Otorgar permisos para cubos o modelos (Analysis Services)
Se aplica a: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium
Un cubo o modelo tabular es el objeto de consulta principal en un modelo de datos de Analysis Services. Cuando se conecte a datos multidimensionales o tabulares desde Excel para una exploración de datos ad hoc, los usuarios por lo general comienzan seleccionando un cubo o modelo tabular específico como la estructura de datos que subyace tras el objeto de informe dinámico. En este tema, se describe cómo otorgar los permisos necesarios para tener acceso a cubos o datos tabulares.
De forma predeterminada, ninguna persona que no sea un administrador de servidor o de base de datos dispondrá de permisos para consultar cubos en una base de datos. El acceso a cubos por parte de una persona que no sea administrador requiere pertenecer a un rol que se haya creado para la base de datos que contenga el cubo correspondiente. La pertenencia es compatible con cuentas de usuario o grupo de Windows que se hayan definido en Active Directory o en el equipo local. Antes de comenzar, identifique a qué cuentas se asignará pertenencia en los roles que va a crear.
Si se tiene acceso de Read a un cubo, también se tendrán permisos para las dimensiones, los grupos de medida y las perspectivas que contenga. La mayoría de los administradores otorgarán permisos en el nivel del cubo y, después, restringirán los permisos para objetos específicos, datos asociados o según la identidad del usuario.
Para conservar las definiciones de roles en implementaciones sucesivas de soluciones, un procedimiento recomendado es definir roles en SQL Server Data Tools como parte integral del modelo y, a continuación, hacer que un administrador de bases de datos asigne pertenencias a roles en SQL Server Management Studio una vez publicada la base de datos. Pero también puede usar cualquiera de las herramientas para ambas tareas. Para simplificar el ejercicio, usaremos SQL Server Management Studio para la definición de roles y la pertenencia.
Nota:
Solamente los administradores de servidor o de base de datos con permisos de Control total pueden implementar cubos a partir de archivos de origen en un servidor o crear roles y asignar miembros. Consulte Concesión de derechos de administrador del servidor a una instancia de Analysis Services y Concesión de permisos de base de datos (Analysis Services) para obtener más información sobre estos niveles de permisos.
Paso 1: Creación del role
En SSMS, conéctese a Analysis Services. Consulte Conexión desde aplicaciones cliente (Analysis Services) si necesita ayuda con este paso.
Abra la carpeta Bases de datos en el Explorador de objetos y seleccione una base de datos.
Haga clic con el botón derecho en Roles y elija Nuevo rol. Tenga en cuenta que los roles se crean en el nivel de la base de datos y se aplican a los objetos que esta contiene. No puede compartir roles entre bases de datos.
En el panel General , escriba un nombre y, si lo desea, una descripción. Este panel también contiene diversos permisos de base de datos, como Control total, Procesar base de datos y Leer definición. No se necesita ninguno de estos permisos para consultar un cubo o un modelo tabular. Consulte Concesión de permisos de base de datos (Analysis Services) para obtener más información sobre estos permisos.
Proceda con el siguiente paso después de especificar un nombre y una descripción opcional.
Paso 2: Asignación de la pertenencia
En el panel Pertenencia , haga clic en Agregar para especificar las cuentas de usuario o grupo de Windows que van a tener acceso al cubo con este rol. Analysis Services solo es compatible con identidades de seguridad de Windows. Tenga en cuenta que en este paso no va a crear inicios de sesión de base de datos. En Analysis Services, los usuarios se conectan a través de cuentas Windows.
Proceda con el paso siguiente para establecer los permisos de los cubos.
Tenga en cuenta que va a omitir el panel Origen de datos. La mayoría de los consumidores habituales de datos de Analysis Services no necesitan permisos para el objeto de origen de datos. Consulte Concesión de permisos en un objeto de origen de datos (Analysis Services) para obtener más información sobre cuándo puede establecer este permiso.
Paso 3: Establecimiento de los permisos de los cubos
En el panel Cubos , seleccione un cubo y, después, haga clic en acceso de Lectura o Lectura y escritura .
El acceso deLectura es suficiente para la mayoría de las operaciones. Lectura y escritura solo se usa para reescribir y no para procesar. Para obtener más información acerca de esta capacidad, vea Set Partition Writeback .
Tenga en cuenta que puede seleccionar varios cubos, así como otros objetos disponibles en el cuadro de diálogo Crear rol. Cuando se otorgan permisos a un cubo, se está autorizando el acceso a dimensiones y perspectivas asociadas con el cubo. No es necesario agregar manualmente objetos que ya estén representados en el cubo.
Si necesita modificar la autorización según los objetos o los usuarios, por ejemplo para hacer que ciertas medidas no estén disponibles, puede permitir o denegar el acceso de forma automática a objetos específicos, incluso en las celdas. Consulte Concesión de acceso personalizado a datos de dimensión (Analysis Services) y Concesión de acceso personalizado a datos de celda (Analysis Services) para obtener más información.
Llegados a este punto, después de hacer clic en Aceptartodos los miembros de este rol tendrán acceso a los cubos en los niveles de permiso que hubiera especificado.
Tenga en cuenta que en el panel Cubos , puede otorgar permiso a los usuarios para que creen cubos locales desde un cubo del servidor mediante Obtención de detalles y cubo localo solamente permitir la obtención de detalles mediante el permiso Obtención de detalles .
Por último, con este panel podrá otorgar derechos de Procesar base de datos en el cubo para otorgar a todos los miembros de este rol la capacidad para procesar datos para este cubo. Dado que el procesamiento es, por lo general, una operación restringida, se recomienda dejar la tarea a los administradores o definir roles independientes específicamente para ella. Consulte Concesión de permisos de proceso (Analysis Services) para obtener más información sobre los procedimientos recomendados de procesamiento de permisos.
Paso 4: Prueba
Use Excel para probar los permisos de acceso a cubos. También puede usar SQL Server Management Studio, siguiendo la misma técnica descrita a continuación , ejecutando la aplicación como usuario que no sea administrador.
Nota:
Si es administrador de Analysis Services, los permisos de administrador se combinarán con los roles que tienen menos permisos, de forma que resultará más complicado probar los permisos de rol de forma aislada. Para hacer más sencilla la labor de las pruebas, se recomienda abrir una segunda instancia de SSMS con la cuenta que se ha asignado al rol que está probando.
Mantenga pulsada la tecla MAYÚS y haga clic con el botón derecho en el acceso directo Excel para tener acceso a la opción Ejecutar como otro usuario . Especifique una de las cuentas de usuario o grupo de Windows con pertenencia a este rol.
Cuando se abra Excel, use la pestaña Datos para conectarse a Analysis Services. Dado que está ejecutando Excel como un usuario diferente de Windows, la opción Utilizar autenticación de Windows es el tipo de credencial correcto que se debe usar cuando se hacen pruebas a los roles. Consulte Conexión desde aplicaciones cliente (Analysis Services) si necesita ayuda con este paso.
Si se producen errores en la conexión, compruebe la configuración del puerto para Analysis Services y compruebe que el servidor acepta las conexiones remotas. Consulte Configuración del Firewall de Windows para permitir el acceso a Analysis Services para la configuración del puerto.
Paso 5: Definición y asignaciones del rol con el script
El último paso es generar un script que contenga la definición del rol que acaba de crear.
Al volver a implementar un proyecto desde SQL Server Data Tools, se sobrescribirán los roles o pertenencias a roles que no estén definidos dentro del proyecto. La forma más rápida de volver a generar roles y pertenencias a rol después de volver a realizar una implementación es a través de un script.
En SSMS, vaya a la carpeta Roles y haga clic con el botón derecho en un rol existente.
Seleccione Script Role (Rol de script) como | CREATE TOfile (CREAR PARA | archivo).
Guarde el archivo con una extensión de archivo .xmla. Para probar el script, elimine el rol actual, abra el archivo en SSMS y presione F5 para ejecutar el script.
Paso siguiente
Puede refinar los permisos de los cubos para restringir el acceso a celdas o datos de dimensiones. Consulte Concesión de acceso personalizado a datos de dimensión (Analysis Services) y Concesión de acceso personalizado a datos de celda (Analysis Services) para obtener más información.
Consulte también
Metodologías de autenticación admitidas por Analysis Services
Otorgar permisos para estructuras y modelos de minería de datos (Analysis Services)
Otorgar permisos para un objeto de origen de datos (Analysis Services)