Berechtigungen in DWH, Cube und Cockpit setzen
Installierte Komponenten überprüfen
Nach der Installation sind folgende Komponenten installiert:
-
SQL Server: DWH’s pro Modul
-
SQL Server-Agent: Lade-Job
-
SQL Analysis Server: Cubes pro Modul
-
SQL Reporting Services: SSRS Reports (unter „Cockpit_ReportingRoot“)
-
IIS: Cockpit-Webanwendung
SQL Server, SQL Server-Agent, & Analysis Server:
SQL Server Reporting Services:
IIS Cockpit Webanwendung:
Berechtigungen bei DWH- und Cube-Datenbanken einrichten
Für das erfolgreiche Laden und Verarbeiten sind die Benutzer für den Analysis Server und Server-Agent mit den entsprechenden Berechtigungen auszustatten. In unserem Fall sind dies NT Service\MSSQLServerOLAPService und NT Service\SQLSERVERAGENT:
Analysis-Benutzer Zugriff auf die DWH-Datenbanken erteilen:
Im SQL Server Management Studio sind dem Benutzer NT Service\
MSSQLServerOLAPService die folgenden Berechtigungen für den Zugriff auf die DWHDatenbanken auf dem SQL Server zu erteilen:
Server-Agent-Benutzer der der Admin-Rolle im Cube zuteilen: Im Analysis Server ist pro Cube-Datenbank der Benutzer NT Service\SQLSERVERAGENT der Admin-Rolle zuzufügen:
Datawarehouses laden und Cube verarbeiten
Zum Prüfen ob der Job erfolgreich durchläuft empfehlen wir den Auftrag
InfoniqaCockpit_LoadDWH&ProcessCube manuell zu starten über Rechtsklick „Auftrag starten bei Schritt“ und [Starten]:
Überprüfen Sie in jedem Fall die Verarbeitung im SQL-Fehlerprotokoll:
Infoniqa_Cockpit_Admins der Admin-Rolle im Cube zuteilen
Im Analysis Server ist pro Cube-Datenbank die Benutzergruppe Infoniqa_Cockpit_Admins der Admin-Rolle zuzufügen:
Berechtigungen auf Cockpit- und SRSS-Datenbanken setzen
Für die Benutzergruppen Infoniqa_Cockpit_Users und Infoniqa_Cockpit_Admins sind auf den Datenbanken
-
InfoniqaCockpit
-
ReportServerDB
-
ReportServerTempDB
die entsprechenden Berechtigungen zu erteilen.
Dazu sind für die beiden Windows-Benutzergruppen Infoniqa_Cockpit_Users und Infoniqa_Cockpit_Admins jeweils wie folgt ein neues SQL-Login anzulegen:
Benutzer erstellen:
Berechtigungen für Datenbank InfoniqaCockpit, ReportServerDB und ReportServerTempDB setzen:
Reporting Services Security einrichten
Um in Reporting Services die Rechte pro Benutzer einstellen zu können, empfehlen wir die Rechte-Vererbung vom SRSS-Ordner Cockpit_ReportingRoot brechen. D.h. die aktuellen Rechte bleiben erhalten, die Vererbung für weitere Rechte wird aber nicht mehr nach unten vererbt.
Konzept SSRS Security im Cockpit:
Auf deutschen Systemen heisst die Gruppe BUILTIN\Administrators
VORDEFINIERT\Administratoren
Gruppen in ActiveDirectory: In AD-Umgebungen sollten die Berechtigungsgruppen, wenn immer möglich auch im ActiveDirectory erstellt werden. Die Namen sind frei wählbar, Namenskonventionen der Organisation können so ohne weiteres angewendet werden. Im Cockpit sollten aber immer lokale (auf dem Cockpitserver erstellte Gruppen, hier CHSRVV-T9041) referenziert werden. In den Gruppen
SERVERNAME\Infoniqa_Cockpit_Users und SERVERNAME\Infoniqa_Cockpit_Admins müssen somit die jeweiligen AD-Gruppen als Member aufgenommen werden.
Schritt-für-Schritt-Anleitung um Vererbung zu brechen
Danach sieht Ansicht so aus (=OK, Vererbung wurde gebrochen):
Dann neue Rollenzuweisung erstellen für QS15\Infoniqa_Cockpit_Admins zuweisen:
Infoniqa_Cockpit_Admins wurden vom Cockpit_ReportingRoot Folder nach unten vererbt.
Nun müssen die Ordern Management und Statisch gebrochen werden, analog dem Cockpit_ReportingRoot Folder. Damit die weiteren Berechtigungszuteilungen nicht in alle weiteren Folder vererbt werden. Aber die Infoniqa_Cockpit_Admins Berechtigungen bleiben erhalten, weil diese vorher vererbt wurden.
Berechtigungen für Benutzergruppe Infoniqa_Cockpit_Users auf Cockpit_ReportingRoot Ordern setzen.
Weil die Sicherheit auf Management und Statisch gebrochen ist, werden die Rechte nur noch auf die Ordner „Data Sources“ und „Ad-hoc Reporting“ weitervererbt.
Siehe nachfolgendes Kapitel „Cockpit: Cube-Security einrichten“
In diesem Beispiel erhält der Administrator einzeln Rechte auf den Reporting Services Ordner „Statisch“ und vererbt dies auf alle weiteren Subfolder.
Benutzer zu Benutzergruppen hinzufügen
Alle Benutzer von Infoniqa Cockpit sind der Windows-Benutzergruppe Infoniqa_Cockpit_Users hinzuzufügen respektive alle Administratoren zu Infoniqa_Cockpit_Admins:
Cube-Security in Cockpit einrichten
Beim ersten Start von Infoniqa Cockpit http://localhost/InfoniqaCockpit erscheint die Meldung
„Zugriff verweigert. …“. Um auf den Cube zuzugreifen sind den Benutzern im Infoniqa Cockpit die Rechte für den Zugriff auf den Cube zuzuweisen: Rufen Sie via [Admin] die Cube-Security auf und setzen Sie die entsprechenden Rechte pro Mandant:
Weitere Berechtigungskonfigurationen im Infoniqa Cockpit neben Cube Security:
-
Group Security: Gruppen-Sicherheit Wir raten vom Einsatz von ab
-
Menu Security: Berechtigung auf Ebene Menustruktur
-
SSRS Folder Security: Einzelberechtigung auf Reporting Services Ordner