Kimlik doğrulaması ve kullanıcı izinleri

Azure Analysis Services, kimlik yönetimi ve kullanıcı kimlik doğrulaması için Microsoft Entra ID kullanır. Azure Analysis Services sunucusu oluşturan, yöneten veya bu sunucuya bağlanan tüm kullanıcıların aynı abonelikteki bir Microsoft Entra kiracısında geçerli bir kullanıcı kimliği olmalıdır.

Azure Analysis Services, Microsoft Entra B2B işbirliğini destekler. B2B sayesinde, kuruluşun dışındaki kullanıcılar Microsoft Entra dizinine konuk kullanıcı olarak davet edilebilir. Konuklar başka bir Microsoft Entra kiracı dizininden veya herhangi bir geçerli e-posta adresinden olabilir. Davet edildikten ve kullanıcı Azure'dan e-postayla gönderilen daveti kabul ettikten sonra, kullanıcı kimliği kiracı dizinine eklenir. Bu kimlikler güvenlik gruplarına eklenebileceği gibi sunucu yöneticisi veya veritabanı rolü üyesi olarak da eklenebilir.

Azure Analysis Services authentication architecture

Kimlik Doğrulaması

Tüm istemci uygulamaları ve araçları, bir sunucuya bağlanmak için bir veya daha fazla Analysis Services istemci kitaplığını (AMO, MSOLAP, ADOMD) kullanır.

Üç istemci kitaplığı da hem Microsoft Entra etkileşimli akışını hem de etkileşimli olmayan kimlik doğrulama yöntemlerini destekler. Etkileşimli olmayan iki yöntem olan Active Directory Parolası ve Active Directory Tümleşik Kimlik Doğrulama yöntemleri, AMOMD ve MSOLAP kullanan uygulamalarda kullanılabilir. Bu iki yöntem hiçbir zaman oturum açmak için açılan iletişim kutularına neden olmaz.

Excel ve Power BI Desktop gibi istemci uygulamaları ve Visual Studio için SSMS ve Analysis Services projeleri uzantısı gibi araçlar, istemci kitaplıklarının en son sürümlerini düzenli güncelleştirmelerle yükler. Power BI Desktop, SSMS ve Analysis Services projeleri uzantısı aylık olarak güncelleştirilir. Excel, Microsoft 365 ile güncelleştirilir. Microsoft 365 güncelleştirmeleri daha az sıktır ve bazı kuruluşlar ertelenen kanalı kullanır; bu da güncelleştirmelerin üç aya kadar erteleneceği anlamına gelir.

Kullandığınız istemci uygulaması veya araçlarına bağlı olarak kimlik doğrulama türü ve oturum açma şekliniz değişebilir. Her uygulama bulut hizmetlerine bağlanmak için Azure Analysis Services gibi farklı özellikleri destekleyebilir.

Power BI Desktop, Visual Studio ve SSMS, etkileşimli bir yöntem olan ve Microsoft Entra çok faktörlü kimlik doğrulamasını (MFA) da destekleyen Active Directory Evrensel Kimlik Doğrulaması'nı destekler. Microsoft Entra çok faktörlü kimlik doğrulaması, basit bir oturum açma işlemi sağlarken verilere ve uygulamalara erişimin korunmasına yardımcı olur. Çeşitli doğrulama seçenekleriyle (telefon araması, kısa mesaj, pinli akıllı kartlar veya mobil uygulama bildirimi) güçlü kimlik doğrulaması sunar. Microsoft Entra ID ile etkileşimli MFA, doğrulama için bir açılan iletişim kutusu görüntüleyebilir. Evrensel Kimlik Doğrulaması önerilir.

Windows hesabı kullanarak Azure'da oturum açıyorsanız ve Evrensel Kimlik Doğrulaması seçili değilse veya kullanılamıyorsa (Excel), Active Directory Federasyon Hizmetleri (AD FS) (AD FS) gerekir. Federasyon ile Microsoft Entra Id ve Microsoft 365 kullanıcılarının kimliği şirket içi kimlik bilgileri kullanılarak doğrulanır ve Azure kaynaklarına erişebilir.

SQL Server Management Studio (SSMS)

Azure Analysis Services sunucuları Windows Kimlik Doğrulaması, Active Directory Parola Kimlik Doğrulaması ve Active Directory Evrensel Kimlik Doğrulaması kullanarak SSMS V17.1 ve üzeri sürümlerden bağlantıları destekler. Genel olarak, Active Directory Evrensel Kimlik Doğrulaması'nın kullanılması önerilir çünkü:

  • Etkileşimli ve etkileşimli olmayan kimlik doğrulama yöntemlerini destekler.

  • Azure AS kiracısına davet edilen Azure B2B konuk kullanıcılarını destekler. Bir sunucuya bağlanırken, konuk kullanıcıların sunucuya bağlanırken Active Directory Evrensel Kimlik Doğrulaması'nı seçmesi gerekir.

  • Çok faktörlü kimlik doğrulamasını (MFA) destekler. Microsoft Entra çok faktörlü kimlik doğrulaması, telefon araması, kısa mesaj, pinli akıllı kartlar veya mobil uygulama bildirimi gibi çeşitli doğrulama seçenekleriyle verilere ve uygulamalara erişimin korunmasına yardımcı olur. Microsoft Entra ID ile etkileşimli MFA, doğrulama için bir açılan iletişim kutusu görüntüleyebilir.

Visual Studio

Visual Studio, MFA desteğiyle Active Directory Evrensel Kimlik Doğrulaması kullanarak Azure Analysis Services'e bağlanır. Kullanıcılardan ilk dağıtımda Azure'da oturum açmaları istenir. Kullanıcıların, dağıttığı sunucuda sunucu yöneticisi izinlerine sahip bir hesapla Azure'da oturum açması gerekir. Azure'da ilk kez oturum açarken bir belirteç atanır. Belirteç, gelecekteki yeniden bağlantılar için bellek içinde önbelleğe alınır.

Power BI Desktop

Power BI Desktop, MFA desteğiyle Active Directory Evrensel Kimlik Doğrulaması kullanarak Azure Analysis Services'e bağlanır. Kullanıcılardan ilk bağlantıda Azure'da oturum açmaları istenir. Kullanıcıların Azure'da bir sunucu yöneticisine veya veritabanı rolüne dahil edilen bir hesapla oturum açması gerekir.

Excel

Excel kullanıcıları bir Windows hesabı, kuruluş kimliği (e-posta adresi) veya dış e-posta adresi kullanarak bir sunucuya bağlanabilir. Dış e-posta kimlikleri Microsoft Entra Kimliği'nde konuk kullanıcı olarak bulunmalıdır.

Kullanıcı izinleri

Sunucu yöneticileri bir Azure Analysis Services sunucu örneğine özeldir. Ayarları yapılandırma ve kullanıcı rollerini yönetme gibi görevleri gerçekleştirmek için Azure portalı, SSMS ve Visual Studio gibi araçlarla bağlantı kurar. Varsayılan olarak, sunucuyu oluşturan kullanıcı otomatik olarak Analysis Services sunucu yöneticisi olarak eklenir. Diğer yöneticiler Azure portalı veya SSMS kullanılarak eklenebilir. Sunucu yöneticilerinin aynı abonelikteki Microsoft Entra kiracısında bir hesabı olmalıdır. Daha fazla bilgi için bkz . Sunucu yöneticilerini yönetme.

Veritabanı kullanıcıları , Excel veya Power BI gibi istemci uygulamalarını kullanarak model veritabanlarına bağlanır. Kullanıcıların veritabanı rollerine eklenmesi gerekir. Veritabanı rolleri bir veritabanı için yönetici, işlem veya okuma izinlerini tanımlar. Yönetici izinlerine sahip bir roldeki veritabanı kullanıcılarının sunucu yöneticilerinden farklı olduğunu anlamak önemlidir. Ancak, varsayılan olarak, sunucu yöneticileri de veritabanı yöneticileridir. Daha fazla bilgi edinmek için bkz . Veritabanı rollerini ve kullanıcılarını yönetme.

Azure kaynak sahipleri. Kaynak sahipleri Bir Azure aboneliği için kaynakları yönetir. Kaynak sahipleri, Azure portalında Erişim denetimini kullanarak veya Azure Resource Manager şablonlarıyla abonelik içindeki Sahip veya Katkıda Bulunan Rollerine Microsoft Entra kullanıcı kimlikleri ekleyebilir.

Access control in Azure portal

Bu düzeydeki roller, portalda veya Azure Resource Manager şablonları kullanılarak tamamlanabilir görevleri gerçekleştirmesi gereken kullanıcılar veya hesaplar için geçerlidir. Daha fazla bilgi için bkz. Azure rol tabanlı erişim denetimi (Azure RBAC).

Veritabanı rolleri

Tablosal model için tanımlanan roller veritabanı rolleridir. Yani roller, Microsoft Entra kullanıcılarından ve bu üyelerin model veritabanında gerçekleştirebileceği eylemi tanımlayan belirli izinlere sahip güvenlik gruplarından oluşan üyeleri içerir. Veritabanı rolü, veritabanında ayrı bir nesne olarak oluşturulur ve yalnızca bu rolün oluşturulduğu veritabanı için geçerli olur.

Varsayılan olarak, yeni bir tablosal model projesi oluşturduğunuzda model projesinin herhangi bir rolü yoktur. Roller, Visual Studio'daki Rol Yöneticisi iletişim kutusu kullanılarak tanımlanabilir. Roller model projesi tasarımı sırasında tanımlandığında, yalnızca model çalışma alanı veritabanına uygulanır. Model dağıtıldığında, dağıtılan modele aynı roller uygulanır. Bir model dağıtıldıktan sonra, sunucu ve veritabanı yöneticileri SSMS kullanarak rolleri ve üyeleri yönetebilir. Daha fazla bilgi edinmek için bkz . Veritabanı rollerini ve kullanıcılarını yönetme.

Dikkat edilecekler ve sınırlamalar

  • Azure Analysis Services, B2B kullanıcıları için Tek Seferlik Parola kullanımını desteklemez

Sonraki adımlar

Microsoft Entra gruplarıyla kaynaklara erişimi yönetme
Veritabanı rollerini ve kullanıcılarını yönetme
Sunucu yöneticilerini yönetme
Azure rol tabanlı erişim denetimi (Azure RBAC)