Administración de orígenes de datos de SQL Server Analysis Services

Nota

La documentación sobre puertas de enlace de datos locales se ha dividido en contenido específico de Power BI y contenido general que se aplica a todos los servicios que admite la puerta de enlace. Actualmente se encuentra en el contenido de Power BI. Para proporcionar comentarios sobre este artículo o la experiencia general de la documentación sobre puertas de enlace, desplácese hasta la parte inferior del artículo.

Después de instalar una puerta de enlace de datos local, puede agregar orígenes de datos para usarlos con esta. En este artículo se describe cómo agregar un origen de datos de SQL Server Analysis Services (SSAS) a la puerta de enlace local a fin de usarla para la actualización programada o las conexiones dinámicas.

Para obtener más información sobre cómo configurar una conexión dinámica a SSAS, vea este vídeo Tutorial de Power BI: conexión dinámica de Analysis Services.

Nota:

Si tiene un origen de datos de Analysis Services, deberá instalar la puerta de enlace en un equipo unido al mismo bosque o dominio que el servidor de Analysis Services.

Nota:

La puerta de enlace solo admite la autenticación de Windows para Analysis Services.

Agregar un origen de datos

Para conectarse a un origen de datos multidimensional o tabular de Analysis Services, haga lo siguiente:

  1. En la pantalla Nueva conexión de la puerta de enlace de datos local, seleccione Analysis Services como Tipo de conexión. Para más información sobre cómo agregar un origen de datos, consulte Adición de un origen de datos.

     Screenshot of adding the Analysis Services data type.

  2. Rellene la información del origen de datos, que incluye el Servidor y la Base de datos. La puerta de enlace usa la información introducida en Nombre de usuario y Contraseña para conectarse a la instancia de Analysis Services.

     Screenshot that shows the data source credentials settings.

    Nota:

    La cuenta de Windows que especifique debe ser miembro del rol de administrador del servidor en la instancia de Analysis Services a la que se está conectando. Si la contraseña de esta cuenta está establecida para que expire, los usuarios reciben un error de conexión a menos que actualice la contraseña del origen de datos. Para obtener más información sobre cómo se almacenan las credenciales, vea Almacenamiento de credenciales cifradas en la nube.

  3. Configure el Nivel de privacidad del origen de datos. Esta opción controla cómo se pueden combinar los datos para una actualización programada. La configuración del nivel de privacidad no se aplica a las conexiones dinámicas. Para más información sobre los niveles de privacidad del origen de datos, consulte Establecer niveles de privacidad (Power Query).

    Screenshot of the Privacy level setting.

  4. Opcionalmente, ahora puede configurar la asignación de nombres de usuario. Para obtener instrucciones, vea Reasignación manual de nombres de usuario.

  5. Después de completar todos los campos, seleccione Crear.

Ahora puede usar este origen de datos para la actualización programada o las conexiones dinámicas en una instancia de Analysis Services local.

Nombres de usuario para Analysis Services

Para obtener información sobre la autenticación con conexiones dinámicas de Analysis Services en Power BI, vea este vídeo:

Nota

Es posible que en este vídeo se usen versiones anteriores de Power BI Desktop o del servicio Power BI.

Cada vez que un usuario interactúa con un informe conectado a Analysis Services, el nombre de usuario efectivo se envía a la puerta de enlace y después al servidor local de Analysis Services. La dirección de correo electrónico utilizada para iniciar sesión en Power BI se envía a Analysis Services como usuario efectivo en la propiedad de conexión EffectiveUserName.

La dirección de correo debe coincidir con un nombre principal de usuario (UPN) definido en el dominio de Active Directory (AD) local. El UPN es una propiedad de una cuenta de AD. La cuenta de Windows debe estar presente en un rol de Analysis Services. Si no se puede encontrar ninguna coincidencia en AD, el inicio de sesión no será correcto. Para obtener más información sobre AD y los nombres de usuario, vea Atributos de nombres de usuario.

Asignación de nombres de usuario a orígenes de datos de Analysis Services

También puede asignar el nombre de inicio de sesión de Power BI a un UPN de directorio local. Para obtener información sobre la asignación de UPN en Power BI, vea este vídeo:

Nota

Es posible que en este vídeo se usen versiones anteriores de Power BI Desktop o del servicio Power BI.

Power BI permite asignar nombres de usuario para orígenes de datos de Analysis Services. Puede configurar reglas para asignar un nombre de usuario de inicio de sesión de Power BI a un elemento EffectiveUserName que se envíe a la conexión de Analysis Services. Esta característica es una excelente solución alternativa cuando su usuario en Microsoft Entra no coincide con un UPN en su instancia de Active Directory local. Por ejemplo, si su dirección de correo es meganb@contoso.onmicrosoft.com, podría asignarla a meganb@contoso.com, y ese valor se enviaría a la puerta de enlace.

Puede asignar nombres de usuario para Analysis Services de dos maneras diferentes:

  • Reasignación manual de usuarios en Power BI
  • Asignación de búsqueda de Active Directory, que usa la búsqueda de propiedades de AD local para reasignar los UPN de Microsoft Entra a usuarios de AD locales.

La asignación manual mediante la búsqueda de propiedades de AD local es posible, pero este proceso es lento y difícil de mantener, sobre todo cuando no basta con la coincidencia de patrones. Por ejemplo, los nombres de dominio o los nombres de cuenta de usuario pueden ser diferentes entre Microsoft Entra ID y AD local. Por lo tanto, no se recomienda la asignación manual con el segundo enfoque.

Los dos enfoques de asignación se describen en las secciones siguientes.

Reasignación manual de usuarios en Power BI

Para orígenes de datos de Analysis Services, puede configurar reglas de UPN personalizadas en Power BI. Las reglas personalizadas le ayudarán si el nombre de inicio de sesión del servicio Power BI no coincide con su UPN del directorio local. Por ejemplo, si inicia sesión en Power BI con meganb@contoso.com, pero su UPN de directorio local es meganb@contoso.local, puede configurar una regla de asignación para que meganb@contoso.local se envíe a Analysis Services.

Importante

La asignación funciona para el origen de datos específico que se está configurando. No es una configuración global. Si tiene varios orígenes de datos de Analysis Services, tendrá que asignar los usuarios para cada origen de datos.

Para realizar la asignación manual del UPN, siga estos pasos:

  1. En el icono de engranaje de Power BI, seleccione Manage gateways and connections (Administrar puertas de enlace y conexiones).

  2. Seleccione el origen de datos y luego Configuración en el menú superior.

  3. En la pantalla Configuración, en el cuadro Asignar nombres de usuario, asegúrese de que EffectiveUserName está seleccionado y, después, seleccione Agregar nueva regla.

     Screenshot of the UPN mapping screen.

  4. En Asignar nombres de usuario, para cada nombre de usuario que se vaya a asignar, escriba valores para los campos Nombre original y Nuevo nombre y, después, seleccione Agregar nueva regla. El valor Reemplazar es la dirección de inicio de sesión de Power BI y el valor Con es el valor por el que se va a reemplazar. El reemplazo se envía a la propiedad EffectiveUserName para la conexión de Analysis Services.

    Screenshot of Add new rule in the Map user names box.

    Por ejemplo:

    Screenshot of example mapping rules.

    Nota:

    Asegúrese de no cambiar los usuarios que no tiene previsto modificar. Por ejemplo, si reemplaza el Nombre original de contoso.com por un Nuevo nombre de @contoso.local, todos los inicios de sesión de usuario que incluyan @contoso.com se reemplazarán por @contoso.local. Además, si reemplaza un Nombre original de meganb@contoso.com por un Nuevo nombre de meganb@contoso.local, se envía un inicio de sesión de v-meganb@contoso.com como v-meganb@contoso.local.

    Puede seleccionar un elemento de la lista y reordenarlo arrastrándolo y colocándolo, o elimine una entrada seleccionando el icono de elementos no utilizados.

Uso de un carácter comodín

Puede usar un carácter comodín * para su cadena Reemplazar (nombre original). El carácter comodín únicamente puede usarse solo y no puede ir acompañado de ninguna otra parte de la cadena. Use un carácter comodín si quiere reemplazar todos los usuarios con un valor único para enviarlo al origen de datos. Este enfoque es útil si quiere que todos los usuarios de una organización usen el mismo usuario en su entorno local.

Prueba de la regla de asignación

A fin de validar el reemplazo del nombre, escriba un valor para el campo Nombre original y seleccione Probar regla.

 Screenshot of testing a mapping rule.

Nota:

Las reglas guardadas funcionan en el explorador de inmediato. El servicio Power BI tarda unos minutos en usar las reglas guardadas.

Asignación de búsqueda de Active Directory

En esta sección se describe cómo realizar una búsqueda de propiedades de Active Directory local para reasignar los UPN de Microsoft Entra a los usuarios de AD. En primer lugar, revise cómo funciona esta reasignación.

Cada consulta de un usuario de Microsoft Entra de Power BI a un servidor SSAS local se envía a una cadena de UPN, como firstName.lastName@contoso.com.

La asignación de búsqueda en una puerta de enlace de datos local con una asignación de usuario personalizada configurable sigue estos pasos:

  1. Localice la instancia de Active Directory que se va a buscar. Puede usar la opción automática o configurable.
  2. Busque el atributo del usuario de Active Directory, como Correo electrónico, del servicio Power BI. El atributo se basa en una cadena de UPN entrante como firstName.lastName@contoso.com.
  3. Si se produce un error en la búsqueda de Active Directory, intenta enviar el UPN a SSAS como EffectiveUserName.
  4. Si la búsqueda de Active Directory se realiza correctamente, recupera el elemento UserPrincipalName de ese usuario de Active Directory.
  5. La asignación envía el correo electrónico UserPrincipalName como, por ejemplo, Alias@corp.on-prem.contoso, a SSAS como el elemento EffectiveUserName.

Nota:

Las asignaciones manuales de UPN definidas en la configuración de puerta de enlace del origen de datos de Power BI se siguen aplicando antes de enviar la cadena de UPN a la puerta de enlace de datos local.

Para que la búsqueda de Active Directory funcione correctamente en tiempo de ejecución, debe cambiar el servicio de puerta de enlace de datos local a fin de que se ejecute con una cuenta de dominio en lugar de con una cuenta de servicio local.

  1. Asegúrese de descargar e instalar la puerta de enlace más reciente.

  2. En la aplicación de Puerta de enlace de datos local del equipo, vaya a Configuración del servicio>Cambiar cuenta de servicio. Asegúrese de que tiene la clave de recuperación para la puerta de enlace, ya que necesitará restaurarla en el mismo equipo, a menos que quiera crear una puerta de enlace. Debe reiniciar el servicio de puerta de enlace para que el cambio surta efecto.

  3. Vaya a la carpeta de instalación de la puerta de enlace, C:\Archivos de programa\Puerta de enlace de datos local como administrador, para asegurarse de que tiene permisos de escritura. Abra el archivo Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config.

  4. Edite los valores ADUserNameLookupProperty y ADUserNameReplacementProperty de conformidad con las configuraciones de atributos de AD para los usuarios de AD. Los valores de la imagen siguiente son solo ejemplos. Estas configuraciones distinguen mayúsculas de minúsculas, por lo que debe asegurarse de que coinciden con los valores en AD.

    Screenshot of Active Directory settings.

    Si el archivo no proporciona ningún valor para la configuración de ADServerPath, la puerta de enlace usará el valor predeterminado del catálogo global. Se pueden especificar varios valores para ADServerPath. Los valores deben estar separados por un punto y coma, tal como se muestra en el ejemplo siguiente:

    <setting name="ADServerPath" serializeAs="String">
        <value> GC://serverpath1; GC://serverpath2;GC://serverpath3</value>
    </setting>
    

    La puerta de enlace analiza los valores de ADServerPath de izquierda a derecha hasta que encuentra una coincidencia. Si la puerta de enlace no encuentra ninguna coincidencia, usa el UPN original. Asegúrese de que la cuenta que ejecuta el servicio de puerta de enlace, PBIEgwService, tiene permisos de consulta en todos los servidores de AD que especifique en ADServerPath.

    La puerta de enlace admite dos tipos de ADServerPath:

    • Para WinNT: <value="WinNT://usa.domain.corp.contoso.com,computer"/>
    • Para el catálogo global (GC): <value> GC://USA.domain.com </value>
  5. Reinicie el servicio de puerta de enlace de datos local para que se aplique el cambio en la configuración.

Autenticación a un origen de datos de Analysis Services activo

Cada vez que un usuario interactúa con Analysis Services, el nombre de usuario efectivo se envía a la puerta de enlace y, después, al servidor de Analysis Services local. El UPN, que suele ser la dirección de correo electrónico que se usa para iniciar sesión en la nube, se envía a Analysis Services como usuario efectivo en la propiedad de conexión EffectiveUserName.

Cuando el conjunto de datos está en modo de importación, el gateway enviará el EffectiveUserName del UPN del propietario del conjunto de datos. Esto significa que el UPN del propietario del conjunto de datos se pasará a Analysis Services como usuario efectivo en la propiedad de conexión EffectiveUserName.

Esta dirección de correo debe coincidir con un UPN definido en el dominio de Active Directory local. El UPN es una propiedad de una cuenta de AD. Una cuenta de Windows debe estar presente en un rol de Analysis Services para tener acceso al servidor. Si no se encuentra ninguna coincidencia en Active Directory, el inicio de sesión no será correcto.

Seguridad de nivel de fila y basada en roles

Analysis Services también puede proporcionar filtrado basado en la cuenta de Active Directory. El filtrado puede usar seguridad basada en roles o bien seguridad de nivel de fila. La capacidad de un usuario para consultar y ver los datos del modelo depende de los roles a los que pertenece su cuenta de usuario de Windows y de la seguridad dinámica de nivel de fila, si está configurada.

  • Seguridad basada en roles. Los modelos proporcionan seguridad basada en roles de usuario. Puede definir roles para un proyecto de modelo determinado durante la creación en las herramientas de Business Intelligence de SQL Server Data Tools. Una vez implementado un modelo, puede definir roles mediante SQL Server Management Studio. Los roles contienen miembros que se asignan por nombre de usuario o grupo de Windows.

    Los roles definen los permisos que los usuarios tienen para consultar o realizar acciones en el modelo. La mayoría de los usuarios pertenecen a un rol con permisos de lectura. Otros roles conceden a los administradores permisos para procesar elementos, administrar funciones de bases de datos y administrar otros roles.

  • Seguridad de nivel de fila. Los modelos pueden proporcionar seguridad dinámica de nivel de fila. Cualquier seguridad definida de nivel de fila es específica de Analysis Services. En el caso de la seguridad basada en roles, cada usuario debe tener al menos un rol, pero ningún modelo tabular requiere seguridad dinámica de nivel de fila.

    En un nivel avanzado, la seguridad dinámica define el acceso de lectura a datos de un usuario en filas particulares en tablas específicas. De forma similar a lo que ocurre con los roles, la seguridad dinámica de nivel de fila se basa en el nombre de usuario de Windows de un usuario.

La implementación de la seguridad dinámica de nivel de fila y de rol en los modelos queda fuera del ámbito de este artículo. Para obtener más información, vea Roles en modelos tabulares y Roles de seguridad (Analysis Services: datos multidimensionales). Para ver una descripción más detallada de la seguridad de los modelos tabulares, descargue el documento técnico Protección del modelo semántico tabular de BI.

Autenticación de Microsoft Entra

Los servicios en la nube de Microsoft usan Microsoft Entra ID para autenticar a los usuarios. Microsoft Entra ID es el inquilino que contiene grupos de nombres de usuario y seguridad. Normalmente, la dirección de correo con la que un usuario inicia sesión coincide con el UPN de la cuenta.

Roles en la instancia local de Active Directory

Para que Analysis Services determine si un usuario pertenece a un rol con permisos para leer los datos, el servidor debe convertir el nombre de usuario efectivo enviado de Microsoft Entra ID a la puerta de enlace y de ahí al servidor de Analysis Services. El servidor de Analysis Services pasa el nombre de usuario efectivo a un controlador de dominio (DC) de Windows Active Directory. Después, el controlador de dominio de Active Directory valida que el nombre de usuario efectivo es un UPN válido en una cuenta local. El DC devuelve el nombre de usuario de Windows de ese usuario al servidor de Analysis Services.

No se puede usar EffectiveUserName en un servidor de Analysis Services que no esté unido a un dominio. El servidor de Analysis Services debe estar unido a un dominio para evitar errores de inicio de sesión.

Identificación del UPN

Es posible que no sepa cuál es su UPN y que no sea un administrador de dominio. Puede utilizar el comando siguiente en la estación de trabajo para averiguar el UPN de la cuenta:

whoami /upn

El resultado es similar a una dirección de correo electrónico, pero se trata del UPN de la cuenta de dominio. Si usa un origen de datos de Analysis Services para las conexiones dinámicas y este UPN no coincide con la dirección de correo electrónico utilizada a fin de iniciar sesión en Power BI, es posible que necesite asignar el nombre de usuario.

Sincronizar un AD local con Microsoft Entra ID

Si tiene previsto usar las conexiones dinámicas de Analysis Services, las cuentas de AD locales deben coincidir con Microsoft Entra ID. El UPN debe coincidir entre las cuentas.

Los servicios en la nube solo usan cuentas dentro de Microsoft Entra ID. Si agrega una cuenta en la instancia local de AD que no existe en Microsoft Entra ID, no podrá usar la cuenta. Hay varias formas para hacer que las cuentas de AD locales coincidan con Microsoft Entra ID:

  • Agregue cuentas manualmente a Microsoft Entra ID.

    Crear una cuenta en Azure Portal o en el Centro de administración de Microsoft 365, con un nombre de cuenta que coincida con el UPN de la cuenta de AD local.

  • Use Microsoft Entra Connect Sync para sincronizar las cuentas locales con el inquilino de Microsoft Entra.

    Microsoft Entra Connect garantiza que el UPN coincida entre Microsoft Entra ID y la instancia de AD local. La herramienta Microsoft Entra Connect proporciona opciones para la sincronización de directorios y la configuración de la autenticación. Entre las opciones se incluyen la sincronización de hash de las contraseñas, la autenticación de paso a través y la federación. Si no es un administrador o un administrador de dominio local, póngase en contacto con el administrador de TI para que le ayude con la configuración.

    Nota:

    La sincronización de cuentas con Microsoft Entra Connect Sync crea nuevas cuentas en el inquilino de Microsoft Entra.

Uso del origen de datos

una vez agregado el origen de datos de SSAS, estará disponible para usarse con conexiones dinámicas o mediante una actualización programada.

Nota

El nombre del servidor y de la base de datos deben coincidir entre Power BI Desktop y el origen de datos dentro de la puerta de enlace de datos local.

El vínculo entre el conjunto de datos y el origen de datos dentro de la puerta de enlace se basa en el nombre del servidor y en el nombre de la base de datos. Estos nombres deben coincidir. Por ejemplo, si proporciona una dirección IP para el nombre del servidor, dentro de Power BI Desktop, tendrá que usar la dirección IP del origen de datos dentro de la configuración de la puerta de enlace. Si usa SERVER\INSTANCE en Power BI Desktop, también tendrá que usar lo mismo en el origen de datos configurado para la puerta de enlace. Este requisito se exige para conexiones dinámicas y la actualización programada.

Uso del origen de datos con conexiones dinámicas

Puede usar una conexión activa con instancias tabulares o multidimensionales. Cuando se conecte por primera vez a los datos, debe seleccionar una conexión dinámica en Power BI Desktop. Asegúrese de que el nombre del servidor y de la base de datos coinciden entre Power BI Desktop y el origen de datos configurado para la puerta de enlace. Además, para poder publicar conjuntos de datos de conexión dinámica, los usuarios deben aparecer en Usuarios en la lista de orígenes de datos.

Después de publicar informes, ya sea desde Power BI Desktop u obteniendo datos en el servicio Power BI, su conexión de datos debería empezar a funcionar. Después de crear el origen de datos en la puerta de enlace, pueden pasar varios minutos antes de poder utilizar la conexión.

Uso del origen de datos con la actualización programada

Si aparece en la pestaña Usuarios del origen de datos configurado de la puerta de enlace y los nombres del servidor y de la base de datos coinciden, verá la puerta de enlace como una opción para usar con la actualización programada.

Screenshot of selecting the on-premises gateway to use for scheduled refresh.

Limitaciones de conexiones activas de Analysis Services

  • Las características de formato de nivel de celda y traducción no se admiten.

  • Las acciones y los conjuntos con nombre no se exponen en Power BI. Todavía puede conectarse a los cubos multidimensionales que contengan acciones o conjuntos con nombre para crear objetos visuales e informes.

Requisitos del SKU

Versión del servidor SKU necesario
2012 SP1 CU4 o posterior SKU Business Intelligence y Enterprise
2014 SKU Business Intelligence y Enterprise
2016 SKU estándar o superior

¿Tiene más preguntas? Consulte la Comunidad de Power BI.