Permissões e direitos de acesso (Analysis Services - dados multidimensionais)

No MicrosoftAnalysis Services, funções permitem que administradores definam níveis de segurança em objetos de um banco de dados Analysis Services para diferentes usuários e grupos do Windows. Cada objeto pode ter uma única permissão associada a ele por função e cada permissão pode ter um ou mais direitos de acesso associados a ela. Além disso, um usuário ou grupo do Windows pode estar associado a mais de uma função Analysis Services, oferecendo a capacidade de combinar permissões e direitos de acesso para modelos de segurança complexos em aplicativos de business intelligence.

Direitos de acesso

A tabela a seguir descreve o conjunto de direitos de acesso disponível para permissões associadas a objetos em bancos de dados Analysis Services.

Direitos de acesso

Descrição

Access

Fornece a capacidade de acessar metadados de um objeto. Os seguintes tipos de acesso são compatíveis:

  • None nega acesso ao objeto.

  • Read permite que membros da função leiam o objeto.

  • ReadContingent permite que membros da função leiam um valor de célula apenas quando o usuário pode acessar todas as células das quais o valor é derivado. ReadContingent fornece acesso Read a qualquer célula especificada por essa permissão que não seja derivada de outras células.

    Por exemplo, quando o valor da célula Profit for calculado com base no valor da célula Sales menos o valor da célula Costs, o usuário só poderá ler a célula Profit se o acesso à célula tiver sido definido como Read (ou Write) nas células Sales e Costs.

  • ReadWrite permite que membros da função leiam e gravem no objeto.

Administer

Indica se membros da função podem administrar o objeto.

A permissão Administer concede aos membros da função acesso completo a todos os objetos contidos no objeto.

AllowBrowsing

Permite que membros da função naveguem nos dados em um modelo de mineração.

AllowDrillthrough

Concede aos membros da função permissão para detalhar dados subjacentes a partir de um modelo de mineração.

AllowedSet

A permissão AllowedSet define os membros de um atributo que um membro da função pode exibir. Por exemplo, se o conjunto permitido em [Customer].[CountryRegion] for {Canada}, então os membros da função terão acesso a todas as províncias e cidades do Canadá.

Para uma hierarquia pai-filho, os membros permitidos são os definidos pelo conjunto mais os ascendentes da hierarquia pai-filho existente para esses membros. Se o membro de uma hierarquia pai-filho não estiver em um conjunto permitido, seus filhos — diferentemente dos membros de dados — não poderão ser acessados pela função. Os membros de dados ainda são acessíveis porque pertencem ao atributo de chave da dimensão.

Se nenhum conjunto estiver definido para a permissão AllowedSet, o padrão será o conjunto de todos os membros do atributo.

AllowPredict

Concede aos membros da função permissão para acessar dados subjacentes a partir de um modelo de mineração.

ApplyDenied

Determina se membros desse atributo existentes com outros membros rejeitados explicitamente não podem ser exibidos.

DefaultMember

A permissão DefaultMember define o membro padrão da dimensão. O membro padrão afeta os conjuntos de dados retornados por consultas em cubos que incluem a dimensão. Quando a dimensão não é exibida em um eixo, por padrão o conjunto de dados é filtrado (isto é, dividido) usando o membro padrão.

DeniedSet

A permissão DeniedSet define os membros de um atributo que um membro da função não pode exibir.

IsAllowed

Determina se o acesso a qualquer membro do atributo é permitido independentemente das configurações de um nível baseado no atributo.

Se a propriedade IsAllowed for False para o atributo de granularidade em uma dimensão, definir VisualTotals em um atributo de dimensão resultará em valores nulos para todos os seus membros. Para operadores unários, quando VisualTotals for False, cada membro será um acúmulo de todos os seus filhos. Se VisualTotals for definido como True, cada membro será um acúmulo dos filhos permitidos.

O padrão para essa configuração de propriedade é True.

Process

A permissão Process para um objeto concede aos membros da função a permissão para processar o objeto. Isso também concede permissão para processar todos os objetos filho dentro do objeto a menos que essa permissão seja negada explicitamente a um objeto filho. A permissão Process não concede aos membros da função acesso aos dados ou metadados do objeto.

ReadDefinition

Indica se membros da função podem ler os metadados que definem o objeto da permissão. Essa configuração de propriedade é herdada por objetos contidos no objeto.

VisualTotals

A permissão VisualTotals para dados de dimensão define como os dados são agregados para atributos. Essa é uma expressão MDX que retorna True ou False. Se VisualTotals for False, os dados serão agregados em todos os membros de atributos da dimensão, independentemente de eles serem visíveis a membros da função. Se VisualTotals for True, os dados serão agregados apenas para os membros do atributo de granularidade da dimensão ao qual a função tem acesso de leitura. Por exemplo, se Customer Name for o atributo de granularidade e VisualTotals for definido como True para o atributo City, toda cidade será a agregação de dados para os clientes cuja função tem acesso de leitura.

A configuração padrão é False.

Permissões

A tabela a seguir descreve permissões disponíveis em um banco de dados Analysis Services, bem como os direitos de acesso gerenciados por permissão.

Permissão

Permissões de acesso

Banco de dados

O acesso ao banco de dados define acesso a objetos e dados em um banco de dados Analysis Services.

Entre os direitos de acesso disponíveis estão:

  • Administerr

  • Process

  • ReadDefinition

Fonte de dados

O acesso a fonte de dados define acesso a fontes de dados em um banco de dados Analysis Services.

Entre os direitos de acesso disponíveis estão:

  • Access

    (None ou Read)

  • ReadDefinition

Cubo

Criado no nível de cubo quando uma função de banco de dados é atribuída a um cubo, uma função de cubo aplica-se apenas a esse cubo. Os padrões em uma função de cubo derivam da função de banco de dados de mesmo nome, mas alguns desses padrões podem ser substituídos na função de cubo. Uma função de cubo contém opções adicionais como segurança de célula que não estão contidas em uma função de banco de dados.

Você pode experimentar grande flexibilidade concedendo acesso de leitura e gravação a partes dos cubos. Você pode especificar quais membros da dimensão e células de cubo uma função pode exibir e atualizar. Para obter mais informações, consulte Segurança de dimensão e Segurança de célula.

Entre os direitos de acesso disponíveis estão:

  • Access

    (None, Read ou ReadWrite)

  • LocalCube/DrillthroughAccess

    (None, Drillthrough/Drillthrough and Local Cube)

  • Process

Célula

O acesso aos dados da célula define o acesso a células em um cubo. Há três tipos de acesso a células em um cubo:

  • Read

  • ReadContingent

  • Read/Write

A segurança de célula em um cubo é definida para cada tipo de acesso de célula com uma expressão MDX que resolve True ou False para cada célula de cubo. Qualquer valor diferente de zero em uma expressão numérica será avaliado como True enquanto zero será avaliado como False. O acesso será permitido quando uma expressão resolve True e negado quando uma expressão resolve False.

Entre os direitos de acesso disponíveis estão:

  • Access

    (None, Read, ReadContingent ou Read/Write)

Dimensão

As propriedades de acesso de dimensão definem acesso às dimensões de banco de dados em um banco de dados independentemente de sua participação em cubos. O acesso de dimensão permite que usuários membros de uma função procurem uma dimensão em aplicativos cliente. As permissões de dimensão de cubo também poderão ser especificadas para substituir permissões de acesso a banco de dados de uma função quando uma dimensão for acessada em um determinado cubo.

Entre os direitos de acesso disponíveis estão:

  • Access

    (Read ou Read/Write)

  • Process

  • ReadDefinition

Atributos

Controles de acesso de dados cujos atributos de dimensão podem ser acessados por membros de uma função. Permitir ou negar acesso a um atributo define o acesso a níveis nas hierarquias da dimensão com base nesse atributo. Se for negado acesso a um atributo a uma função, então será negado acesso a todos os níveis derivados do atributo.

Se negar acesso a um atributo criar um buraco em uma hierarquia, então a hierarquia inteira será invalidada e não estará mais acessível aos membros da função. Por exemplo, na hierarquia RegiãoPaís-Estado-Cidade-Nome, os níveis Estado e Nome não são níveis contíguos na hierarquia. Negar acesso ao atributo Cidade, portanto, deixa um buraco e invalida a hierarquia. Em contraste, negar acesso ao atributo RegiãoPaís não cria nenhum buraco e deixa a hierarquia Estado-Cidade-Nome válida em relação aos níveis contíguos. Da mesma maneira, negar acesso ao atributo Nome mantém a hierarquia RegiãoPaís-Estado-Cidade válida.

Ao permitir que membros de uma função acessem um atributo, você pode permitir ou negar acesso a membros selecionados do atributo.

Entre os direitos de acesso disponíveis estão:

  • AllowedSet

  • DefaultMember1

  • DeniedSet

  • VisualTotals

Estrutura de mineração

O acesso à estrutura de mineração determina permissões para estruturas e modelos de mineração e para seus dados.

Entre os direitos de acesso disponíveis estão:

  • Access

    (None ou Read)

  • Process

  • ReadDefinition

Modelo de mineração

O acesso à estrutura de mineração determina permissões para estruturas e modelos de mineração e para seus dados.

Entre os direitos de acesso disponíveis estão:

  • Access

    (None, Read ou Read/Write)

  • Browse

  • Drill Through

  • ReadDefinition

1 O direito de acesso DefaultMember define o membro padrão da dimensão. Para obter mais informações, consulte Definindo um membro padrão.

Permissões e herança

Quando um objeto contém outros objetos (como cubos ou dimensões em um banco de dados) as permissões Administer, Process e ReadDefinition no objeto pai são herdadas pelos objetos filho.

Permissão

Herança

Administer

Membros da função de servidor Analysis Services têm permissão para administrar um servidor, portanto eles também têm acesso completo a todos os objetos no servidor. Membros de uma função de banco de dados Analysis Services com permissão concedida para administrar um banco de dados têm acesso completo a todos os objetos no banco de dados.

Process

Por padrão, a configuração Process em um objeto se aplica a qualquer objeto filho. Essa propriedade também pode ser definida em um objeto filho para substituir a permissão herdada do objeto pai.

  • Se um usuário tem permissão para processar um cubo, mas não para processar uma dimensão no cubo, então o usuário somente poderá processar o cubo com sucesso se a dimensão já tiver sido processada.

  • Quando um usuário processa um banco de dados, somente esses cubos e a dimensão no banco de dados que o usuário tem permissão para processar são processados.

ReadDefinition

Por padrão, a configuração de propriedade ReadDefinition em um objeto é herdada por quaisquer objetos filhos. Essa propriedade também pode ser definida em um objeto filho para substituir a permissão herdada do objeto pai.

Várias funções e permissões

Um usuário pode pertencer a mais de uma função em um banco de dados Analysis Services. As permissões pelas várias funções são aditivas. Se uma função conceder acesso a um objeto, então um membro dessa função terá acesso ao objeto independentemente de esse membro ter tido o acesso negado explicitamente a um objeto em outra função.