Pertanyaan Bagaimana cara mengamankan MS SSAS 2005 untuk akses remote HTTP melalui Internet?


Kami sedang membangun aplikasi yang dihosting yang menggunakan MS SQL Server Analysis Services 2005 untuk beberapa pelaporan, khususnya penelusuran kubus OLAP. Karena dirancang untuk digunakan oleh organisasi global yang sangat besar, keamanan itu penting.

Tampaknya alat klien yang disukai Microsoft untuk menjelajahi kubus OLAP adalah Excel 2007 dan seluruh infrastruktur diarahkan pada Windows Integrated Authentication. Kami, bagaimanapun, mencoba untuk membangun aplikasi web yang menghadap internet dan tidak ingin membuat Akun Windows untuk setiap pengguna.

Tampaknya juga tidak banyak alat perayapan kubus OLAP berbasis web AJAXy yang bagus (cepat, seret dan lepas untuk dimensi, dukungan untuk tindakan, lintas-browser, dll.) Sebagai tambahan, saat ini kami menggunakan Dundas OLAP Grid tetapi juga dipertimbangkan RadarCube dan solusi komersial lain yang lebih mahal dan masih berpikir untuk mengambil alih CellSetGrid dan mengembangkannya lebih jauh - jika Anda mengetahui solusi murah / terbuka lainnya, silakan beri tahu saya!

Karena itu kami berencana menyediakan dua mode akses ke data kubus:

  1. Melalui Aplikasi Web kami sendiri menggunakan salah satu alat penjelajahan OLAP berbasis Web pihak ketiga ini.
  2. Akses langsung dari Excel melalui HTTPS melalui pompa data msmdpump.dll, karena ketika versi web terlalu lambat / kikuk atau pengguna memerlukan analisis yang lebih kuat.

Untuk akses aplikasi web, koneksi ke sumber data SSAS terjadi dari server web sehingga kami dapat dengan senang hati mengirimkan item CustomData pada String Koneksi yang menunjukkan pengguna mana yang terhubung. Karena kami berpotensi memiliki terlalu banyak kombinasi hak untuk membuat peran SSAS individu untuk, kami telah menerapkan keamanan dimensi dinamis yang menggunakan dimensi "Pengguna Kubus" bersamaan dengan item CustomData dari string koneksi dan membatasi Kumpulan Diizinkan dari berbagai anggota dimensi lain yang sesuai (melalui hubungan banyak-ke-Banyak Lainnya dengan Kelompok Ukur yang berisi 'pemetaan hak')

Lihat Mosha di Dimension Security: http://www.sqljunkies.com/WebLog/mosha/archive/2004/12/16/5605.aspx

Ini semua tampaknya berfungsi dengan baik sejauh ini.

Untuk 'koneksi langsung' dari Excel, kami menyiapkan pompa data untuk akses HTTP (lihat Artikel MS Technet) tetapi telah mengaktifkan akses anonim, mengandalkan lagi pada String Koneksi untuk mengontrol akses karena kami tidak memiliki akun windows. Namun, dalam hal ini, string koneksi dikendalikan oleh pengguna (kami mendorong file .odc dari aplikasi web, tetapi pengguna yang ingin tahu dapat melihat & mengubahnya), jadi kami tidak dapat mengandalkan pengguna untuk menjadi baik dan menjaga CustomData =grunt@corp.org berubah menjadi CustomData=superuser@corp.org. Ternyata, ini juga menyebabkan masalah yang sama dengan Roles, karena ini juga ditentukan pada string koneksi jika Anda tidak menggunakan Windows Integrated Authentication.

Oleh karena itu pertanyaannya bermuara pada ini: apakah ada cara untuk mendapatkan otentikasi dasar di IIS bekerja tanpa akun windows sedemikian rupa sehingga dapat digunakan dengan pompa data SSAS untuk membiarkan SSAS mengetahui pengguna mana yang terhubung sehingga keamanan dimensi dinamis dapat berhasil digunakan?

(Ini adalah q pertama saya di StackOverflow dan mungkin pertanyaan yang paling rumit yang pernah saya tanyakan: beri tahu saya di mana saya belum menjelaskan dengan baik dan saya akan mencoba untuk menjelaskan)


4
2017-09-24 10:13


asal


Jawaban:


Otentikasi dasar akan bekerja dengan akun pengguna lokal (non-domain) dan bahkan mendukung otentikasi passthrough jika akun lokal ada pada mesin yang berbeda, namun Anda harus memaksa SSL sebagai otentikasi dasar mengirim kata sandi dalam plaintext.

Anda dapat menggunakan akun non-windows dengan otentikasi dasar di IIS dengan add-on seperti http://www.codeplex.com/CustomBasicAuth, tetapi SSAS masih perlu mengetahui siapa pengguna itu dan sejauh yang saya tahu SSAS hanya menggunakan otentikasi Windows.


3
2017-10-24 12:15



Untuk front-end thin client murah (relatif) murah untuk SSAS lihat RSInteract. Untuk poin bonus itu juga akan mengkonsumsi laporan SSRS dan model laporan.

Setiap upaya untuk menggunakan keamanan dimensi akan membutuhkan SSAS untuk mewaspadai pengguna dan memiliki hak akses mereka yang tersedia untuk itu. Saya tidak melihat cara apa pun untuk mengatur izin pengguna.


0
2017-09-24 10:51