Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Analysis Services использует Microsoft Entra ID для управления удостоверениями и проверки подлинности пользователей. Любой пользователь, создающий, управляющий или подключающийся к серверу служб Azure Analysis Services, должен иметь допустимое удостоверение пользователя в клиенте Microsoft Entra той же подписки.
Azure Analysis Services поддерживает возможности совместной работы B2B в Microsoft Entra. С помощью B2B можно пригласить пользователей, не относящихся к вашей организации, в качестве гостевых пользователей каталога Microsoft Entra. Гости могут быть пользователями другого каталога Microsoft Entra или иметь любой действующий адрес электронной почты. Если вы пригласили пользователя и он принимает приглашение, отправленное по электронной почте от Azure, удостоверение пользователя добавляется в каталог клиента. Эти удостоверения можно добавить в группы безопасности или в качестве членов роли администратора сервера или роли базы данных.
Проверка подлинности
Все клиентские приложения и средства используют одну или несколько клиентских библиотек Analysis Services (AMO, MSOLAP, ADOMD) для подключения к серверу.
Все три клиентские библиотеки поддерживают интерактивный поток Microsoft Entra и неинтерактивные методы проверки подлинности. Два неинтерактивных метода (проверку подлинности Active Directory и встроенную аутентификацию Active Directory) можно использовать в приложениях с применением AMOMD и MSOLAP. Эти два метода никогда не приводят к всплывающих диалоговых окнам для входа.
Клиентские приложения, такие как Excel и Power BI Desktop, и такие инструменты, как SSMS и расширение проектов Analysis Services для Visual Studio, устанавливают последние версии клиентских библиотек с регулярными обновлениями. Power BI Desktop, SSMS и расширение проектов Analysis Services обновляются ежемесячно. Excel обновляется с помощью Microsoft 365. Обновления Microsoft 365 появляются реже, и некоторые организации используют отложенный канал. Это означает, что установка обновлений откладывается на срок до трех месяцев.
В зависимости от того, какие вы используете средства или клиентское приложение, тип проверки подлинности и способ входа могут отличаться. Каждое приложение может поддерживать различные функции подключения к таким облачным службам, как Azure Analysis Services.
Power BI Desktop, Visual Studio и SSMS поддерживают универсальную проверку подлинности Active Directory — интерактивный метод с поддержкой многофакторной проверки подлинности в Microsoft Entra. Многофакторная проверка подлинности Microsoft Entra помогает защитить доступ к данным и приложениям, предоставляя простой процесс входа. MFA обеспечивает надежную аутентификацию с использованием ряда вариантов проверки посредством телефонного звонка, текстового сообщения, смарт-карты с ПИН-кодом или уведомления в мобильном приложении. Интерактивная многофакторная проверка подлинности в Microsoft Entra ID может вызывать всплывающее диалоговое окно для подтверждения. Рекомендуется использовать универсальную проверку подлинности.
Если при входе в Azure с помощью учетной записи Windows не выбрать универсальную проверку подлинности или она недоступна (Excel), потребуются службы федерации Active Directory (AD FS). При использовании федерации Microsoft Entra ID и пользователи Microsoft 365 аутентифицируются с использованием локальных учетных данных, и они могут получить доступ к ресурсам Azure.
Примечание.
При создании токена с пользовательской логикой, он должен быть либо пользовательским токеном, либо субъектом службы приложений, а аудитория должна быть точно определена как https://*.asazure.windows.net.
SQL Server Management Studio (SSMS)
Серверы Azure Analysis Services поддерживают подключения SSMS V17.1 и более поздних версий с помощью проверки подлинности Windows, проверки пароля Active Directory и универсальной проверки подлинности Active Directory. В общем, рекомендуется использовать универсальную проверку подлинности Active Directory, потому что:
поддерживает интерактивные и неинтерактивные методы проверки подлинности.
Поддерживает гостевых пользователей Azure B2B, приглашенных в клиент Azure AS. При подключении к серверу гостевые пользователи должны выбрать универсальную проверку подлинности Active Directory.
Поддерживает многофакторную проверку подлинности (MFA). Многофакторная проверка подлинности Microsoft Entra помогает защитить доступ к данным и приложениям с помощью различных вариантов проверки: телефонный звонок, текстовое сообщение, смарт-карты с пин-кодом или уведомление мобильного приложения. Интерактивная многофакторная проверка подлинности в Microsoft Entra ID может вызывать всплывающее диалоговое окно для подтверждения.
Visual Studio
Visual Studio подключается к Azure Analysis Services с помощью универсальной проверки подлинности Active Directory с поддержкой Многофакторной идентификации. Пользователям предлагается выполнить вход в Azure при первом развертывании. Пользователи должны войти в Azure с помощью учетной записи с разрешениями администратора сервера на соответствующем сервере. При первом входе в Azure назначается маркер. Маркер кэшируется в память для последующих повторных подключений.
Пауэр BI Десктоп
Power BI Desktop подключается к Azure Analysis Services с помощью универсальной проверки подлинности Active Directory с поддержкой Многофакторной идентификации. Пользователям предлагается выполнить вход в Azure при первом подключении. Пользователям необходимо войти в Azure с помощью учетной записи, включенной в роли администратора сервера или пользователя базы данных.
Excel
Пользователи Excel могут подключаться к серверу с помощью учетной записи Windows, идентификатора организации (адреса электронной почты) или внешнего адреса электронной почты. Внешние учетные записи электронной почты должны существовать в Microsoft Entra ID в качестве гостевых пользователей.
Разрешения пользователей
Администраторы сервера соответствуют конкретному экземпляру сервера Azure Analysis Services. Они подключаются к таким средствам, как портал Azure, SSMS и Visual Studio, чтобы выполнять такие задачи, как настройка параметров и управление ролями пользователей. По умолчанию пользователь, который создает сервер, автоматически добавляется как администратор сервера Analysis Services. Других администраторов можно добавить с помощью портала Azure или SSMS. Администраторы серверов должны иметь учетную запись в клиенте Microsoft Entra в той же подписке. Дополнительные сведения см. в статье Управление администраторами сервера.
Пользователи базы данных подключаются к шаблонам баз данных с помощью таких клиентских приложений, как Excel или Power BI. Пользователей необходимо добавить в роли базы данных. Роли базы данных определяют администратора, процесс или разрешения на чтение для базы данных. Важно понимать, что пользователи базы данных с разрешениями администратора и администраторы сервера — это не одно и тоже. Тем не менее, по умолчанию администраторы сервера также являются администраторами базы данных. Дополнительные сведения см. в статье Управление ролями и пользователями базы данных.
Владельцы ресурса Azure. Владельцы ресурса управляют ресурсами подписки Azure. Владельцы ресурсов могут добавлять удостоверения пользователей Microsoft Entra в роли Владельца или Участника в подписке через раздел Управление доступом в портале Azure или с помощью шаблонов Azure Resource Manager.
Роли на этом уровне применяются к пользователям или учетным записям, которым необходимо выполнить задачи на портале или с помощью шаблонов Azure Resource Manager. Дополнительные сведения см. в статье Управление доступом на основе ролей в Azure (Azure RBAC).
Роли базы данных
Роли, определенные для табличной модели, являются ролями базы данных. То есть роли содержат участников, состоящих из пользователей Microsoft Entra и групп безопасности, которые имеют определенные разрешения, определяющие действия, которые эти участники могут выполнять с моделью базы данных. Роль базы данных создается как отдельный объект в базе данных и применяется только к базе данных, в которой она создана.
По умолчанию при создании нового проекта табличной модели в нем нет никаких ролей. Роли можно определить с помощью диалогового окна диспетчера ролей в Visual Studio. При определении ролей во время разработки проекта модели они применяются только к базе данных рабочей области модели. Когда модель развернута, те же роли применяются к развернутой модели. После развертывания модели администраторы сервера и базы данных могут управлять ролями и участниками с помощью SSMS. Дополнительные сведения см. в статье Управление ролями и пользователями базы данных.
Рекомендации и ограничения
- Службы Azure Analysis Services не поддерживают использование единовременного пароля для пользователей B2B
Следующие шаги
Управление доступом к ресурсам с помощью групп Microsoft Entra
Управление ролями и пользователями базы данных
Управление администраторами сервера
Управление доступом на основе ролей в Azure (Azure RBAC).