Коллеги, добрый день.

Как реализовать разграничение доступа к разным элементам Dimension не на основе ролей, а по таблице-каталогу, в которой есть логины пользователей и индексы членов измерения?
Дело в том, что при редактор ролей в MS AS не очень наглядный, и крайне неудобен: в моем случае приходится создавать либо очень много ролей чуть ли не по каждому элементу Dimension, либо создавать отдельную роль для каждого пользователя.

сервер MS AS.

Dmitry Biryukov , Еще как пугает! Получается надо создать около 100 ролей - по роли для каждого пользователя, потому что почти нет возможности их объединения, т.к. они используют практически непересекающиеся куски информации.
При этом нетривиальной станет задача определения "а кто смотрит эту цифру".
а альтернативный вариант, я так понимаю, сводится к тому, чтобы при каждом обращении к кубу динамически формировался список полей при помощи функции из написаной для этой цели библиотеки? о ужас! я надеялся на более-менее простой подход.

backfire , да похоже придется изучать DSO, благо на форуме и в MSDN есть примеры создания ролей. хотя тут тоже придется достаточно повозиться, чтобы создать роли с требуемыми ограничениями.

Спасибо за советы !

Коллеги, спасибо огромное!

Андрей Никифоров , Да интересный метод!
Владимир Иванов , спасибо за наводку (я тут новенький и места полезные пока не все изучил), у Моши там шикарная презентация по этой проблеме, в том числе рассмотрены способ "через UDF" и "Security Cube". Мне разбор примера с UDF не понравился тем, что он требует установки патча на сервер, а я по политике не могу ничего ставить на сервер без очень длинных и утомительных согласований с верхами.

А вот в способе "Security Cube" предвижу проблему: не будет ли он случайно в поле Total выдавать сумму по всем измерениям, включая невидимым ? такой вариант бы не очень устраивал при работе с очень чувствительной информацией. Андрей Никифоров , Вы говорите, что используете этот метод. Насколько мои опасения оправданы ?

Коллеги, всем спасибо, способ "Secure cube" работает наура!!

а вот такой вопрос:
вот допустим есть измерение "Customers" которое фильтруем и наше измерение "secure users" по которому фильтруем. для фильтрации у меня служит MDX выражение:


допустим, есть 10 пользователей с неограниченным доступом к кубу, например к 500 строкам измерения Customers . для того чтобы им обеспечить достпуп я
- либо завожу на них отдельную роль, с "Unrestricted Access" на то измерение,
- либо векторно перемножаю таблицу привелигированных пользователей с таблицей Customers, получая дополниельные 5000 записей таблице фактов куба "security".

а как нужно модифицировать MDX выражение, чтобы эти 10 пользователей проверялись в нем,
допустим, у привелегированного пользоваля в измерении "secure users"
MemberProperty "SuperManager"=1

я вот тоже думаю, что наиболее эффективно - создать роль,

но может быть я как нибудь я напишу простенькое VBA- или вэб-приложение, чтобы манагер, ответственный за отчет, сам мог легко манипулировать ролями, не дергая меня. DSO мне изучать пока лень, поэтому хочется создать отдельную таблицу, куда нужно заносить пуперюзеров.

во-во! раз уж все равно храню доступ для всех в базе, так пусть и доступ для избрынных тоже будет в той же базе, что бы собрать все в одном месте.

основная проблема - я не знаю MDX, только начал книжку читать, и пока никак не соображу, как слить два сета.

:D :D :D :D :D


правда после добавления пользователей требуется репроцессить секьюрный куб и виртуалный куб :)