Conceder permisos en un objeto de origen de datos (Analysis Services)

Artículo
11/10/2015

Normalmente, la mayoría de los usuarios de Analysis Services no necesitan acceso a los orígenes de datos subyacentes a un proyecto de Analysis Services. Los usuarios normalmente solo consultan los datos dentro de una base de datos de Analysis Services. No obstante, en el contexto de minería de datos, como en el de realizar predicciones basadas en un modelo de minería de datos, un usuario tiene que combinar los datos obtenidos de un modelo de minería de datos con los datos proporcionados por el usuario. Para conectar con el origen de datos que contiene los datos proporcionados por el usuario, el usuario utiliza una consulta de Extensiones de minería de datos (DMX) que contiene la cláusula OPENQUERY (DMX) o OPENROWSET (DMX).

Para ejecutar una consulta DMX que conecte con un origen de datos, el usuario debe tener acceso al objeto de origen de datos en la base de datos de Analysis Services. De forma predeterminada, solo los administradores de servidor o los administradores de base de datos tienen acceso a los objetos de origen de datos. Esto significa que un usuario no puede acceder a un objeto de origen de datos a menos que un administrador le conceda permisos.

Importante
Por razones de seguridad, está deshabilitado el envío de consultas DMX mediante una cadena de conexión abierta en la cláusula OPENROWSET.

Establezca permisos de lectura en un origen de datos

A un rol de base de datos se le pueden conceder permisos de lectura o ningún permiso de acceso a un objeto de origen de datos.

En SQL Server Management Studio, conéctese a la instancia de Analysis Services, expanda Roles para la base de datos correspondiente en Explorador de objetos y, después, haga clic en un rol de base de datos (o cree un nuevo rol de base de datos).
En el panel Acceso del origen de datos, busque el objeto de origen de datos en la lista Origen de datos y, a continuación, seleccione Lectura en la lista Acceso del origen de datos. Si esta opción no está disponible, vaya al panel General para comprobar si se ha seleccionado Control total. Control total ya otorga permisos; no puede sustituir permisos en el origen de datos.

Trabajar con la cadena de conexión utilizada por un objeto de origen de datos

El objeto de origen de datos contiene la cadena de conexión que se utiliza para conectar con el origen de datos subyacente. Esta cadena de conexión puede especificar uno de los siguientes:

Un nombre de usuario y una contraseña

Si la cadena de conexión que utiliza un objeto de origen de datos especifica un nombre de usuario y una contraseña, podría crear varios objetos de origen de datos, cada uno con cuentas de usuario diferentes. La creación de varios objetos de origen de datos permite a los usuarios obtener acceso a objetos de origen de datos específicos e impide que estos usuarios tengan acceso a otros objetos de origen de datos. Estos otros objetos de origen de datos los puede utilizar Analysis Services para procesar objetos, por ejemplo, cubos y modelos de minería de datos.
Especificar la autenticación de Windows

Si la cadena de conexión que usa un objeto de origen de datos especifica la autenticación de Windows, Analysis Services deberá suplantar al cliente. Si el origen de datos está en un equipo remoto, los dos equipos deben tener establecida la confianza para suplantar mediante la autenticación Kerberos, o bien se producirá un error en la consulta. Para obtener más información, vea Configurar Analysis Services para la delegación limitada de Kerberos.

Si el cliente no permite suplantar (mediante la propiedad Impersonation Level en OLE DB y otros componentes cliente), Analysis Services intentará establecer una conexión anónima con el origen de datos subyacente. Las conexiones anónimas a orígenes de datos remotos raramente funcionan, ya que la mayoría de los orígenes de datos no aceptan conexiones anónimas).