Condividi tramite


Autenticazione e autorizzazioni utente

Azure Analysis Services usa l'ID Microsoft Entra per la gestione delle identità e l'autenticazione degli utenti. Qualsiasi utente che crea, gestisce o si connette a un server di Azure Analysis Services deve avere un'identità utente valida in un tenant di Microsoft Entra nella stessa sottoscrizione.

Azure Analysis Services supporta la collaborazione B2B di Microsoft Entra. Con B2B, gli utenti esterni all'organizzazione possono essere invitati come utenti guest in una directory di Microsoft Entra. Gli utenti guest possono appartenere a un'altra directory di tenant di Microsoft Entra o a qualsiasi indirizzo e-mail valido. Una volta invitato e l'utente accetta l'invito inviato tramite posta elettronica da Azure, l'identità utente viene aggiunta alla directory del tenant. Le identità possono essere aggiunte ai gruppi di sicurezza o come membri di un ruolo del database o di amministratore del server.

Architettura di autenticazione di Azure Analysis Services

Autenticazione

Per connettersi a un server tutti gli strumenti e le applicazioni client usano una o più librerie client di Analysis Services (AMO, MSOLAP, ADOMD).

Tutte e tre le librerie client supportano sia il flusso interattivo Microsoft Entra che i metodi di autenticazione non interattivi. I due metodi non interattivi, Active Directory Password e Active Directory Integrated Authentication, possono essere usati nelle applicazioni che usano AMOMD e MSOLAP. Questi due metodi non generano mai finestre di dialogo popup per l'accesso.

Applicazioni client come Excel e Power BI Desktop e strumenti come l'estensione per progetti SSMS e Analysis Services per Visual Studio installano le versioni più recenti delle librerie client con aggiornamenti regolari. L'estensione dei progetti di Power BI Desktop, SSMS e Analysis Services viene aggiornata mensilmente. Excel viene aggiornato con Microsoft 365. Gli aggiornamenti di Microsoft 365 sono meno frequenti e alcune organizzazioni usano il canale posticipato, ovvero gli aggiornamenti vengono posticipati fino a tre mesi.

A seconda dello strumento o dell'applicazione client in uso, il tipo di autenticazione e la modalità di accesso possono essere diverse. Ogni applicazione può supportare funzionalità diverse per la connessione ai servizi cloud quali Azure Analysis Services.

Power BI Desktop, Visual Studio e SSMS supportano l'autenticazione universale di Active Directory, ovvero un metodo interattivo che supporta anche Microsoft Entra Multi-Factor Authentication (MFA). L'autenticazione a più fattori Microsoft Entra consente di proteggere l'accesso ai dati e alle applicazioni fornendo al tempo stesso un semplice processo di accesso. Offre un'autenticazione avanzata con diverse opzioni di verifica (telefonata, SMS, smart card con pin o notifica dell'app per dispositivi mobili). La convalida di MFA interattiva con l'ID Microsoft Entra può avvenire attraverso una finestra popup. È consigliabile usare l'autenticazione universale.

Se si accede ad Azure usando un account Windows e l'autenticazione universale non è selezionata o disponibile (Excel), è necessario Active Directory Federation Services (AD FS). Con la federazione, gli utenti di Microsoft Entra ID e Microsoft 365 vengono autenticati usando credenziali locali e possono accedere alle risorse di Azure.

SQL Server Management Studio (SSMS)

I server di Azure Analysis Services supportano le connessioni da SSMS V17.1 e versioni successive usando l'autenticazione di Windows, l'autenticazione password di Active Directory e l'autenticazione universale di Active Directory. In generale, è consigliabile usare l'autenticazione universale di Active Directory perché:

  • Supporta metodi di autenticazione interattivi e non interattivi.

  • Supporta gli utenti guest B2B di Azure invitati nel tenant di Azure AS. Quando ci si connette a un server, gli utenti guest devono selezionare Autenticazione universale di Active Directory durante la connessione al server.

  • Supporta l'autenticazione a più fattori (MFA). L'autenticazione a più fattori Microsoft Entra consente di proteggere l'accesso ai dati e alle applicazioni con una gamma di opzioni di verifica: telefonata, SMS, smart card con pin o notifica dell'app per dispositivi mobili. La convalida di MFA interattiva con l'ID Microsoft Entra può avvenire attraverso una finestra popup.

Visual Studio

Visual Studio si connette ad Azure Analysis Services usando l'autenticazione universale di Active Directory con supporto MFA. Agli utenti viene richiesto di accedere ad Azure nella prima distribuzione. Gli utenti devono accedere ad Azure con un account con autorizzazioni di amministratore del server nel server in cui stanno distribuendo. Quando si accede ad Azure per la prima volta, viene assegnato un token. Il token viene memorizzato nella cache in memoria per le riconnessioni future.

Power BI Desktop per analisi dati

Power BI Desktop si connette ad Azure Analysis Services usando l'autenticazione universale di Active Directory con supporto MFA. Agli utenti viene richiesto di accedere ad Azure alla prima connessione. Gli utenti devono accedere ad Azure con un account incluso in un ruolo di amministratore del server o di database.

Excel

Gli utenti di Excel possono connettersi a un server usando un account di Windows, un ID organizzazione (indirizzo di posta elettronica) o un indirizzo di posta elettronica esterno. Le identità di posta elettronica esterne devono esistere nell'ID Microsoft Entra come utente guest.

Autorizzazioni utente

Gli amministratori del server sono specifici di un'istanza del server di Azure Analysis Services. Si connettono con strumenti come il portale di Azure, SSMS e Visual Studio per eseguire attività come la configurazione delle impostazioni e la gestione dei ruoli utente. Per impostazione predefinita, l'utente che crea il server viene aggiunto automaticamente come amministratore del server Analysis Services. È possibile aggiungere altri amministratori usando il portale di Azure o SSMS. Gli amministratori del server devono avere un account nel tenant di Microsoft Entra nella stessa sottoscrizione. Per altre informazioni, vedere Gestire gli amministratori del server.

Gli utenti del database si connettono ai database modello usando applicazioni client come Excel o Power BI. Gli utenti devono essere aggiunti ai ruoli del database. I ruoli del database definiscono le autorizzazioni di amministratore, processo o lettura per un database. È importante comprendere che gli utenti del database in un ruolo con autorizzazioni di amministratore sono diversi dagli amministratori del server. Tuttavia, per impostazione predefinita, anche gli amministratori del server sono amministratori di database. Per altre informazioni, vedere Gestire ruoli e utenti del database.

Proprietari di risorse di Azure. I proprietari delle risorse gestiscono le risorse per una sottoscrizione di Azure. I proprietari delle risorse possono aggiungere identità utente di Microsoft Entra ai ruoli proprietario o collaboratore all'interno di una sottoscrizione usando il controllo di accesso nel portale di Azure o con i modelli di Azure Resource Manager.

Controllo di accesso nel portale di Azure

I ruoli a questo livello si applicano a utenti o account che devono eseguire attività che possono essere completate nel portale o usando i modelli di Azure Resource Manager. Per altre informazioni, vedere Controllo degli accessi in base al ruolo di Azure.

ruoli del database

I ruoli definiti per un modello tabulare sono ruoli del database. Ovvero, i ruoli contengono membri costituiti da utenti di Microsoft Entra e gruppi di sicurezza che dispongono di autorizzazioni specifiche che definiscono l'azione che tali membri possono eseguire in un database modello. Un ruolo del database viene creato come oggetto separato nel database e si applica solo al database in cui viene creato tale ruolo.

Per impostazione predefinita, quando si crea un nuovo progetto di modello tabulare, il progetto modello non ha ruoli. I ruoli possono essere definiti usando la finestra di dialogo Gestione ruoli in Visual Studio. Quando i ruoli vengono definiti durante la progettazione del progetto di modello, vengono applicati solo al database dell'area di lavoro modello. Quando il modello viene distribuito, gli stessi ruoli vengono applicati al modello distribuito. Dopo la distribuzione di un modello, gli amministratori di server e database possono gestire ruoli e membri tramite SSMS. Per altre informazioni, vedere Gestire ruoli e utenti del database.

Considerazioni e limitazioni

  • Azure Analysis Services non supporta l'uso di One-Time password per gli utenti B2B

Passaggi successivi

Gestire l'accesso alle risorse con i gruppi di Microsoft Entra
Gestire ruoli e utenti del database
Gestire gli amministratori del server
Controllo degli accessi basato sui ruoli di Azure (Azure RBAC)