Sorszintű biztonság (RLS) a Power BI jelentéskészítő kiszolgálóban

A Power BI jelentéskészítő kiszolgálóban a sorszintű biztonság (RLS) használatával korlátozható adott felhasználók adatokhoz való hozzáférése. A szűrők a sorok szintjén korlátozzák az adatok elérését, és szerepkörökön belül határozhat meg szűrőket. Ha a Power BI jelentéskészítő kiszolgálóban az alapértelmezett engedélyeket használja, akkor bármely olyan felhasználó hozzárendelhet a szerepkörökhöz tagokat az adott jelentéshez, aki rendelkezik Közzétevői vagy Tartalomkezelői engedéllyel a Power BI-jelentéshez.

RLS-t olyan jelentésekhez konfigurálhat, amelyeket a Power BI Desktop használatával importáltak a Power BI-ba. Olyan jelentésekhez is konfigurálható RLS, amelyek DirectQueryt használnak, amilyen például az SQL Server. Vegye figyelembe, hogy az RLS nem érvényesül, ha a DirectQuery-kapcsolat integrált hitelesítést használ a jelentésolvasók számára. Az Analysis Services élő kapcsolataihoz a helyszíni modellen konfigurálhatja a sorszintű biztonságot. Az élő kapcsolatok adatkészleteinél nem fog megjelenni a biztonsági beállítás.

Szerepkörök és szabályok definiálása a Power BI Desktopban

A Power BI Desktopban meghatározhat szerepköröket és szabályokat. Amikor közzéteszi a tartalmakat a Power BI-ban, a szerepkör-definíciók is közzé lesznek téve.

Biztonsági szerepkörök definiálásához kövesse az alábbi lépéseket.

  1. Importálhatja az adatokat a Power BI Desktop-jelentésbe, vagy konfigurálhat egy DirectQuery-kapcsolatot.

    Megjegyzés

    A Power BI Desktopon belül nem definiálhat szerepköröket az Analysis Services élő kapcsolataihoz. Ezt az Analysis Services-modellben kell megtennie.

  2. A Modellezés lapon válassza a Szerepkörök kezelése lehetőséget.

    A Szerepkörök kezelése lehetőség kiválasztása

  3. A Szerepkörök kezelése ablakban válassza a Létrehozás lehetőséget.

    A Létrehozás lehetőség kiválasztása

  4. A Szerepkörök alatt adja meg a szerepkör nevét.

  5. A Táblák alatt válassza ki azt a táblát, amelyre alkalmazni kívánja a DAX-szabályt.

  6. A Táblaszűrő DAX-kifejezés mezőjébe írja be a DAX-kifejezéseket. Ez a kifejezés igaz vagy hamis értéket ad vissza. Példa: [Entity ID] = “Value”.

    A Szerepkörök kezelése ablak

    Megjegyzés

    A kifejezésben használhatja a username() függvényt. Ne feledje, hogy a Power BI Desktopban a username() a TARTOMÁNY\felhasználónév formátumot követi. A Power BI szolgáltatásban és a Power BI jelentéskészítő kiszolgálóban a felhasználó felhasználói nevének (UPN) formátumában van. Használhatja a userprincipalname() függvényt is, amely a felhasználót minden esetben az egyszerű felhasználónevével adja vissza: felhasználónév@contoso.com.

  7. Miután létrehozta a DAX-kifejezést, a Kifejezés mező fölötti pipára kattintva ellenőrizheti azt.

    DAX-kifejezés ellenőrzése

    Megjegyzés

    Ebben a kifejezésmezőben akkor is vesszőkkel kell elválasztania a DAX-függvény argumentumait, ha a területi beállítás (például francia vagy német) egyébként pontosvesszőt használ elválasztóként.

  8. Kattintson a Mentés gombra.

A Power BI Desktopban nem rendelhet felhasználókat a szerepkörökhöz. Ezt a Power BI szolgáltatásban teheti meg. A dinamikus biztonság engedélyezéséhez használja a Power BI Desktopban a username() vagy a userprincipalname() DAX-függvényt, és konfigurálja a megfelelő kapcsolatokat.

Kétirányú keresztszűrés

A sorszintű biztonsági szűrés alapbeállítás szerint egyirányú szűrőket alkalmaz, függetlenül attól, hogy a kapcsolatok egy- vagy kétirányúra vannak-e beállítva. A kétirányú keresztszűrést manuálisan engedélyezheti a sorszintű biztonsághoz.

  • Válassza ki a kapcsolatot, majd jelölje be a Biztonsági szűrő alkalmazása mindkét irányban jelölőnégyzetet.

    Biztonsági szűrő alkalmazása

Ezt a négyzetet akkor jelölje be, ha dinamikus sorszintű biztonságot alkalmaz felhasználónév vagy bejelentkezési azonosító alapján.

További információt a Kétirányú keresztszűrés a DirectQuery használatával a Power BI Desktopban és A táblázatos BI szemantikai modell biztonságossá tétele című tanulmányban talál.

Szerepkörök érvényesítése a Power BI Desktopban

A szerepkör létrehozása után tesztelheti a szerepkör hatásait a Power BI Desktopban.

  1. A Modellezés lapon válassza a Megtekintés mint lehetőséget.

    A Megtekintés szerepkörökként lehetőség kiválasztása

    Megnyílik a Megtekintés szerepkörökként ablak, ahol a létrehozott szerepkörök láthatók.

    A Megtekintés szerepkörökként ablak

  2. A szerepkör alkalmazásához válassza ki a létrehozott szerepkört, majd válassza az OK lehetőséget.

    A jelentés csak a szerepkör számára releváns adatot jeleníti meg.

  3. Az Egyéb felhasználó beállítással egy adott felhasználót is kiválaszthat.

    Az Egyéb felhasználó lehetőség kiválasztása

    Az egyszerű felhasználónevet (UPN) érdemes megadni, mivel a Power BI szolgáltatás és a Power BI jelentéskészítő kiszolgáló azt használja.

    A Power BI Desktopban a Más felhasználók alatt csak akkor fognak megjelenni különböző eredmények, ha DAX-kifejezéseken alapuló dinamikus biztonsági megoldást alkalmaz.

  4. Válassza az OK lehetőséget.

    A jelentés csak a felhasználó számára elérhető adatokat fogja megjeleníteni.

Tagok hozzáadása szerepkörökhöz

Miután menti a jelentést a Power BI jelentéskészítő kiszolgálón, kezelheti a biztonságot, és tagokat adhat hozzá vagy távolíthat el a kiszolgálón. A sorszintű biztonsági lehetőség csak azoknál a felhasználóknál jelenik meg, akik Közzétevői vagy Tartalomkezelői engedélyekkel rendelkeznek a jelentéshez, egyéb esetekben ez a lehetőség szürkén jelenik meg.

Ha a jelentés nem rendelkezik a szükséges szerepkörökkel, nyissa meg a jelentést a Power BI Desktopban, adjon hozzá szerepköröket vagy módosítsa azokat, majd ismét mentse azt a Power BI jelentéskészítő kiszolgálón.

  1. A Power BI Desktopban mentse a jelentést a Power BI jelentéskészítő kiszolgálóra. A Power BI jelentéskészítő kiszolgáló Power BI Desktop verzióját kell használnia.

  2. A Power BI jelentéskészítő kiszolgálóban válassza a jelentés melletti három pontot ( ... ).

  3. Válassza a Kezelés > Sorszintű biztonság lehetőséget.

    Sorszintű biztonság kezelése

    A Sorszintű biztonság oldalon adhat hozzá tagokat a Power BI Desktopban létrehozott szerepkörökhöz.

  4. Tag hozzáadásához válassza a Tag hozzáadása lehetőséget.

  5. A szövegmezőben adja meg a felhasználót vagy a csoportot a Felhasználónév formátumban (TARTOMÁNY\felhasználó), majd válassza ki azokat a szerepköröket, amelyeket hozzájuk szeretne adni. Csak cégen belüli tagot vehet fel.

    Tag hozzáadása szerepkörhöz

    Attól függően, hogy hogyan van konfigurálva az Active Directory, itt az egyszerű felhasználónév is megadható. Ebben az esetben a jelentéskészítő kiszolgáló a listában a megfelelő felhasználónevet jeleníti meg.

  6. Az alkalmazáshoz kattintson az OK lehetőségre.

  7. Ha tagokat szeretne eltávolítani, jelölje be a név melletti jelölőnégyzetet, majd válassza a Törlés elemet. Egyszerre több tag is törölhető.

    Tagok törlése

username() és userprincipalname()

A username() és a usernameprincipal() DAX-függvény felhasználható az adatkészletben. Használható a Power BI Desktopban megadott kifejezésekben is. A modelleket közzétételük után a Power BI jelentéskészítő kiszolgáló használja.

A Power BI Desktopban a username() a felhasználót adja eredményül TARTOMÁNY\Felhasználó formátumban, a userprincipalname() pedig user@contoso.com formátumban.

A Power BI jelentéskészítő kiszolgálóban a username() és a userprincipalname() egyaránt a felhasználó egyszerű felhasználónevét adja vissza, amely egy e-mail-címhez hasonló.

Ha a Power BI jelentéskészítő kiszolgálóban egyéni hitelesítést használ, akkor azt a felhasználónév-formátumot adja vissza, amelyet Ön megadott a felhasználók számára.

Korlátozások

Itt találja a sorszintű biztonság Power BI-modellekben érvényes aktuális korlátozásait.

Azok a felhasználók, akik a username() DAX-függvényt használó jelentésekkel rendelkeznek, új viselkedést fognak tapasztalni, amelyben a függvény visszaadja az egyszerű felhasználónevet (UPN-t), KIVÉVE, ha a DirectQueryt integrált biztonsági megoldással használják. Mivel ebben a helyzetben az RLS nem érvényesül, az itteni viselkedés változatlan marad.

Csak a Power BI Desktoppal létrehozott adathalmazokon határozhat meg RLS-t. Ha az Excellel létrehozott adatkészletekhez szeretné engedélyezni az RLS-t, először Power BI Desktop- (PBIX-) fájlokká kell konvertálnia a fájlokat. További információ az Excel-fájlok konvertálásáról.

Csak az Extract, a Transform, a Load (ETL) és a tárolt hitelesítő adatokat használó DirectQuery-kapcsolatok vannak támogatva. Az Analysis Servicesbe irányuló élő kapcsolatok és az integrált hitelesítést használó DirectQuery-kapcsolatok az alapul szolgáló adatforrásban vannak kezelve.

Ha integrált biztonságot használ a DirectQueryben, a felhasználói az alábbiakat tapasztalhatják majd:

  • Az RLS le van tiltva, és minden adat vissza lesz adva.
  • A felhasználók nem tudják frissíteni a szerepkör-hozzárendeléseiket, és hibaüzenetet kapnak az RLS-kezelési oldalon.
  • A DAX username függvényei esetén a felhasználóneveket továbbra is TARTOMÁNY\FELHASZNÁLÓ formátumban kapja.

A jelentéskészítőknek nincs hozzáférésük a jelentésadatok megtekintéséhez a Power BI jelentéskészítő kiszolgálóban, amíg nem rendeltek magukhoz megfelelő szerepköröket a jelentés feltöltését követően.

A csoporttagság-alapú szerepkör-hozzárendelések csak akkor támogatottak, ha a Power BI jelentéskészítő kiszolgáló NTLM-vagy Kerberos-hitelesítéssel való futtatásra van konfigurálva. Egyéni hitelesítéssel vagy Windows alapszintű, a szerepkörökhöz explicit módon hozzárendelt kiszolgálókkal rendelkező kiszolgálók.

Gyakori kérdések

Létrehozhatom ezeket a szerepköröket Analysis Services-adatforrásokhoz?

Igen, ha az adatokat a Power BI Desktopba importálta. Ha élő kapcsolatot használ, nem konfigurálhatja az RLS-t a Power BI szolgáltatáson belül. Az RLS a helyszínen van meghatározva az Analysis Services-modellben.

RLS-sel korlátozhatom a felhasználóim számára elérhető oszlopok vagy mértékek körét?

Nem. Ha egy felhasználó hozzáfér egy adott adatsorhoz, a sor összes adatoszlopát láthatja.

Lehetővé teszi az RLS, hogy elrejtsem a részletes adatokat, de hozzáférést nyújtsak a vizualizációkban összegzett adatokhoz?

Nem. Egy-egy adatsort biztosíthat, de a felhasználók mindig látják a részleteket vagy az összegzett adatokat.

Hozzáadhatok új szerepköröket a Power BI Desktopban, ha már vannak meglévő szerepköreim és hozzárendelt tagok?

Igen, ha már rendelkezik meglévő szerepkörökkel és hozzárendelt tagokkal a Power BI jelentéskészítő kiszolgálóban, további szerepköröket is létrehozhat, és a jelentést újra közzéteheti, és ez nem lesz hatással a jelenlegi hozzárendelésekre.

Következő lépések

Mi a Power BI jelentéskészítő kiszolgáló? Rendszergazdai kézikönyv

További kérdései vannak? Kérdezze meg a Power BI közösségét