Rivitason suojaus (RLS) Power BI -raporttipalvelin

  • Artikkeli

Tietojen käyttöä voidaan rajoittaa tietyille käyttäjille määrittämällä rivitason suojaus (RLS) Power BI -raporttipalvelin avulla. Suodattimet rajoittavat tietojen käyttöä rivitasolla ja voit määrittää roolien sisäisiä suodattimia. Jos käytät Power BI -raporttipalvelin oletuskäyttöoikeuksia, kaikki käyttäjät, joilla on Power BI -raportin julkaisu- tai sisällönhallintaoikeudet, voivat määrittää käyttäjille raportin rooleja.

Voit määrittää rivitason suojauksen raporteille, jotka on tuotu Power BI:hin Power BI Desktopin avulla. Voit myös määrittää rivitason suojauksen raporteille, jotka käyttävät DirectQueryä, kuten SQL Serveriä. Huomaa, että rivitason suojausta ei huomioida, jos DirectQuery-yhteytesi käyttää raportin lukijoiden integroitua todentamista. Määrität rivitason suojauksen paikalliselle mallille Analysis Servicesin reaaliaikaisia yhteyksiä varten. Suojausvaihtoehtoa ei näy reaaliaikaisen yhteyden tietojoukoille.

Roolien ja sääntöjen määrittäminen Power BI Desktopissa

Voit määrittää rooleja ja sääntöjä Power BI Desktopissa. Kun julkaiset Power BI:ssä, julkaiset myös roolimääritykset.

Käyttöoikeusroolien määrittäminen:

  1. Tuo tietoja Power BI Desktop -raporttiin tai määritä DirectQuery-yhteys.

    Muistiinpano

    Power BI Desktopissa ei voi määrittää rooleja reaaliaikaisille Analysis Services -yhteyksille. Se on tehtävä Analysis Services -mallissa.

  2. Valitse Mallinnus-välilehdeltäRoolien hallinta.

    Näyttökuva Mallinnus-välilehdestä, jossa näkyy korostettu Roolien hallinta.

  3. Valitse Roolien hallinta -ikkunassa Luo.

    Näyttökuva Roolien hallinta -ikkunasta, jossa korostetaan Luo-toimintoa.

  4. Anna roolille nimi Roolit-kohdassa.

    Muistiinpano

    Et voi määrittää roolia pilkulla, esimerkiksi London,ParisRole.

  5. Valitse Taulukot-kohdassa taulukko, johon haluat käyttää DAX (Data Analysis Expression) -sääntöä.

  6. Kirjoita DAX-lausekkeet Taulukkosuodattimen DAX-lauseke -ruutuun. Tämä lauseke palauttaa arvon tosi tai epätosi. Esimerkki: [Entity ID] = “Value”.

    Näyttökuva Roolien hallinta -ikkunasta, jossa korostetaan esimerkki DAX-lausekkeesta.

    Muistiinpano

    Voit käyttää lausekkeessa funktiota username( ). Huomaa, että username() on Power BI Desktopissa muodossa TOIMIALUE\käyttäjänimi . Power BI -palvelu ja Power BI -raporttipalvelin sisällä se on käyttäjän täydellinen käyttäjätunnus (UPN). Vaihtoehtoisesti voit käyttää funktiota userprincipalname(), joka palauttaa käyttäjän aina täydellinen käyttäjätunnuksen, username@contoso.com.

  7. Kun olet luonut DAX-lausekkeen, vahvista se valitsemalla lausekeruudun yläpuolelta valintamerkkimerkki.

    Näyttökuva Taulukkosuodattimen DAX-lauseke -ikkunasta, jossa valintamerkki korostetaan.

    Muistiinpano

    Erota DAX-funktioargumentit toisistaan pilkuilla tässä lausekeruudussa, vaikka käyttäisit tavallisesti puolipisteerottimia (esimerkiksi ranska tai saksa).

  8. Valitse Tallenna.

Käyttäjille ei voi määrittää roolia Power BI Desktopissa. Voit määrittää ne Power BI -palvelu. Voit ottaa käyttöön Power BI Desktopin dynaamisen suojauksen hyödyntämällä username() - tai userprincipalname() -DAX-funktioita, kun oikeat suhteet on määritetty.

Kaksisuuntainen ristiinsuodatus

Oletuksena rivitason suojauksen suodatukseen käytetään yksisuuntaisia suodattimia riippumatta siitä, onko suhteet määritetty yksi- vai kaksisuuntaisille suhteille. Voit ottaa rivitason suojauksessa kaksisuuntaisen ristiinsuodatuksen käyttöön manuaalisesti.

  • Valitse suhde ja sitten Ota suojaussuodattimet käyttöön molempiin suuntiin -valintaruutu.

    Suojaussuodattimen käyttäminen

Valitse tämä ruutu, jos otat käyttöön käyttäjänimeen tai kirjautumistunnukseen perustuvan dynaamisen rivitason suojauksen.

Lisätietoja on artikkelissa Kaksisuuntainen ristiinsuodatus käyttämällä DirectQueryä Power BI Desktopissa ja teknisessä raportissa Taulukkomuotoisen liiketoimintatietojen semanttisen mallin suojaaminen.

Roolien vahvistaminen Power BI Desktopissa

Kun olet luonut roolit, voit testata roolien tuloksia Power BI Desktopissa.

  1. Valitse Mallinnus-välilehdeltäNäytä nimellä.

    Näyttökuva Mallinnus-välilehdestä, jossa Näytä muodossa -korostus näkyy.

    Esiin tulee Näytä rooleina -ikkuna, jossa näet luomasi roolit.

    Näyttökuva Näytä rooleina -ikkunasta, jossa Ei mitään on valittuna.

  2. Valitse luomasi rooli. Valitse sitten OK ottaaksesi roolin käyttöön.

    Raportit hahmontavat tiedot, jotka ovat merkittäviä kyseisen roolin kannalta.

  3. Voit myös valita Toisen käyttäjän ja määrittää tietyn käyttäjän.

    Näyttökuva Näytä rooleina -ikkunasta, jossa on esimerkkikäyttäjästä.

    On parasta määrittää täydellinen käyttäjätunnus (UPN), koska sitä Power BI -palvelu ja Power BI -raporttipalvelin käyttää.

    Toinen käyttäjä näyttää eri tuloksia Power BI Desktopissa vain, jos käytössäsi on dynaaminen tietoturva, joka perustuu DAX-lausekkeisiin. Tässä tapauksessa sinun on sisällytettävä sekä käyttäjänimi että rooli.

  4. Valitse OK.

    Raportti hahmonnetetaan sen perusteella, mitä RLS-suodattimet sallivat käyttäjän nähdä.

    Muistiinpano

    Näytä rooleina -ominaisuus ei toimi DirectQuery-malleissa, joissa kertakirjautuminen on käytössä.

Jäsenten lisääminen rooleihin

Kun olet tallentanut raportin Power BI -raporttipalvelin, voit hallita suojausta sekä lisätä tai poistaa jäseniä palvelimessa. Rivitason suojaus on käytettävissä ainoastaan käyttäjillä, joilla on raportin joko julkaisu- tai sisällönhallintaoikeudet. Vaihtoehto näkyy harmaana.

Jos raportissa ei ole tarvitsemiasi rooleja, sinun on avattava raportti Power BI Desktopissa, lisättävä tai muokattava rooleja ja tallennettava se sitten takaisin Power BI -raporttipalvelin.

  1. Tallenna raportti Power BI Desktopissa Power BI -raporttipalvelin. Sinun on käytettävä Power BI Desktopin versiota Power BI -raporttipalvelin.

  2. Valitse Power BI -raporttipalvelussa raportin vieressä oleva ellipsi (...).

  3. >Valitse Hallitse rivitason suojausta.

    Rivitason suojauksen hallinta

    Rivitason suojaus -sivulla voit lisätä jäseniä rooliin, jonka loit Power BI Desktopissa.

  4. Lisää jäsen valitsemalla Lisää jäsen.

  5. Kirjoita käyttäjä tai ryhmä tekstiruutuun Käyttäjänimi-muodossa (TOIMIALUE\käyttäjä) ja valitse roolit, jotka haluat hänelle määrittää. Jäsenen on kuuluttava organisaatioosi.

    Lisää jäsen rooliin

    Active Directoryn määrityksestä riippuen myös täydellinen käyttäjätunnus toimii. Tässä tapauksessa raporttipalvelin näyttää luettelossa vastaavaa käyttäjänimeä.

  6. Valitse OK ottaaksesi käyttöön.

  7. Jos haluat poistaa jäseniä, valitse jäsenen nimen vieressä oleva ruutu ja valitse Poista. Voit poistaa useita jäseniä kerrallaan.

    Jäsenten poistaminen

username() ja userprincipalname()

Voit hyödyntää tietojoukossa DAX-funktioita username() ja userprincipalname(). Voit käyttää niitä lausekkeissa Power BI Desktopissa. Kun julkaiset mallin, Power BI -raporttipalvelin käyttää niitä.

Power BI Desktopissa username() palauttaa käyttäjän muodossa TOIMIALUE\Käyttäjä ja userprincipalname() muodossa user@contoso.com.

Power BI -raporttipalvelin sekä username() että userprincipalname() palauttavat käyttäjän ensisijaisen nimen (UPN), joka vastaa sähköpostiosoitetta.

Jos käytät Power BI -raporttipalvelin mukautettua todentamista, se palauttaa käyttäjille määrittämäsi käyttäjänimen muodon.

Huomioitavat asiat ja rajoitukset

Tässä ovat Power BI -mallien rivitason suojauksen tämänhetkiset rajoitukset.

Käyttäjät, joiden raporteissa käytettiin username()-DAX-funktiota, huomaavat uuden toimintatoiminnon, jossa funktio palauttaa täydellinen käyttäjätunnus (UPN), PAITSI JOS DirectQuerya käytetään yhdessä integroidun suojauksen kanssa. Koska rivitason suojaus ei kyseisessä skenaariossa pädä, skenaarioon ei tule muutoksia.

Voit määrittää rivitason suojauksen vain tietojoukoille, jotka on luotu Power BI Desktopin avulla. Jos haluat ottaa rivitason suojauksen käyttöön tietojoukoille, jotka on luotu Excelin avulla, sinun on ensin muunnettava tiedostosi Power BI Desktop (PBIX) -tiedostoiksi. Lue lisätietoja Excel-tiedostojen muuntamisesta.

Tuetaan vain keräämistä, muuntamista ja lataamista (ETL) sekä DirectQuery-yhteyksiä, joissa käytetään tallennettuja tunnistetietoja. Analysis Servicesiin muodostetut reaaliaikaiset yhteydet ja DirectQuery-yhteydet, joissa käytetään integroitua todentamista, käsitellään pohjana olevassa tietolähteessä.

Jos käytät DirectQueryssä integroitua suojausta, käyttäjät voivat huomata seuraavaa:

  • Rivitason suojaus on poistettu käytöstä ja kaikki tiedot palautetaan.
  • Käyttäjät eivät voi päivittää roolimäärityksiään, ja he saavat virheilmoituksen rivitason suojauksen hallintasivulla.
  • DAX-käyttäjänimi-funktio antaa edelleen käyttäjänimen muodossa TOIMIALUE\KÄYTTÄJÄ.

Raportin tekijöillä ei ole raportin tietojen tarkasteluoikeutta Power BI -raporttipalvelin ennen kuin he ovat määrittäneet itselleen roolit vastaavasti raportin lataamisen jälkeen.

Roolimäärityksiä ryhmän jäsenyyksien kautta tuetaan vain, kun Power BI -raporttipalvelin on määritetty suoritettavaksi NTLM- tai Kerberos-todennuksella. Palvelimet, jotka suoritetaan mukautetulla todennuksella tai Windows Basicilla, tarvitsevat käyttäjiä, jotka on nimenomaisesti määritetty rooleihin.

UKK

Voinko luoda nämä roolit Analysis Services -tietolähteille?

Voit, jos tiedot on tuotu Power BI Desktopiin. Jos käytät reaaliaikaista yhteyttä, et voi määrittää rivitason suojausta Power BI -palvelu sisällä. RLS määritetään Analysis Services -mallissa paikallisesti.

Voinko käyttää rivitason suojausta rajoittamaan käyttäjien käytössä olevia sarakkeita tai mittareita?

Ei. Jos käyttäjällä on tietyn tietorivin käyttöoikeus, hän voi nähdä kaikki kyseisen rivin tietosarakkeet.

Salliiko rivitason suojaus tarkkojen tietojen piilottamisen ja käytön visualisoinneissa yhteenvetoihin?

Ei, voit suojata yksittäisiä tietorivejä, mutta käyttäjät voivat aina nähdä tarkat tiedot tai yhteenvetotiedot.

Voinko lisätä uusia rooleja Power BI Desktopissa, jos olen jo määrittänyt rooleja ja jäseniä?

Kyllä. Jos olet jo määrittänyt rooleja ja jäseniä Power BI -raporttipalvelin, voit luoda lisää rooleja ja julkaista raportin uudelleen vaikuttamatta nykyisiin määrityksiäsi.

Liittyvä sisältö

Onko sinulla lisää kysymyksiä? Voit esittää kysymyksiä Power BI -yhteisö