Informacin general sobre

seguridad (Analysis Services Datos multidimensionales)

El proceso de proteccin de Microsoft SQL Server Analysis Services se
produce en dos niveles diferentes: instancia y usuario. El nivel de
instancia se compone de todos los elementos fsicos que usa una
instancia de Analysis Services y que deben protegerse para garantizar
que nicamente los usuarios autorizados tienen permisos de acceso.
Estos elementos son carpetas de datos, aplicaciones, etc. El nivel de
usuario se compone de los permisos que se conceden a los usuarios y
que les permiten tener acceso a la informacin almacenada en la
base de datos de Analysis Services y que, por otra parte, impiden que
los usuarios tengan acceso a los datos si no tienen privilegios.

Proteger una instancia de Analysis

Services
La proteccin en el nivel de instancia de Analysis Services incluye lo
siguiente:

El equipo en el que se ejecuta la instancia de Analysis Services.

El sistema operativo Windows donde se ejecuta la instancia de

Analysis Services.

Las aplicaciones que tienen acceso a la instancia de Analysis

Services.

Las carpetas que contienen los archivos de datos que la

instancia de Analysis Services usa.

La cuenta del sistema operativo que usa la instancia de Analysis

Services.

El acceso de cliente a la instancia de Analysis Services.

Las propiedades de configuracin de la instancia de Analysis

Services.

Arquitectura de seguridad para el acceso

de los usuarios

La proteccin en el nivel de usuario de Analysis Services incluye lo

siguiente:

Establecer un mecanismo para la autenticacin de los usuarios

Definir el permiso de los usuarios para el acceso a la funcin de

servidor.

Definir la seguridad en el nivel de objetos OLAP

Definir la seguridad en el nivel de objetos de minera de datos

Definir la seguridad en el
procedimiento almacenado

Habilitar o deshabilitar las propiedades de configuracin de

instancias

nivel

de

ensamblado

de

Mitigar amenazas y vulnerabilidades

(Analysis Services - Datos
multidimensionales)

Aunque Microsoft SQL Server Analysis Services incluye varios

mecanismos de seguridad, todos los sistemas tienen caractersticas
que se podran aprovechar con fines malintencionados. Esta pgina
contiene vnculos que le ayudarn a encontrar la informacin que
necesita en relacin con las amenazas y vulnerabilidades en Analysis
Services y cmo puede eliminarlas.
Proteger la instancia de Analysis Services
Proporciona una introduccin general de los pasos necesarios
para proteger los archivos y componentes comunes (como
carpetas de datos, aplicaciones, instancias, etc.) de una
instancia de Analysis Services y para asegurarse de que slo los
usuarios autorizados tengan permiso de acceso a los mismos.
Arquitectura de seguridad para el acceso de los usuarios
Proporciona una introduccin general de los pasos necesarios
para proteger objetos de Analysis Services (como bases de
datos, dimensiones, cubos, modelos de minera de datos, etc.) y
para asegurarse de que slo los usuarios autorizados tengan
permiso de acceso a los mismos.

Proteger el acceso a travs de

Analysis Services
Adems de proteger el equipo que ejecuta Microsoft SQL
Server Analysis Services y Microsoft Windows, tambin debe proteger
el propio Analysis Services. Analysis Services solamente permite
conexiones por parte de los usuarios que se han autenticado
anteriormente por Windows, a menos que se hayan habilitado
conexiones annimas y que se hayan concedido especficamente
permisos dentro de la instancia de Analysis Services; los usuarios sin
permisos no pueden establecer una conexin.
De forma predeterminada, los nicos usuarios con permisos dentro de
Analysis Services son los miembros del rol Servidor. Los miembros del
rol Servidor tienen privilegios en todo el servidor y pueden realizar
cualquier tarea dentro de la instancia de Analysis Services, incluida la
adicin de otros usuarios y grupos al rol Servidor. De forma
predeterminada, los miembros del grupo local Administradores,
incluido el usuario local Administrador y todos los Administradores de
dominio, son miembros del rol Servidor y, como tales, tiene permisos
Control total dentro de cada instancia de Analysis Services.

Proteger el acceso por parte de usuarios

fuera del rol Servidor
De forma predeterminada, cualquier usuario que no sea miembro del
rol Servidor no tiene ningn permiso dentro de Analysis Services. Para
obtener permisos, un miembro del rol Servidor debe en primer lugar
crear un rol de base de datos definido por el usuario y, a
continuacin, otorgar permisos a ese rol:

A un rol de base de datos definido por el usuario se le puede

otorgar permisos limitados o todos los permisos administrativos
dentro de una base de datos.

A un rol de base de datos definido por el usuario tambin se le

pueden conceder permisos limitados o totales para obtener
acceso a los datos.

Despus de crear el rol de base de datos definido por el usuario y

otorgar los permisos, un miembro del rol Servidor deber agregar los
usuarios y grupos adecuados de Windows. Solamente despus de
agregar un usuario al rol de base de datos definido por el usuario,
dicho usuario obtiene permisos dentro de Analysis Services.

Conceder acceso administrativo a

todo el servidor (Analysis
Services)
Los miembros del rol de administrador de servidor dentro de una
instancia de Microsoft SQL Server Analysis Services tienen acceso no
restringido a todos los datos y los objetos de Analysis Services de
dicha instancia. Un miembro del rol de servidor de Analysis Services
puede agregar usuarios y grupos de Microsoft Windows al rol de
servidor de Analysis Services. Un usuario debe ser miembro del rol de
servidor de Analysis Services para poder realizar cualquier tarea en el
servidor, como crear una base de datos, modificar las propiedades del
servidor o iniciar un seguimiento (si no es para procesar eventos).

Procedimiento
Para modificar los miembros del rol de administrador
de servidor de una instancia de Analysis Services
1. En SQL Server Management Studio, conctese a la instancia de
Analysis Services, haga clic con el botn secundario en el
nombre de instancia del Explorador de objetos y, a
continuacin, haga clic en Propiedades.
2. Haga clic en Seguridad en el panel Seleccionar una pgina y, a
continuacin, haga clic en clic Agregar para agregar uno o ms
usuarios o grupos de Windows al rol de servidor.

Conceder acceso a los usuarios

El acceso de usuario a objetos como cubos, dimensiones y modelos
de minera de datos dentro de una instancia de Microsoft SQL
Server Analysis Services se concede a travs de la pertenencia a una
o ms funciones de base de datos. Los administradores de Analysis
Services crean estas funciones de base de datos, conceden permisos
de lectura, o de lectura y escritura, en los objetos de Analysis
Services para estas funciones y, a continuacin, agregan a los
usuarios y grupos de Microsoft Windows a las funciones.

Conceder permisos a las funciones de

base de datos

Los permisos que pueden conceder los administradores de Analysis

Services a las funciones de base de datos incluyen los siguientes:

Conceder acceso a orgenes de datos

Conceder acceso de dimensiones

Conceder acceso personalizado a datos de dimensin

Conceder acceso a un cubo

Conceder acceso personalizado a los datos de las celdas

Conceder acceso a las estructuras y los modelos de minera de

datos

Analysis Services establece los permisos efectivos para un usuario o

grupo especfico de Windows al combinar los permisos que estn
asociados con cada funcin de base de datos a la que el usuario o
grupo pertenece. En consecuencia, si una funcin de base de datos
no concede a un usuario o grupo permiso para ver una dimensin,
medida o atributo y otra funcin diferente s lo hace, el usuario o
grupo tendr permiso para ver el objeto.
Conceder acceso a orgenes de datos
Normalmente, la mayora de los usuarios de Microsoft SQL
Server Analysis Services no necesitan acceso a los orgenes de datos
subyacentes a un proyecto de Analysis Services. Los usuarios
normalmente slo consultan los datos dentro de Analysis Services.
No obstante, en el contexto de minera de datos, como en el de
realizar predicciones basadas en un modelo de minera de datos, un
usuario tiene que combinar los datos obtenidos de un modelo de
minera de datos con los datos proporcionados por el usuario. Para
conectar con el origen de datos que contiene los datos
proporcionados por el usuario, el usuario utiliza una consulta de
Extensiones de minera de datos (DMX) que contiene la clusula
OPENQUERY (DMX)uOPENROWSET (DMX).
Para ejecutar una consulta DMX que conecte con un origen de datos,
el usuario debe tener acceso al objeto de origen de datos en la base
de datos de Analysis Services. De manera predeterminada, slo los
miembros de la funcin de servidor de Analysis Services o de la
funcin de administrador tienen acceso a los objetos de origen de
datos. Esto significa que un usuario no puede obtener acceso a un
objeto de origen de datos a menos que un miembro de la funcin de
servidor o de administrador de Analysis Services conceda a la funcin
de base de datos a la que pertenece el usuario acceso al origen de
datos.

Establecer permisos de lectura en un origen de datos

A una funcin de base de datos se le pueden conceder permisos de
lectura o ningn permiso de acceso a un objeto de origen de datos.
Para conceder a un usuario permisos de lectura en una funcin de
base de datos, ste debe ser miembro de una funcin de servidor de
Analysis Services o miembro de una funcin de base de datos de
Analysis Services con permisos de Control total (Administrador).
Para conceder a una funcin de base de datos permiso de lectura en
un origen de datos
1. En SQL Server Management Studio, conctese a la instancia de
Analysis Services, expanda Funciones para la base de datos
correspondiente en Explorador de objetos y despus, haga clic
en una funcin de base de datos (o cree una nueva funcin de
base de datos).
2. Haga clic en Acceso del origen de datos en el panel Seleccionar
una pgina, busque el objeto de origen de datos en la lista
Orgenes de datos y, a continuacin, seleccione Lectura en la
lista Acceso para el origen de datos.
Trabajar con la cadena de conexin utilizada por un objeto de origen
de datos
El objeto de origen de datos contiene la cadena de conexin que se
utiliza para conectar con el origen de datos subyacente. Esta cadena
de conexin puede especificar uno de los siguientes:

Un nombre de usuario y una contrasea

Si la cadena de conexin que utiliza un objeto de origen de
datos especifica un nombre de usuario y una contrasea, podra
crear varios objetos de origen de datos, cada uno con cuentas
de usuario diferentes. La creacin de varios objetos de origen
de datos permite a los usuarios obtener acceso a objetos de
origen de datos especficos e impide que estos usuarios tengan
acceso a otros objetos de origen de datos. Estos otros objetos
de origen de datos los puede utilizar Analysis Services para
procesar objetos, por ejemplo, cubos y modelos de minera de
datos.

Especificar la autenticacin de Windows

Si la cadena de conexin que usa un objeto de origen de datos
especifica la autenticacin de Windows, Analysis Services
deber suplantar al cliente. Si el origen de datos est en el
mismo equipo, Analysis Services podr suplantar al cliente. Si el
origen de datos est en un equipo remoto, los dos equipos

deben tener establecida la confianza para suplantar mediante

la autenticacin Kerberos de Microsoft, o bien, se producir un
error en la consulta. Si el cliente no permite suplantar
(mediante la propiedad Impersonation Level en OLE DB y otros
componentes cliente), Analysis Services intentar establecer
una conexin annima con el origen de datos subyacente (la
mayora de los orgenes de datos no aceptan conexiones
annimas).
Conceder acceso de dimensiones
De forma predeterminada, una funcin de base de datos de
Microsoft SQL Server 2005 Analysis Services (SSAS) tiene permisos de
lectura en todos los miembros de dimensin de cada cubo para el que
la funcin de base de datos tiene permisos de acceso. Sin embargo,
un administrador de la base de datos puede restringir los miembros
de dimensiones que puede ver una funcin de base de datos, as
como conceder permisos de lectura/escritura a algunos o a todos los
miembros de cualquier dimensin de los cubos para los que la funcin
de base de datos tenga permisos de acceso.
Una vez que la funcin de base de datos tenga permiso para obtener
acceso a un cubo, se heredan los permisos de acceso a las
dimensiones en dicho cubo de los permisos que se establecen en la
dimensin en el nivel de la base de datos hasta que establezca
explcitamente permisos para la dimensin dentro de un cubo
concreto. Si un cubo que est basado en una sola dimensin de base
de datos tiene varias dimensiones de cubo definidas, los permisos
que se especifican para la dimensin de base de datos son aplicables
a todas las dimensiones del cubo, a menos que se sobrescriban los
permisos para una o ms dimensiones del cubo. Por ejemplo,
supongamos que tiene un cubo con tres dimensiones de cubo
basadas en una sola dimensin de base de datos. Puede conceder a
una funcin de base de datos acceso de lectura a miembros
especficos de la dimensin en el nivel de base de datos y, despus,
sobrescribir dichos permisos en el nivel de cubo y conceder permisos
de lectura/escritura a una o varias de las tres dimensiones en el nivel
de cubo.

Establecer permisos de lectura o de lectura/escritura en una

dimensin
Para establecer permisos para una funcin de base de datos, el
usuario debe ser miembro de la funcin de servidor de Analysis

Services o miembro de una funcin de base de datos de Analysis

Services con permisos de Control total (Administrador).
Para conceder a una funcin de base de datos permiso de lectura o
lectura/escritura en una dimensin
1. En SQL Server Management Studio, conctese a la instancia de
Analysis Services, expanda Funciones para la base de datos
correspondiente en Explorador de objetos y, despus, haga clic
en una funcin de base de datos (o cree una nueva funcin de
base de datos).
2. Haga clic en Acceso a dimensin en el panel Seleccionar una
pgina, busque la dimensin en la lista Seleccione el conjunto
de dimensiones y, a continuacin, seleccione Leer o
Lectura/escritura en la lista Acceso para la dimensin.
Adems de especificar permisos de acceso de lectura o
lectura/escritura de dimensin a una funcin de base de datos, puede
definir las jerarquas de atributos y miembros especficos dentro de la
dimensin a la que tienen acceso los miembros de la funcin. De
forma predeterminada, los miembros de una funcin con acceso de
cubo tienen al menos acceso de lectura para ver todas las jerarquas
de atributos de la dimensin y todos sus miembros. De forma
predeterminada, los miembros con al menos acceso de lectura a un
miembro de atributo tienen al menos acceso de lectura a todas las
celdas del cubo relacionadas con el miembro de atributo. Puede
limitar el acceso a celdas especficas.

Conceder acceso personalizado

a datos de dimensin
Una vez que una funcin de base de datos de Microsoft SQL Server
2005 Analysis Services (SSAS) tiene permiso de lectura o
lectura/escritura para las dimensiones de un cubo, puede definir la
seguridad en cada miembro de atributo de dimensin (que tambin
recibe el nombre de seguridad de dimensin). De forma
predeterminada, una funcin de base de datos tiene acceso a todos
los miembros de todos los atributos de dimensin de un cubo para los
que tiene acceso de lectura. Puede definir un conjunto especfico de
miembros de atributos para cada atributo de dimensin en el que los
miembros de la funcin tengan derechos de acceso especficos
(AllowedSet) o en el que tengan especficamente denegados
derechos de acceso (DeniedSet). Tambin puede definir el miembro
predeterminado para cada jerarqua de atributos; de forma
predeterminada, el miembro All es el miembro predeterminado. Si
deniega permisos de lectura a determinados miembros de atributos,

es posible que desee que el valor para el miembro All sea el agregado
de los miembros a los que tienen acceso los miembros de la funcin
en lugar del agregado de todos los miembros de la jerarqua de
atributos. Para especificar este comportamiento, es necesario
habilitar VisualTotals. Al habilitar VisualTotals, el agregado se calcula
en tiempo de consulta en lugar de recuperarse a partir de agregados
previamente calculados.

Descripcin de la propiedad IsAllowed

La propiedad IsAllowed establece si la funcin de base de datos
puede obtener acceso a miembros de atributos. De manera
predeterminada, una funcin de base de datos que tiene acceso a
una dimensin, no puede tener acceso a las jerarquas de atributo.

Descripcin de la propiedad AllowedSet

La propiedad AllowedSet utiliza una expresin MDX (expresiones
multidimensionales) para establecer los miembros de atributos que
puede ver la funcin de base de datos (el conjunto permitido). El
conjunto permitido puede incluir ningn miembro (opcin
predeterminada), todos o algunos miembros de atributos. Si permite
el acceso a un atributo y no define ningn miembro del conjunto
permitido, se concede acceso a todos los miembros. Si permite
acceso a un atributo y define un conjunto especfico de miembros de
atributos,
slo
estarn
visibles
los
miembros
permitidos
especficamente. La definicin especfica de un conjunto permitido
puede limitar la visibilidad de los miembros de atributos agregados
despus de la definicin del conjunto permitido.
La limitacin del conjunto permitido para un atributo afecta a la
visibilidad de otros atributos. Por ejemplo, supongamos que el
conjunto permitido para el atributo Customer slo incluye algunos
miembros del atributo y el conjunto permitido para el atributo City
incluye todos los miembros del atributo. En este caso, los nicos
miembros del atributo City que estarn visibles sern aquellas
ciudades que tengan clientes en el conjunto permitido del atributo
Customer. Si una ciudad no tiene clientes, los miembros del atributo
de dicha ciudad no estarn visibles. Dicho de otro modo, un miembro
del atributo slo puede estar visible si dicho miembro del atributo
existe con un miembro del conjunto permitido como mnimo.

Descripcin de la propiedad DeniedSet

La propiedad DeniedSet utiliza una expresin MDX para establecer
los miembros del atributo a los que una funcin de base de datos
tiene denegado explcitamente el acceso (el conjunto denegado). El
conjunto denegado puede incluir ningn miembro, todos (opcin

predeterminada) o algunos miembros del atributo. De manera

predeterminada, no se define ningn conjunto denegado.
Si el conjunto denegado slo contiene un conjunto especfico de
miembros del atributo, se deniega a la funcin de base de datos el
acceso nicamente a dichos miembros especficos. La definicin
especfica de un conjunto denegado puede afectar a la accesibilidad
de los miembros del atributo que se agregan despus de la definicin
del conjunto denegado.
Al definir un conjunto especfico de atributos en el conjunto
denegado, el efecto de este conjunto denegado sobre la accesibilidad
de otros atributos depende de si la propiedad ApplyDenied est
habilitada. Por ejemplo, supongamos que hay un conjunto denegado
en el atributo State y la propiedad ApplyDenied est habilitada. En
este caso, la funcin de base de datos no podr tener acceso a
ningn atributo Customer para los estados dentro del conjunto
denegado.

Descripcin de la propiedad ApplyDenied

La propiedad ApplyDenied indica si se utilizan los miembros de un
conjunto denegado para determinar si los miembros de una jerarqua
de atributos estn visibles para la funcin de base de datos. De
manera predeterminada, la propiedad ApplyDenied se establece en
True (habilitada) para cada jerarqua de atributo.
Si la propiedad ApplyDenied est habilitada y hay un conjunto
denegado, la funcin de base de datos no podr obtener acceso a
ningn miembro de una jerarqua de atributos si dicha jerarqua
contiene cualquiera de los miembros del conjunto denegado. Por
ejemplo, la propiedad ApplyDenied est habilitada y el conjunto
denegado est compuesto por estados en el atributo State. Adems
de no poder obtener acceso al atributo State, la funcin de base de
datos no podr obtener acceso al atributo Customers para ningn
estado dentro del conjunto denegado.
Si la propiedad ApplyDenied est deshabilitada y hay un conjunto
denegado, la funcin de base de datos podr obtener acceso a
cualquier miembro de una jerarqua de atributos incluso si dicha
jerarqua contiene cualquiera de los miembros del conjunto denegado.
Por ejemplo, la propiedad ApplyDenied est deshabilitada y el
conjunto denegado est compuesto por estados en el atributo State.
Aunque la funcin de base de datos no podr obtener acceso al
atributo State, la funcin de base de datos s podr obtener acceso al
atributo Customers para cualquier estado dentro del conjunto
denegado.

Descripcin de la propiedad VisualTotals

La propiedad VisualTotals indica si los valores de celdas agregados

que se muestran se calculan en funcin de todos los valores de celda
o nicamente en funcin de los valores de celda que estn visibles
para la funcin de base de datos.
De manera predeterminada, la propiedad VisualTotals est
deshabilitada
(establecida
en
False).
Esta
configuracin
predeterminada maximiza el rendimiento porque Analysis Services
puede calcular rpidamente el total de todos los valores de celda, en
vez de tener que dedicar tiempo a seleccionar qu valores de celda
calcular.
No obstante, si la propiedad VisualTotals est deshabilitada, se
podra producir un problema de seguridad si un usuario puede utilizar
los valores de celdas agregados para deducir los valores para
miembros de atributos a los que no tiene acceso la funcin de base
de datos del usuario. Por ejemplo, Analysis Services utiliza los valores
para tres miembros del atributo a fin de calcular un valor de celdas
agregado. La funcin de base de datos puede ver dos de estos tres
miembros de atributo. Usando el valor de celdas agregado, un
miembro de esta funcin de base de datos podra deducir el valor
para el tercer miembro del atributo.
Si un usuario puede deducir los valores para los miembros del
atributo a los que no tiene acceso la funcin de base de datos del
usuario, por seguridad se recomienda que habilite (establezca en
True) la propiedad VisualTotals para el atributo. Si habilita la
propiedad VisualTotals, una funcin de base de datos slo puede ver
totales agregados para los miembros de dimensin para los que tiene
permiso la funcin. Por ejemplo, al habilitar la propiedad
VisualTotals, la funcin de base de datos ver un total agregado que
incluye slo los estados (es decir, los miembros del atributo State)
que estn visibles para la funcin. El total agregado no incluir los
valores para todos los estados.

Descripcin de la propiedad
DefaultMember
La propiedad DefaultMember establece el conjunto de datos que se
devuelve a un cliente cuando un atributo no se incluye explcitamente
en una consulta. Cuando el atributo no se incluye explcitamente,
Analysis Services utiliza uno de los siguientes miembros
predeterminados para el atributo:

Si la funcin de base de datos define un miembro

predeterminado para el atributo, Analysis Services utiliza este
miembro predeterminado.

Si la funcin de base de datos no define un miembro

predeterminado para el atributo, Analysis Services utiliza el
miembro predeterminado que se define para el atributo en s. El
miembro predeterminado para un atributo, a menos que se
especifique lo contrario, es el miembro All (excepto si el atributo
se define como no agregable).

Por ejemplo, una funcin de base de datos especifica Male como

miembro predeterminado para el atributo Gender. A menos que una
consulta incluya explcitamente el atributo Gender y especifique un
miembro diferente para este atributo, Analysis Services devolver un
conjunto de datos que slo incluye a los clientes masculinos. Para
obtener ms informacin acerca de cmo establecer el miembro
predeterminado.

Establecer los permisos de acceso de un

miembro en una dimensin
Antes de establecer los permisos de acceso de un miembro en una
dimensin, es recomendable que revise algunos ejemplos del modo
en que las distintas configuraciones de acceso afectan al conjunto de
resultados que se devuelve al consultar los miembros.
Una vez que comprenda cmo funcionan los distintos permisos de
acceso, estar listo para conceder dichos permisos. Para conceder
permisos de acceso a un miembro en una dimensin, un usuario debe
ser miembro de la funcin de servidor de Analysis Services o de una
funcin de base de datos de Analysis Services que tenga permisos de
Control total (administrador).
Al utilizar Business Intelligence Development Studio para conceder
permisos de acceso a un miembro de una dimensin, debe utilizar las
opciones estndar de la ficha Bsico de la ficha Acceso a datos de
dimensin o las opciones ms personalizadas de la ficha Avanzadas.

Para utilizar la ficha Bsico a fin de conceder a una

funcin de base de datos acceso a un miembro de una
dimensin

1. En SQL Server Management Studio, conctese a la instancia de

Analysis Services, expanda Funciones para la base de datos
correspondiente en Explorador de objetos y, despus, haga clic
en una funcin de base de datos (o cree una nueva funcin de
base de datos).
2. Haga clic en Acceso de datos personalizado de la dimensin en
el panel Seleccionar una pgina, seleccione la dimensin en la
lista Dimensin y, despus, seleccione Atributo en la ficha
Avanzadas.
Al seleccionar esta opcin, se establece la propiedad IsAllowed
en True.
3. En la lista Atributos, seleccione el atributo para el que desea
especificar los miembros que deben estar visibles para la
funcin de base de datos.
4. Para denegar el acceso especficamente a ciertos miembros del
atributo, escriba la expresin MDX para dichos miembros en el
cuadro Conjunto de miembros denegado. Todos los dems
miembros del atributo estarn visibles.

Para conceder acceso especficamente slo a ciertos

miembros, escriba la expresin MDX para dichos
miembros en el cuadro Conjunto de miembros
permitido. Ningn otro miembro del atributo estar
visible.

Para utilizar la ficha Avanzadas a fin de conceder a una

funcin de base de datos acceso a un miembro de una
dimensin
1. En SQL Server Management Studio, conctese a la instancia de
Analysis Services, expanda Funciones para la base de datos
correspondiente en Explorador de objetos y, despus, haga clic
en una funcin de base de datos (o cree una nueva funcin de
base de datos).
2. Haga clic en Acceso de datos personalizado de la dimensin en
el panel Seleccionar una pgina, seleccione la dimensin en la
lista Dimensin y, despus, seleccione Atributo en la ficha
Avanzadas.
Al seleccionar esta opcin, se establece la propiedad IsAllowed
en True.

3. En la lista Atributos, seleccione el atributo para el que desea

especificar los miembros que deben estar visibles para la
funcin de base de datos.
4. Para denegar el acceso especficamente a ciertos miembros del
atributo, escriba la expresin MDX para dichos miembros en el
cuadro Conjunto de miembros denegado. Todos los dems
miembros del atributo estarn visibles.
Para conceder acceso especficamente slo a ciertos miembros,
escriba la expresin MDX para dichos miembros en el cuadro
Conjunto de miembros permitido. Ningn otro miembro del
atributo estar visible.

Conceder acceso a un cubo

De manera predeterminada, una funcin de base de datos en
Microsoft SQL Server Analysis Services no tiene permisos para ver
ningn cubo en la base de datos. Sin embargo, a una funcin de base
de datos de Analysis Services se le pueden conceder permisos de
lectura/escritura en un cubo.

Establecer permisos de lectura/escritura

en un cubo
Para conceder permisos de lectura o de lectura/escritura a una
funcin de base de datos, un usuario debe ser miembro de la funcin
de servidor de Analysis Services o de una funcin de base de datos de
Analysis Services con permisos de Control total (Administrador).

Para otorgar a una funcin de base de datos acceso a

un cubo
1. En SQL Server Management Studio, conctese a la instancia de
Analysis Services, expanda Funciones para la base de datos
correspondiente en Explorador de objetos y, despus, haga clic
en una funcin de base de datos (o cree una nueva funcin de
base de datos).
2. Haga clic en Cubos en el panel Seleccionar una pgina,
seleccione el cubo en la lista Cubo y, a continuacin, active la
casilla de verificacin Lectura o Lectura y escritura en la lista
Acceso.
Cuando a una funcin de base de datos se le han otorgado permisos
de lectura o lectura/escritura para un cubo, los miembros de la
funcin de base de datos tienen acceso de lectura a todas las celdas

del cubo, salvo que se restrinjan especficamente los permisos en

determinadas celdas. Si desea conceder permiso de escritura a
determinadas celdas del cubo para los miembros de la funcin de
base de datos, deber otorgar a la base de datos permisos de
lectura/escritura para el cubo. Para obtener ms informacin, vea

Conceder acceso personalizado a los datos de las celdas

Despus de conceder a una funcin de base de datos en
Microsoft SQL Server 2005 Analysis Services (SSAS) permisos de
lectura o lectura/escritura en un cubo, los miembros de la funcin
tendrn acceso para ver todos los datos de las celdas. Para limitar el
acceso a determinadas celdas, debe restringir especficamente el
acceso a las celdas. Para restringir el acceso a miembros de
dimensiones especficas.
Para conceder a una funcin de base de datos acceso a determinadas
celdas, utilice una expresin MDX (Expresiones multidimensionales)
para definir un intervalo de celdas con permisos de lectura,
contingente de lectura o lectura/escritura. Para obtener ms
informacin.
Directrices para el establecimiento de permisos
Independientemente de si una funcin de base de datos tiene
permiso de lectura, de contingente de lectura o de lectura/escritura
en los datos de una celda, existen directrices e informacin general
que pueden servir de ayuda para facilitar el uso de estos permisos.
Preste atencin cuando conceda permisos a celdas derivadas
Una celda derivada obtiene sus datos de otras celdas. Si la
funcin de base de datos tiene permiso en la celda derivada,
pero no en las celdas de las que la celda derivada obtiene sus
valores, existe la posibilidad de que un miembro de esa funcin
de base de datos puede inferir en los valores de las celdas
sobre las que no se dispone de permiso. Supongamos, por
ejemplo, que una funcin de base de datos tiene permiso en las
celdas de las medidas Sales y Profit (es decir, estas medidas
estn visibles para la funcin de base de datos), pero la funcin
no tiene permiso en las celdas de la medida Cost. Un miembro
de esta funcin de base de datos podra determinar los valores
de la medida Cost restando los valores de la medida Profit de
los valores de la medida Sales.
Los permisos de los datos en las celdas no pueden ser superiores a
los permisos en el cubo
Los permisos concedidos en determinadas celdas no pueden
superar los permisos que se conceden a una funcin de base de
datos en todo el cubo. Supongamos, por ejemplo, que una
funcin de base de datos tiene permiso de lectura/escritura en

una celda, pero esa misma funcin de base de datos slo tiene
permiso de lectura en el cubo. El permiso de datos de la celda
no ser de lectura/escritura. Solamente ser de lectura.
El acceso a los datos de la celda no concede acceso a los datos de la
dimensin
Aunque una funcin de base de datos puede tener acceso a los
datos de una celda, no podr tener acceso a los datos de
dimensin a no ser que se le haya concedido permiso de lectura
o de lectura/escritura en los datos de dimensin de forma
independiente. El acceso a los datos de cubo puede restringir el
acceso a los atributos de dimensin a los que la funcin de base
de datos tiene acceso, pero no puede extender el acceso a los
atributos de dimensin a los que la funcin de base de datos no
tiene acceso.
La denegacin de acceso a los datos de celda no oculta la celda a los
usuarios
Los permisos de acceso de los datos de celda no pueden
controlar si una funcin de base de datos puede ver una celda,
pero en cambio, pueden controlar si la funcin ve el contenido
de la celda. Si una funcin de base de datos no tiene acceso a
los datos de una celda, la celda sigue visible en los resultados
de una consulta. Sin embargo, la celda contiene el valor #N/A
en lugar del valor real de la celda. El valor #N/A aparece en la
celda, a no ser que la aplicacin cliente convierta el valor o que
se especifique otro valor estableciendo la propiedad Secured
Cell Value en la cadena de conexin.
Si no desea que la celda est visible en los resultados, debe
limitar los miembros (dimensiones, atributos de dimensin y
miembros de atributos de dimensin) que pueden visualizarse.
Para obtener ms informacin.
Establecer permiso de lectura en una celda de datos
Las celdas en las que una funcin de base de datos tiene permiso de
lectura estn visibles para los miembros de la funcin de base de
datos. Estas cedas estn visibles aunque se deriven de celdas en las
que la funcin de base de datos no tiene ningn permiso de acceso.
Por ejemplo, suponga que existe una medida calculada denominada
Profit que se deriva de celdas utilizadas para las medidas Sales y
Cost. Si una funcin de base de datos tiene permiso de lectura en las
celdas de Profit, esta medida estar visible aunque la funcin de
base de datos no tenga permiso en las celdas de las medidas Sales o
Cost.
Para conceder permisos de acceso a un miembro de una dimensin,
un usuario debe ser miembro de la funcin de servidor de Analysis

Services o un miembro de una funcin de base de datos de Analysis

Services con permisos Control total (Administrador).
Para conceder a una funcin de base de datos acceso de lectura a los
datos de la celda
1. En SQL Server Management Studio, conctese a la instancia de
Analysis Services, expanda Funciones para la base de datos
correspondiente en Explorador de objetos y, despus, haga clic
en una funcin de base de datos (o cree una nueva funcin de
base de datos).
2. Haga clic en Datos de la celda del cubo en el panel Seleccionar
una pgina, seleccione el cubo en la lista Cubo y, a
continuacin, active la casilla Habilitar permisos de lectura.
Si no se especifica ningn miembro en el cuadro Permitir la
lectura del contenido del cubo, todas las celdas del cubo
estarn visibles.
3. Para especficamente conceder acceso slo a determinados
miembros, escriba la expresin MDX de dichas celdas del cubo
en el cuadro Permitir la lectura del contenido del cubo. Ninguna
otra celda del cubo estar visible.
Para ayudar a generar una expresin MDX, haga clic en el botn
Examinar situado junto a Editar MDX y, a continuacin, utilice la
ventana Generador MDX que aparece para crear su expresin
MDX.
Para ver ejemplos de las expresiones MDX utilizadas para
establecer los datos de las celdas.
Establecer permiso de contingente de lectura en una celda de datos
Las celdas en las que una funcin de base de datos tiene permisos de
contingente de lectura slo estn visibles si alguna de las siguientes
condiciones es verdadera:

Las celdas con permiso de contingente de lectura no se derivan

de otras celdas.

Las celdas con permiso de contingente de lectura se derivan de

otras celdas, pero la funcin de base de datos tiene permiso de
lectura en todas las celdas de las que se deriva la celda.

Por ejemplo, una funcin de base de datos tiene permiso de

contingente de lectura en las celdas Profit. Las celdas Profit se
derivan de las medidas Sales y Cost. En este caso, las celdas Profit
slo estn visibles si la funcin de base de datos tiene permiso de
lectura para las medidas Sales y Cost. Si la funcin de base de datos
tiene permiso de contingente de lectura para las celdas Cost, y la

medida Cost se ha derivado de otras celdas, las celdas de Profit slo

estarn visibles si la funcin de base de datos tena permiso de
lectura en las celdas de las que se ha derivado la medida Cost. Por
tanto, se puede crear una cadena de contingencias con el permiso de
contingente de lectura si la celda se deriva de otras, que a su vez se
derivan de otras, y as sucesivamente.
Para conceder permisos de acceso a un miembro de una dimensin,
un usuario debe ser miembro de la funcin de servidor de Analysis
Services o un miembro de una funcin de base de datos de Analysis
Services con permisos Control total (Administrador).
Para conceder a una funcin de base de datos acceso de contingente
de lectura a los datos de la celda
1. En SQL Server Management Studio, conctese a la instancia de
Analysis Services, expanda Funciones para la base de datos
correspondiente en Explorador de objetos y, despus, haga clic
en una funcin de base de datos (o cree una nueva funcin de
base de datos).
2. Haga clic en Datos de la celda del cubo en el panel Seleccionar
una pgina, seleccione el cubo en la lista Cubo y, a
continuacin, active la casilla Habilitar permisos de contingente
de lectura.
3. En el cuadro Permitir la lectura del contingente del contenido de
la celda en la seguridad de celda, escriba una expresin MDX
que identifique las celdas en las que la funcin de base de
datos tiene permisos de contingente de lectura.
Para ayudar a generar una expresin MDX, haga clic en el botn
Examinar situado junto a Editar MDX y, a continuacin, utilice la
ventana Generador MDX que aparece para crear su expresin
MDX.
Para ver ejemplos de las expresiones MDX utilizadas para
establecer los datos de las celdas.
Establecer permiso de lectura/escritura en una celda de datos
Las celdas en las que una funcin de base de datos tiene permisos de
lectura/escritura estn visibles y pueden actualizarse por parte de los
miembros de la funcin de base de datos, siempre y cuando los
miembros tengan permisos de lectura/escritura en el propio cubo. Los
permisos que se conceden en las celdas no pueden ser superiores a
los permisos concedidos en un cubo.
Para conceder o denegar permisos a celdas especficas, el usuario
debe ser miembro de la funcin de servidor de Analysis Services o
miembro de una funcin de base de datos de Analysis Services con
permisos de Control total (Administrador).

Para conceder a una funcin de base de datos acceso de

lectura/escritura en los datos de la celda
1. En SQL Server Management Studio, conctese a la instancia de
Analysis Services, expanda Funciones para la base de datos
correspondiente en Explorador de objetos y, despus, haga clic
en una funcin de base de datos (o cree una nueva funcin de
base de datos).
2. Haga clic en Datos de la celda del cubo en el panel Seleccionar
una pgina, seleccione el cubo en la lista Cubo y, a
continuacin, active la casilla Habilitar permisos de
lectura/escritura.
3. En el cuadro Permitir la lectura y la escritura del contenido del
cubo, escriba una expresin MDX que identifique las celdas en
las que la funcin de base de datos tiene permisos de
lectura/escritura.
Para ayudar a generar una expresin MDX, haga clic en el botn
Examinar situado junto a Editar MDX y, a continuacin, utilice la
ventana Generador MDX que aparece para crear su expresin
MDX.
Para ver ejemplos de las expresiones MDX utilizadas para
establecer los datos de las celdas.

Conceder acceso a las

estructuras y los modelos de
minera de datos
De manera predeterminada, una funcin de base de datos en
Microsoft SQL Server Analysis Services no tiene permisos para ver
ninguna estructura ni modelo de minera de datos en la base de
datos.No obstante, se puede conceder a una funcin de base de datos
de Analysis Services permisos de acceso a un modelo o estructura de
minera de datos.

Establecer permisos para obtener acceso

a una estructura de minera de datos
Una funcin de base de datos puede tener permisos de lectura o
lectura/escritura en una o ms estructuras de minera de datos en la

base de datos. Si la funcin de base de datos tiene permisos de

lectura o lectura/escritura para una estructura de minera de datos,
dichos permisos son aplicables a todos los modelos de minera de
datos basados en dicha estructura, a menos que se hayan
especificado otros permisos para uno o varios de los modelos de
minera de datos.
Para conceder permisos de lectura/escritura a una funcin de base de
datos, un usuario debe ser miembro de la funcin de servidor de
Analysis Services o de una funcin de base de datos de Analysis
Services con permisos de Control total (Administrador).

Para conceder a una funcin de base de datos acceso a

una estructura de minera de datos
1. En SQL Server Management Studio, conctese a la instancia de
Analysis Services, expanda Funciones para la base de datos
correspondiente en Explorador de objetos y, despus, haga clic
en una funcin de base de datos (o cree una nueva funcin de
base de datos).
2. Haga clic en Estructura de minera de datos en el panel
Seleccionar una pgina, busque la estructura en la lista
Estructuras de minera de datos y, a continuacin, seleccione
Leer o Lectura/escritura en la lista Acceso para la estructura de
minera de datos.

Establecer permisos para obtener acceso

a un modelo de minera de datos
Una funcin de base de datos puede tener permisos de lectura o bien
de lectura/escritura, as como permisos para obtener detalles y
examinar, en un uno o ms modelos de minera de datos de la base
de datos. Los permisos para obtener detalles y examinar permiten a
la funcin de base de datos ver y examinar los datos subyacentes.
Para conceder permisos de lectura/escritura a una funcin de base de
datos, un usuario debe ser miembro de la funcin de servidor de
Analysis Services o de una funcin de base de datos de Analysis
Services con permisos de Control total (Administrador).

Para conceder a una funcin de base de datos acceso a

una estructura de minera de datos
1. En SQL Server Management Studio, conctese a la instancia de
Analysis Services, expanda Funciones para la base de datos
correspondiente en Explorador de objetos y, despus, haga clic

en una funcin de base de datos (o cree una nueva funcin de

base de datos).
2. Haga clic en Estructura de minera de datos en el panel
Seleccionar una pgina, busque el modelo en la lista Modelos
de minera de datos y, a continuacin, seleccione Leer,
Lectura/escritura, Obtener detalles o Examinar para el modelo
de minera de datos.
Para usar un origen de datos en una consulta de obtencin de
detalles que utiliza la clusula OPENQUERY de Extensiones de
minera de datos (DMX), la funcin de base de datos tambin requiere
permiso de lectura/escritura sobre el objeto de origen de datos
correspondiente.