Octroyer des autorisations de cube ou de modèle (Analysis Services)

Un cube ou modèle tabulaire est le principal objet de requête dans un modèle de données Analysis Services. Lors de la connexion à des données tabulaires ou multidimensionnelles à partir d'Excel pour l'exploration de données ad hoc, les utilisateurs commencent en général par sélectionner un cube ou modèle tabulaire spécifique comme structure de données derrière l'objet de rapport de tableau croisé dynamique. Cette rubrique explique comment accorder les autorisations nécessaires pour l'accès aux données tabulaires ou de cube.

Par défaut, seul un Administrateur de serveur ou Administrateur de base de données est autorisé à interroger des cubes dans une base de données. L'accès à un cube par un non-administrateur requiert l'appartenance à un rôle créé pour la base de données contenant le cube. L'appartenance est prise en charge pour les comptes d'utilisateurs ou de groupes Windows définis dans Active Directory ou sur l'ordinateur local. Avant de commencer, identifiez les comptes qui appartiendront aux rôles que vous allez créer.

Le fait de disposer d'un accès Read à un cube fournit également des autorisations d'accès aux dimensions, groupes de mesures et perspectives de ce cube. La plupart des administrateurs accordent des autorisations au niveau du cube, puis limitent les autorisations sur des objets spécifiques, des données associées ou selon l'identité de l'utilisateur.

Pour conserver les définitions des rôles d'un déploiement de solution au suivant, une meilleure pratique consiste à définir des rôles dans SQL Server Data Tools comme partie intégrante du modèle, puis à faire en sorte qu'un administrateur de base de données assigne des appartenances aux rôles dans SQL Server Management Studio une fois la base de données publiée. Vous pouvez cependant utiliser l'un ou l'autre outil pour ces deux tâches. Pour simplifier l'exercice, nous allons utiliser SQL Server Management Studio pour la définition et l'appartenance aux rôles.

[!REMARQUE]

Seuls les administrateurs de serveur, ou les administrateurs de base de données ayant des autorisations Contrôle total, peuvent déployer un cube à partir de fichiers sources vers un serveur ou créer des rôles et assigner des membres. Pour plus d'informations sur ces niveaux d'autorisation, consultez Octroyer des autorisations d'administration de serveur (Analysis Services) et Octroyer des autorisations de base de données (Analysis Services).

Étape 1 : Créer le rôle

  1. Dans SSMS, connectez-vous à Analysis Services. Si vous avez besoin d'aide pour cette étape, consultez Connexion à partir d'applications clientes (Analysis Services).

  2. Ouvrez le dossier Bases de données dans l'Explorateur d'objets et sélectionnez une base de données.

  3. Cliquez avec le bouton droit sur le dossier Rôles et choisissez Nouveau rôle. Notez que les rôles sont créés au niveau de la base de données et s'appliquent aux objets de cette base de données. Vous ne pouvez pas partager de rôles entre des bases de données.

  4. Dans le volet Général, entrez un nom et éventuellement une description. Ce volet contient également plusieurs autorisations de base de données, telles que Contrôle total, Traiter la base de données et Lire la définition. Aucune de ces autorisations n'est nécessaire pour interroger un cube ou modèle tabulaire. Pour plus d'informations sur ces autorisations, consultez Octroyer des autorisations de base de données (Analysis Services).

  5. Continuez à l'étape suivante après avoir entré un nom et une description facultative.

Étape 2 : Assigner l'appartenance

  1. Dans le volet Appartenance, cliquez sur Ajouter pour entrer les comptes d'utilisateurs ou de groupes Windows qui accéderont au cube à l'aide de ce rôle. Analysis Services prend uniquement en charge les identités de sécurité Windows. Notez que vous ne créez pas de connexions de base de données lors de cette étape. Dans Analysis Services, les utilisateurs se connectent par l'intermédiaire de comptes Windows.

  2. Continuez à l'étape suivante, la définition des autorisations de cube.

    Notez que nous ignorons le volet Source de données. La plupart des consommateurs ordinaires de données Analysis Services n'ont pas besoin d'autorisations sur l'objet source de données. Pour plus de détails sur la nécessité éventuelle de définir cette autorisation, consultez Octroyer des autorisations sur un objet de source de données (Analysis Services).

Étape 3 : Définir les autorisations du cube

  1. Dans le volet Cubes, sélectionnez un cube, puis cliquez sur l'accès Lecture ou Lecture/Écriture.

    L'accès Lecture est suffisant pour la plupart des opérations. Lecture/Écriture sert uniquement à l'écriture différée, et non au traitement. Pour plus d'informations sur cette fonctionnalité, consultez Définir l'écriture différée de partition.

    Notez que vous pouvez sélectionner plusieurs cubes, ainsi que d'autres objets disponibles dans la boîte de dialogue Créer un rôle. L'accord d'autorisations d'accès à un cube permet également d'accéder aux dimensions et aux perspectives associées au cube. Il n'est pas nécessaire d'ajouter manuellement des objets déjà représentés dans le cube.

    Si vous devez varier l'autorisation selon l'objet ou l'utilisateur, par exemple pour rendre certaines mesures indisponibles, vous pouvez autoriser ou refuser l'accès de manière atomique sur des objets spécifiques, et même sur des cellules. Pour plus d'informations, consultez Octroyer un accès personnalisé à des données de dimension (Analysis Services) et Octroyer un accès personnalisé à des données de cellule (Analysis Services).

  2. À ce stade, une fois que vous avez cliqué sur OK, tous les membres de ce rôle ont accès aux cubes, aux niveaux d'autorisation que vous avez spécifiés.

    Notez que dans le volet Cubes, vous pouvez accorder aux utilisateurs l'autorisation de créer des cubes locaux à partir d'un cube serveur via Extraction et cube local ou autoriser uniquement l'extraction via l'autorisation Extraction.

    Pour finir, ce volet vous permet d'accorder des droits Traiter la base de données sur le cube pour permettre à tous les membres de ce rôle de traiter des données pour ce cube. Le traitement étant généralement une opération restreinte, nous vous recommandons de laisser cette tâche aux administrateurs ou de définir des rôles spécifiquement pour cette tâche. Pour plus d'informations sur les meilleures pratiques en matière d'autorisations de traitement, consultez Octroyer des autorisations de traitement (Analysis Services).

Étape 4 : Effectuer un test

  1. Utilisez Excel pour tester les autorisations d'accès au cube. Vous pouvez également utiliser SQL Server Management Studio, en suivant la même technique que celle décrite ci-dessous (exécution de l'application en tant qu'utilisateur non-administrateur).

    [!REMARQUE]

    Si vous êtes administrateur Analysis Services, les autorisations administrateur seront combinées avec des rôles ayant des autorisations moindres, ce qui rend difficile le test des autorisations de rôle de manière isolée. Pour simplifier les tests, nous vous suggérons d'ouvrir une seconde instance de SSMS, à l'aide du compte assigné au rôle que vous testez.

  2. Maintenez la touche Maj enfoncée et cliquez avec le bouton droit sur le raccourci Excel afin d'accéder à l'option Exécuter en tant qu'autre utilisateur. Entrez l'un des comptes d'utilisateurs ou de groupes Windows ayant une appartenance à ce rôle.

  3. Une fois Excel ouvert, utilisez l'onglet Données pour vous connecter à Analysis Services. Comme vous exécutez Excel en tant qu'autre utilisateur Windows, l'option Utiliser l'authentification Windows est le type d'informations d'identification correct à utiliser lors du test des rôles. Si vous avez besoin d'aide pour cette étape, consultez Connexion à partir d'applications clientes (Analysis Services).

    Si vous recevez des erreurs lors de la connexion, vérifiez la configuration des ports pour Analysis Services et vérifiez que le serveur accepte les connexions à distance. Pour plus d'informations sur la configuration des ports, consultez Configurer le pare-feu Windows pour autoriser l'accès à Analysis Services.

Étape 5 : Écrire un script de définition et d'assignation des rôles

  1. En guise d'étape finale, vous devez générer un script qui capture la définition de rôle que vous venez de créer.

    Le redéploiement d'un projet à partir de SQL Server Data Tools remplace tous les rôles ou appartenances aux rôles qui ne sont pas définis dans le projet. Le moyen le plus rapide de recréer des rôles et des appartenances aux rôles après un redéploiement consiste à recourir à un script.

  2. Dans SSMS, accédez au dossier Rôles et cliquez avec le bouton droit sur un rôle existant.

  3. Sélectionnez Générer un script du rôle en tant que | CREATE TO | fichier.

  4. Enregistrez le fichier avec une extension .xmla. Pour tester le script, supprimez le rôle actif, ouvrez le fichier dans SSMS, puis appuyez sur la touche F5 pour exécuter le script.

Étape suivante

Vous pouvez affiner les autorisations de cube de façon à limiter l'accès à des données de dimension ou de cellule. Pour plus d'informations, consultez Octroyer un accès personnalisé à des données de dimension (Analysis Services) et Octroyer un accès personnalisé à des données de cellule (Analysis Services).

Voir aussi

Tâches

Octroyer des autorisations sur des modèles et des structures d'exploration de données (Analysis Services)

Octroyer des autorisations sur un objet de source de données (Analysis Services)

Concepts

Méthodologies d'authentification prises en charge par Analysis Services