我正在尝试使用 ADOMD 连接到 Azure 分析服务并使用服务主体进行身份验证。所以我做了以下工作:
- 在 AAD 中创建应用程序。
- 授予应用(服务主体)对 Azure 分析服务的读取权限。
下面是我连接到 Azure 分析服务的代码。
var clientId = "******";
var clientSecret = "*****";
var domain = "****.onmicrosoft.com";
var ssasUrl = "northeurope.asazure.windows.net";
var token = await TokenHelper.GetAppOnlyAccessToken(domain, $"https://{ssasUrl}", clientId, clientSecret);
var connectionString = $"Provider=MSOLAP;Data Source=asazure://{ssasUrl}/{modelname};Initial Catalog= adventureworks;User ID=;Password={token};Persist Security Info=True;Impersonation Level=Impersonate";
var ssasConnection = new AdomdConnection(connectionString);
ssasConnection.Open();
var query = @"Evaluate TOPN(10,Customer,Customer[Customer Id],1)";
var cmd = new AdomdCommand(query)
{
Connection = ssasConnection
};
using (var reader = cmd.ExecuteXmlReader())
{
string value = reader.ReadOuterXml();
Console.WriteLine(value);
}
我能够获得有效的访问令牌,但在尝试打开连接时出现以下错误:
AdomdErrorResponseException:用户“app:xxxxxxx@xxxxxx”无权访问“adventureworks”数据库,或者该数据库不存在。
附加信息::
- 我已经验证通过 Azure 门户向服务主体授予 Azure 分析服务的权限(读者和也尝试过贡献)。
- 我用服务帐户(用户名和密码)尝试了相同的代码,它可以工作。
- 如果我从连接字符串中删除“Initial Catalog= Adventureworks”,那么我的连接将成功。但我不明白为什么分析服务权限没有传播到模型。
解析度:
愚蠢的是,我在发布此内容后就自己获得了解决方案。上面的第 3 点给了我一个线索。通过门户授予对 Azure 分析服务的权限不会传播到服务主体(Azuire AD 应用程序)的模型。
脚步:
- 在 Sql server Mgmt Studio 中打开 Azure 分析服务。
- 在目标模型中,转到Roles。
将服务主体添加到具有权限的所需角色中。服务主体以以下格式添加:
应用程序:[appid]@[tenantid]
示例:应用程序:8249E22B-CFF9-440C-AF27-60064A5743CE@86F119BE-D703-49E2-8B5F-72392615BB97
