Roles de seguridad (Analysis Services - Datos multidimensionales)
Se aplica a:
SQL Server Analysis Services Azure Analysis Services Power BI Premium
Los roles se usan en Microsoft SQL Server Analysis Services para administrar la seguridad de Analysis Services objetos y datos. En términos básicos, un rol asocia los identificadores de seguridad (SID) de los usuarios y grupos de Microsoft Windows que tienen permisos y derechos de acceso específicos definidos para los objetos administrados por una instancia de Analysis Services. Se proporcionan dos tipos de roles en Analysis Services:
El rol de servidor, un rol fijo que proporciona acceso de administrador a una instancia de Analysis Services.
Los roles de base de datos, que son roles definidos por los administradores para controlar el acceso a los objetos y datos de los usuarios que no son administradores.
La seguridad Microsoft SQL Server Analysis Services seguridad se administra mediante roles y permisos. Los roles son grupos de usuarios. Los usuarios, también denominados miembros, se pueden agregar o quitar de los roles. Los permisos de los objetos se especifican mediante los roles y todos los miembros de un rol pueden usar los objetos para los que este dispone de permiso. Todos los miembros de un rol disponen de los mismos permisos en los objetos. Los permisos son específicos de los objetos. Cada objeto cuenta con una colección de permisos que incluye los permisos concedidos en ese objeto; en un objeto se pueden conceder diferentes conjuntos de permisos. Cada permiso, de la colección de permisos del objeto, tiene un rol único asignado.
Objetos de rol y miembro de rol
Un rol es un objeto que contiene una colección de usuarios (miembros). Una definición de rol establece la pertenencia de los usuarios de Analysis Services. Dado que los permisos se asignan por rol, un usuario debe ser miembro de un rol para tener acceso a un objeto.
Un objeto Role se compone del nombre, el identificador y los miembros de los parámetros. Los miembros son una colección de cadenas. Cada miembro contiene el nombre de usuario con el formato "dominio\nombre de usuario". El nombre es una cadena que contiene el nombre del rol. El identificador es una cadena que contiene el identificador único del rol.
Rol de servidor
El Analysis Services de servidor define el acceso administrativo de Windows usuarios y grupos a una instancia de Analysis Services. Los miembros de este rol tienen acceso a todas Analysis Services bases de datos y objetos de una instancia de Analysis Services y pueden realizar las siguientes tareas:
Realice funciones administrativas de nivel de servidor mediante SQL Server Management Studio o SQL Server Data Tools, incluida la creación de bases de datos y la configuración de propiedades de nivel de servidor.
Realizar funciones administrativas mediante programación con Objetos de administración de Análisis (AMO).
Mantenga los Analysis Services de base de datos.
Iniciar seguimientos (distintas de eventos de procesamiento, que puede realizar un rol de base de datos con acceso de proceso).
Cada instancia de Analysis Services tiene un rol de servidor que define qué usuarios pueden administrar esa instancia. El nombre e Id. de este rol es Administradores y, a diferencia de los roles de base de datos, no puede eliminarse el rol del servidor ni pueden agregarse ni quitarse permisos. En otras palabras, un usuario es o no es administrador de una instancia de Analysis Services, en función de si está incluido en el rol de servidor para esa instancia de Analysis Services.
Roles de base de datos
Un Analysis Services de base de datos define el acceso del usuario a objetos y datos en una base Analysis Services datos. Un rol de base de datos se crea como un objeto independiente en una base Analysis Services datos y solo se aplica a la base de datos en la que se crea ese rol. El administrador incluye los usuarios y grupos de Windows en el rol y también define los permisos del rol.
Los permisos de un rol pueden permitir a los miembros obtener acceso y administrar la base de datos, además de los objetos y los datos de la misma. Cada permiso tiene uno o más derechos de acceso asociados, que a su vez proporcionan al permiso más control sobre el acceso a un objeto específico de la base de datos.
Objetos de permiso
Los permisos se asocian a un objeto (cubo, dimensión, otros) para un rol determinado. Los permisos especifican qué operaciones puede realizar el miembro de dicho rol en el objeto.
La clase Permission es una clase abstracta. Por consiguiente, debe usar las clases derivadas para definir los permisos en los objetos correspondientes. Para cada objeto se define una clase derivada de permiso.
| Object | Clase |
|---|---|
| Database | DatabasePermission |
| DataSource | DataSourcePermission |
| Dimension | DimensionPermission |
| Cube | CubePermission |
| MiningStructure | MiningStructurePermission |
| MiningModel | MiningModelPermission |
En la lista se muestran las posibles acciones habilitadas por permisos:
| Acción | Valores | Explicación |
|---|---|---|
| Proceso | {true, false} Default=false |
Si es true, los miembros pueden procesar el objeto y cualquier objeto contenido en él. Los permisos de proceso no se aplican a los modelos de minería de datos. Los permisos de MiningModel siempre se heredan de MiningStructure. |
| Leer definición | {None, Basic, Allowed} Valor predeterminado =None |
Especifica si los miembros pueden leer la definición de datos (ASSL) asociada al objeto. Si el valor es Allowed, los miembros pueden leer el ASSL asociado al objeto. Los objetos incluidos en el objeto heredanBasic y Allowed . Allowed invalida Basic y None. Allowed se requiere para usar DISCOVER_XML_METADATA en un objeto. Basic se requiere para crear objetos vinculados y cubos locales. |
| Leer | {None, Allowed} Valor predeterminado =None (excepto en permisos de dimensión, donde el valor predeterminado =Allowed) |
Especifica si los miembros disponen de acceso de lectura a los conjuntos de filas de esquema y contenido de datos. Allowed proporciona acceso de lectura a una base de datos, lo que permite detectar una base de datos. Permitido en un cubo proporciona acceso de lectura en conjuntos de filas de esquema y acceso al contenido del cubo (a menos que esté restringido por CellPermission y CubeDimensionPermission). Permitido en una dimensión concede permiso de lectura en todos los atributos de la dimensión (a menos que esté restringido por CubeDimensionPermission). El permiso de lectura solamente se usa para la herencia estática a CubeDimensionPermission. None en una dimensión oculta la dimensión y solo proporciona acceso al miembro predeterminado para los atributos agregables; se produce un error si la dimensión contiene un atributo no agregable. Permitido en un concede MiningModelPermission permisos para ver objetos en conjuntos de filas de esquema y para realizar combinaciones de predicción. NoteAllowed es necesario para leer o escribir en cualquier objeto de la base de datos. |
| Escritura | {None, Allowed} Valor predeterminado =None |
Especifica si los miembros tienen acceso de escritura a los datos del objeto primario. El acceso se aplica a las subclases Dimension, Cube y MiningModel. No se aplica a las subclases MiningStructure de base de datos, que generan un error de validación. Permitido en un concede Dimension permiso de escritura en todos los atributos de la dimensión. Permitido en un concede Cube permiso de escritura en las celdas del cubo para las particiones definidas como Type=writeback. Permitido en un concede MiningModel permiso para modificar el contenido del modelo. Permitido en un MiningStructure no tiene ningún significado específico en Analysis Services. Nota: La escritura no se puede establecer en Permitido a menos que la lectura también esté establecida en Permitido. |
| Administrar Nota: Solo en permisos de base de datos |
{true, false} Default=false |
Especifica si los miembros pueden administrar una base de datos. true permite el acceso de los miembros a todos los objetos en una base de datos. Un miembro puede tener permisos para administrar una base de datos concreta, pero no otras. |
Consulte también
Permisos y derechos de acceso (Analysis Services - Datos multidimensionales)
Cómo autorizar el acceso a objetos y operaciones (Analysis Services)