角色會用於Microsoft SQL Server Analysis Services 來管理 Analysis Services 對象和數據的安全性。 基本上,角色會將Microsoft Windows 使用者和群組的安全性標識碼(SID)關聯,這些標識符具有 Analysis Services 實例所管理之物件的特定訪問許可權和許可權。 Analysis Services 中提供兩種類型的角色:
伺服器角色,這是一個固定角色,可讓系統管理員存取 Analysis Services 實例。
資料庫角色、系統管理員所定義的角色,可控制非系統管理員使用者的對象和數據存取權。
Microsoft SQL Server Analysis Services 安全性的安全性是使用角色和許可權來管理。 角色是使用者群組。 使用者,也稱為成員,可以從角色新增或移除。 對象的許可權是由角色指定,而角色中的所有成員都可以使用角色具有許可權的物件。 角色中的所有成員都有物件相等的許可權。 許可權是物件特有的。 每個物件都有許可權集合,該物件上授與的許可權,可以在物件上授與不同的許可權集合。 每個許可權,從對象的許可權集合,都有指派給它的單一角色。
角色和角色成員物件
角色是包含使用者集合的物件(成員)。 角色定義會建立 Analysis Services 中用戶的成員資格。 因為許可權是由角色指派,用戶必須是角色的成員,使用者才能存取任何物件。
Role物件是由參數 Name、Id 和 Members 所組成。 成員是字串的集合。 每個成員都會以 「domain\username」 的形式包含用戶名稱。 Name 是包含角色名稱的字串。 標識碼是包含角色唯一標識碼的字串。
伺服器角色
Analysis Services 伺服器角色會定義對 Analysis Services 實例的 Windows 使用者和群組的系統管理存取權。 此角色的成員可以存取 Analysis Services 實例上的所有 Analysis Services 資料庫和物件,而且可以執行下列工作:
使用 SQL Server Management Studio 或 SQL Server Data Tools 執行伺服器層級系統管理功能(SSDT),包括建立資料庫和設定伺服器層級屬性。
使用分析管理物件(AMO)以程式設計方式執行系統管理功能。
維護 Analysis Services 資料庫角色。
啟動追蹤(除了處理事件以外,此事件可由具有進程存取的資料庫角色執行)。
Analysis Services 的每個實例都有一個伺服器角色,可定義哪些使用者可以管理該實例。 此角色的名稱和標識碼是系統管理員,與資料庫角色不同,伺服器角色無法刪除,也無法新增或移除許可權。 換句話說,使用者是 Analysis Services 實例的系統管理員,視 Analysis Services 實例的伺服器角色是否包含在該 Analysis Services 實例中。
資料庫角色
Analysis Services 資料庫角色會定義使用者存取 Analysis Services 資料庫中的對象和數據。 資料庫角色會建立為 Analysis Services 資料庫中的個別物件,而且只會套用至建立該角色的資料庫。 系統管理員也會在角色中包含 Windows 使用者和群組,系統管理員也會定義角色內的許可權。
除了資料庫內的對象和數據之外,角色的許可權也可以允許成員存取及管理資料庫。 每個許可權都有一或多個與其相關聯的訪問許可權,進而讓許可權更精細地控制資料庫中特定物件的存取權。
Permission Objects
許可權會與特定角色的物件(Cube、維度、其他物件)相關聯。 許可權會指定該角色成員可以在該物件上執行的作業。
類別 Permission 是抽象類。 因此,您必須使用衍生類別來定義對應物件的許可權。 針對每個物件,會定義許可權衍生類別。
| 物體 | 班級 |
|---|---|
| Database | DatabasePermission |
| DataSource | DataSourcePermission |
| Dimension | DimensionPermission |
| Cube | CubePermission |
| MiningStructure | MiningStructurePermission |
| MiningModel | MiningModelPermission |
權限所啟用的可能動作會顯示在清單中:
| 行動 | 價值觀 | 說明 |
|---|---|---|
| 流程 | {true, false}Default= false |
如果 true為 ,成員可以處理 物件和物件中包含的任何物件。進程許可權不適用於採礦模型。 MiningModel 權限一律繼承自 MiningStructure。 |
| ReadDefinition | {None, , AllowedBasic}Default= None |
指定成員是否可以讀取與 對象相關聯的數據定義 (ASSL)。 如果 Allowed為 ,成員可以讀取與 對象相關聯的 ASSL。Basic 和 Allowed 是由物件中包含的物件所繼承。
Allowed 會覆 Basic 寫 和 None。Allowed 物件上DISCOVER_XML_METADATA是必要的。
Basic 需要建立連結的物件和本機 Cube。 |
| 參閱 | {None, Allowed}Default= None (DimensionPermission 除外,其中 default=Allowed) |
指定成員是否具有架構數據列集和數據內容的讀取許可權。Allowed 提供資料庫的讀取許可權,可讓您探索資料庫。Allowed 在 Cube 上提供架構數據列集的讀取許可權,以及 Cube 內容的存取權(除非 受到 CellPermission 和 CubeDimensionPermission的限制)。Allowed 在維度上,會授與維度中所有屬性的讀取許可權(除非受到 CubeDimensionPermission限制)。 唯一 CubeDimensionPermission 的靜態繼承。
None 維度上的 會隱藏維度,並僅針對可匯總屬性授與預設成員的存取權;如果維度包含不可匯總的屬性,就會引發錯誤。Allowed
MiningModelPermission上授與許可權,以查看架構數據列集中的物件,以及執行預測聯結。NoteAllowed 需要讀取或寫入資料庫中的任何物件。 |
| 書寫 | {None, Allowed}Default= None |
指定成員是否具有父對象數據的寫入許可權。 Access 適用於 Dimension、 Cube和 MiningModel 子類別。 它不適用於產生驗證錯誤的資料庫 MiningStructure 子類別。 Allowed
Dimension上的會授與維度中所有屬性的寫入許可權。Allowed
Cube上的 會針對定義為 Type=writeback 的數據分割,授與 Cube 單元格的寫入許可權。Allowed
MiningModel上授與修改模型內容的許可權。Allowed
MiningStructure在 Analysis Services 中沒有特定意義。
注意: 除非讀取也設定為 Allowed ,否則無法將寫入設定為 Allowed |
| 管理 附註: 僅在資料庫許可權中 | {true, false}Default= false |
指定成員是否可以管理資料庫。true 授與成員對資料庫中所有物件的存取權。成員可以具有特定資料庫的 [管理] 許可權,但不適用於其他資料庫。 |