Мы создаем размещенное приложение, которое использует MS SQL Server Analysis Services 2005 для некоторых отчетов, в частности для просмотра куба OLAP. Поскольку он предназначен для использования в очень крупных глобальных организациях, безопасность очень важна.
Кажется, что предпочтительным клиентским инструментом Microsoft для просмотра кубов OLAP является Excel 2007, и вся инфраструктура ориентирована на встроенную проверку подлинности Windows. Однако мы пытаемся создать веб-приложение для Интернета и не хотим создавать учетные записи Windows для каждого пользователя.
Также кажется, что не так много хороших веб-инструментов AAP для просмотра куба OLAP AJAXy (быстрый, перетаскивание для измерений, поддержка действий, кросс-браузер и т. Д.) Dundas OLAP Grid , но также рассмотрели RadarCube и другие более дорогие коммерческие решения и все еще думают о том, чтобы взять CellSetGrid и развивать его дальше - если вам известно о каких-либо другие дешевые / открытые решения, пожалуйста, дайте мне знать!
Поэтому мы планируем предоставить два режима доступа к данным куба:
- Через наше собственное веб-приложение с использованием одного из этих сторонних веб-инструментов для просмотра OLAP.
- Прямой доступ из Excel через HTTPS через насос данных msmdpump.dll, если веб-версия слишком медленная / неуклюжая или пользователю требуется более мощный анализ.
Для доступа к веб-приложению подключение к источнику данных SSAS происходит с веб-сервера, поэтому мы можем с радостью передать элемент CustomData в строку подключения, который указывает, какой пользователь подключается. Поскольку у нас потенциально слишком много комбинаций прав для создания отдельных ролей SSAS, мы внедрили безопасность динамического измерения , которая использует измерение «Пользователи куба» в сочетании с элементом CustomData из строки подключения и ограничивает разрешенные Соответствующий набор различных других элементов измерения (через другие отношения dinemsion «многие ко многим» с группами мер, которые содержат «сопоставление прав»)
См. Моша по безопасности измерений:
http://www.sqljunkies.com/WebLog/mosha/archive/2004/12/16/5605.aspx
Кажется, что пока все работает нормально.
Для «прямого соединения» из Excel мы настроили насос данных для доступа HTTP
(см. MS Technet, статья ), но включили анонимный доступ, снова полагаясь на строку подключения для контроля доступа, поскольку у нас нет учетных записей Windows.
Однако в этом случае строка подключения контролируется пользователем (мы загружаем файл .odc из веб-приложения, но любопытный пользователь может просматривать и изменять его), поэтому мы не можем полагаться на то, что пользователи будут хорошими и сохранят данные CustomData. =grunt@corp.org от перехода на CustomData=superuser@corp.org. Оказывается, это также вызывает ту же проблему с ролями, поскольку они также указываются в строке подключения, если вы не используете встроенную аутентификацию Windows.
Поэтому вопрос сводится к следующему: есть ли способ заставить базовую аутентификацию в IIS работать без учетных записей Windows таким образом, чтобы ее можно было использовать с насосом данных SSAS, чтобы сообщить SSAS, какой пользователь подключается, чтобы динамически Безопасность измерений может быть успешно использована?
(Это мой первый вопрос в StackOverflow и, возможно, самый сложный вопрос, который я когда-либо задавал: дайте мне знать, где я не очень хорошо себя объяснил, и я попытаюсь уточнить)