Einschränken des Zugriffs auf Power BI-Modellobjekte
Als Datenmodellierer können Sie erwägen, den Benutzerzugriff auf Power BI-Modellobjekte einzuschränken. Sicherheit auf Objektebene (OLS) kann den Zugriff auf bestimmte Tabellen und Spalten sowie deren Metadaten einschränken. Normalerweise wenden Sie OLS an, um Objekte zu sichern, in denen vertrauliche Daten gespeichert werden, z. B. personenbezogene Daten von Mitarbeitern.
Wenn Power BI OLS erzwingt, wird nicht nur den Zugriff auf Tabellen und Spalten eingeschränkt, sondern es können auch Metadaten gesichert werden. Wenn Sie Metadaten sichern, ist es nicht möglich, Informationen zu gesicherten Tabellen und Spalten mithilfe dynamischer Verwaltungssichten (DMVs) abzurufen.
Wichtig
Tabellarische Modelle können Tabellen und Spalten (und andere Objekte) mithilfe einer Perspektive ausblenden. Eine Perspektive definiert anzeigbare Teilmengen von Modellobjekten, um Berichtsautoren bei der Bereitstellung eines bestimmten Fokus zu helfen. Perspektiven sollen die Komplexität eines Modells verringern und Berichtsautoren helfen, Ressourcen von Interesse zu finden. Perspektiven sind allerdings kein Sicherheitsfeature, weil sie Objekte nicht schützen. Ein Benutzer kann auch dann noch eine Tabelle oder Spalte abfragen, wenn sie für ihn nicht sichtbar ist.
Betrachten Sie ein Beispiel bei Adventure Works. Diese Organisation verfügt über eine Data Warehouse-Dimensionstabelle namens DimEmployee. Die Tabelle enthält Spalten, in denen Mitarbeitername, Telefonnummer, E-Mail-Adresse und Gehalt gespeichert sind. Während allgemeine Berichtsverbraucher den Mitarbeiternamen und Kontaktdetails anzeigen können, dürfen sie nicht in der Lage sein, Gehaltszahlen anzuzeigen. Nur leitende Mitarbeiter der Personalabteilung sind berechtigt, Gehaltszahlen anzuzeigen. Daher hat der Datenmodellierer OLS verwendet, um nur bestimmten Mitarbeitern der Personalabteilung Zugriff auf die Gehaltsspalte zu gewähren.
OLS ist ein von Azure Analysis Services (AAS) und SQL Server Analysis Services (SSAS) geerbtes Feature. Das Feature ist in Power BI Premium verfügbar, um Abwärtskompatibilität für Modelle bereitzustellen, die zu Power BI migriert wurden. Aus diesem Grund ist es nicht möglich, OLS in Power BI Desktop vollständig einzurichten.
Einrichten von OLS
Um OLS einzurichten, beginnen Sie mit dem Erstellen von Rollen. Sie können Rollen in Power BI Desktop auf dieselbe Weise erstellen, wie beim Einrichten von RLS. Als Nächstes müssen Sie den Rollen OLS-Regeln hinzufügen. Diese Funktion wird von Power BI Desktop nicht unterstützt, sodass Sie einen anderen Ansatz wählen müssen.
Sie fügen OLS-Regeln zu einem Power BI Desktop-Modell hinzu, indem Sie einen XMLA-Endpunkt (XML for Analysis) verwenden. XMLA-Endpunkte sind in Power BI Premium verfügbar, und sie bieten Zugriff auf das Analysis Services-Modul im Power BI-Dienst. Der Lese-/Schreibendpunkt unterstützt Datasetverwaltung, Anwendungslebenszyklusverwaltung, erweiterte Datenmodellierung und mehr. Sie können für XMLA-Endpunkte aktivierte APIs für die Skripterstellung verwenden, z. B. Tabular Model Scripting Language (TMSL), oder das SqlServer-Modul von PowerShell. Oder Sie können ein Clienttool wie SSMS verwenden. Es gibt auch Tooloptionen von Drittanbietern, z. B. Tabular Editor, der ein Open-Source-Tool zum Erstellen, Pflegen und Verwalten von Modellen ist.
Standardmäßig sind alle Modelltabellen und -spalten nicht eingeschränkt. Sie können sie auf Keine oder Lesen festlegen. Wenn sie auf Keine festgelegt sind, können Benutzer, die der Rolle zugeordnet sind, nicht auf das Objekt zugreifen. Wenn sie auf Lesen festgelegt sind, können Benutzer, die der Rolle zugeordnet sind, auf das Objekt zugreifen. Wenn Sie bestimmte Spalten einschränken, stellen Sie sicher, dass die Tabelle nicht auf Keine festgelegt ist.
Nachdem Sie die OLS-Regeln hinzugefügt haben, können Sie das Modell im Power BI-Dienst veröffentlichen. Verwenden Sie denselben Prozess für RLS, um den Rollen Konten und Sicherheitsgruppen zuzuordnen.
Überlegungen
Wenn ein Benutzer in einem Power BI-Bericht nicht über die Berechtigung zum Zugriff auf eine Tabelle oder Spalte verfügt, wird ihm eine Fehlermeldung angezeigt. Die Nachricht informiert ihn, dass das Objekt nicht vorhanden ist.
Berücksichtigen Sie sorgfältig, ob OLS die richtige Lösung für Ihr Projekt ist. Wenn ein Benutzer einen Power BI-Bericht öffnet, der ein (für ihn) eingeschränktes Objekt abfragt, könnte die Fehlermeldung verwirrend sein und zu einer negativen Erfahrung führen. Für den Benutzer sieht es so aus, als sei der Bericht beschädigt. Ein besserer Ansatz könnte es sein, eine separate Gruppe von Modellen oder Berichten für die unterschiedlichen Anforderungen der Berichtsverbraucher zu erstellen.
Beschränkungen
Es gibt einige Einschränkungen, derer Sie sich bei Implementierung der OLS bewusst sein sollten.
Sie können RLS und OLS nicht in derselben Rolle kombinieren. Wenn Sie RLS und OLS im selben Modell anwenden müssen, erstellen Sie separate, für jeden Typ dedizierte Rollen. Außerdem können Sie keine Sicherheit auf Tabellenebene festlegen, wenn dadurch eine Beziehungskette unterbrochen wird. Wenn beispielsweise Beziehungen zwischen den Tabellen A und B sowie B und C bestehen, können Sie Tabelle B nicht sichern. Wenn Tabelle B gesichert ist, kann eine Abfrage an Tabelle A die Beziehungen zwischen Tabelle A und B sowie zwischen B und C nicht durchlaufen. In diesem Fall könnten Sie eine separate Beziehung zwischen den Tabellen A und C einrichten.
Modellbeziehungen, die auf eine gesicherte Spalte verweisen, funktionieren jedoch, vorausgesetzt, dass die Tabelle der Spalte nicht gesichert ist.
Schließlich ist es zwar nicht möglich, Measures zu sichern, doch eine Maßnahme, die auf gesicherte Objekte verweist, wird automatisch eingeschränkt.
Weitere Informationen finden Sie unter Sicherheit auf Objektebene (OLS).