连接远程analysis service 服务器的验证方法
Microsoft SQL Server 2005 Analysis Services (SSAS) 依赖 Microsoft Windows 来对用户进行身份验证。默认情况下,只有经过身份验证的用户(在 Analysis Services 内具有权限)才能建立与 Analysis Services 的连接。当用户连接到 Analysis Services 之后,则用户在Analysis Services 内具有的权限由直接分配或通过 Windows 角色中成员身份分配给该用户所属 Analysis Services 角色的权限来确定。
Analysis Services 包含单个固定服务器角色,该角色授予其成员在整个实例内执行任意任务的权限。
非固定服务器角色成员的用户可以成为一个或多个数据库角色的成员。每个数据库角色都具有一组自定义的权限,以允许用户在特定数据库内访问数据以及执行任务。
数据库角色可以被授予管理员权限、处理对象权限、查看对象元数据权限以及在每个 Analysis Services 数据库内查看或修改多个级别的数据的权限。
具有管理员权限的数据库角色的成员可以查看或更新数据库内的所有数据。其他数据库角色的成员仅可以查看或更新那些针对其专门授予角色相应权限的数据对象。
Analysis Services 数据库内的权限最初在数据库级别进行授予。如果数据库角色具有数据库级别的权限,则必须针对数据库内的每个对象授予该角色特定的权限。可针对其授予角色权限的对象包括数据库维度和多维数据集维度、各个维度成员、多维数据集、多维数据集内的各个单元、挖掘结构、挖掘模型、数据源以及存储过程。
除了这些安全体系结构组件以外,Analysis Services 还会对所有客户端/服务器通信进行加密,从而降低未经授权的用户访问未经授权的信息的风险。最后,默认禁用那些如果配置不正确或在不适当的环境中使用就可能危及安全性的 Analysis Services 功能。例如,您可以让用户在不经过身份验证的情况下连接到 Analysis Services,也可以接受以明文形式提交的身份验证。但是,如果未能正确执行,这样做可能危及安全性,所以启动这些类型的功能需要您修改默认的设置。
Windows 身份验证
对 Analysis Services 的权限基于 Microsoft Windows 身份验证。这种身份验证模式要求所有用户在访问 Analysis Services 中存储的数据以及管理 Analysis Services 对象之前都经过 Windows 操作系统的身份验证。操作系统执行身份验证可使 Analysis Services 利用 Windows 的各种安全功能,包括安全验证和密码加密、审核、密码过期、密码最小长度以及在多次无效的登录请求之后锁定帐户。
注意:
如果将 Analysis Services 实例配置为允许匿名访问,则 Windows 不会对用户进行身份验证。
Windows 身份验证和 Analysis Services 按如下方式配合使用:
当用户登录到 Windows 网络时,Windows 域控制器便会验证用户的用户名和密码,从而建立用户的网络身份验证凭据。
之后,当用户尝试连接到 Analysis Services 时,Analysis Services 将通过 Windows 域控制器验证用户的网络身份验证凭据。
授权
对用户进行了身份验证之后,Analysis Services 接下来确定该用户是否具有查看数据、更新数据、查看元数据或执行管理任务的权限。如果用户或用户所属的组在 Analysis Services 实例内具有某些类型的权限,则 Analysis Services 允许用户进行连接。默认情况下,如果用户在 Analysis Services 实例内不具有某些类型的权限,则 Analysis Services 不允许用户进行连接。
但是,当用户成功连接到 Analysis Services 之后,授权不会停止。当用户在 Analysis Services 内执行操作(例如,当用户执行服务器存储过程、数据挖掘扩展插件 (DMX) 语句、多维表达式 (MDX) 查询或分析管理对象 (AMO) 命令)时,授权仍会继续。每次当 Analysis Services 必须执行操作或访问对象时,它都会验证用户访问对象或执行命令的权限。如果用户没有相应的权限,则 Analysis Services 返回权限错误。
服务器角色和数据库角色
Analysis Services 具有两种类型的角色:服务器角色和数据库角色。下面是对这两种角色之间差异的简短说明:
只有一个服务器角色,并且该角色的成员在 Analysis Services 实例内具有完全的管理员权限。
注意:
本地计算机上的 Administrators 本地组的成员自动成为 Analysis Services 实例中的服务器角色的成员。
可以有多个数据库角色。服务器角色成员在每个数据库内创建这些数据库角色,向这些数据库角色授予管理或用户权限(例如,读取或读/写多
维数据集、维度、单元、挖掘结构、挖掘模型以及数据源对象的权限),然后将 Windows 用户和组添加到这些数据库角色中。
重要事项:
角色权限具有累加性。Windows 用户或用户组通过某个数据库角色获得的权限可添加到同一个 Windows 用户或用户组通过其他数据库角色获得的权限上。如果某个角色拒绝用户或用户组执行特定任务或查看特定数据的权限,但是另一个角色为该用户或用户组授予相应的执行或查看权限,则该用户或用户组具有执行任务或查看数据的权限。