MICROSOFT SQL Server Analysis Services 的安全过程发生在多个级别。 必须保护 Analysis Services 及其数据源的每个实例,以确保只有经过授权的用户对所选维度、挖掘模型和数据源具有读取或读取/写入权限。 还必须保护基础数据源,以防止未经授权的用户恶意破坏敏感业务信息。 以下主题介绍了保护 Analysis Services 实例的过程。
安全体系结构
请参阅以下资源,了解 Analysis Services 实例的基本安全体系结构,包括 Analysis Services 如何使用 Microsoft Windows 身份验证对用户访问进行身份验证。
为 Analysis Services 配置登录帐户
必须为 Analysis Services 选择适当的登录帐户,并为此帐户指定权限。 必须确保 Analysis Services 登录帐户仅具有执行必要任务所需的权限,包括对基础数据源的适当权限。
对于数据挖掘,需要一组不同的权限来生成和处理模型,而不是查看或查询模型。 针对模型进行预测是一种查询,不需要管理权限。
确保 Analysis Services 实例的安全
接下来,必须保护 Analysis Services 计算机、Analysis Services 计算机上的 Windows作系统、Analysis Services 本身以及 Analysis Services 使用的数据源。
配置对 Analysis Services 的访问
为 Analysis Services 实例设置和定义授权用户时,需要确定哪些用户还应具有管理特定数据库对象的权限,哪些用户可以查看对象的定义或浏览模型,以及哪些用户能够直接访问数据源。
数据挖掘的特殊注意事项
若要使分析师或开发人员能够创建和测试数据挖掘模型,必须授予该分析师或开发人员对存储挖掘模型的数据库的管理权限。 因此,数据挖掘分析师或开发人员可能会创建或删除与数据挖掘无关的其他对象,包括创建的数据挖掘对象以及其他分析师或开发人员正在使用的数据挖掘对象,或者数据挖掘解决方案中未包含的 OLAP 对象。
因此,在创建数据挖掘解决方案时,必须平衡分析师或开发人员根据其他用户的需求开发、测试和优化模型的需求,并采取措施保护现有数据库对象。 一种可能的方法是创建专用于数据挖掘的单独数据库,或为每个分析师创建单独的数据库。
尽管创建模型需要最高级别的权限,但可以使用基于角色的安全性来控制用户对数据挖掘模型的访问权限,例如处理、浏览或查询。 创建角色时,可以设置特定于数据挖掘对象的权限。 作为角色成员的任何用户都自动拥有与该角色关联的所有权限。
此外,数据挖掘模型通常引用包含敏感信息的数据源。 如果挖掘结构和挖掘模型已配置为允许用户从模型钻取到结构中的数据,则必须采取预防措施来屏蔽敏感信息,或限制有权访问基础数据的用户。
如果使用 Integration Services 包清理数据、更新挖掘模型或进行预测,则必须确保 Integration Services 服务对存储模型的数据库具有适当的权限,以及对源数据的适当权限。