Roles de seguridad (Analysis Services - Datos multidimensionales)
Los roles se usan en Microsoft SQL Server Analysis Services para administrar la seguridad de los objetos y datos de Analysis Services. En términos simples, un rol asocia los identificadores de seguridad (SID) de usuarios y grupos de Microsoft Windows que tienen derechos y permisos de acceso específicos a los objetos administrados por una instancia de Analysis Services. En Analysis Services se incluyen dos tipos de roles:
El rol del servidor, que es un rol fijo que proporciona acceso de administrador a una instancia de Analysis Services.
Los roles de base de datos, que son roles definidos por los administradores para controlar el acceso a los objetos y datos de los usuarios que no son administradores.
La seguridad en Microsoft SQL Server Analysis Services seguridad se administra mediante roles y permisos. Los roles son grupos de usuarios. Los usuarios, también denominados miembros, se pueden agregar o quitar de los roles. Los permisos de los objetos se especifican mediante los roles y todos los miembros de un rol pueden usar los objetos para los que este dispone de permiso. Todos los miembros de un rol disponen de los mismos permisos en los objetos. Los permisos son específicos de los objetos. Cada objeto cuenta con una colección de permisos que incluye los permisos concedidos en ese objeto; en un objeto se pueden conceder diferentes conjuntos de permisos. Cada permiso, de la colección de permisos del objeto, tiene un rol único asignado.
Objetos de rol y miembro de rol
Un rol es un objeto que contiene una colección de usuarios (miembros). La definición de roles establece la pertenencia de los usuarios en Analysis Services. Dado que los permisos se asignan por rol, un usuario debe ser miembro de un rol para tener acceso a un objeto.
Un objeto Role se compone del nombre, el identificador y los miembros de los parámetros. Los miembros son una colección de cadenas. Cada miembro contiene el nombre de usuario con el formato "dominio\nombre de usuario". El nombre es una cadena que contiene el nombre del rol. El identificador es una cadena que contiene el identificador único del rol.
Rol del servidor
El rol del servidor de Analysis Services define el acceso administrativo de los usuarios y grupos de Windows a una instancia de Analysis Services. Los miembros de este rol tienen acceso a todas las bases de datos y objetos de Analysis Services en una instancia de Analysis Services y pueden realizar las siguientes tareas:
Realizar funciones administrativas de nivel de servidor con SQL Server Management Studio o SQL Server Data Tools (SSDT), incluida la creación de bases de datos y el establecimiento de propiedades de nivel de servidor.
Realizar funciones administrativas mediante programación con Objetos de administración de Análisis (AMO).
Mantener los roles de base de datos de Analysis Services.
Iniciar seguimientos (distintas de eventos de procesamiento, que puede realizar un rol de base de datos con acceso de proceso).
Cada instancia de Analysis Services tiene un rol de servidor que define qué usuarios pueden administrar la instancia. El nombre e Id. de este rol es Administradores y, a diferencia de los roles de base de datos, no puede eliminarse el rol del servidor ni pueden agregarse ni quitarse permisos. En otras palabras, un usuario puede o no ser un administrador para una instancia de Analysis Services, según esté incluido en el rol del servidor de la instancia de Analysis Services. Temas relacionados: Conceder acceso administrativo, Configurar las propiedades del servidor.
Roles de base de datos
Un rol de base de datos de Analysis Services define el acceso de usuario a los objetos y datos de una base de datos de Analysis Services. Un rol de base de datos se crea como objeto independiente en una base de datos de Analysis Services y solo se aplica a la base de datos en la que se crea el rol. El administrador incluye los usuarios y grupos de Windows en el rol y también define los permisos del rol.
Los permisos de un rol pueden permitir a los miembros obtener acceso y administrar la base de datos, además de los objetos y los datos de la misma. Cada permiso tiene uno o más derechos de acceso asociados, que a su vez proporcionan al permiso más control sobre el acceso a un objeto específico de la base de datos. Temas relacionados: Permisos y derechos de acceso (Analysis Services - Datos multidimensionales), Conceder permisos de usuario en una base de datos multidimensional de Analysis Services.
Objetos de permiso
Los permisos se asocian a un objeto (cubo, dimensión, otros) para un rol determinado. Los permisos especifican qué operaciones puede realizar el miembro de dicho rol en el objeto.
La clase Permission es una clase abstracta. Por consiguiente, debe usar las clases derivadas para definir los permisos en los objetos correspondientes. Para cada objeto se define una clase derivada de permiso.
Objeto |
Clase |
|---|---|
En la lista se muestran las posibles acciones habilitadas por permisos:
Acción |
Valores |
Explicación |
|---|---|---|
Procesar |
{true, false} Valor predeterminado = false |
Si es true, los miembros pueden procesar el objeto y cualquier objeto contenido en él. Los permisos de proceso no se aplican a los modelos de minería de datos. Los permisos de MiningModel siempre se heredan de MiningStructure. |
Leer definición |
{None, Basic, Allowed} Valor predeterminado = None |
Especifica si los miembros pueden leer la definición de datos (ASSL) asociada al objeto. Si el valor es Allowed, los miembros pueden leer el ASSL asociado al objeto. Los objetos incluidos en el objeto heredan Basic y Allowed. Allowed invalida Basic y None. Allowed se requiere para usar DISCOVER_XML_METADATA en un objeto. Basic se requiere para crear objetos vinculados y cubos locales. |
Leer |
{None, Allowed} Valor predeterminado =None (excepto en permisos de dimensión, donde el valor predeterminado =Allowed) |
Especifica si los miembros disponen de acceso de lectura a los conjuntos de filas de esquema y contenido de datos. Allowed proporciona acceso de lectura a una base de datos, lo que permite detectar una base de datos. Allowed en un cubo proporciona acceso de lectura a conjuntos de filas de esquema y acceso al contenido del cubo (a menos que se restrinja mediante CellPermission y CubeDimensionPermission). Allowed en una dimensión concede permiso de lectura en todos los atributos de la dimensión (a menos que se restrinja mediante CubeDimensionPermission). El permiso de lectura solamente se usa para la herencia estática a CubeDimensionPermission. None en una dimensión oculta la dimensión y solo proporciona acceso al miembro predeterminado para los atributos agregables; se produce un error si la dimensión contiene un atributo no agregable. Allowed en MiningModelPermission concede permisos para ver los objetos en conjuntos de filas de esquema y para realizar combinaciones de predicciones. Nota Allowed se requiere para leer o escribir en cualquier objeto de la base de datos. |
Escribir |
{None, Allowed} Valor predeterminado = None |
Especifica si los miembros tienen acceso de escritura a los datos del objeto primario. El acceso se aplica a las subclases Dimension, Cube y MiningModel. No se aplica a las subclases MiningStructure de base de datos, que generan un error de validación. Allowed en Dimension concede permiso de escritura en todos los atributos de la dimensión. Allowed en Cube concede permiso de escritura en las celdas del cubo de particiones definidas con el tipo de reescritura. Allowed en MiningModel concede permiso para modificar el contenido del modelo. Allowed en MiningStructure no tiene ningún significado concreto en Analysis Services.
|
Administrar
|
{true, false} Valor predeterminado = false |
Especifica si los miembros pueden administrar una base de datos. true permite el acceso de los miembros a todos los objetos en una base de datos. Un miembro puede tener permisos para administrar una base de datos concreta, pero no otras. |
Vea también
Conceptos
Permisos y derechos de acceso (Analysis Services - Datos multidimensionales)
Conceder permisos de usuario en una base de datos multidimensional de Analysis Services