Autorização de acesso a objetos e operações (Analysis Services)

O acesso de usuário não administrativo a cubos, dimensões e modelos de mineração em um banco de dados do Analysis Services é concedido por meio da associação a uma ou mais funções de banco de dados. Os administradores do Analysis Services criam essas funções de banco de dados, concedendo permissões de leitura ou leitura/gravação em objetos do Analysis Services e, em seguida, atribuindo usuários e grupos do Microsoft Windows a cada função.

O Analysis Services determina as permissões efetivas para um usuário ou grupo específico do Windows combinando as permissões associadas a cada função de banco de dados à qual o usuário ou grupo pertence. Como resultado, se uma função de banco de dados não conceder a um usuário ou grupo permissão para exibir uma dimensão, medida ou atributo, mas uma função de banco de dados diferente conceder a esse usuário ou grupo permissão, o usuário ou grupo terá permissão para exibir o objeto.

Listar funções definidas para seu banco de dados

Os administradores podem executar uma consulta DMV simples no SQL Server Management Studio para obter uma lista de todas as funções definidas no servidor.

1. No SSMS, clique com o botão direito do mouse em um banco de dados e selecione Nova Consulta | MDX.

2. Digite a consulta a seguir e pressione F5 para executar:

   Select * from $SYSTEM.DBSCHEMA_CATALOGS  
   

   Os resultados incluem o nome do banco de dados, a descrição, o nome da função e a data da última modificação. Usando essas informações como ponto de partida, você pode prosseguir para bancos de dados individuais para verificar a associação e as permissões de uma função específica.

Visão geral de cima para baixo da autorização do Analysis Services

Esta seção aborda o fluxo de trabalho básico para configurar permissões.

Etapa 1: Administração do Servidor

Como primeira etapa, decida quem terá direitos de administrador no nível do servidor. Durante a instalação, o administrador local que instala o SQL Server é obrigado a especificar uma ou mais contas do Windows como administrador do servidor do Analysis Services. Os administradores de servidor têm todas as permissões possíveis em um servidor, incluindo a permissão para exibir, modificar e excluir qualquer objeto no servidor ou exibir dados associados. Após a conclusão da instalação, um administrador de servidor pode adicionar ou remover contas para alterar a associação dessa função. Consulte Conceder Permissões de Administrador do Servidor (Analysis Services) para obter detalhes sobre esse nível de permissão.

Etapa 2: Administração de Banco de Dados

Em seguida, depois que uma solução tabular ou multidimensional é criada, ela é implantada no servidor como um banco de dados. Um administrador de servidor pode delegar tarefas de administração de banco de dados definindo uma função que tem permissões de Controle Total para o banco de dados em questão. Os membros dessa função podem processar ou consultar objetos no banco de dados, bem como criar funções adicionais para acessar cubos, dimensões e outros objetos dentro do próprio banco de dados. Consulte Conceder permissões de banco de dados (Analysis Services) para obter mais informações.

Etapa 3: Habilitar o acesso de cubo ou modelo para cargas de trabalho de consulta e processamento

Por padrão, somente administradores de servidor e banco de dados têm acesso a cubos ou modelos de tabela. Disponibilizar essas estruturas de dados para outras pessoas em sua organização requer atribuições de função adicionais que mapeiam contas de usuário e grupo do Windows para cubos ou modelos, juntamente com permissões que especificam Read privilégios. Consulte Conceder permissões de cubo ou modelo (Analysis Services) para obter detalhes.

As tarefas de processamento podem ser isoladas de outras funções administrativas, permitindo que administradores de servidor e banco de dados delegam essa tarefa a outras pessoas ou configurem o processamento autônomo especificando contas de serviço que executam o software de agendamento. Consulte Permissões de processo de concessão (Analysis Services) para obter detalhes.

Etapa 4 (opcional): Permitir ou negar acesso a objetos de cubo interior

O Analysis Services fornece configurações de segurança para definir permissões em objetos individuais, incluindo membros de dimensão e células em um modelo de dados. Para obter detalhes, consulte Conceder acesso personalizado aos dados de dimensão (Analysis Services) e Conceder acesso personalizado aos dados da célula (Analysis Services).

Você também pode variar as permissões com base na identidade do usuário. Isso geralmente é chamado de segurança dinâmica e é implementado usando a função UserName (MDX)

Práticas recomendadas

Para gerenciar melhor as permissões, sugerimos uma abordagem semelhante à seguinte:

1. Crie funções por função (por exemplo, dbadmin, cubedeveloper, processadmin) para que quem mantém as funções possa ver rapidamente o que a função permite. Como observado em outros lugares, você pode definir funções na definição do modelo, preservando essas funções em implantações de solução subsequentes.

2. Crie um grupo de segurança do Windows correspondente no Active Directory e mantenha o grupo de segurança no Active Directory para garantir que ele contenha as contas individuais apropriadas. Isso coloca a responsabilidade de participação no grupo de segurança para especialistas em segurança que já têm proficiência com as ferramentas e os processos usados para manutenção de contas em sua organização.

3. Gere scripts no SQL Server Management Studio para que você possa replicar rapidamente as atribuições de função sempre que o modelo for reimplantado de seus arquivos de origem para um servidor. Consulte Conceder permissões de cubo ou modelo (Analysis Services) para obter detalhes sobre como gerar rapidamente um script.

4. Adote uma convenção de nomenclatura que reflita o escopo e a composição da função. Os nomes de função só são visíveis em ferramentas de design e administração, portanto, use uma convenção de nomenclatura que faça sentido para os especialistas em segurança do cubo. Por exemplo, processadmin-windowsgroup1 indica acesso de leitura, além de direitos de processamento, para pessoas em sua organização cujas contas de usuário individuais do Windows são membros do grupo de segurança windowsgroup1 .

   Incluir informações da conta pode ajudá-lo a controlar quais contas são usadas em várias funções. Como as funções são cumulativas, as funções combinadas associadas a windowsgroup1 compõem o conjunto de permissões efetivo para pessoas que pertencem a esse grupo de segurança.

5. Os desenvolvedores de cubos exigirão permissões de Controle Total para modelos e bancos de dados em desenvolvimento, mas só precisam de permissões de leitura quando um banco de dados é distribuído para um servidor de produção. Lembre-se de desenvolver definições de função e atribuições para todos os cenários, incluindo implantações de desenvolvimento, teste e produção.

Usar uma abordagem como esta minimiza as alterações nas definições de função e na associação de função no modelo, além de fornecer visibilidade sobre as atribuições de função, o que facilita a implementação e a manutenção de permissões de cubo.

Consulte Também

Conceder permissões de administrador do servidor (Analysis Services)
Funções e permissões (Serviços de Análise)
Metodologias de autenticação com suporte no Analysis Services