Autorizando o acesso a objetos e operações (Analysis Services)

Artigo
09/10/2014

O acesso do usuário não administrativo a objetos como cubos, dimensões e modelos de mineração dentro de um banco de dados Analysis Services é concedido por meio de associação em uma ou mais funções de banco de dados. Os administradores do Analysis Services criam estas funções de banco de dados, concedem permissões de leitura ou leitura/gravação em objetos do Analysis Services e, em seguida, atribuem usuários e grupos do Microsoft do Windows às funções.

O Analysis Services determina as permissões efetivas para um usuário ou grupo específico do Windows combinando as permissões associadas a cada função de banco de dados à qual o usuário ou grupo pertence. Em resultado, se uma função de banco de dados não fornecer a um usuário ou grupo permissão para exibir uma dimensão, medida ou atributo, mas uma função de banco de dados diferente conceder essa permissão, o usuário ou grupo terá permissão para exibir o objeto.

Importante
Os membros da função de administrador de servidor Analysis Services e os membros de uma função de banco de dados que têm permissões de Controle Total (Administrador) podem acessar todos os dados e metadados no banco de dados e não precisam de nenhuma permissão adicional para exibir objetos específicos. Além disso, os membros da função de servidor Analysis Services não podem ter o acesso negado a nenhum objeto de nenhum banco de dados e os membros de uma função de banco de dados Analysis Services que tem permissões de Controle Total (Administrador) em um banco de dados não podem ter o acesso negado a nenhum objeto desse banco de dados. As operações administrativas especializadas, como o processamento, podem ser autorizadas com funções separadas que têm menos permissões. Para obter detalhes, consulte Conceder permissões de processo (Analysis Services).

Os membros da função de administrador de servidor Analysis Services e os membros de uma função de banco de dados que têm permissões de Controle Total (Administrador) podem acessar todos os dados e metadados no banco de dados e não precisam de nenhuma permissão adicional para exibir objetos específicos. Além disso, os membros da função de servidor Analysis Services não podem ter o acesso negado a nenhum objeto de nenhum banco de dados e os membros de uma função de banco de dados Analysis Services que tem permissões de Controle Total (Administrador) em um banco de dados não podem ter o acesso negado a nenhum objeto desse banco de dados. As operações administrativas especializadas, como o processamento, podem ser autorizadas com funções separadas que têm menos permissões. Para obter detalhes, consulte Conceder permissões de processo (Analysis Services).

Listar funções definidas para o seu banco de dados

Os administradores podem executar uma consulta DMV simples no SQL Server Management Studio para obter uma lista de todas as funções definidas no servidor.

No SSMS, clique com o botão direito do mouse em um banco de dados e selecione Nova Consulta | MDX.
Digite a seguinte consulta e pressione F5 para executar:
```
Select * from $SYSTEM.DBSCHEMA_CATALOGS
```
Os resultados incluem nome do banco de dados, descrição, nome da função e a data da última modificação. Usando essas informações como ponto de partida, você pode avançar para bancos de dados individuais e verificar associações e permissões de uma função específica.

Visão geral de cima para baixo da autorização do Analysis Services

Esta seção aborda o fluxo de trabalho básico para configurar permissões.

Etapa 1: Administração de servidor

Primeiro, decida quem terá direitos de administrador no nível do servidor. Durante a instalação, o administrador local que instalar o SQL Server precisa especificar uma ou mais contas do Windows como administrador de servidor do Analysis Services. Os administradores de servidor têm todas as permissões possíveis em um servidor, inclusive a permissão para exibir, modificar e excluir qualquer objeto no servidor ou exibir os dados associados. Quando terminar a instalação, o administrador de servidor pode adicionar ou remover contas para mudar a associação dessa função. Consulte Conceder permissões de administrador do servidor (Analysis Services) para obter mais detalhes sobre esse nível de permissão.

Etapa 2: Administração de banco de dados

Na sequência, depois que o administrador cria uma solução de tabela ou multidimensional, ele a implanta no servidor como um banco de dados. Um administrador de servidor pode delegar tarefas de administração de banco de dados definindo uma função que tenha permissões de controle total do banco de dados em questão. Os membros dessa função podem processar e consultar objetos no banco de dados, além de criar funções adicionais para acesso a cubos, dimensões e outros objetos dentro do próprio banco de dados. Consulte Conceder permissões de banco de dados (Analysis Services) para obter mais informações.

Etapa 3: Habilite acesso do cubo ou modelo para consulta e processamento de cargas de trabalho

Por padrão, somente servidores e administradores de banco de dados têm acesso a modelos de cubos e de tabela. Para tornar essas estruturas de dados disponíveis para outras pessoas na sua organização é preciso atribuir funções adicionais que mapeiem contas de usuários e grupos do Windows para cubos ou modelos, com permissões que especifiquem privilégios de Read. Para obter detalhes, consulte Conceder permissões de cubo ou modelo (Analysis Services).

O processamento de tarefas pode ser isolado de outras funções administrativas, permitindo que os administradores de servidores e bancos de dados deleguem essa tarefa a outras pessoas ou configurem o processamento autônomo especificando contas de serviço que executem o software de agendamento. Para obter detalhes, consulte Conceder permissões de processo (Analysis Services).

Observação
Os usuários não precisam de nenhuma permissão nas tabelas relacionais do banco de dados relacionais subjacentes a partir do qual o Analysis Services carrega os dados e não precisam de nenhuma permissão no nível do arquivo no computador em que a instância do Analysis Services está em execução.

Etapa 4 (opcional): Permitir ou negar acesso a objetos dentro do cubo

O Analysis Services fornece configurações de segurança para definir permissões para objetos individuais, incluindo membros e células da dimensão dentro de um modelo de dados. Para obter detalhes, consulte Conceder acesso personalizado aos dados da dimensão (Analysis Services) e Concedendo acesso personalizado aos dados da célula (Analysis Services).

Você também pode variar permissões com base na identidade do usuário. Isso é frequentemente chamado de segurança dinâmica e é implementado usando a função UserName (MDX)

Práticas recomendadas

Para gerenciar melhor as permissões, sugerimos uma abordagem semelhante à seguinte:

Criar funções por função (por exemplo, dbadmin, cubedeveloper, processadmin), de modo que quem mantém as funções possa ver em um relance o que a função permite. Como já observado, você pode definir funções na definição do modelo, preservando essas funções nas implantações de soluções subsequentes.
Crie um grupo de segurança do Windows correspondente no Active Directory e mantenha o grupo de segurança no Active Directory para garantir que ele contém as contas individuais adequadas. Isso coloca a responsabilidade de associação ao grupo de segurança sobre os especialistas de segurança que têm proficiência nas ferramentas e nos processos usados para manutenção de contas da sua organização.
Gere scripts no SQL Server Management Studio de modo que você possa replicar rapidamente as atribuições de função sempre que o modelo for reimplantado dos seus arquivos de origem para um servidor. Consulte Conceder permissões de cubo ou modelo (Analysis Services) para obter detalhes sobre como gerar um script rapidamente.
Adote uma convenção de nomenclatura que reflita o escopo e a associação da função. Os nomes de função são visíveis somente nas ferramentas de design e administração, portanto, use uma convenção de nomenclatura que faça sentido para os seus especialistas em segurança do cubo. Por exemplo, processadmin-windowsgroup1 indica acesso de leitura e direitos de processamento para pessoas na sua empresa cujas contas individuais de usuário do Windows são membros do grupo de segurança windowsgroup1.

Incluir informações de conta pode ajudá-lo a manter o controle de quais contas são usadas em várias funções. Como as funções são aditivas, as funções combinadas associadas ao windowsgroup1 compõem o conjunto de permissões em vigor para as pessoas que pertencem a esse grupo de segurança.
Os desenvolvedores de cubo exigem permissões de controle total para os modelos e bancos de dados em desenvolvimento, mas precisam de permissões de leitura somente quando um banco de dados for implantado em um servidor de produção. Lembre-se de desenvolver definições e atribuições de funções para todos os cenários, incluindo implantações de desenvolvimento, teste e produção.

O uso de uma abordagem como essa minimiza as alterações para definições de função e associação de função no modelo e também fornece visibilidade sobre as atribuições de função que facilitam a implementação e manutenção de permissões do cubo.

Consulte também

Tarefas

Conceder permissões de administrador do servidor (Analysis Services)

Conceitos

Funções e permissões (Analysis Services)

Metodologias de autenticação com suporte no Analysis Services

Compartilhar via