Sikkerhed på rækkeniveau i Power BI-rapportserver

  • Artikel
  • 6 minutter til læsning

Konfiguration af sikkerhed på rækkeniveau med Power BI-rapportserver kan begrænse adgang til datakilder for bestemte brugere. Filtre begrænser adgangen til data på rækkeniveau, og du kan definere filtre inden for roller. Hvis du bruger standardtilladelserne i Power BI-rapportserver, kan alle brugere med tilladelser som udgiver eller indholdsbestyrer for Power BI-rapporten tildele medlemmer til roller for den pågældende rapport.

Du kan konfigurere sikkerhed på rækkeniveau for rapporter, der er importeret til Power BI, med Power BI Desktop. Du kan også konfigurere sikkerhed på rækkeniveau for rapporter, der anvender DirectQuery, f.eks. SQL Server. Husk, at sikkerhed på rækkeniveau tilsidesættes, hvis DirectQuery-forbindelsen bruger integreret godkendelse for læserne af rapporten. I forbindelse med direkte forbindelser i Analysis Services kan du konfigurere sikkerhed på rækkeniveau for modellen i det lokale miljø. Sikkerhedsindstillingen vises ikke for datasæt med direkte forbindelse.

Definer roller og regler i Power BI Desktop

Du kan definere roller og regler i Power BI Desktop. Når du publicerer til Power BI, publiceres rolledefinitionerne også.

Følg disse trin for at definere sikkerhedsroller.

  1. Importér data til din Power BI Desktop-rapport, eller konfigurer en DirectQuery-forbindelse.

    Bemærk

    Du kan ikke definere roller i Power BI Desktop for direkte forbindelser til Analysis Services. Det skal du gøre i Analysis Services-modellen.

  2. Vælg Administrer roller på fanen Udformning.

    Vælg Administrer roller

  3. Vælg Opret i vinduet Administrer roller.

    Vælg Opret

  4. Angiv et navn for rollen under Roller.

  5. Vælg den tabel, hvor du vil anvende en DAX-regel, under Tabeller.

  6. I feltet Tabelfilter for DAX-udtryk skal du angive DAX-udtrykkene. Dette udtryk returnerer værdien true eller false. For eksempel: [Entity ID] = “Value”.

    Vinduet Administrer roller

    Bemærk

    Du kan bruger username() i udtrykket. Vær opmærksom på, at username() har formatet DOMÆNE\brugernavn i Power BI Desktop. I Power BI-tjenesten og Power BI-rapportserver har det format som brugerens eget hovednavn. Du kan også bruge userprincipalname() , som altid returnerer brugeren i samme format som brugerens hovednavn brugernavn@contoso.com.

  7. Når du har oprettet DAX-udtrykket, kan du markere afkrydsningsfeltet over udtryksfeltet for at validere udtrykket.

    Valider DAX-udtryk

    Bemærk

    I dette udtryksfelt bruger du kommaer til at adskille argumenter for DAX-funktionen, selvom du bruger en landestandard, der normalt bruger semikolon som separator (f.eks. fransk eller tysk).

  8. Vælg Gem.

Du kan ikke tildele brugere til en rolle i Power BI Desktop. Dem tildeler du i Power BI-tjenesten. Du kan aktivere dynamisk sikkerhed i Power BI Desktop ved at bruge DAX-funktionen username() eller userprincipalname() og have konfigureret de relevante relationer.

Tovejskrydsfiltrering

Som standard bruger filtrering af sikkerhed på rækkeniveau envejsfiltre, uanset om relationerne er angivet til envejs eller tovejs. Du kan aktivere tovejskrydsfiltrering med sikkerhed på rækkeniveau manuelt.

  • Vælg relationen, og markér afkrydsningsfeltet Anvend sikkerhedsfilter i begge retninger.

    Anvend sikkerhedsfilter

Marker dette afkrydsningsfelt, når du implementerer dynamisk sikkerhed på rækkeniveau baseret på brugernavn eller logon-id.

Du kan få mere at vide i Tovejskrydsfiltrering ved hjælp af DirectQuery i Power BI Desktop og det tekniske whitepaper Sikring af modellen for tabellarisk BI-semantik.

Valider rollerne i Power BI Desktop

Når du har oprettet dine roller, kan du teste resultaterne af rollerne i Power BI Desktop.

  1. Fra fanen modelle ring skal du vælge Vis som.

    Vælg Vis som roller

    Vinduet Vis som roller vises, hvor du kan få vist de roller, som du har oprettet.

    Vinduet Vis som roller

  2. Vælg en rolle, du har oprettet, og vælg derefter OK for at anvende rollen.

    Rapporterne gengiver de data, der er relevante for rollen.

  3. Du kan også vælge Anden bruger og angive en specifik bruger.

    Vælg en anden bruger

    Det er bedst at angive brugerens hovednavn, da det er det navn, som Power BI-tjenesten og Power BI-rapportserver bruger.

    I Power BI Desktop viser Anden bruger kun forskellige resultater, hvis du bruger dynamisk sikkerhed baseret på dine DAX-udtryk.

  4. Vælg OK.

    Rapporten gengives baseret på det, som brugeren kan se.

    Bemærk

    Funktionen Vis som rolle fungerer ikke for DirectQuery-modeller med enkelt Sign-On (SSO) aktiveret.

Føj medlemmer til roller

Når du har gemt din rapport i Power BI-rapportserver, kan du administrere sikkerheden og tilføje eller fjerne medlemmer på serveren. Kun brugere med tilladelser som enten udgiver eller indholdsbestyrer for rapporten har adgang til indstillingen for sikkerhed på rækkeniveau.

Hvis rapporten ikke har de roller, der skal bruges, skal du åbne den i Power BI Desktop, tilføje eller redigere roller og derefter gemme i Power BI-rapportserver igen.

  1. I Power BI Desktop skal du gemme rapporten i Power BI-rapportserver. du skal bruge versionen af Power BI Desktop for Power BI-rapportserver.

  2. Vælg ellipsen ( ... ) i Power BI-rapporttjenesten ud for rapporten.

  3. Vælg Administrer > Sikkerhed på rækkeniveau.

    Administrer sikkerhed på rækkeniveau

    Du kan føje medlemmer til en rolle, du har oprettet i Power BI Desktop, på siden Sikkerhed på rækkeniveau.

  4. Du tilføjer et medlem ved at vælge Tilføj medlem.

  5. Angiv brugeren eller gruppen i tekstfeltet i brugernavnsformatet (DOMÆNE\bruger), og vælg de roller, du vil tildele dem. Medlemmet skal tilhøre din organisation.

    Føj medlem til rolle

    Afhængigt af hvordan Active Directory er konfigureret, fungerer det også at angive brugerens hovednavn her. I så fald viser rapportserveren det tilsvarende brugernavn på listen.

  6. Klik på OK for at anvende indstillingen.

  7. Hvis du vil fjerne medlemmer, skal du markere afkrydsningsfeltet ud for deres navne og vælge Slet. Du kan slette flere medlemmer ad gangen.

    Slet medlemmer

username() og userprincipalname()

Du kan benytte username() eller userprincipalname() for DAX-funktionerne i datasættet. Du kan bruge dem i udtryk i Power BI Desktop. Når du publicerer din model, bruger Power BI-rapportserver dem.

I Power BI Desktop returnerer username() en bruger i formatet DOMÆNE\bruger, og userprincipalname() returnerer en bruger i formatet user@contoso.com.

I Power BI-rapportserver returnerer både username() og userprincipalname() brugerens hovednavn, som ligner en mailadresse.

Hvis du benytter brugerdefineret godkendelse i Power BI-rapportserver, returneres det format for brugernavnet, du har konfigureret for brugere.

Overvejelser og begrænsninger

Her er de aktuelle begrænsninger for sikkerhed på rækkeniveau i Power BI-modeller.

Brugere, der havde rapporter ved hjælp af username() i DAX-funktionen, vil bemærke en ny funktionsmåde, nu hvor brugerens hovednavn returneres, undtagen når DirectQuery med integreret sikkerhed benyttes. Eftersom sikkerhed på rækkeniveau ikke overholdes i dette scenarie, er funktionsmåden i det pågældende scenarie uændret.

Du kan kun definere sikkerhed på rækkeniveau for de datasæt, der er oprettet ved hjælp af Power BI Desktop. Hvis du vil aktivere sikkerhed på rækkeniveau for de datasæt, der er oprettet i Excel, skal du først konvertere dine filer til .pbix-filer (Power BI Desktop). Få mere at vide om konvertering af Excel-filer.

Kun ETL- (extraction, transformation og loading) og DirectQuery-forbindelser, der bruger lagrede legitimationsoplysninger, understøttes. Direkte forbindelser til Analysis Services og DirectQuery-forbindelser, der bruger integreret godkendelse, skal håndteres i den underliggende datakilde.

Hvis du bruger integreret sikkerhed med DirectQuery, oplever dine brugere muligvis, at:

  • Sikkerhed på rækkeniveau er deaktiveret, og alle data returneres.
  • Brugere ikke kan opdatere deres rolletildelinger og får vist en fejl på siden til administration af sikkerhed på rækkeniveau.
  • I forbindelse med DAX-funktionen for brugernavne modtager du fortsat brugernavnet som DOMÆNE\BRUGER.

Forfattere til rapporter har ikke adgang til at få vist rapportdataene i Power BI-rapportserver, før de har tildelt sig selv roller, der er i overensstemmelse hermed, efter overførsel af rapporten.

rolletildelinger via gruppemedlemskaber understøttes kun, når Power BI-rapportserver er konfigureret til at køre med NTLM-eller Kerberos-godkendelse. servere, der kører med tilpasset godkendelse eller Windows Basic, kræver, at brugerne eksplicit har fået tildelt roller.

Ofte stillede spørgsmål

Kan jeg oprette disse roller til Analysis Services-datakilder?

Det kan du, hvis du importerede dataene til Power BI Desktop. Hvis du bruger en direkte forbindelse, kan du ikke konfigurere sikkerhed på rækkeniveau i Power BI-tjenesten. Sikkerhed på rækkeniveau defineres i Analysis Services-modellen i det lokale miljø.

Kan jeg bruge sikkerhed på rækkeniveau til at begrænse, hvilke kolonner eller målinger brugerne har adgang til?

Nej. Hvis en bruger har adgang til en bestemt række data, kan vedkommende se alle kolonner med data for den række.

Vil sikkerhed på rækkeniveau lade mig skjule detaljerede data, men samtidig give adgang til de data, der er opsummeret i visualiseringer?

Nej. Du beskytter individuelle rækker, men brugerne kan altid se enten detaljer eller de opsummerede data.

Kan jeg tilføje nye roller i Power BI Desktop, hvis jeg allerede har eksisterende roller og medlemmer, der er tildelt?

Ja, hvis du allerede har eksisterende roller defineret og tildelt medlemmer i Power BI-rapportserver, kan du oprette yderligere roller og publicere din rapport, uden at det påvirker aktuelle tildelinger.

Næste trin

Hvad er Power BI-rapportserveren? Administratorhåndbog

Har du flere spørgsmål? Prøv at spørge Power BI-community'et