Model oprávnění
Microsoft Fabric má flexibilní model oprávnění, který umožňuje řídit přístup k datům ve vaší organizaci. Tento článek vysvětluje různé typy oprávnění v prostředcích infrastruktury a jejich spolupráci při řízení přístupu k datům ve vaší organizaci.
Pracovní prostor je logická entita pro seskupení položek v prostředcích infrastruktury. Role pracovního prostoru definují přístupová oprávnění pro pracovní prostory. I když jsou položky uložené v jednom pracovním prostoru, dají se sdílet s ostatními uživateli v rámci prostředků infrastruktury. Když sdílíte položky prostředků infrastruktury, můžete se rozhodnout, se kterými oprávněními uživateli udělíte položku, se kterou položku sdílíte. Některé položky, jako jsou sestavy Power BI, umožňují ještě podrobnější kontrolu nad daty. Sestavy je možné nastavit tak, aby v závislosti na jejich oprávněních uživatelé, kteří si je prohlížejí, viděli jenom část dat, která uchovávají.
Role pracovního prostoru
Role pracovního prostoru slouží k řízení přístupu k pracovním prostorům a obsahu v nich. Správce prostředků infrastruktury může přiřadit role pracovního prostoru jednotlivým uživatelům nebo skupinám. Role pracovního prostoru se omezují na konkrétní pracovní prostor a nevztahují se na jiné pracovní prostory, kapacitu, ve které se pracovní prostor nachází, nebo na tenanta.
Existují čtyři role pracovního prostoru, které platí pro všechny položky v pracovním prostoru. Uživatelé, kteří nemají žádnou z těchto rolí, nemají přístup k pracovnímu prostoru. Jedná se o následující role:
Prohlížeč – Může zobrazit veškerý obsah v pracovním prostoru, ale nemůže ho upravovat.
Přispěvatel – Může zobrazit a upravit veškerý obsah v pracovním prostoru.
Člen – Může zobrazit, upravit a sdílet veškerý obsah v pracovním prostoru.
Správa – může zobrazovat, upravovat, sdílet a spravovat veškerý obsah v pracovním prostoru, včetně správy oprávnění.
Tato tabulka ukazuje malou sadu funkcí, které každá role má. Úplný a podrobnější seznam najdete v tématu Role pracovního prostoru Microsoft Fabric.
| Schopnost | správce | Člen | Přispěvatel | Prohlížející |
|---|---|---|---|---|
| Odstranění pracovního prostoru | ✅ | ❌ | ❌ | ❌ |
| Přidání správců | ✅ | ❌ | ❌ | ❌ |
| Přidat členy | ✅ | ✅ | ❌ | ❌ |
| Zápis dat | ✅ | ✅ | ✅ | ❌ |
| Vytvoření položek | ✅ | ✅ | ✅ | ❌ |
| Čtení dat | ✅ | ✅ | ✅ | ✅ |
Oprávnění k položce
Oprávnění k položce slouží k řízení přístupu k jednotlivým položkám infrastruktury v pracovním prostoru. Oprávnění k položce jsou omezena na konkrétní položku a nevztahují se na jiné položky. Oprávnění k položce slouží k řízení, kdo může zobrazovat, upravovat a spravovat jednotlivé položky v pracovním prostoru. Pomocí oprávnění k položce můžete uživateli udělit přístup k jedné položce v pracovním prostoru, ke kterému nemá přístup.
Když položku sdílíte s uživatelem nebo skupinou, můžete nakonfigurovat oprávnění k položce. Sdílení položky uživateli uděluje oprávnění ke čtení dané položky ve výchozím nastavení. Oprávnění ke čtení umožňují uživatelům zobrazit metadata pro danou položku a zobrazit všechny sestavy, které jsou k ní přidružené. Oprávnění ke čtení ale neumožňují uživatelům přístup k podkladovým datům v SQL nebo OneLake.
Různé položky infrastruktury mají různá oprávnění. Další informace o oprávněních pro každou položku najdete tady:
Výpočetní oprávnění
Oprávnění je také možné nastavit v rámci konkrétního výpočetního modulu v prostředcích infrastruktury, konkrétně prostřednictvím koncového bodu SQL nebo v sémantickém modelu. Oprávnění výpočetního modulu umožňují podrobnější řízení přístupu k datům, například zabezpečení na úrovni tabulek a řádků.
Koncový bod SQL – Koncový bod SQL poskytuje přímý přístup SQL k tabulkám ve OneLake a může mít nativně nakonfigurované zabezpečení prostřednictvím příkazů SQL. Tato oprávnění platí jenom pro dotazy provedené prostřednictvím SQL.
Sémantický model – Sémantické modely umožňují definovat zabezpečení pomocí jazyka DAX. Omezení definovaná pomocí jazyka DAX platí pro uživatele dotazující se prostřednictvím sémantického modelu nebo sestav Power BI založených na sémantickém modelu.
Další informace najdete v těchto článcích:
Příklady
V této části najdete dva příklady nastavení oprávnění v prostředcích infrastruktury.
Příklad 1: Nastavení oprávnění týmu
Wingtip Toys je nastavený s jedním tenantem pro celou organizaci a třemi kapacitami. Každá kapacita představuje jinou oblast. Wingtip Toys působí v USA, Evropě a Asii. Každá kapacita má pracovní prostor pro každé oddělení v organizaci, včetně prodejního oddělení.
Prodejní oddělení má manažera, vedoucího prodejního týmu a členy prodejního týmu. Wingtip Toys také využívá jednoho analytika pro celou organizaci.
Následující tabulka uvádí požadavky pro každou roli v prodejním oddělení a způsob, jakým jsou oprávnění nastavená tak, aby je povolovala.
| Role | Požadavek | Nastavení |
|---|---|---|
| Manažer | Zobrazení a úprava veškerého obsahu v prodejním oddělení v celé organizaci | Členová role pro všechny pracovní prostory prodeje v organizaci |
| Vedoucí týmu | Zobrazení a úprava veškerého obsahu v prodejním oddělení v konkrétní oblasti | Členová role pracovního prostoru prodeje v oblasti |
| Člen prodejního týmu | ||
| Analytik | Zobrazení veškerého obsahu v prodejním oddělení v celé organizaci | Role čtenáře pro všechny pracovní prostory prodeje v organizaci |
Wingtip má také čtvrtletní sestavu, která uvádí tržby za člena prodeje. Tato sestava se ukládá do finančního pracovního prostoru. Pomocí zabezpečení na úrovni řádků je sestava nastavená tak, aby každý člen prodeje viděl pouze své vlastní údaje o prodeji. Zájemci týmu můžou zobrazit údaje o prodeji všech členů prodeje v jejich oblasti a manažer prodeje může zobrazit údaje o prodeji všech členů prodeje v organizaci.
Příklad 2: Oprávnění pracovního prostoru a položky
Když sdílíte položku nebo změníte její oprávnění, role pracovního prostoru se nezmění. Příklad v této části ukazuje, jak pracují oprávnění pracovního prostoru a položky.
Veronica a Marta spolupracují. Veronica je vlastníkem zprávy, kterou chce sdílet s Marta. Pokud Veronica sdílí sestavu s Martou, bude mít Marta přístup k ní bez ohledu na roli pracovního prostoru, kterou má.
Řekněme, že Marta má v pracovním prostoru, kde je sestava uložená, roli čtenáře. Pokud se Veronica rozhodne odebrat oprávnění k položce Marta ze sestavy, bude marta stále moct sestavu zobrazit v pracovním prostoru. Marta bude také moct otevřít sestavu z pracovního prostoru a zobrazit její obsah. Je to proto, že má Marta oprávnění k zobrazení pracovního prostoru.
Pokud Veronica nechce, aby marta sestavu zobrazila, odebrání oprávnění k položce Marta ze sestavy nestačí. Veronica také potřebuje odebrat oprávnění prohlížeče Marta z pracovního prostoru. Bez oprávnění prohlížeče pracovního prostoru nebude Marta moct zobrazit, že sestava existuje, protože nebude mít přístup k pracovnímu prostoru. Marta také nebude moct použít odkaz na sestavu, protože nemá přístup k sestavě.
Když teď Marta nemá roli čtenáře pracovního prostoru, pokud se Veronica rozhodne sestavu znovu sdílet s ní, Bude ji moct marta zobrazit pomocí odkazu, který s ní sdílí Veronica, aniž by měla přístup k pracovnímu prostoru.
Související obsah
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro