REST-API-Berechtigungen für Semantikmodelle
In diesem Artikel werden Power BI-Berechtigungen im Allgemeinen sowie Semantikmodellberechtigungen im Kontext der Power BI-REST-APIs beschrieben.
Power BI-Berechtigungen
Power BI verfügt über zwei Arten von Berechtigungen:
Arbeitsbereichberechtigungen
Arbeitsbereichsberechtigungen (auch als Ordnerberechtigungen oder Rollen bezeichnet) sind die höchste Berechtigungsstufe in Power BI. Diese Berechtigungen setzen Berechtigungen außer Kraft, die einem bestimmten Element im Arbeitsbereichsordner zugewiesen sind.
In der folgenden Tabelle sind die vier Arten von Ordnerrollen aufgeführt. Dabei werden die Stufen der einzelnen Rollen sowie die Codezeichenfolge aufgelistet, die von den Power BI-REST-APIs zurückgegeben wird. „Admin“ ist die höchste Berechtigungsstufe des Arbeitsbereichs, „Anzeigender Benutzer“ die niedrigste. Eine Berechtigungsstufe umfasst automatisch alle Berechtigungen der niedrigeren Stufen. Die Fähigkeiten der einzelnen Berechtigungen finden Sie unter Arbeitsbereichsrollen.
| Ordnerrolle | Ebene | Abgeleitete Berechtigungen für Semantikmodelle, die im Arbeitsbereich erstellt werden |
|---|---|---|
| Administrator | 4 | ReadWriteReshareExplore |
| Member | 3 | ReadWriteReshareExplore |
| Mitwirkender | 2 | ReadWriteExplore |
| Viewer | 1 | Read |
Hinweis
Die Schreibberechtigung wird auf Power BI-Semantikmodelle angewandt, die von Administrator*innen, Mitgliedern und Mitwirkenden in einem Arbeitsbereich erstellt werden, deren Besitzer*in sie sind. Die Schreibberechtigung kann nur mithilfe von Arbeitsbereichsberechtigungen erteilt oder gelöscht werden. Sie kann einem Power BI-Element nicht direkt gewährt bzw. direkt für dieses Element gelöscht werden.
Abrufen und Hinzufügen von Arbeitsbereichsberechtigungen mit APIs
Verwenden Sie die folgenden APIs, um Arbeitsbereichsberechtigungen programmgesteuert abzurufen und hinzuzufügen:
Gruppen – Benutzergruppe hinzufügen: eine POST-API zum Hinzufügen von Arbeitsbereichsberechtigungen
Gruppen – Benutzergruppe aktualisieren: eine PUT-API zum Ändern von Arbeitsbereichsberechtigungen
Gruppen – Gruppenbenutzer*innen abrufen: eine GET-API zum Abrufen von Arbeitsbereichsberechtigungen
Elementberechtigungen
Power BI-Elemente wie Berichte, Semantikmodelle und Dashboards verfügen über eigene Berechtigungen. Elementberechtigungen können Arbeitsbereichsberechtigungen nicht außer Kraft setzen und nur von Personen erteilt werden, die mindestens über dieselbe Berechtigungsstufe verfügen.
Berechtigungen für Semantikmodelle und REST-APIs
Semantikmodellberechtigungen gehören zu den Elementberechtigungen. In der folgenden Tabelle sind die Power BI-Semantikmodellberechtigungen und ihre Darstellung in den Power BI-REST-APIs aufgeführt.
Tipp
Wenngleich die API-Berechtigungen mit den Berechtigungen des Power BI-Diensts identisch sind, werden build-Berechtigungen in den APIs als explore-Berechtigungen bezeichnet.
| Berechtigung | Lesen | Erkunden | Erneut freigeben |
|---|---|---|---|
| Beschreibung | Ermöglicht Benutzer*innen das Lesen des Semantikmodellinhalts | Entspricht den build-Berechtigungen | Ermöglicht Benutzer*innen das Freigeben des Semantikmodellinhalts für andere Benutzer*innen, die die Berechtigungen zum Lesen, erneuten Freigeben oder Durchsuchen für das Semantikmodell erhalten |
| ReadReshareExplore | 
|
|
|
| ReadReshare |
|
|
|
| ReadExplore |
|
|
|
| Lesen |
|
|
|
Hinweis
Wenn Benutzer*innen in der Lage sein sollen, Schreibvorgänge für ein Semantikmodell durchzuführen, ändern Sie die Arbeitsbereichsberechtigungen.
Build-Berechtigungen und REST-APIs
In den Power BI-REST-APIs wird die build-Berechtigung als explore zurückgegeben. Eine Zeichenfolge mit den read-, reshare- und build-Berechtigungen sieht z. B. wie folgt aus: ReadReshareExplore.
Wenn Sie Benutzer*innen die build-Berechtigung erteilen, können diese neue Inhalte für Ihr Semantikmodell erstellen. Beispiele für diese Inhalte sind Berichte, Dashboards, angeheftete Kacheln aus Q&A, paginierte Berichte und Insights Discovery.
Außerdem benötigen Benutzer*innen build-Berechtigungen, um außerhalb von Power BI mit Daten zu arbeiten:
Exportieren der zugrunde liegenden Daten
Erstellen Sie neue Inhalte im Semantikmodell, z. B. durch Analysieren in Excel.
Zugreifen auf die Daten über den XMLA-Endpunkt
Sicherheit auf Zeilenebene
Bei Semantikmodellen mit Sicherheit auf Zeilenebene (Row-Level Security, RLS) können Benutzer*innen mit höheren Berechtigungen als build alle Daten innerhalb des Semantikmodells anzeigen. Build und niedrigere Berechtigungen als build gewähren Benutzer*innen des Semantikmodells lediglich Zugriff auf die Daten, für deren Anzeige sie gemäß RLS-Einstellungen berechtigt sind.
Abrufen und Aktualisieren von Semantikmodellberechtigungen mit APIs
Mit POST-APIs können Sie einem Semantikmodell neue Berechtigungen hinzufügen. Sie können diese APIs verwenden, um Berechtigungen für Benutzer*innen hinzuzufügen, jedoch nicht, um Berechtigungen zu entfernen. Beispiel: Sie können die
Reshare-Berechtigung zu einer*m Benutzer*in hinzufügen, die*der über dieRead-Berechtigung verfügt. Es ist jedoch nicht möglich, dieReshare-Berechtigung von Benutzer*innen zu entfernen, die sowohl über die BerechtigungReadals auch überReshareverfügen, indem Sie versuchen, dieRead-Berechtigung hinzuzufügen.Mit PUT-APIs werden die Berechtigungen von Benutzer*innen für ein bestimmtes Dataset aktualisiert. Die PUT-API kann nicht zum Ändern von Schreibberechtigungen oder von geerbten Berechtigungen auf Ordnerebene verwendet werden. Diese API unterstützt außerdem das Entfernen aller Berechtigungen für ein Dataset für ein bestimmtes Ziel.
GET-APIs geben eine Liste der Prinzipale zurück, die Zugriff auf das angegebene Dataset haben.
Überlegungen und Einschränkungen
Bei jeder der oben aufgeführten APIs müssen bestimmte Einschränkungen hinsichtlich der Personen sowie der Art berücksichtigt werden, die bzw. in der sie verwendet werden können. Klicken Sie auf den jeweiligen API-Link, um sich mit diesen Einschränkungen vertraut zu machen.