Compartir a través de


Proteger los orígenes de datos utilizados por Analysis Services

Si usuarios no autorizados obtienen acceso a los orígenes de datos desde los que MicrosoftSQL ServerAnalysis Services carga sus datos, estos usuarios pueden tener acceso a la misma información almacenada en la instancia de Analysis Services. Se debe limitar el acceso a estos orígenes de datos. Para examinar los cubos y las dimensiones, los usuarios de Analysis Services no necesitan permiso en estos orígenes de datos. Sin embargo, los usuarios de Analysis Services necesitan permisos para conectarse a los orígenes de datos subyacentes para llevar a cabo determinadas tareas, como, por ejemplo, utilizar Expresiones de minería de datos (DMX) para realizar ciertas tareas de minería de datos.

Proteger las conexiones a los orígenes de datos subyacentes

Analysis Services se conecta a los orígenes de datos subyacentes para:

  • Procesar datos en Analysis Services.

  • Resolver consultas cuando se utiliza ROLAP o HOLAP.

  • Registrar entradas de reescritura.

  • Ejecutar consultas de obtención de detalles de Expresiones multidimensionales (MDX).

Analysis Services realiza cada una de estas tareas a través de un objeto de DataSource. La cuenta de seguridad que el objeto de DataSource utiliza para obtener acceso a estos orígenes de datos son las propias credenciales de seguridad del usuario o el nombre de usuario y la contraseña que se especifican en la cadena de conexión almacenada en el objeto de DataSource.

Nota de advertenciaAdvertencia

Si Analysis Services se conecta a cualquiera de sus orígenes de datos mediante la cuenta de inicio de sesión de Analysis Services, los miembros de una función de base de datos que tengan permisos Control total tendrán acceso a esos orígenes de datos, independientemente de si el origen de datos se utiliza dentro de esa base de datos.

Los permisos que la cuenta de seguridad utilizada por un objeto de DataSource necesita dependen de la tarea que Analysis Services debe realizar:

  • Para conectarse al origen de datos, la cuenta de seguridad que utiliza el objeto de DataSource debe tener como mínimo permiso de lectura en la tabla adecuada del origen de datos. Si se utiliza el almacenamiento ROLAP, la cuenta de seguridad también debe tener permiso para volver a escribir datos de agregación en el origen de datos.

  • Si se habilita la reescritura, la cuenta de seguridad que se utiliza también debe tener permiso para escribir en la tabla de reescritura.

Analysis Services cifra y almacena la información de la cadena de conexión que se utiliza para conectarse a cada origen de datos. Si la cadena de conexión especifica una cuenta de seguridad determinada en lugar de una conexión confiable, puede optar por almacenar la cadena de conexión con o sin la contraseña. Si la contraseña no se almacena con la cadena de conexión, Analysis Services solicitará al usuario que proporcione una cuenta de seguridad y una contraseña adecuadas siempre que Analysis Services intente conectarse a ese origen de datos (por ejemplo, durante el procesamiento o al modificar una vista del origen de datos).

Durante la implementación, puede optar por almacenar la cuenta de seguridad y la contraseña de la cadena de conexión en el proyecto de Analysis Services. Cuando se crea el proyecto de Analysis Services, Business Intelligence Development Studioquita las cuentas de seguridad y las contraseñas de todas las cadenas de conexión de los orígenes de datos a no ser que decida mantenerlas en los archivos de salida. Si almacena la cuenta de seguridad y la contraseña en los archivos de salida de un proyecto de Analysis Services, esta información de la cadena de conexión se cifra. Si no almacena esta información de la cadena de conexión, y no se especifica una conexión de confianza en la cadena de conexión, Analysis Services le solicitará que proporcione una cuenta de seguridad y una contraseña adecuadas durante la implementación.

Proteger las conexiones utilizadas por las consultas de minería de datos

Para las consultas de minería de datos que utilizan la cláusula OPENQUERY en una instrucción DMX para conectarse al origen de datos subyacente, Analysis Services se conecta a través de un objeto DataSource. El objeto de DataSource suplanta al cliente o utiliza el nombre y la contraseña especificados en la cadena de conexión. De forma predeterminada, los usuarios no tienen permiso en un objeto de DataSource y no pueden consultar el origen de datos subyacente mediante la instrucción OPENQUERY. Para utilizar la cláusula OPENQUERY en una instrucción DMX para consultar el origen de datos subyacente, a los usuarios se les debe otorgar permisos de lectura/escritura en el objeto de DataSource. Si los usuarios tienen permisos de lectura/escritura en un objeto de DataSource y se especifica una cuenta determinada en la cadena de conexión, es aconsejable aplicar los permisos más restrictivos posible en las tablas del origen de datos subyacente para la cuenta especificada, particularmente permisos de sólo lectura en las tablas a las que se obtiene acceso. Para obtener más información sobre DMX, vea Instrucciones de definición de datos de Extensiones de minería de datos (DMX) y Instrucciones de manipulación de datos de Extensiones de minería de datos (DMX).

De forma predeterminada, los usuarios no pueden utilizar la cláusula OPENROWSET en una instrucción DMX ni enviar consultas ad hoc en un origen de datos subyacente mediante una cadena de conexión ad-hoc. Puede cambiar la configuración predeterminada de la propiedad de configuración de servidor DataMining \ AllowAdHocOpenRowsetQueries para permitir a los usuarios utilizar la cláusula OPENROWSET. Para obtener acceso a esta propiedad, haga clic con el botón secundario en la instancia de Analysis Services, seleccione Propiedades y, después, busque esta propiedad en la página Seguridad. Si lo hace, no podrá limitar los orígenes de datos en los que los usuarios del modelo de minería de datos pueden consultar. Para obtener más información, vea Conceder acceso a las estructuras y los modelos de minería de datos y Conceder acceso a orígenes de datos.