تطبيق الأمان على مستوى الكائن

  • 8 دقائق

يقيد أمان الكائنات (OLS) الوصول إلى جداول وأعمدة محددة في نموذج دلالي. بينما يقوم RLS بتصفية أي الصفوف التي يمكن للمستخدم رؤيتها، يتحكم OLS في أي الجداول والأعمدة تكون مرئية على الإطلاق. عندما يؤمن OLS كائنا، لا يستطيع المستخدمون في هذا الدور رؤية الكائن أو الاستعلام عنه، كما أن بياناته الوصفية مخفية أيضا.

فهم متى تستخدم OLS

تم تصميم OLS للسيناريوهات التي تحتوي فيها بعض عناصر البيانات على معلومات حساسة لا ينبغي لبعض المستخدمين الوصول إليها. تشمل حالات الاستخدام الشائعة ما يلي:

  • معلومات شخصية قابلة للتعريف (PII). أعمدة مثل أرقام الضمان الاجتماعي، أرقام الهواتف الشخصية، أو عناوين المنازل.
  • البيانات المالية. أعمدة الرواتب، هوامش الربح، أو بيانات التكلفة مقصورة على أدوار تجارية محددة.
  • جداول التطوير. الترتيب أو الجداول الوسيطة التي لا ينبغي أن تكون مرئية للإبلاغ عن المستهلكين.

لنأخذ نموذجا دلاليا للموارد البشرية حيث يحتوي جدول الموظف على عمود الراتب . يمكن للمديرين العامين عرض أسماء الموظفين وتفاصيل الاتصال، لكن فقط موظفو الموارد البشرية في قسم الرواتب يجب أن يشاهدوا قيم الرواتب. يتيح لك OLS إخفاء عمود الراتب من جميع الأدوار ما عدا دور الرواتب.

تظهر لقطة شاشة عرض مخطط نموذجي لجدول الموظفين، والذي يتضمن عمود الراتب المقيد.

تكوين OLS باستخدام محرر الجدولات

لا يمكنك تكوين OLS بشكل أصلي في Power BI Desktop. بدلا من ذلك، استخدم أداة خارجية مثل محرر الجدولات لتعريف قواعد OLS. يتصل محرر الجدولات مباشرة بمحرك خدمات التحليل الذي يشغل نموذجك الدلالي.

  1. في Power BI سطح المكتب، أنشئ الأدوار التي تحدد هيكل الأمان الخاص بك من تبويب Modeling.
  2. افتح محرر الجدولات من شريط الأدوات الخارجية . إذا لم تر محرر الجدول، قم بتثبيته من tabulareditor.com. محرر الجدولات يتصل تلقائيا بالنموذج عند فتحه.
  3. في عرض النموذج ، قم بتوسيع الأدوار واختر الدور الذي تريد تكوينه.
  4. قم بتوسيع صلاحيات الجداول لهذا الدور.
  5. حدد الإذن لكل جدول أو عمود:
    • لا شيء: الكائن مخفي عن المستخدمين في هذا الدور. الكائن وبياناته الوصفية غير مرئية.
    • اقرأ: الكائن مرئي للمستخدمين في هذا الدور. هذا هو الوضع الافتراضي لجميع الأشياء.
  6. احفظ التغييرات في محرر الجدول.
  7. نشر النموذج الدلالي على خدمة Power BI.

بعد النشر، قم بتعيين الأعضاء لأدوار في خدمة Power BI بنفس الطريقة التي تفعل بها مع أدوار RLS. انتقل إلى النموذج الدلالي، اختر المزيد من الخيارات (...)، ثم اختر الأمان لإدارة عضوية الأدوار.

إخفاء جداول كاملة

تعيين إذن الجدول على None يخفي الجدول بالكامل عن المستخدمين في هذا الدور. إخفاء الجداول مفيد للجداول التي تحتوي فقط على بيانات حساسة أو للتشويهات التطويرية التي لا ينبغي تعريضها للمستهلكين.

على سبيل المثال، يمكن إخفاء جدول بحث في نطاق الرواتب المستخدم فقط لحسابات الرواتب عن جميع الأدوار باستثناء فريق الرواتب.

إخفاء الأعمدة المحددة

يمكنك إخفاء الأعمدة الفردية مع إبقاء بقية الجدول مرئيا. اختر العمود تحت الجدول في محرر الجدول، واضبط أمان مستوى الكائن على لا شيء للدور.

هذا هو نمط OLS الأكثر شيوعا. يتيح للمستخدمين الاستعلام عن الجدول للحصول على معلومات عامة مع حماية الحقول الحساسة المحددة.

فهم حدود OLS

لدى OLS عدة قيود يجب أخذها في الاعتبار عند تصميم نموذج الأمان الخاص بك:

  • لا يمكن إخفاء الإجراءات بشكل مباشر. ومع ذلك، أي مقياس يشير إلى جدول أو عمود مؤمن يتم تقييده تلقائيا للمستخدمين الذين لا يملكون الوصول إلى الكائن الآمن.

  • تجاوز دور مساحة العمل. تطبيق OLS فقط على المستخدمين الذين لديهم صلاحيات Exhibit . المستخدمون الذين لديهم أدوار إداري أو عضو أو مساهم لديهم إذن تحرير وتجاوز OLS.

  • الاعتماديات على العلاقات. لا يمكنك تأمين طاولة إذا كان ذلك يكسر سلسلة العلاقة. على سبيل المثال، إذا كانت الجداول A وB وC مرتبطة بتسلسل (من A إلى B إلى C)، فلا يمكنك تأمين الجدول B لأنه سيقطع مسار المرشح من A إلى C. ومع ذلك، يمكنك تأمين الأعمدة الفردية في الجدول B طالما أن الجدول نفسه لا يزال متاحا.

    يوضح المخطط مثال سلسلة العلاقات حيث لا يمكن تأمين الجدول B لأنه سيقطع المسار بين الجدولين A و C.

  • قيود الميزة. النماذج الدلالية التي تحتوي على OLS لا تدعم نتيجة تحليلات سريعة، أو الرسومات السردية الذكية، أو معرض Excel Data Types.

  • خبرة خطأ. عندما يستفسر تقرير عن كائن آمن، يعرض Power BI رسالة خطأ تقول إن الحقل غير موجود. هذا قد يربك مستهلكي الإبلاغ الذين لا يعرفون عن تكوين الأمان.

    Screenshot تظهر رسالة خطأ في سطح المكتب Power BI عندما يحاول تقرير بصري الاستعلام عن عمود محظور.

Important

إذا كان OLS سيسبب تجربة مستخدم سيئة لبعض مستهلكي التقارير، فكر في إنشاء تقارير منفصلة أو نماذج دلالية لمجموعات جمهور مختلفة. التقرير المصمم للجمهور يتجنب رسائل الخطأ المربكة.

اجمع بين OLS وRLS

تعالج OLS وRLS احتياجات أمنية مختلفة ويمكن أن تعمل معا في نفس النموذج. استخدم أدوارا منفصلة لكل نوع:

  • يقوم دور RLS بتصفية الصفوف بناء على هوية المستخدم.
  • دور OLS يخفي الجداول أو الأعمدة.

المستخدم المعين لكلا الدورين يرى فقط الصفوف المسموح بها من قبل RLS والأعمدة المسموح بها فقط من قبل OLS. يتيح لك هذا النهج المتعدد الطبقات تنفيذ حماية شاملة للبيانات.

ملاحظة

يمنع OLS Copilot ووكلاء البيانات من ظهور أعمدة مقيدة في الإجابات باللغة الطبيعية. عندما يتم تأمين عمود باستخدام OLS، لا يمكن للميزات المدعومة بالذكاء الاصطناعي الوصول إلى تلك البيانات أو عرضها، حتى من خلال الاستعلامات المحادثة.