BI

Du kan konfigurera anpassade UPN-regler i Power BI för Analysis Services-datakällor. Anpassade regler hjälper om ditt Power BI-tjänst inloggningsnamn inte matchar ditt lokala katalog-UPN. Om du till exempel loggar in på Power BI med meganb@contoso.com men din lokala katalog UPN är meganb@contoso.localkan du konfigurera en mappningsregel för att skicka meganb@contoso.local till Analysis Services.

Viktigt!

Mappningen fungerar för den specifika datakälla som konfigureras. Det är inte en global inställning. Om du har flera Analysis Services-datakällor måste du mappa användarna för varje datakälla.

Följ dessa steg för att utföra manuell UPN-mappning:

  1. Under Power BI-kugghjulsikonen väljer du Hantera gatewayer och anslutningar.

  2. Välj datakällan och välj sedan Inställningar på den översta menyn.

  3. På skärmen Inställningar i rutan Mappa användarnamn kontrollerar du att EffectiveUserName är markerat och väljer sedan Lägg till ny regel.

    Screenshot of the UPN mapping screen.

  4. Under Mappa användarnamn för varje användarnamn som ska mappas anger du värden för Ursprungligt namn och Nytt namn och väljer sedan Lägg till ny regel. Värdet Ersätt är inloggningsadressen för Power BI och värdet Med är det värde som ska ersättas med. Ersättningen skickas EffectiveUserName till egenskapen för Analysis Services-anslutningen.

    Screenshot of Add new rule in the Map user names box.

    Till exempel:

    Screenshot of example mapping rules.

    Kommentar

    Se till att inte ändra användare som du inte tänker ändra. Om du till exempel ersätter det ursprungliga namnetcontoso.com på med ett Nytt namn@contoso.localersätts alla användarinloggningar som innehåller @contoso.com med @contoso.local. Om du ersätter ett ursprungligt namnmeganb@contoso.com med ett Nytt namnmeganb@contoso.localskickas inloggningen v-meganb@contoso.com till som v-meganb@contoso.local.

    Du kan välja ett objekt i listan och ordna om det genom att dra och släppa, eller ta bort en post genom att välja papperskorgsikonen.

Använda ett jokertecken

Du kan använda ett * jokertecken för strängen Ersätt (ursprungligt namn). Du kan bara använda jokertecknet på egen hand och inte med någon annan strängdel. Använd ett jokertecken om du vill ersätta alla användare med ett enda värde för att skicka till datakällan. Den här metoden är användbar när du vill att alla användare i en organisation ska använda samma användare i din lokala miljö.

Testa mappningsregeln

Om du vill verifiera namnbytet anger du ett värde för Ursprungligt namn och väljer Testregel.

Screenshot of testing a mapping rule.

Kommentar

De sparade reglerna fungerar direkt i webbläsaren. Det tar några minuter innan Power BI-tjänst börjar använda de sparade reglerna.

Active Directory-sökningsmappning

I det här avsnittet beskrivs hur du gör en lokal Active Directory egenskapssökning för att mappa om Microsoft Entra UPN till AD-användare. Granska först hur den här ommappningen fungerar.

Varje fråga från en Power BI Microsoft Entra-användare till en lokal SSAS-server skickar en UPN-sträng som firstName.lastName@contoso.com.

Sökningsmappning i en lokal datagateway med konfigurerbar anpassad användarmappning följer dessa steg:

  1. Sök i Active Directory. Du kan använda automatisk eller konfigurerbar.
  2. Leta upp attributet för Active Directory-användaren, till exempel e-post, från Power BI-tjänst. Attributet baseras på en inkommande UPN-sträng som firstName.lastName@contoso.com.
  3. Om Active Directory-sökningen misslyckas försöker den skicka upn till SSAS som EffectiveUserName.
  4. Om Active Directory-sökningen lyckas hämtar den UserPrincipalName active directory-användarens.
  5. Mappningen skickar e-postmeddelandet UserPrincipalName , till exempel Alias@corp.on-prem.contoso, till SSAS som EffectiveUserName.

Kommentar

Alla manuella UPN-användarmappningar som definierats i power BI-datakällans gatewaykonfiguration tillämpas innan DU skickar UPN-strängen till den lokala datagatewayen.

För att Active Directory-sökningen ska fungera korrekt vid körning måste du ändra den lokala datagatewaytjänsten så att den körs med ett domänkonto i stället för ett lokalt tjänstkonto.

  1. Se till att ladda ned och installera den senaste gatewayen.

  2. I den lokala datagatewayappen på datorn går du till Tjänstinställningar>Ändra tjänstkonto. Kontrollera att du har återställningsnyckeln för gatewayen eftersom du måste återställa den på samma dator om du inte vill skapa en ny gateway. Du måste starta om gatewaytjänsten för att ändringen ska börja gälla.

  3. Gå till gatewayens installationsmapp, C:\Program Files\On-premises data gateway, som administratör för att säkerställa att du har skrivbehörighet. Öppna filen Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config.

  4. ADUserNameLookupProperty Redigera värdena och ADUserNameReplacementProperty enligt AD-attributkonfigurationerna för dina AD-användare. Värdena i följande bild är exempel. Dessa konfigurationer är skiftlägeskänsliga, så se till att de matchar värdena i AD.

    Screenshot of Active Directory settings.

    Om filen inte innehåller något värde för konfigurationen ADServerPath använder gatewayen den globala standardkatalogen. Du kan ange flera värden för ADServerPath. Värdena måste avgränsas med semikolon, som i följande exempel:

    <setting name="ADServerPath" serializeAs="String">
    <value> GC://serverpath1; GC://serverpath2;GC://serverpath3</value>
</setting>

    Gatewayen parsar värdena för ADServerPath från vänster till höger tills den hittar en matchning. Om gatewayen inte hittar någon matchning använder den det ursprungliga UPN:t. Kontrollera att kontot som kör gatewaytjänsten, PBIEgwService, har frågebehörighet till alla AD-servrar som du anger i ADServerPath.

    Gatewayen stöder två typer av ADServerPath:

    • För WinNT: <value="WinNT://usa.domain.corp.contoso.com,computer"/>
    • För global katalog (GC): <value> GC://USA.domain.com </value>

  5. Starta om den lokala datagatewaytjänsten för att konfigurationsändringen ska börja gälla.

Autentisering till en live Analysis Services-datakälla

Varje gång en användare interagerar med Analysis Services skickas det effektiva användarnamnet till gatewayen och sedan till den lokala Analysis Services-servern. UPN, som vanligtvis är den e-postadress som du använder för att logga in i molnet, skickas till Analysis Services som den effektiva användaren i anslutningsegenskapen EffectiveUserName .

När datauppsättningen är i importläge skickar gatewayen EffectiveUserName för UPN för datamängdsägaren. Det innebär att UPN för datamängdsägaren skickas till Analysis Services som den effektiva användaren i anslutningsegenskapen EffectiveUserName .

Den här e-postadressen ska matcha ett definierat UPN i den lokala Active Directory-domänen. UPN är en egenskap för ett AD-konto. Ett Windows-konto måste finnas i en Analysis Services-roll för att ha åtkomst till servern. Om ingen matchning hittas i Active Directory lyckas inte inloggningen.

Säkerhet på roll- och radnivå

Analysis Services kan också tillhandahålla filtrering baserat på Active Directory-kontot. Filtreringen kan använda rollbaserad säkerhet eller säkerhet på radnivå. En användares möjlighet att fråga och visa modelldata beror på de roller som deras Windows-användarkonto tillhör och på dynamisk säkerhet på radnivå om det är konfigurerat.

  • Rollbaserad säkerhet. Modeller ger säkerhet baserat på användarroller. Du kan definiera roller för ett visst modellprojekt under redigering i SQL Server Data Tools Business Intelligence-verktyg. När en modell har distribuerats kan du definiera roller med hjälp av SQL Server Management Studio. Roller innehåller medlemmar som tilldelats efter Windows-användarnamn eller efter Windows-grupp.

    Roller definierar de behörigheter som användare måste köra frågor mot eller vidta åtgärder för modellen. De flesta användare tillhör en roll med läsbehörighet. Andra roller ger administratörer behörighet att bearbeta objekt, hantera databasfunktioner och hantera andra roller.

  • Säkerhet på radnivå. Modeller kan ge dynamisk säkerhet på radnivå. All definierad säkerhet på radnivå är specifik för Analysis Services. För rollbaserad säkerhet måste varje användare ha minst en roll, men ingen tabellmodell kräver dynamisk säkerhet på radnivå.

    På hög nivå definierar dynamisk säkerhet en användares läsåtkomst till data, särskilt rader i vissa tabeller. På liknande sätt som roller förlitar sig dynamisk säkerhet på radnivå på en användares Windows-användarnamn.

Implementering av roll och dynamisk säkerhet på radnivå i modeller ligger utanför omfånget för den här artikeln. Mer information finns i Roller i tabellmodeller och säkerhetsroller (Analysis Services – flerdimensionella data). För den mest djupgående förståelsen av säkerhet för tabellmodeller laddar du ned white paper om att skydda tabell-BI-semantikmodellen .

Microsoft Entra-autentisering

Microsofts molntjänster använder Microsoft Entra-ID för att autentisera användare. Microsoft Entra ID är klientorganisationen som innehåller användarnamn och säkerhetsgrupper. Vanligtvis är e-postadressen som en användare loggar in med samma som UPN för kontot.

Roller i den lokala Active Directory-instansen

För att Analysis Services ska kunna avgöra om en användare tillhör en roll med behörighet att läsa data måste servern konvertera det effektiva användarnamn som skickas från Microsoft Entra-ID:t till gatewayen och vidare till Analysis Services-servern. Analysis Services-servern skickar det effektiva användarnamnet till en Windows Active Directory-domänkontrollant (DC). Active Directory DC verifierar sedan att det effektiva användarnamnet är ett giltigt UPN på ett lokalt konto. Domänkontrollanten returnerar användarens Windows-användarnamn tillbaka till Analysis Services-servern.

Du kan inte använda EffectiveUserName på en icke-domänansluten Analysis Services-server. Analysis Services-servern måste vara ansluten till en domän för att undvika inloggningsfel.

Identifiera ditt UPN

Du kanske inte vet vad ditt UPN är och du kanske inte är domänadministratör. Du kan använda följande kommando från din arbetsstation för att ta reda på UPN för ditt konto:

whoami /upn

Resultatet ser ut ungefär som en e-postadress, men är det UPN som finns på ditt domänkonto. Om du använder en Analysis Services-datakälla för liveanslutningar och detta UPN inte matchar den e-postadress som du använder för att logga in på Power BI, kan du behöva mappa ditt användarnamn.

Synkronisera en lokal AD med Microsoft Entra-ID

Om du planerar att använda Analysis Services live-anslutningar måste dina lokala AD-konton matcha Microsoft Entra-ID. UPN måste matcha mellan kontona.

Molntjänster använder endast konton i Microsoft Entra-ID. Om du lägger till ett konto i din lokala AD-instans som inte finns i Microsoft Entra-ID kan du inte använda kontot. Det finns flera sätt att matcha dina lokala AD-konton med Microsoft Entra-ID:

  • Lägg till konton manuellt i Microsoft Entra-ID.

    Skapa ett konto på Azure-portalen eller inom Administrationscenter för Microsoft 365 med ett kontonamn som matchar UPN för det lokala AD-kontot.

  • Använd Microsoft Entra Anslut Sync för att synkronisera lokala konton till din Microsoft Entra-klientorganisation.

    Microsoft Entra Anslut ser till att UPN matchar mellan Microsoft Entra ID och din lokala AD-instans. Verktyget Microsoft Entra Anslut innehåller alternativ för katalogsynkronisering och konfiguration av autentisering. Alternativen är synkronisering av lösenordshash, direktautentisering och federation. Om du inte är administratör eller lokal domänadministratör kontaktar du IT-administratören för att få hjälp med konfigurationen.

    Kommentar

    Om du synkroniserar konton med Microsoft Entra Anslut Sync skapas nya konton i din Microsoft Entra-klientorganisation.

Använda datakällan

När du har lagt till SSAS-datakällan är den tillgänglig att använda med antingen live-anslutningar eller via schemalagd uppdatering.

Kommentar

Server- och databasnamnet måste matcha mellan Power BI Desktop och datakällan i den lokala datagatewayen.

Länken mellan din datauppsättning och datakällan i gatewayen baseras på ditt servernamn och databasnamn. Dessa namn måste matcha. Om du till exempel anger en IP-adress för servernamnet i Power BI Desktop måste du använda IP-adressen för datakällan i gatewaykonfigurationen. Om du använder SERVER\INSTANCE i Power BI Desktop måste du också använda SERVER\INSTANCE i den datakälla som konfigurerats för gatewayen. Det här kravet gäller för både live-anslutningar och schemalagd uppdatering.

Använda datakällan med liveanslutningar

Du kan använda en live-anslutning mot tabell- eller flerdimensionella instanser. Du väljer en live-anslutning i Power BI Desktop när du först ansluter till data. Kontrollera att server- och databasnamnet matchar mellan Power BI Desktop och den konfigurerade datakällan för gatewayen. För att kunna publicera liveanslutningsdatauppsättningar måste användarna också visas under Användare i listan över datakällor.

När du har publicerat rapporter, antingen från Power BI Desktop eller genom att hämta data i Power BI-tjänst, bör dataanslutningen börja fungera. Det kan ta flera minuter efter att du har skapat datakällan i gatewayen innan du kan använda anslutningen.

Använda datakällan med schemalagd uppdatering

Om du visas på fliken Användare i datakällan som konfigurerats i gatewayen och server- och databasnamnet matchar visas gatewayen som ett alternativ att använda med schemalagd uppdatering.

Screenshot of selecting the on-premises gateway to use for scheduled refresh.

Begränsningar i Analysis Services live-anslutningar

  • Formatering och översättningsfunktioner på cellnivå stöds inte.

  • Åtgärder och namngivna uppsättningar exponeras inte för Power BI. Du kan fortfarande ansluta till flerdimensionella kuber som innehåller åtgärder eller namngivna uppsättningar för att skapa visuella objekt och rapporter.

SKU-krav

Serverversion Nödvändig SKU
2012 SP1 CU4 eller senare Business Intelligence och Enterprise SKU
2014 Business Intelligence och Enterprise SKU
2016 Standard-SKU eller högre

Relaterat innehåll

Har du fler frågor? Prova Power BI Community.