Sorszintű biztonság (RLS) a Power BI-ban

  • Cikk
  • 8 perc alatt elolvasható

A sorszintű biztonság (RLS) a Power BI-ban az adott felhasználók adatokhoz való hozzáférésének korlátozására használható. A szűrők a sorok szintjén korlátozzák az adatok elérését, és szerepkörökön belül határozhat meg szűrőket. A Power BI szolgáltatásban a munkaterület tagjai hozzáférnek az adathalmazokhoz a munkaterületen. Az RLS nem korlátozza ezt az adathozzáférést.

Konfigurálhat RLS-t a Power BI Desktoppal a Power BI-ba importált adatmodellekhez. Ezen kívül konfigurálhat RLS-t a DirectQueryt használó adatkészletekhez, például az SQL Serverhez is. Az Analysis Services vagy az Azure Analysis Services élő kapcsolataihoz a modellben kell sorszintű biztonságot konfigurálni, nem pedig a Power BI Desktopban. Az élő kapcsolatok adatkészleteinél nem fog megjelenni a biztonsági beállítás.

Szerepkörök és szabályok definiálása a Power BI Desktopban

A Power BI Desktopban meghatározhat szerepköröket és szabályokat. Amikor közzéteszi a tartalmakat a Power BI-ban, a szerepkör-definíciók is közzé lesznek téve.

Biztonsági szerepkörök definiálásához kövesse az alábbi lépéseket.

  1. Importálhatja az adatokat a Power BI Desktop-jelentésbe, vagy konfigurálhat egy DirectQuery-kapcsolatot.

    Megjegyzés

    A Power BI Desktopon belül nem definiálhat szerepköröket az Analysis Services élő kapcsolataihoz. Ezt az Analysis Services-modellben kell megtennie.

  2. A Modellezés lapon válassza a Szerepkörök kezelése lehetőséget.

    A Szerepkörök kezelése lehetőség kiválasztása

  3. A Szerepkörök kezelése ablakban válassza a Létrehozás lehetőséget.

    A Létrehozás lehetőség kiválasztása

  4. A Szerepkörök alatt adja meg a szerepkör nevét.

    Megjegyzés

    Nem definiálhat például London,ParisRolevesszővel rendelkező szerepkört.

  5. A Táblák alatt válassza ki azt a táblát, amelyre alkalmazni kívánja a DAX-szabályt.

  6. A Táblaszűrő DAX-kifejezés mezőjébe írja be a DAX-kifejezéseket. Ez a kifejezés igaz vagy hamis értéket ad vissza. Példa: [Entity ID] = “Value”.

    A Szerepkörök kezelése ablak

    Megjegyzés

    A kifejezésben használhatja a username() függvényt. Ne feledje, hogy a Power BI Desktopban a username() a TARTOMÁNY\felhasználónév formátumot követi. A Power BI szolgáltatásban és a Power BI jelentéskészítő kiszolgálóban a felhasználó felhasználói nevének (UPN) formátumában van. Használhatja a userprincipalname() függvényt is, amely a felhasználót minden esetben az egyszerű felhasználónevével adja vissza: username@contoso.com.

  7. Miután létrehozta a DAX-kifejezést, a Kifejezés mező fölötti pipára kattintva ellenőrizheti azt.

    DAX-kifejezés ellenőrzése

    Megjegyzés

    Ebben a kifejezésmezőben akkor is vesszőkkel kell elválasztania a DAX-függvény argumentumait, ha a területi beállítás (például francia vagy német) egyébként pontosvesszőt használ elválasztóként.

  8. Kattintson a Mentés gombra.

A Power BI Desktopban nem rendelhet felhasználókat a szerepkörökhöz. Ezt a Power BI szolgáltatásban teheti meg. A dinamikus biztonság engedélyezéséhez használja a Power BI Desktopban a username() vagy a userprincipalname() DAX-függvényt, és konfigurálja a megfelelő kapcsolatokat.

A sorszintű biztonsági szűrés alapbeállítás szerint egyirányú szűrőket alkalmaz, függetlenül attól, hogy a kapcsolatok egy- vagy kétirányúra vannak-e beállítva. A sorszintű biztonsági szűrés kétirányú keresztszűrését manuálisan lehet beállítani. Ehhez válassza ki a kapcsolatot, és jelölje be a Biztonsági szűrés alkalmazása mindkét irányban lehetőséget. Ezt a lehetőséget akkor válassza, ha a kiszolgáló szintjén, ahol a sorszintű biztonság alapja a felhasználónév vagy a bejelentkezési azonosító, dinamikus sorszintű biztonságot is alkalmazott.

További információt a Kétirányú keresztszűrés a DirectQuery használatával a Power BI Desktopban és A táblázatos BI szemantikai modell biztonságossá tétele című cikkekben talál.

Biztonsági szűrő alkalmazása

Szerepkörök érvényesítése a Power BI Desktopban

A szerepkör létrehozása után tesztelheti a szerepkör hatásait a Power BI Desktopban.

  1. A Modellezés lapon válassza a Nézet másként lehetőséget.

    A Megtekintés szerepkörökként lehetőség kiválasztása

    Megnyílik a Megtekintés szerepkörökként ablak, ahol a létrehozott szerepkörök láthatók.

    A Megtekintés szerepkörökként ablak

  2. A szerepkör alkalmazásához válassza ki a létrehozott szerepkört, majd válassza az OK lehetőséget.

    A jelentés csak a szerepkör számára releváns adatot jeleníti meg.

  3. Az Egyéb felhasználó beállítással egy adott felhasználót is kiválaszthat.

    Az Egyéb felhasználó lehetőség kiválasztása

    Az egyszerű felhasználónevet (UPN) érdemes megadni, mivel a Power BI szolgáltatás és a Power BI jelentéskészítő kiszolgáló azt használja.

    A Power BI Desktopban a Más felhasználók alatt csak akkor fognak megjelenni különböző eredmények, ha DAX-kifejezéseken alapuló dinamikus biztonsági megoldást alkalmaz.

  4. Válassza az OK lehetőséget.

    A jelentés csak a felhasználó számára elérhető adatokat fogja megjeleníteni.

    Megjegyzés

    A Nézet szerepkörként funkció nem működik az egyszeri Sign-On (SSO) engedélyezve lévő DirectQuery-modellek esetében.

Most, hogy befejezte a szerepkörök érvényesítését Power BI Desktop, tegye közzé a jelentést a Power BI szolgáltatás.

Az adatmodell biztonságának kezelése

Az adatmodell biztonságának kezeléséhez nyissa meg azt a munkaterületet, ahová a jelentést a Power BI szolgáltatás mentette, és hajtsa végre az alábbi lépéseket:

  1. A Power BI szolgáltatásban válassza egy adathalmaz További lehetőségek menüjét. Ez a menü akkor jelenik meg, ha a kurzort egy adathalmaz nevére viszi, akár a navigációs menüben, akár a munkaterület oldalán.

    További lehetőségek menü munkaterületen

    További lehetőségek menü navigációs menüben

  2. Válassza a Biztonság elemet.

    A További lehetőségek menü Biztonság pontjának kiválasztása

A biztonság a Role-Level Biztonsági lapra viszi, ahol tagokat vesz fel a Power BI Desktop létrehozott szerepkörbe. A közreműködő (és a magasabb munkaterületi szerepkörök) látni fogják a Biztonságot , és felhasználókat rendelhetnek hozzá egy szerepkörhöz.

Csak a Power BI Desktopon belül hozhat létre és módosíthat szerepköröket.

Tagok kezelése

Tagok hozzáadása

A Power BI szolgáltatás a felhasználó vagy a biztonsági csoport e-mail-címének vagy nevének beírásával adhat tagot a szerepkörhöz. Power BI-ban létrehozott Csoportokat nem vehet fel. Szervezeten kívüli tagokat is felvehet.

A sorszintű biztonság beállításához az alábbi csoportokat használhatja.

  • Terjesztési csoport
  • Levelezési csoport
  • Biztonsági csoport

Vegye figyelembe azonban, hogy Office 365 csoportok nem támogatottak, és nem vehetők fel szerepkörökbe.

Tag felvétele

A szerepkör neve vagy a Tagok melletti zárójelben a szerepkörhöz tartozó tagok számát is megtekintheti.

Szerepkör tagjai

Tagok eltávolítása

A tagokat a nevük mellett látható X elemre kattintva távolíthatja el.

Tag eltávolítása

Szerepkör ellenőrzése a Power BI szolgáltatásban

A szerepkör tesztelésével ellenőrizheti, hogy a megadott szerepkör megfelelően működik-e a Power BI szolgáltatás.

  1. Válassza a szerepkör melletti További lehetőségek (...) elemet.
  2. Válassza az Adatok tesztelése szerepkört.

Tesztelés szerepkörként

Megjelennek a szerepkör számára elérhető jelentések. Ebben a nézetben irányítópultok nem jelennek meg. Az oldal fejlécében látható az alkalmazott szerepkör.

Képernyőkép az USA keleti régiójában való megtekintésről.

Teszteljen más szerepköröket és szerepkör-kombinációkat is a Megtekintés a következőként lehetőséggel.

Más szerepkörök tesztelése

Megtekinthet adatokat konkrét személyként, vagy választhatja az elérhető szerepkörök kombinációját a működésük ellenőrzéséhez.

A Vissza a sorszintű biztonsághoz lehetőségre kattintva visszatérhet a normál nézethez.

Megjegyzés

A Tesztelés szerepkörként funkció nem működik az egyszeri Sign-On (SSO) engedélyezve lévő DirectQuery-modellek esetében.

A username() és a usernameprincipal() DAX-függvény használata

Az adatkészleten belül kihasználhatja a felhasználónév() vagy a userprincipalname() DAX-függvény előnyeit. Használható a Power BI Desktopban megadott kifejezésekben is. A modell közzétételekor a Power BI szolgáltatásban lesznek felhasználva.

A Power BI Desktopban a username() a felhasználót adja eredményül TARTOMÁNY\Felhasználó formátumban, a userprincipalname() pedig user@contoso.com formátumban.

A Power BI szolgáltatásban a username() és a userprincipalname() eredménye egyaránt a felhasznál egyszerű felhasználóneve (UPN) lesz. Ez egy e-mail-címhez hasonlít.

Az RLS használata Power BI-beli munkaterületeken

Ha a Power BI Desktop jelentést egy új munkaterületi felületen teszi közzé a Power BI szolgáltatás, az RLS-szerepkörök azokra a tagokra lesznek alkalmazva, akik a munkaterület Megtekintő szerepköréhez vannak rendelve. Az RLS akkor is érvényes, ha a megtekintők buildelési engedélyt kapnak az adathalmazhoz. Ha például a Build engedéllyel rendelkező megtekintők az Elemzés az Excelben lehetőséget használják, az adatok nézetét RLS védi. A munkaterület Rendszergazda, tag vagy közreműködő által hozzárendelt tagjai szerkesztési engedéllyel rendelkeznek az adathalmazhoz, ezért az RLS nem vonatkozik rájuk. Ha azt szeretné, hogy az RLS a munkaterületen lévő személyekre vonatkozzanak, csak a Megtekintő szerepkört rendelheti hozzájuk. További információ az új munkaterületi szerepkörökről.

Figyelmeztetés

Ha úgy konfigurált egy klasszikus munkaterületet, hogy a tagok szerkesztési engedélyekkel rendelkezzenek, az RLS-szerepkörök nem lesznek alkalmazva rájuk. A felhasználók az összes adatot láthatják. További információ a klasszikus munkaterületekről.

Csoportbeállítások

Megfontolandó szempontok és korlátozások

A felhőalapú modellek sorszintű biztonságának jelenlegi korlátozásai a következők:

  • Ha korábban szerepköröket és szabályokat adott meg a Power BI szolgáltatásban, újból létre kell hoznia őket a Power BI Desktopban.
  • Csak a Power BI Desktoppal létrehozott adathalmazokon határozhat meg RLS-t. Ha az Excellel létrehozott adatkészletekhez szeretné engedélyeznie az RLS-t, először Power BI Desktop- (PBIX-) fájlokká kell konvertálnia a fájlokat. További információ.
  • Szolgáltatásnevek nem vehetők fel RLS-szerepkörökbe. Ennek megfelelően az RLS nem lesz alkalmazva azokra az alkalmazásokra, amelyek végső tényleges identitásként szolgáltatásnevet használnak.
  • Csak az importálási és a DirectQuery-kapcsolatok támogatottak. Az Analysis Services élő kapcsolatait a helyszíni modellen lehet kezelni.
  • A Tesztelés szerepkörként/Megtekintés szerepkörként funkció nem működik az egyszeri Sign-On (SSO) engedélyezve lévő DirectQuery-modellek esetében.

Probléma: Újbóli közzététel az RLS konfigurálásakor

Egy ismert probléma miatt hibaüzenet jelenik meg, ha egy korábban közzétett jelentést próbál közzétenni Power BI Desktop. A helyzet a következőnek felel meg:

  1. Anna olyan adatkészlettel rendelkezik, amely közzé van téve a Power BI szolgáltatásban, és konfigurált RLS-sel rendelkezik.

  2. Anna frissíti a jelentést a Power BI Desktopban, és újból közzéteszi.

  3. Anna hibaüzenetet kap.

Áthidaló megoldás

Tegye közzé újra a Power BI Desktop-fájlt a Power BI szolgáltatásból a probléma megoldásáig. Ehhez válassza azAdatfájlok>lekéréselehetőséget.

GYIK

Kérdés: Mi történik, ha korábban már hoztam létre szerepköröket és szabályokat egy adatkészlethez a Power BI szolgáltatásban? Akkor is működnek, ha nem teszek semmit?
Válasz: Nem, a vizualizációk nem jelennek meg megfelelően. Újból létre kell hoznia a szerepköröket és szabályokat a Power BI Desktopban, majd közzé kell tennie őket a Power BI szolgáltatásban.

Kérdés: Létrehozhatom ezeket a szerepköröket Analysis Services-adatforrásokhoz?
Válasz: Igen, ha az adatokat a Power BI Desktopba importálta. Ha élő kapcsolatot használ, nem konfigurálhatja az RLS-t a Power BI szolgáltatáson belül, mert a helyszínen van meghatározva az Analysis Services-modellben.

Kérdés: RLS-sel korlátozhatom a felhasználóim számára elérhető oszlopok vagy mértékek körét?
Válasz: Nem, ha egy felhasználó hozzáféréssel rendelkezik egy adott adatsorhoz, akkor az adott sor összes adatoszlopát láthatja.

Kérdés: Lehetővé teszi az RLS, hogy elrejtsem a részletes adatokat, de hozzáférést nyújtsak a vizualizációkban összegzett adatokhoz?
Válasz: Nem. Egy-egy adatsort biztosíthat, de a felhasználók mindig látják a részleteket vagy az összegzett adatokat.

Kérdés: Az adatforrásom már rendelkezik definiált biztonsági szerepkörök (például SQL Server szerepkörök vagy SAP BW-szerepkörök). Mi az összefüggés ezek és a sorszintű biztonság között?
Válasz: A válasz attól függ, hogy adatokat importál vagy DirectQueryt használ. Ha a Power BI-adathalmazba importálja az adatokat, akkor az adatforrásbeli biztonsági szerepkörök nem lesznek használva. Ilyen esetben sorszintű biztonság definiálásával kell érvényesítenie a Power BI-ban csatlakozó felhasználókra vonatkozó biztonsági szabályokat. Ha DirectQueryt használ, akkor az adatforrásbeli biztonsági szabályok lesznek érvényesek. Amikor egy felhasználó jelentést nyit meg, a Power BI lekérdezést küld a mögöttes adatforráshoz, amely a felhasználó hitelesítő adatai alapján érvényesíti az adatokra vonatkozó biztonsági szabályokat.

Következő lépések