Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les rôles sont utilisés dans Microsoft SQL Server Analysis Services pour gérer la sécurité des objets et données Analysis Services. En termes de base, un rôle associe les identificateurs de sécurité (SID) des utilisateurs et des groupes Microsoft Windows qui ont des droits d’accès et des autorisations spécifiques définis pour les objets gérés par une instance d’Analysis Services. Deux types de rôles sont fournis dans Analysis Services :
Rôle serveur, rôle fixe qui fournit l’accès administrateur à une instance d’Analysis Services.
Rôles de base de données, rôles définis par les administrateurs pour contrôler l’accès aux objets et aux données pour les utilisateurs non administrateurs.
La sécurité dans la sécurité de Microsoft SQL Server Analysis Services est gérée à l’aide de rôles et d’autorisations. Les rôles sont des groupes d’utilisateurs. Les utilisateurs, également appelés membres, peuvent être ajoutés ou supprimés des rôles. Les autorisations pour les objets sont spécifiées par les rôles, et tous les membres d’un rôle peuvent utiliser les objets pour lesquels le rôle dispose d’autorisations. Tous les membres d’un rôle ont des autorisations égales pour les objets. Les autorisations sont particulières aux objets. Chaque objet a une collection d’autorisations avec les autorisations accordées sur cet objet, différents ensembles d’autorisations peuvent être accordés sur un objet. Chaque autorisation, de la collection d’autorisations de l’objet, a un rôle unique lui attribué.
Objets de rôle et de membre de rôle
Un rôle est un objet contenant pour une collection d’utilisateurs (membres). Une définition de rôle établit l’appartenance des utilisateurs dans Analysis Services. Étant donné que les autorisations sont attribuées par rôle, un utilisateur doit être membre d’un rôle avant que l’utilisateur ait accès à n’importe quel objet.
Un Role objet est composé des paramètres Name, Id et Members. Les membres sont une collection de chaînes. Chaque membre contient le nom d’utilisateur sous la forme « domain\username ». Nom est une chaîne qui contient le nom du rôle. L’ID est une chaîne qui contient l’identificateur unique du rôle.
Rôle serveur
Le rôle serveur Analysis Services définit l’accès administratif des utilisateurs et des groupes Windows à une instance d’Analysis Services. Les membres de ce rôle ont accès à toutes les bases de données et objets Analysis Services sur une instance d’Analysis Services et peuvent effectuer les tâches suivantes :
Effectuez des fonctions d’administration au niveau du serveur à l’aide de SQL Server Management Studio ou de SQL Server Data Tools (SSDT), notamment la création de bases de données et la définition des propriétés au niveau du serveur.
Effectuez des fonctions administratives par programmation avec Analysis Management Objects (AMO).
Conservez des rôles de base de données Analysis Services.
Démarrez des traces (autres que pour le traitement des événements, qui peuvent être effectués par un rôle de base de données avec accès au processus).
Chaque instance d’Analysis Services a un rôle serveur qui définit les utilisateurs qui peuvent administrer cette instance. Le nom et l’ID de ce rôle sont Administrateurs, et contrairement aux rôles de base de données, le rôle serveur ne peut pas être supprimé, ni les autorisations peuvent être ajoutées ou supprimées. En d’autres termes, un utilisateur est ou n’est pas administrateur pour une instance d’Analysis Services, selon qu’il est inclus dans le rôle serveur pour cette instance d’Analysis Services.
Rôles de base de données
Un rôle de base de données Analysis Services définit l’accès utilisateur aux objets et aux données d’une base de données Analysis Services. Un rôle de base de données est créé en tant qu’objet distinct dans une base de données Analysis Services et s’applique uniquement à la base de données dans laquelle ce rôle est créé. Les utilisateurs et groupes Windows sont inclus dans le rôle par un administrateur, qui définit également les autorisations dans le rôle.
Les autorisations d’un rôle peuvent autoriser les membres à accéder à la base de données et à l’administrer, en plus des objets et des données de la base de données. Chaque autorisation a un ou plusieurs droits d’accès associés à celui-ci, ce qui à son tour donne un contrôle plus fin sur l’accès à un objet particulier dans la base de données.
Objets d’autorisation
Les autorisations sont associées à un objet (cube, dimension, autres) pour un rôle particulier. Les autorisations spécifient les opérations que le membre de ce rôle peut effectuer sur cet objet.
La Permission classe est une classe abstraite. Par conséquent, vous devez utiliser les classes dérivées pour définir des autorisations sur les objets correspondants. Pour chaque objet, une classe dérivée d’autorisation est définie.
| Objet | classe |
|---|---|
| Database | DatabasePermission |
| DataSource | DataSourcePermission |
| Dimension | DimensionPermission |
| Cube | CubePermission |
| MiningStructure | MiningStructurePermission |
| MiningModel | MiningModelPermission |
Les actions possibles activées par les autorisations sont affichées dans la liste :
| Action | Valeurs | Explication |
|---|---|---|
| Processus | {true, false}Default= false |
Si true, les membres peuvent traiter l’objet et tout objet contenu dans l’objet.Les autorisations de processus ne s’appliquent pas aux modèles d’exploration de données. MiningModel les autorisations sont toujours héritées de MiningStructure. |
| ReadDefinition | {None, , AllowedBasic}Default= None |
Spécifie si les membres peuvent lire la définition de données (ASSL) associée à l’objet. Si Allowed, les membres peuvent lire l’ASSL associé à l’objet.Basic et Allowed sont hérités par des objets contenus dans l’objet.
Allowed remplacements Basic et None.Allowed est requis pour DISCOVER_XML_METADATA sur un objet.
Basic est nécessaire pour créer des objets liés et des cubes locaux. |
| Lire | {None, Allowed}Default= None (à l’exception de DimensionPermission, où default=Allowed) |
Spécifie si les membres ont un accès en lecture aux ensembles de lignes de schéma et au contenu des données.Allowed donne un accès en lecture sur une base de données, ce qui vous permet de découvrir une base de données.Allowed sur un cube donne un accès en lecture dans les ensembles de lignes de schéma et l’accès au contenu du cube (sauf contrainte par CellPermission et CubeDimensionPermission).Allowed sur une dimension accorde cette autorisation de lecture sur tous les attributs de la dimension (sauf contrainte par CubeDimensionPermission). l’autorisation Lecture est utilisé pour l’héritage CubeDimensionPermission statique au seul.
None sur une dimension masque la dimension et donne accès au membre par défaut uniquement pour les attributs aggregatables ; une erreur est générée si la dimension contient un attribut non aggregatable.Allowed sur une MiningModelPermission autorisation d’afficher des objets dans des ensembles de lignes de schéma et d’effectuer des jointures de prédiction.RemarqueAllowed est requis pour lire ou écrire dans n’importe quel objet de la base de données. |
| Écrire | {None, Allowed}Default= None |
Spécifie si les membres ont accès en écriture aux données de l’objet parent. L’accès s’applique aux sous-classes Cubeet MiningModel aux Dimensionsous-classes. Elle ne s’applique pas aux sous-classes de base de données MiningStructure , ce qui génère une erreur de validation. Allowed sur un accord d’autorisation Dimension d’écriture sur tous les attributs de la dimension.Allowed sur un accord d’autorisation Cube d’écriture sur les cellules du cube pour les partitions définies comme Type=writeback.Allowed sur une MiningModel autorisation de modification du contenu du modèle.Allowed sur un MiningStructure élément n’a aucune signification spécifique dans Analysis Services.
Note: L’écriture ne peut pas être définie sur sauf Allowed si la lecture est également définie sur Allowed |
| Remarque d’administration : Uniquement dans les autorisations de base de données | {true, false}Default= false |
Spécifie si les membres peuvent administrer une base de données.true accorde aux membres l’accès à tous les objets d’une base de données.Un membre peut avoir des autorisations d’administration pour une base de données spécifique, mais pas pour d’autres. |
Voir aussi
Autorisation de l’accès aux objets et aux opérations (Analysis Services)