Roles de seguridad (Analysis Services - Datos multidimensionales)
Se aplica a: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium
Los roles se usan en Microsoft SQL Server SQL Server Analysis Services para administrar la seguridad de SQL Server Analysis Services objetos y datos. En términos básicos, un rol asocia los identificadores de seguridad (SID) de los usuarios y grupos de Microsoft Windows que tienen permisos y derechos de acceso específicos definidos para los objetos administrados por una instancia de SQL Server Analysis Services. En SQL Server Analysis Services se proporcionan dos tipos de roles:
El rol de servidor, un rol fijo que proporciona acceso de administrador a una instancia de SQL Server Analysis Services.
Los roles de base de datos, que son roles definidos por los administradores para controlar el acceso a los objetos y datos de los usuarios que no son administradores.
La seguridad de Microsoft SQL Server SQL Server Analysis Services se administra mediante roles y permisos. Los roles son grupos de usuarios. Los usuarios, también denominados miembros, se pueden agregar o quitar de los roles. Los permisos de los objetos se especifican mediante los roles y todos los miembros de un rol pueden usar los objetos para los que este dispone de permiso. Todos los miembros de un rol disponen de los mismos permisos en los objetos. Los permisos son específicos de los objetos. Cada objeto cuenta con una colección de permisos que incluye los permisos concedidos en ese objeto; en un objeto se pueden conceder diferentes conjuntos de permisos. Cada permiso, de la colección de permisos del objeto, tiene un rol único asignado.
Objetos de rol y miembro de rol
Un rol es un objeto que contiene una colección de usuarios (miembros). Una definición de rol establece la pertenencia de los usuarios en SQL Server Analysis Services. Dado que los permisos se asignan por rol, un usuario debe ser miembro de un rol para tener acceso a un objeto.
Un objeto Role se compone del nombre, el identificador y los miembros de los parámetros. Los miembros son una colección de cadenas. Cada miembro contiene el nombre de usuario con el formato "dominio\nombre de usuario". El nombre es una cadena que contiene el nombre del rol. El identificador es una cadena que contiene el identificador único del rol.
Rol del servidor
El rol de servidor SQL Server Analysis Services define el acceso administrativo de usuarios y grupos de Windows a una instancia de SQL Server Analysis Services. Los miembros de este rol tienen acceso a todas las bases de datos y objetos de SQL Server Analysis Services en una instancia de SQL Server Analysis Services y pueden realizar las siguientes tareas:
Realice funciones administrativas de nivel de servidor mediante SQL Server Management Studio o SQL Server Data Tools, incluida la creación de bases de datos y la configuración de propiedades de nivel de servidor.
Realizar funciones administrativas mediante programación con Objetos de administración de Análisis (AMO).
Mantenga SQL Server Analysis Services roles de base de datos.
Iniciar seguimientos (distintas de eventos de procesamiento, que puede realizar un rol de base de datos con acceso de proceso).
Cada instancia de SQL Server Analysis Services tiene un rol de servidor que define qué usuarios pueden administrar esa instancia. El nombre e Id. de este rol es Administradores y, a diferencia de los roles de base de datos, no puede eliminarse el rol del servidor ni pueden agregarse ni quitarse permisos. En otras palabras, un usuario es o no es administrador para una instancia de SQL Server Analysis Services, dependiendo de si se incluye en el rol de servidor para esa instancia de SQL Server Analysis Services.
Roles de base de datos
Un rol de base de datos SQL Server Analysis Services define el acceso de usuario a objetos y datos en una base de datos SQL Server Analysis Services. Un rol de base de datos se crea como un objeto independiente en una base de datos de SQL Server Analysis Services y solo se aplica a la base de datos en la que se crea ese rol. El administrador incluye los usuarios y grupos de Windows en el rol y también define los permisos del rol.
Los permisos de un rol pueden permitir a los miembros obtener acceso y administrar la base de datos, además de los objetos y los datos de la misma. Cada permiso tiene uno o más derechos de acceso asociados, que a su vez proporcionan al permiso más control sobre el acceso a un objeto específico de la base de datos.
Objetos de permiso
Los permisos se asocian a un objeto (cubo, dimensión, otros) para un rol determinado. Los permisos especifican qué operaciones puede realizar el miembro de dicho rol en el objeto.
La clase Permission es una clase abstracta. Por consiguiente, debe usar las clases derivadas para definir los permisos en los objetos correspondientes. Para cada objeto se define una clase derivada de permiso.
Object | Clase |
---|---|
Database | DatabasePermission |
DataSource | DataSourcePermission |
Dimension | DimensionPermission |
Cube | CubePermission |
MiningStructure | MiningStructurePermission |
MiningModel | MiningModelPermission |
En la lista se muestran las posibles acciones habilitadas por permisos:
Acción | Valores | Explicación |
---|---|---|
Proceso | {true, false} Default=false |
Si es true, los miembros pueden procesar el objeto y cualquier objeto contenido en él. Los permisos de proceso no se aplican a los modelos de minería de datos. Los permisos de MiningModel siempre se heredan de MiningStructure. |
Leer definición | {None, Basic, Allowed} Default=None |
Especifica si los miembros pueden leer la definición de datos (ASSL) asociada al objeto. Si el valor es Allowed, los miembros pueden leer el ASSL asociado al objeto. Los objetos incluidos en el objeto heredanBasic y Allowed . Allowed invalida Basic y None. Allowed se requiere para usar DISCOVER_XML_METADATA en un objeto. Basic se requiere para crear objetos vinculados y cubos locales. |
Leer | {None, Allowed} Valor predeterminado =None (excepto en permisos de dimensión, donde el valor predeterminado =Allowed) |
Especifica si los miembros disponen de acceso de lectura a los conjuntos de filas de esquema y contenido de datos. Allowed proporciona acceso de lectura a una base de datos, lo que permite detectar una base de datos. Permitido en un cubo proporciona acceso de lectura en conjuntos de filas de esquema y acceso al contenido del cubo (a menos que esté restringido por CellPermission y CubeDimensionPermission). Se permite en una dimensión que concede permiso de lectura en todos los atributos de la dimensión (a menos que esté restringido por CubeDimensionPermission). El permiso de lectura solamente se usa para la herencia estática a CubeDimensionPermission. None en una dimensión oculta la dimensión y solo proporciona acceso al miembro predeterminado para los atributos agregables; se produce un error si la dimensión contiene un atributo no agregable. Se permite en un objeto MiningModelPermission concede permisos para ver objetos en conjuntos de filas de esquema y realizar combinaciones de predicción. NotaTodos los permitidos son necesarios para leer o escribir en cualquier objeto de la base de datos. |
Escritura | {None, Allowed} Default=None |
Especifica si los miembros tienen acceso de escritura a los datos del objeto primario. El acceso se aplica a las subclases Dimension, Cube y MiningModel. No se aplica a las subclases MiningStructure de base de datos, que generan un error de validación. Se permite en un objeto Dimension concede permiso de escritura en todos los atributos de la dimensión. Se permite en un objeto Cube concede permiso de escritura en las celdas del cubo para las particiones definidas como Type=writeback. Se permite en un objeto MiningModel concede permiso para modificar el contenido del modelo. Permitido en un objeto MiningStructure no tiene ningún significado específico en SQL Server Analysis Services. Nota: La escritura no se puede establecer en Permitido a menos que la lectura también esté establecida en Permitido. |
Administrar Nota: Solo en permisos de base de datos |
{true, false} Default=false |
Especifica si los miembros pueden administrar una base de datos. true permite el acceso de los miembros a todos los objetos en una base de datos. Un miembro puede tener permisos para administrar una base de datos concreta, pero no otras. |
Consulte también
Permisos y derechos de acceso (Analysis Services - Datos multidimensionales)
Cómo autorizar el acceso a objetos y operaciones (Analysis Services)