Аутентификация и разрешения пользователей

  • Статья

Azure Analysis Services использует Microsoft Entra ID для управления удостоверениями и проверки подлинности пользователей. Любой пользователь, создающий, управляющий или подключающийся к серверу Служб Azure Analysis Services, должен иметь допустимое удостоверение пользователя в клиенте Microsoft Entra в той же подписке.

Azure Analysis Services поддерживает совместную работу B2B в Microsoft Entra. С помощью B2B можно пригласить пользователей, не относящихся к вашей организации, в качестве гостевых пользователей каталога Microsoft Entra. Гости могут принадлежать другому каталогу Microsoft Entra или просто использовать любой допустимый адрес электронной почты. Если вы пригласили пользователя и он принимает приглашение, отправленное по электронной почте от Azure, удостоверение пользователя добавляется в каталог клиента. Затем эти удостоверения можно добавить в группы безопасности либо как участников роли администратора сервера или роли базы данных.

Azure Analysis Services authentication architecture

Проверка подлинности

Все клиентские приложения и средства используют одну или несколько клиентских библиотек Analysis Services (AMO, MSOLAP, ADOMD) для подключения к серверу.

Все три клиентские библиотеки поддерживают интерактивный поток Microsoft Entra и неинтерактивные методы проверки подлинности. Два неинтерактивных метода (проверку подлинности Active Directory и встроенную аутентификацию Active Directory) можно использовать в приложениях с применением AMOMD и MSOLAP. Эти два метода никогда не приводят к всплывающих диалоговых окнам для входа.

Клиентские приложения, такие как Excel и Power BI Desktop, и такие инструменты, как SSMS и проекты служб Analysis Services для Visual Studio, устанавливают последние версии клиентских библиотек с регулярными обновлениями. Power BI Desktop, SSMS и расширение проектов Analysis Services обновляются ежемесячно. Excel обновляется с помощью Microsoft 365. Обновления Microsoft 365 появляются реже, и некоторые организации используют отложенный канал. Это означает, что установка обновлений откладывается на срок до трех месяцев.

В зависимости от того, какие вы используете средства или клиентское приложение, тип проверки подлинности и способ входа могут отличаться. Каждое приложение может поддерживать различные функции подключения к таким облачным службам, как Azure Analysis Services.

Power BI Desktop, Visual Studio и SSMS поддерживают универсальную проверку подлинности Active Directory — интерактивный метод с поддержкой многофакторной проверки подлинности в Microsoft Entra. Многофакторная проверка подлинности Microsoft Entra помогает защитить доступ к данным и приложениям, предоставляя простой процесс входа. MFA обеспечивает надежную аутентификацию с использованием ряда вариантов проверки посредством телефонного звонка, текстового сообщения, смарт-карты с ПИН-кодом или уведомления в мобильном приложении. Интерактивная многофакторная проверка подлинности в Microsoft Entra ID может вызывать всплывающее диалоговое окно для подтверждения. Рекомендуется использовать универсальную проверку подлинности.

Если при входе в Azure с помощью учетной записи Windows не выбрать универсальную проверку подлинности или она не доступна (Excel), потребуются службы федерации Active Directory (AD FS). С помощью федерации идентификатор Microsoft Entra и пользователи Microsoft 365 проходят проверку подлинности с помощью локальных учетных данных и могут получить доступ к ресурсам Azure.

SQL Server Management Studio (SSMS)

Серверы Azure Analysis Services поддерживают подключения SSMS V17.1 и более поздних версий с помощью проверки подлинности Windows, проверки пароля Active Directory и универсальной проверки подлинности Active Directory. В целом мы рекомендуем использовать универсальную проверку подлинности Active Directory, так она предоставляет следующую поддержку:

  • поддерживает интерактивные и неинтерактивные методы проверки подлинности.

  • Поддерживает гостевых пользователей Azure B2B, приглашенных в клиент Azure AS. При подключении к серверу гостевые пользователи должны выбрать универсальную проверку подлинности Active Directory.

  • Поддерживает многофакторную проверку подлинности (MFA). Многофакторная проверка подлинности Microsoft Entra помогает защитить доступ к данным и приложениям с помощью различных вариантов проверки: телефонный звонок, текстовое сообщение, смарт-карта с закреплением или уведомлением мобильного приложения. Интерактивная многофакторная проверка подлинности в Microsoft Entra ID может вызывать всплывающее диалоговое окно для подтверждения.

Visual Studio

Visual Studio подключается к Azure Analysis Services с помощью универсальной проверки подлинности Active Directory с поддержкой Многофакторной идентификации. Пользователям предлагается выполнить вход в Azure при первом развертывании. Пользователи должны войти в Azure с помощью учетной записи с разрешениями администратора сервера на соответствующем сервере. При первом входе в Azure назначается маркер. Маркер кэшируется в память для последующих повторных подключений.

Power BI Desktop

Power BI Desktop подключается к Azure Analysis Services с помощью универсальной проверки подлинности Active Directory с поддержкой Многофакторной идентификации. Пользователям предлагается выполнить вход в Azure при первом подключении. Пользователям необходимо войти в Azure с помощью учетной записи, включенной в роли администратора сервера или пользователя базы данных.

Excel

Пользователи Excel могут подключаться к серверу с помощью учетной записи Windows, идентификатора организации (адреса электронной почты) или внешнего адреса электронной почты. Внешние удостоверения электронной почты должны существовать в идентификаторе Microsoft Entra в качестве гостевого пользователя.

Разрешения пользователей

Администраторы сервера относятся к экземпляру сервера Azure Analysis Services. Они подключаются к таким средствам, как портал Azure, SSMS и Visual Studio, чтобы выполнять такие задачи, как настройка параметров и управление ролями пользователей. По умолчанию пользователь, который создает сервер, автоматически добавляется как администратор сервера Analysis Services. Других администраторов можно добавить с помощью портала Azure или SSMS. Администраторы серверов должны иметь учетную запись в клиенте Microsoft Entra в той же подписке. Дополнительные сведения см. в статье Управление администраторами сервера.

Пользователи базы данных подключаются к шаблонам баз данных с помощью таких клиентских приложений, как Excel или Power BI. Пользователей нужно добавить в роли базы данных. Роли базы данных определяют администратора, процесс или разрешения на чтение для базы данных. Важно понимать, что пользователи базы данных с разрешениями администратора и администраторы сервера — это не одно и тоже. Тем не менее, по умолчанию администраторы сервера также являются администраторами базы данных. Дополнительные сведения см. в статье Управление ролями и пользователями базы данных.

Владельцы ресурса Azure. Владельцы ресурса управляют ресурсами подписки Azure. Владельцы ресурсов могут добавлять удостоверения пользователей Microsoft Entra в роли владельца или участника в подписке с помощью управления доступом в портал Azure или с шаблонами Azure Resource Manager.

Access control in Azure portal

Роли на этом уровне применяются к пользователям или учетным записям, которым необходимо выполнить задачи на портале или с помощью шаблонов Azure Resource Manager. Дополнительные сведения см. в статье Управление доступом на основе ролей в Azure (Azure RBAC).

Роли базы данных

Роли, определенные для табличной модели, являются ролями базы данных. То есть роли содержат членов, состоящих из пользователей Microsoft Entra и групп безопасности, имеющих определенные разрешения, определяющие действие, которое эти члены могут принимать на себя базу данных модели. Роль базы данных создается как отдельный объект в базе данных и применяется только к базе данных, в которой она создана.

По умолчанию при создании нового проекта табличной модели в нем нет никаких ролей. Роли можно определить с помощью диалогового окна диспетчера ролей в Visual Studio. При определении ролей во время разработки проекта модели они применяются только к базе данных рабочей области модели. Когда модель развернута, те же роли применяются к развернутой модели. После развертывания модели администраторы сервера и базы данных могут управлять ролями и участниками с помощью SSMS. Дополнительные сведения см. в статье Управление ролями и пользователями базы данных.

Рекомендации и ограничения

  • Службы Azure Analysis Services не поддерживают использование единовременного пароля для пользователей B2B

Следующие шаги

Управление доступом к ресурсам с помощью групп Microsoft Entra
Управление ролями и пользователями базы данных
Управление администраторами сервера
Управление доступом на основе ролей в Azure (Azure RBAC).