身份验证和用户权限

Azure Analysis Services 使用 Microsoft Entra ID 进行标识管理和用户身份验证。 在相同订阅中,创建、管理或连接到 Azure Analysis Services 服务器的任何用户必须具备 Microsoft Entra 租户中的有效用户标识。

Azure Analysis Services 支持 Microsoft Entra B2B 协作。 使用 B2B,可邀请组织外的用户作为 Microsoft Entra 目录中的来宾用户。 来宾可来自其他 Microsoft Entra 租户目录或任何有效的电子邮件地址。 用户受邀并接受 Azure 通过电子邮件发送的邀请函后,用户标识就会添加到租户目录中。 可将这些标识添加到安全组,或者作为服务器管理员或数据库角色的成员。

Azure Analysis Services authentication architecture

身份验证

所有客户端应用程序和工具都使用一个或多个 Analysis Services 客户端库(AMO、MSOLAP、ADOMD)连接到服务器。

所有 3 个客户端库均支持 Microsoft Entra 交互流和非交互式身份验证方法。 可在利用 AMOMD 和 MSOLAP 的应用程序中使用两种非交互式方法,即 Active Directory 密码和 Active Directory 集成身份验证方法。 这两种方法永远不会产生登录用弹出对话框。

Excel 和 Power BI Desktop 等客户端应用程序,以及 SSMS 和 Visual Studio 的 Analysis Services 项目扩展等工具,可以通过定期更新安装最新版本的客户端库。 每月更新 Power BI Desktop、SSMS 和 Analysis Services 项目扩展。 Excel 随 Microsoft 365 一起更新。 Microsoft 365 更新频率较低,并且某些组织会使用延期频道,这意味着将更新最多延迟 3 个月。

根据使用的客户端应用程序或工具,身份验证类型和登录方式可能有所不同。 每个应用程序可能支持连接到云服务(如 Azure Analysis Services)的不同功能。

Power BI Desktop、Visual Studio 和 SSMS 支持 Active Directory 通用身份验证,该通用身份验证是一种也支持 Microsoft Entra 多重身份验证 (MFA) 的交互式方法。 Microsoft Entra 多重身份验证有助于保护对数据和应用程序的访问,同时提供简单的登录过程。 它通过多个验证选项(电话、短信、含有 PIN 码的智能卡或移动应用通知)提供强身份验证。 配合使用 Microsoft Entra ID 和交互式 MFA 时会出现用于验证的弹出式对话框。 建议使用通用身份验证

如果使用 Windows 帐户登录到 Azure 并且通用身份验证未选中或不可用 (Excel),则需要 Active Directory 联合身份验证服务 (AD FS)。 使用联合身份验证时,Microsoft Entra ID 和 Microsoft 365 用户将使用本地凭据进行身份验证,并且可以访问 Azure 资源。

SQL Server Management Studio (SSMS)

Azure Analysis Services 服务器通过以下方式支持来自 SSMS V17.1 及更高版本的连接:使用 Windows 身份验证、Active Directory 密码验证和 Active Directory 通用身份验证。 通常,建议使用 Active Directory 通用身份验证,原因如下:

  • 支持交互式和非交互式身份验证方法。

  • 支持邀请 Azure B2B 来宾用户加入 Azure AS 租户。 连接到服务器时,来宾用户必须选择 Active Directory 通用身份验证。

  • 支持多重身份验证 (MFA)。 Microsoft Entra 多重身份验证有助于通过一系列验证选项来保护对数据和应用程序的访问:电话呼叫、短信、含有 PIN 码的智能卡或移动应用通知。 配合使用 Microsoft Entra ID 和交互式 MFA 时会出现用于验证的弹出式对话框。

Visual Studio

Visual Studio 通过使用支持 MFA 的 Active Directory 通用身份验证来连接 Azure Analysis Services。 首次部署时,系统会提示用户登录 Azure。 用户必须使用帐户登录 Azure,该帐户需具备针对部署目标服务器的服务器管理员权限。 首次登录 Azure 时,系统会分配令牌。 令牌将缓存在内存中,以便将来重新连接。

Power BI Desktop

Power BI Desktop 使用支持 MFA 的 Active Directory 通用身份验证来连接 Azure Analysis Services。 首次连接时,系统会提示用户登录 Azure。 用户必须使用帐户登录 Azure,该帐户包括在服务器管理员或数据库角色中。

Excel

Excel 用户可使用 Windows 帐户、组织 ID(电子邮件地址)或外部电子邮件地址连接到服务器。 外部电子邮件标识必须作为来宾用户存在于 Microsoft Entra ID 中。

用户权限

服务器管理员特定于 Azure Analysis Services 服务器实例。 它们使用 Azure 门户、SSMS 和 Visual Studio 等工具进行连接,以执行配置设置和管理用户角色等任务。 默认情况下,创建服务器的用户将被自动添加为 Analysis Services 服务器管理员。 可使用 Azure 门户或 SSMS 添加其他管理员。 服务器管理员必须在同一订阅中的 Microsoft Entra 租户中具有帐户。 若要了解详细信息,请参阅管理服务器管理员

数据库用户通过使用 Excel 或 Power BI 等客户端应用程序,连接模型数据库。 必须将用户添加到数据库角色。 数据库角色为数据库确定管理员、进程或读取权限。 具有管理员权限的数据库用户与服务器管理员不同,请务必了解这一点。 但默认情况下,服务器管理员也是数据库管理员。 若要了解详细信息,请参阅管理数据库角色和用户

Azure 资源所有者。 资源所有者管理 Azure 订阅的资源。 资源所有者可通过以下方式在订阅中向所有者角色或参与者角色添加 Microsoft Entra 用户标识:在 Azure 门户中使用“访问控制”或使用 Azure 资源管理器模板

Access control in Azure portal

此级别的角色适用于符合以下条件的用户或帐户:需要执行可在门户中完成或使用 Azure 资源管理器模板完成的任务。 若要了解详细信息,请参阅 Azure 基于角色的访问控制 (Azure RBAC)

数据库角色

为表格模型定义的角色就是数据库角色。 也就是说,此类角色包含的成员为 Microsoft Entra 用户和安全组,并拥有特定权限来定义这些成员可以对模型数据库执行的操作。 数据库角色作为数据库中的单独对象创建,并且仅适用于创建该角色的数据库。

默认情况下,创建新的表格模型项目时,该模型项目没有任何角色。 可使用 Visual Studio 中的“角色管理器”对话框定义角色。 如果在模型项目设计期间定义了角色,则这些角色仅适用于模型工作区数据库。 部署模型时,应对已部署模型使用相同的角色。 部署模型后,服务器和数据库管理员就可以使用 SSMS 管理角色和成员。 若要了解详细信息,请参阅管理数据库角色和用户

注意事项和限制

  • Azure Analysis Services 不支持对 B2B 用户使用一次性密码

后续步骤

使用 Microsoft Entra 组管理对资源的访问
管理数据库角色和用户
管理服务器管理员
Azure 基于角色的访问控制 (Azure RBAC)