Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[SSAS] [2K5] Sécurité des cubes avec la connection via IIS
Salut,
J'ai mis en place la connexion http à mon cube OLAP via IIS. maintenant, la gestion de la sécurité des données se fait directement via les rôles (connexion avec le même utilisateur) comme décrit sur un poste précédent.
Par contre, dans la chaine de connexion, si l'on ne spécifie pas le rôle de connexion, l'utilisateur a accès à toutes les données.
Y a-t-il un moyen pour rendre l'utilisation de l'attribut "Roles" dans la chaine de connexion obligatoire ?
Merci d'avance
Salut
Dans un cube - au niveau de ton projet - tu peux donner des droits sur certains groupes de mesures pour certains utilisateurs.
Par exemple, si tu dois afficher des salaires, en général tu mets les droits en lecture sur cette valeur pour le groupe RH (par exemple) et pour tous les autres, pas de droit, du coup il verront NA au lieu de xxxx€
C'est de ça dont tu parles ?
A+
En fait, J'ai créé des rôles qui gère exactement ce que tu expliques, mais au niveau de mes adhésions, je suis obligé de rajouter l'utilisateur de IIS à tous les rôles ce qui me permet de me connecter via http.
L'attribut "Roles" dans la chaine de connexion est optionnel, et permet de limiter les droits de l'utilisateur IIS :
Si je rajoute par exemple "Roles=Role_RH", dans le cube, j'aurais accès aux salaires, mais pas aux chiffres d'affaire par département (par exemple).
Mais si je ne met pas l'attribut "Roles"dans ma chaîne de connexion, le cube contiendra toutes les données.
Je voudrais donc rendre l'attribut obligatoire au niveau de la chaîne de connexion pour interdire de se connecter en admin (lecture)
En effet, ça pose problème...
Je ne connais pas tes contraintes, je suppose que tu ne peux pas passer par excel pour visaliser ton cube ? Ca règlerait ton problème IIS et donc les droits.
En fait, j'utilise justement Excel pour connecter mes clients au cube, mais j'ai besoin d'une chaine de connexion. et s'ils se rendent compte qu'il suffit d'enlever l'attribut pour accéder à la totalité des données, ma sécurité tombe à l'eau.
Il est effectivement possible de passer une liste de rôles dans les propriétés de la chaine de connexion SSAS mais je ne pense pas que celà puisse constituer un mécanisme d'authentification ni de sécurité. Il te faut passer par des utilisateurs ou des groupes Windows (locaux puisque je suppose que le http t'est imposé par certains utilisateurs sur un autre domaine) rattachés à tes rôles et les assigner à tes rôles. A la rigueur, tu crées des comptes RolesXXX_user. La configuration de l'authentification de IIS et du filtre ISAPI peut changer en fonction de la version. Voir http://geekswithblogs.net/darrengosb...ows-Vista.aspx pour IIS7 sous Vista Entr ou WINDOWS SERVER 2008. J'ai testé et ca marche.
J'avoue ne pas etre super calé et avoir eu pas mal de soucis avec les roles (que j'evite maintenant) mais je me souviens pas avoir eu a passer le role dans l'URL. Mais peut etre est-ce parce que j'utilisais Active Directory pour authentifier mes utilisateurs. Dès l'instant où ils étaient authentifiés, ils n'avaient pas à se logguer et lors de l'accès au cube, le rôle s'appliquait automatiquement si le login de l'utilisateur avait été ajouté au role, isnon il ne voyait rien.
Les utilisateurs se connectent à leur poste de travail avec des compte Novel, et le serveur SSAS est installé sur une machine distante sur laquelle je n'ai pas les droit d'administrateur. du coup, c'est l'utilisateur IUSR_<NOM_DE_LA_MACHINE> qui se connecte à SSAS, j'avais pensé à des utilisateurs RolesXXX_user, mais je n'ai pas le droit de le faire
Tu n'as pas les droits sur la machine, mais sur l'instance SSAS, tu te connectes bien avec un user qui a tous les droits ?
Voilà comment j'ai fait :
Dans MSSM, je me connecte à l'instance SSAS où est hébergé le cube.
Dans les roles - j'ai créé 2 roles :
role_user_full et role_user_limited par exemple.
Dans chacun des roles, il y a un groupe (référencé dans l'AD) qui contient les personnes qui ont tel ou tel droit.
Les 2 roles ont juste accès en lecture au cube. Pour le "full", je laisse la config par défaut (donc accès à toutes les cellules et dimensions). Pour l'autre, au niveau des données des cellules, il faut coder en MDX les cellules que tu veux ou pas afficher.
Tu es effectivement dans une configuration un peu compliquée... La meilleure manière de faire à mon sens est de passer par de la sécurité dynamique via une dim utilisateur.
L'idée pour toi serait d'utiliser le noeud CustomData pour transmettre un couple login password. Ce CustomData, tu peux ensuite le lire en MDX et le corréler à une dimension Utilisateur de qui te sert à déterminer les accès dans la partie sécurité de ton cube.
François JEHL
BI Engineer | MVP SQL Server
http://fjehl.wordpress.com
Pour me contacter, par MP ou ici, mais pas pour des questions techniques.
/*
Avant de poster cherchez dans la FAQ et utilisez la fonction "Rechercher" du forum.
Au moment de poster, posez votre question dans le bon sous-forum (Débuter, SSAS, SSRS, SSIS), en utilisant les TAGs prédéfinis ([2K], [2K5], [2K8], [2K8R2]).
*/
Ok Merci beaucoup, Je vais faire tout ça.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager