Добрй день всем.

Есть SSAS 2012 MDM

Есть MS-SQL таблица юзеров EUsers в приложении содержащая юзеров (логины, имена , органзиации)
Там реализована своя кастомная секурити (черзе таблицы).

по БД SQL построен куб (мной).

надо реалзиовать секурити в SSAS похоже на приложение без доменных записей
(нельзя синхронизриовать AD - пока это измнеить неьзья)

т.е на стороне клиента (т.е в передаваемых MDX через параметр <Активный юзер> )

1-я простейшая роль Орг.админ видит нескльок организаций (пока одну но м.б и больше)
(предполагается 4 роли как мин.)

Вот мат.часть к-ю читал http://bidn.com/Blogs/analysis-services-dynamic-security-for-sql-server/ Analysis Services Dynamic Security

Есть ТФ FactEvent : {Date_Key , Org_Key ... , Cnt_Event }
Пока задача отфильтровать ТФ по юзеру ( фильтрация дименшенов не рассматриваем)

DimUser (Импортированные юзеры )
DimOrganization
Схема пока звезда.

Делаю вью Vw_Sec_User_Organization
Usr_Key - Org_Key (1 ко многим )
usr 1 - org01
usr 1 - org02
usr 1 - org03
usr 2 ...
Org_Key есть в ТФ , Usr_Key НЕТ

добавляю в DSV (уже снежинка получается)
Vw_Sec_User_Organization 8<-- (org_key) --- 1 DimOrganization 1----- (org_key) --- >8 FactEvent


на основании ее димешн Sec_User_Organization {Usr_Key , Org_Key } и добавляю в куб.
в Dimension Usage Ставлю связать Sec_User_Organization с FactEvent через referenced dimension DimOrganization

Могу ли я передав ( или пока просто жестко задав юзера для теста ) в MDX <usr 1>
отфильтровать его организации из димешнена Sec_User_Organization (org01, org02 , org03 )
(аналог Where в SQL , но не Where в MDX )
и отфильтровать факты по соответсвующим органзиациям.

( БЕЗ введения доп. служебной меры как в статье - она вроде только для фильтрации димешненов )

Сейчас у меня задание 1 юзера в WHERE ( [Sec User Organization].[User Key].&[-10] )

в запросах с Sec_User_Organization - приводит к пустому датасету.
(в browse куба)
в запросах с DimOrganization - приводит к тому же датасету.
Если я правильно поинмюа это потому что ключа юзеров нет в ТФ

Мне надо будет скрыть потом Sec_User_Organization
но чтобы добавление фильтра [Sec User Organization].[User Key].&[-10]
влияло на запросы где есть DimOrganization.


Если это можно то подскажите как


ps любые ссылки на статьи по секурити в SSAS без домен. аутентификации велком.

Переформулирую вопрос короче
Если в ТФ нет ключа юзера и есть ключ орг.
и есть таблица бридж организации - юзеры
как ограничить ТФ - из вне
можно ли без доп. мер - чисто рисуя связи в DSV
и mdx

http://tavislovell.com/how-to-configure-dynamic-security-in-analysis-services-and-performance-point-2010-without-kerberos/

вот почти то что мне надо
CUSTOMDATA() function in MDX.

если удастся сделать динамическую строку коннекта из ГУИ CUSTOMDATA= <Переданный ГУИ юзер>
то все будет ОК.

тестирую подход

создал тестовую роль где прописал
для дименшена органзиации
в dimension Data :

[AD Name] - сгенеренное уникальное имя в таблице
к-я передаю в качестве параметра CUSTOMDATA при открытии сессии




1?) ожидал по дефолту CUSTOMDATA() = null (без доп. параметров) ожидал пустой датасет
на самом деле вернуло все гду не было прописано
думаю как написать что-тот типа
isnull( CUSTOMDATA() , "NOT_EXISTING_USER")
isnull Вроде нет в mdx

2?) в Тесте этой логики
когда я подключасюь через mdx или browse я могу указать CustomData=5::...A001;

но у меня этоа логика сидит в тестовой роли
браузить я под ней вроде могу - там и вижу что не все факты показываются (т.е срабатывает)

а вот как тестировать mdx под этой ролью ?
я думал передать в доп. свойства такую стороку доп.параметров :

Role=02_Role_Organization_admin;CustomData=5::...A001;

( EffectiveUserName="" - это для NT юзера )
так ругается на роль -
а в браузе есть такая кнопка

можно ли как-то передать Role в mdx ?

Role s =02_Role_Organization_admin;CustomData=5::...A001;
одна буква - и все ок
остается вопрос как в случае CustomData = null
подменить ее несуществ.юзером