Permisos y derechos de acceso (SSAS)

Artículo
12/15/2008

Actualizado: 12 de diciembre de 2006

En Microsoft , las funciones permiten a los administradores definir niveles de seguridad en los objetos de una base de datos de Analysis Services para distintos usuarios y grupos de Windows. Cada objeto tiene un único permiso asociado por función, mientras que cada permiso puede tener uno o más derechos de acceso asociados. Además, un usuario o grupo de Windows puede estar asociado a más de una función de Analysis Services, por lo que puede combinar permisos y derechos de acceso en los complejos modelos de seguridad de las aplicaciones de Business Intelligence.

Derechos de acceso

En la siguiente tabla se describe el conjunto de derechos de acceso disponible para los permisos asociados a los objetos de las bases de datos de Analysis Services.

Derecho de acceso	Descripción
Access	Permite obtener acceso a los metadatos de un objeto. Se admiten los siguientes tipos de acceso: None deniega el acceso al objeto. Read permite a los miembros de la función leer en el objeto. ReadContingent sólo permite a los miembros de la función leer un valor de celda si el usuario puede obtener acceso a las celdas de las que se deriva el valor. ReadContingent proporciona el acceso Read a las celdas especificadas en este permiso que no se derivan de otras celdas. Por ejemplo, si el valor de la celda `Profit` se calcula a partir del valor de la celda `Sales` menos el valor de la celda `Costs`, el usuario sólo puede leer la celda `Profit` si el acceso a la celda se establece en Read (o Write) tanto para la celda `Sales` como para `Costs`. ReadWrite permite a los miembros de la función leer y escribir en el objeto.
Administer	Indica si los miembros de la función pueden administrar el objeto. El permiso Administer concede a los miembros de la función el acceso completo a los objetos contenidos en el objeto.
AllowBrowsing	Permite a los miembros de la función examinar los datos de un modelo de minería de datos.
AllowDrillthrough	Proporciona a los miembros de la función el permiso para obtener detalles de los datos subyacentes de un modelo de minería de datos.
AllowedSet	El permiso AllowedSet define los miembros de un atributo que puede ver un miembro de la función. Por ejemplo, si el conjunto permitido en `[Customer].[CountryRegion]` es `{Canada}`, entonces los miembros de la función tendrán acceso a todas las provincias y ciudades de Canadá. En una jerarquía de elementos primarios y secundarios, los miembros permitidos son los definidos por el conjunto más los ascendentes de la jerarquía de elementos primarios y secundarios que existen en dichos miembros. Si un miembro de una jerarquía de elementos primarios y secundarios no se encuentra en un conjunto permitido, entonces la función no tendrá acceso a los elementos secundarios que sean distintos de miembros de datos. Podrá obtener acceso a los miembros de datos porque pertenecen al atributo de clave de la dimensión. Si no se define un conjunto para el permiso AllowedSet, el valor predeterminado es el conjunto de todos los miembros del atributo.
AllowPredict	El permiso de predicción de un modelo de minería de datos proporciona a los miembros de la función el permiso de predicción basado en el modelo de minería de datos.
ApplyDenied	Determina si no se pueden ver los miembros de este atributo que existen con otros miembros explícitamente denegados.
DefaultMember	El permiso DefaultMember define el miembro predeterminado de la dimensión. El miembro predeterminado afecta a los conjuntos de datos devueltos por las consultas realizadas a los cubos que incluyan la dimensión. Si la dimensión no se muestra en un eje, el conjunto de datos se filtra de manera predeterminada (es decir, se segmenta) mediante el miembro predeterminado.
DeniedSet	El permiso DeniedSet define los miembros de un atributo que no puede ver un miembro de la función.
IsAllowed	Determina si se permite el acceso a un miembro del atributo independientemente de la configuración de un nivel basado en el atributo. Si la propiedad IsAllowed es False para el atributo de granularidad de una dimensión, al establecer VisualTotals en un atributo de la dimensión se mostrarán valores Null para todos los miembros. En los operadores unarios, si VisualTotals es False, cada miembro es un resumen de todos sus elementos secundarios. Si VisualTotals se establece en True, cada miembro es un resumen de los elementos secundarios permitidos. El valor predeterminado de esta propiedad es True.
Process	El permiso Process de un objeto concede a los miembros de la función el permiso para procesar el objeto. También concede el permiso para procesar todos los objetos secundarios del objeto a menos que el permiso se deniegue explícitamente en un objeto secundario. El permiso Process no concede a los miembros de la función el acceso a los datos o metadatos del objeto.
ReadDefinition	Indica si los miembros de la función pueden leer los metadatos que definen el objeto de permiso. Los objetos contenidos en el objeto heredan el valor de la propiedad.
VisualTotals	El permiso VisualTotals de los datos de la dimensión define cómo se agregan los datos a atributos. Es una expresión MDX que devuelve True o False. Si VisualTotals es False, se agregan los datos en todos los miembros de los atributos de la dimensión con independencia de si resultan visibles para los miembros de la función. Si VisualTotals es True, sólo se agregan los datos de los miembros del atributo de granularidad de la dimensión en los que la función tiene acceso de lectura. Por ejemplo, si `Customer Name` es el atributo de granularidad y VisualTotals se establece en True para el atributo `City`, cada ciudad será la agregación de los datos de los clientes en los que la función tiene acceso de lectura. El valor predeterminado es False.

Permisos

En la siguiente tabla se describen los permisos disponibles en una base de datos de Analysis Services y los derechos de acceso que administra cada permiso.

Permiso	Permisos de acceso
Base de datos	El acceso a base de datos define el acceso a los objetos y datos de una base de datos de Analysis Services. Entre los derechos de acceso disponibles se encuentran: Administer Process Read Definition
Origen de datos	El acceso a origen de datos define el acceso a orígenes de datos de una base de datos de Analysis Services. Entre los derechos de acceso disponibles se encuentran: Access (None o Read) Read Definition
Cubo	Creadas en el nivel del cubo cuando se asigna una función de base de datos a un cubo, las funciones de cubo se aplican sólo a este cubo. Los valores predeterminados de una función de cubo se derivan de la función de la base de datos del mismo nombre, pero puede que algunos se omitan en la función de cubo. Una función de cubo incluye opciones adicionales, como de seguridad de celda, que no tiene una función de base de datos. Puede obtener una gran flexibilidad si concede el acceso de lectura y de lectura y escritura a partes de los cubos. Es posible especificar qué miembros de dimensión y celdas del cubo pueden ver y actualizar las funciones. Entre los derechos de acceso disponibles se encuentran: Access (None, Read o Read/Write) LocalCube/DrillthroughAccess (None, Drillthrough/Drillthrough and Local Cube) Process
Celda	El acceso a los datos de celdas define el acceso a las celdas de un cubo. Hay tres tipos de acceso a celdas en un cubo: Read Read Contingent Read/Write La seguridad de celdas en un cubo se define para cada tipo de acceso de celdas con una expresión MDX que se resuelve en True o False en cada celda del cubo. Un valor distinto de cero en una expresión numérica se evalúa como True, mientras que un valor cero se evalúa como False. Se permite el acceso cuando una expresión se resuelve en True, mientras que se deniega cuando la expresión se resuelve en False. Entre los derechos de acceso disponibles se encuentran: Access (None, Read, Read Contingent o Read/Write)
Dimensión	Las propiedades de acceso a dimensiones definen el acceso a las dimensiones de la base de datos en una base de datos, con independencia de su participación en los cubos. El acceso a dimensiones permite a los usuarios miembros de una función examinar una dimensión en aplicaciones cliente. También pueden especificarse permisos de dimensiones de cubo para omitir los permisos de acceso a bases de datos en una función al obtener acceso a una dimensión en un cubo específico. Entre los derechos de acceso disponibles se encuentran: Access (Read o Read/Write) Process Read Definition
Atributo	El acceso a datos de dimensiones controla a qué atributos de la dimensión pueden obtener acceso los miembros de una función. Al conceder o denegar el acceso a un atributo se define el acceso a los niveles de las jerarquías de la dimensión basadas en dicho atributo. Si se deniega el acceso de una función a un atributo, entonces se denegará el acceso a todos los niveles derivados de dicho atributo. Si al denegar el acceso a un atributo se crea un hueco en una jerarquía, entonces toda la jerarquía se invalida y los miembros de la función dejan de tener acceso al mismo. Por ejemplo, en la jerarquía CountryRegion-State-City-Name, los niveles State y Name no son niveles contiguos en la jerarquía. Al denegar el acceso al atributo City, se creará un hueco y se invalidará la jerarquía. En cambio, al denegar el acceso al atributo CountryRegion, no se creará ningún hueco y la jerarquía State-City-Name de niveles contiguos seguirá siendo válida. De forma similar, al denegar el acceso al atributo Name, la jerarquía CountryRegion-State-City seguirá siendo válida. Si se permite el acceso a los miembros de una función a un atributo, puede permitirse o denegarse el acceso a los miembros seleccionados del atributo. Entre los derechos de acceso disponibles se encuentran: Allowed Set Default Member1 Denied Set VisualTotals
Estructura de minería de datos	El acceso a estructuras de minería de datos determina los permisos a estructuras de minería de datos y modelos de minería de datos y sus datos. Entre los derechos de acceso disponibles se encuentran: Access (None o Read) Process Read Definition
Modelo de minería de datos	El acceso a estructuras de minería de datos determina los permisos a estructuras de minería de datos y modelos de minería de datos y sus datos. Entre los derechos de acceso disponibles se encuentran: Access (None, Read o Read/Write) Browse Drill Through Read Definition

1 El derecho de acceso DefaultMember define el miembro predeterminado de la dimensión. Para obtener más información, vea Definir un miembro predeterminado.

Permisos y herencia

Si un objeto contiene otros objetos (como cubos o dimensiones en una base de datos), los objetos secundarios heredan los permisos Administer, Process y ReadDefinition del objeto primario.

Permiso	Herencia
Administer	Los miembros de la función de servidor de Analysis Services tienen permiso para administrar un servidor, por lo que tienen acceso total a todos los objetos del servidor. Los miembros de una función de base de Analysis Services a los que se concedió permiso para administrar una base de datos tienen acceso total a todos los objetos de la base de datos.
Process	De forma predeterminada, la configuración Process de un objeto se aplica a un objeto secundario. También puede establecerse esta propiedad en un objeto secundario para omitir el permiso heredado del objeto primario. Si se permite a un usuario procesar un cubo pero no se le permite procesar una dimensión del cubo, sólo podrá procesar correctamente el cubo si ya ha procesado la dimensión. Cuando un usuario procesa una base de datos, sólo se procesan los cubos y dimensiones de la base de datos en los que el usuario tiene permiso para procesar.
Read Definition	De forma predeterminada, la configuración de la propiedad Read Definition de un objeto se aplica a los objetos secundarios. También puede establecerse esta propiedad en un objeto secundario para omitir el permiso heredado del objeto primario.

Administer

Los miembros de la función de servidor de Analysis Services tienen permiso para administrar un servidor, por lo que tienen acceso total a todos los objetos del servidor. Los miembros de una función de base de Analysis Services a los que se concedió permiso para administrar una base de datos tienen acceso total a todos los objetos de la base de datos.

Process

De forma predeterminada, la configuración Process de un objeto se aplica a un objeto secundario. También puede establecerse esta propiedad en un objeto secundario para omitir el permiso heredado del objeto primario.

Si se permite a un usuario procesar un cubo pero no se le permite procesar una dimensión del cubo, sólo podrá procesar correctamente el cubo si ya ha procesado la dimensión.
Cuando un usuario procesa una base de datos, sólo se procesan los cubos y dimensiones de la base de datos en los que el usuario tiene permiso para procesar.

Read Definition

De forma predeterminada, la configuración de la propiedad Read Definition de un objeto se aplica a los objetos secundarios. También puede establecerse esta propiedad en un objeto secundario para omitir el permiso heredado del objeto primario.

Varias funciones y permisos

Un usuario puede pertenecer a más de una función de una base de datos de Analysis Services. Los permisos de varias funciones son acumulables. Si una función proporciona acceso a un objeto, entonces un miembro de dicha función tendrá acceso al objeto, independientemente de que se deniegue o no se deniegue explícitamente al miembro el acceso al objeto en otra función.

Vea también

Conceptos

Proteger Analysis Services

Ayuda e información

Obtener ayuda sobre SQL Server 2005

Historial de cambios

Versión	Historial
12 de diciembre de 2006	Contenido modificado: Se ha aclarado la arquitectura de seguridad predeterminada.

Compartir a través de