Μοντέλο δικαιωμάτων
Το Microsoft Fabric διαθέτει ένα ευέλικτο μοντέλο δικαιωμάτων που σας επιτρέπει να ελέγχετε την πρόσβαση στα δεδομένα στον οργανισμό σας. Αυτό το άρθρο εξηγεί τους διαφορετικούς τύπους δικαιωμάτων στο Fabric και τον τρόπο με τον οποίο συνεργάζονται για τον έλεγχο της πρόσβασης σε δεδομένα στον οργανισμό σας.
Ένας χώρος εργασίας είναι μια λογική οντότητα για την ομαδοποίηση στοιχείων στο Fabric. Οι ρόλοι χώρου εργασίας ορίζουν δικαιώματα πρόσβασης για χώρους εργασίας. Παρόλο που τα στοιχεία αποθηκεύονται σε έναν χώρο εργασίας, μπορούν να τεθούν σε κοινή χρήση με άλλους χρήστες στο Fabric. Όταν κάνετε κοινή χρήση στοιχείων Fabric, μπορείτε να αποφασίσετε με ποια δικαιώματα θα εκχωρήσετε στον χρήστη με τον οποίο κάνετε κοινή χρήση του στοιχείου. Ορισμένα στοιχεία, όπως οι αναφορές Power BI, επιτρέπουν ακόμα πιο λεπτομερή έλεγχο των δεδομένων. Οι αναφορές μπορούν να ρυθμιστούν έτσι ώστε ανάλογα με τα δικαιώματά τους, οι χρήστες που τις προβάλλουν να βλέπουν μόνο ένα τμήμα των δεδομένων που κατέχουν.
Οι ρόλοι χώρου εργασίας χρησιμοποιούνται για τον έλεγχο της πρόσβασης στους χώρους εργασίας και στο περιεχόμενο που βρίσκονται μέσα σε αυτούς. Ένας διαχειριστής Fabric μπορεί να αναθέσει ρόλους χώρου εργασίας σε μεμονωμένους χρήστες ή ομάδες. Οι ρόλοι χώρου εργασίας περιορίζονται σε έναν συγκεκριμένο χώρο εργασίας και δεν ισχύουν για άλλους χώρους εργασίας, τους εκχωρημένους πόρους στους οποίους βρίσκεται ο χώρος εργασίας ή τον μισθωτή.
Υπάρχουν τέσσερις ρόλοι χώρου εργασίας και ισχύουν για όλα τα στοιχεία εντός του χώρου εργασίας. Οι χρήστες που δεν έχουν αυτούς τους ρόλους, δεν μπορούν να αποκτήσουν πρόσβαση στον χώρο εργασίας. Οι ρόλοι είναι:
Θεατής - Μπορεί να προβάλει όλο το περιεχόμενο στον χώρο εργασίας, αλλά δεν μπορεί να το τροποποιήσει.
Συμβάλλων - Μπορεί να προβάλει και να τροποποιήσει όλο το περιεχόμενο στον χώρο εργασίας.
Μέλος - Μπορεί να προβάλει, να τροποποιήσει και να κάνει κοινή χρήση όλου του περιεχομένου στον χώρο εργασίας.
Διαχειριστής - Δυνατότητα προβολής, τροποποίησης, κοινής χρήσης και διαχείρισης όλου του περιεχομένου στον χώρο εργασίας, συμπεριλαμβανομένης της διαχείρισης δικαιωμάτων.
Αυτός ο πίνακας εμφανίζει ένα μικρό σύνολο δυνατοτήτων που διαθέτει κάθε ρόλος. Για μια πλήρη και λεπτομερέστερη λίστα, ανατρέξτε στο θέμα Ρόλοι χώρου εργασίας Microsoft Fabric.
Δυνατότητα | Διαχειριστής | Μέλος | Συμβάλλων | Θεατής |
---|---|---|---|---|
Διαγραφή του χώρου εργασίας | ✅ | ❌ | ❌ | ❌ |
Προσθήκη διαχειριστών | ✅ | ❌ | ❌ | ❌ |
Προσθήκη μελών | ✅ | ✅ | ❌ | ❌ |
Εγγραφή δεδομένων | ✅ | ✅ | ✅ | ❌ |
Δημιουργία στοιχείων | ✅ | ✅ | ✅ | ❌ |
Ανάγνωση δεδομένων | ✅ | ✅ | ✅ | ✅ |
Τα δικαιώματα στοιχείων χρησιμοποιούνται για τον έλεγχο της πρόσβασης σε μεμονωμένα στοιχεία Fabric εντός ενός χώρου εργασίας. Τα δικαιώματα στοιχείου περιορίζονται σε ένα συγκεκριμένο στοιχείο και δεν ισχύουν για άλλα στοιχεία. Χρησιμοποιήστε δικαιώματα στοιχείων για να ελέγξετε ποιος μπορεί να προβάλλει, να τροποποιεί και να διαχειρίζεται μεμονωμένα στοιχεία σε έναν χώρο εργασίας. Μπορείτε να χρησιμοποιήσετε δικαιώματα στοιχείου για να παραχωρήσετε σε έναν χρήστη πρόσβαση σε ένα μοναδικό στοιχείο σε έναν χώρο εργασίας στον οποίο δεν έχει πρόσβαση.
Όταν κάνετε κοινή χρήση του στοιχείου με έναν χρήστη ή μια ομάδα, μπορείτε να ρυθμίσετε δικαιώματα στοιχείων. Η κοινή χρήση ενός στοιχείου εκχωρεί στον χρήστη το δικαίωμα ανάγνωσης για αυτό το στοιχείο από προεπιλογή. Τα δικαιώματα ανάγνωσης επιτρέπουν στους χρήστες να βλέπουν τα μετα-δεδομένα για αυτό το στοιχείο και να προβάλουν τυχόν αναφορές που σχετίζονται με αυτό. Ωστόσο, τα δικαιώματα ανάγνωσης δεν επιτρέπουν στους χρήστες να έχουν πρόσβαση σε υποκείμενα δεδομένα σε SQL ή OneLake.
Διαφορετικά στοιχεία Fabric έχουν διαφορετικά δικαιώματα. Για να μάθετε περισσότερα σχετικά με τα δικαιώματα για κάθε στοιχείο, ανατρέξτε στα εξής:
Τα δικαιώματα μπορούν επίσης να οριστούν μέσα σε μια συγκεκριμένη μηχανή υπολογιστικής λειτουργίας στο Fabric, συγκεκριμένα μέσω του τελικού σημείου ανάλυσης SQL ή σε ένα μοντέλο σημασιολογίας. Τα δικαιώματα μηχανισμού υπολογιστικής λειτουργίας επιτρέπουν έναν πιο λεπτομερή έλεγχο πρόσβασης δεδομένων, όπως ασφάλεια σε επίπεδο πίνακα και γραμμής.
Τελικό σημείο ανάλυσης SQL - Το τελικό σημείο ανάλυσης SQL παρέχει άμεση πρόσβαση SQL σε πίνακες στο OneLake και μπορεί να ρυθμίσει τις παραμέτρους της ασφάλειας εγγενώς μέσω εντολών SQL. Αυτά τα δικαιώματα ισχύουν μόνο για τα ερωτήματα που γίνονται μέσω SQL.
Σημασιολογικό μοντέλο - Τα σημασιολογικά μοντέλα επιτρέπουν τον ορισμό ασφάλειας με χρήση DAX. Περιορισμοί που ορίζονται με χρήση του DAX ισχύουν για τους χρήστες που υποβάλλουν ερωτήματα μέσω του μοντέλου σημασιολογίας ή των αναφορών Power BI που έχουν δημιουργηθεί στο μοντέλο σημασιολογίας.
Μπορείτε να βρείτε περισσότερες πληροφορίες σε αυτά τα άρθρα:
Το OneLake έχει τα δικά του δικαιώματα για τη διαχείριση της πρόσβασης σε αρχεία και φακέλους στο OneLake μέσω ρόλων πρόσβασης δεδομένων OneLake. Οι ρόλοι πρόσβασης δεδομένων OneLake επιτρέπουν στους χρήστες να δημιουργούν προσαρμοσμένους ρόλους μέσα σε μια λίμνη και να εκχωρούν δικαιώματα ανάγνωσης μόνο στους καθορισμένους φακέλους κατά την πρόσβαση στο OneLake. Για κάθε ρόλο OneLake, οι χρήστες μπορούν να αντιστοιχίσουν χρήστες, ομάδες ασφαλείας ή να εκχωρήσουν μια αυτόματη ανάθεση με βάση τον ρόλο χώρου εργασίας.
Μάθετε περισσότερα σχετικά με το Μοντέλο ελέγχου πρόσβασης δεδομένων OneLake και δείτε τους οδηγούς με οδηγίες.
Πώς να διασφαλίσετε ένα lakehouse για ομάδες επιστήμης δεδομένων
Πώς να διασφαλίσετε ένα lakehouse για ομάδες αποθήκευσης δεδομένων
Τρόπος προστασίας δεδομένων για κοινές αρχιτεκτονικές δεδομένων
Το Fabric έχει τρία διαφορετικά επίπεδα ασφαλείας. Ένας χρήστης πρέπει να έχει πρόσβαση σε κάθε επίπεδο για να αποκτήσει πρόσβαση στα δεδομένα. Κάθε επίπεδο αξιολογείται διαδοχικά για να προσδιοριστεί εάν ένας χρήστης έχει πρόσβαση. Οι κανόνες ασφαλείας, όπως οι πολιτικές προστασίας πληροφοριών Microsoft Azure, αξιολογούνται σε ένα δεδομένο επίπεδο για να επιτρέπουν ή να απαγορέυουν την πρόσβαση. Η σειρά της λειτουργίας κατά την αξιολόγηση της ασφάλειας Fabric είναι:
- Έλεγχος ταυτότητας Entra: Ελέγχει εάν ο χρήστης είναι σε θέση να ελέγξει την ταυτότητα του μισθωτή Microsoft Entra.
- Πρόσβαση fabric: Ελέγχει εάν ο χρήστης μπορεί να αποκτήσει πρόσβαση στο Microsoft Fabric.
- Ασφάλεια δεδομένων: Ελέγχει εάν ο χρήστης μπορεί να εκτελέσει την ενέργεια που ζητήθηκε σε έναν πίνακα ή αρχείο.
Αυτή η ενότητα παρέχει δύο παραδείγματα για το πώς μπορούν να ρυθμιστούν τα δικαιώματα στο Fabric.
Το Wingtip Toys έχει ρυθμιστεί με έναν μισθωτή για ολόκληρο τον οργανισμό και τρεις εκχωρημένους πόρους. Κάθε σύνολο εκχωρημένων πόρων αντιπροσωπεύει μια διαφορετική περιοχή. Η Wingtip Toys λειτουργεί στις Ηνωμένες Πολιτείες, την Ευρώπη και την Ασία. Κάθε σύνολο εκχωρημένων πόρων διαθέτει έναν χώρο εργασίας για κάθε τμήμα του οργανισμού, συμπεριλαμβανομένου του τμήματος πωλήσεων.
Το τμήμα πωλήσεων έχει έναν διευθυντή, έναν υποψήφιο πελάτη ομάδας πωλήσεων και μέλη ομάδας πωλήσεων. Η Wingtip Toys απασχολεί επίσης έναν αναλυτή για ολόκληρο τον οργανισμό.
Ο παρακάτω πίνακας εμφανίζει τις απαιτήσεις για κάθε ρόλο στο τμήμα πωλήσεων και τον τρόπο ρύθμισης των δικαιωμάτων για την ενεργοποίησή τους.
Ρόλος | Απαίτηση | Ρύθμιση |
---|---|---|
Διευθυντής | Προβολή και τροποποίηση όλου του περιεχομένου στο τμήμα πωλήσεων σε ολόκληρο τον οργανισμό | Ρόλος μέλους για όλους τους χώρους εργασίας πωλήσεων στον οργανισμό |
Υποψήφιος πελάτης ομάδας | Προβολή και τροποποίηση όλου του περιεχομένου στο τμήμα πωλήσεων μιας συγκεκριμένης περιοχής | Ένας ρόλος μέλους για τον χώρο εργασίας πωλήσεων στην περιοχή |
Μέλος της ομάδας πωλήσεων | ||
Αναλυτής | Προβολή όλου του περιεχομένου στο τμήμα πωλήσεων σε ολόκληρο τον οργανισμό | Ένας ρόλος θεατή για όλους τους χώρους εργασίας πωλήσεων στον οργανισμό |
Η Wingtip διαθέτει επίσης μια τριμηνιαία αναφορά που παραθέτει τα έσοδά της από πωλήσεις ανά μέλος πωλήσεων. Αυτή η αναφορά είναι αποθηκευμένη σε έναν οικονομικό χώρο εργασίας. Χρησιμοποιώντας ασφάλεια σε επίπεδο γραμμών, η αναφορά έχει ρυθμιστεί έτσι ώστε κάθε μέλος πωλήσεων να μπορεί να βλέπει μόνο τα δικά του στοιχεία πωλήσεων. Οι υποψήφιοι πελάτες ομάδας μπορούν να δουν τα στοιχεία πωλήσεων όλων των μελών πωλήσεων στην περιοχή τους και ο διευθυντής πωλήσεων μπορεί να δει τα στοιχεία των πωλήσεων όλων των μελών πωλήσεων στον οργανισμό.
Όταν κάνετε κοινή χρήση ενός στοιχείου ή αλλάζετε τα δικαιώματά του, οι ρόλοι χώρου εργασίας δεν αλλάζουν. Το παράδειγμα σε αυτή την ενότητα δείχνει πώς αλληλεπιδρούν τα δικαιώματα χώρου εργασίας και στοιχείου.
Η Βερόνικα και η Μάρτα δουλεύουν μαζί. Η Βερόνικα είναι η κάτοχος μιας αναφοράς που θέλει να μοιραστεί με την Μάρτα. Αν η Βερόνικα μοιραστεί την αναφορά με τη Μάρτα, η Μάρτα θα μπορεί να έχει πρόσβαση σε αυτή ανεξάρτητα από τον ρόλο της στον χώρο εργασίας.
Ας υποθέσουμε ότι η Μάρτα έχει ρόλο θεατή στον χώρο εργασίας όπου είναι αποθηκευμένη η αναφορά. Αν η Βερόνικα αποφασίσει να καταργήσει τα δικαιώματα της Μάρτα από την αναφορά, η Μάρτα θα εξακολουθεί να μπορεί να δει την αναφορά στον χώρο εργασίας. Η Marta θα μπορεί επίσης να ανοίξει την αναφορά από τον χώρο εργασίας και να προβάλει το περιεχόμενό της. Αυτό συμβαίνει επειδή η Μάρτα έχει δικαιώματα προβολής για τον χώρο εργασίας.
Αν η Βερόνικα δεν θέλει η Μάρτα να δει την αναφορά, η κατάργηση των δικαιωμάτων της Μάρτα από την αναφορά δεν επαρκεί. Η Βερόνικα πρέπει επίσης να καταργήσει τα δικαιώματα της Μάρτα από τον χώρο εργασίας. Χωρίς τα δικαιώματα προγράμματος προβολής χώρου εργασίας, η Μάρτα δεν θα μπορεί να δει ότι η αναφορά υπάρχει επειδή δεν θα μπορεί να αποκτήσει πρόσβαση στον χώρο εργασίας. Επίσης, η Marta δεν θα μπορεί να χρησιμοποιήσει τη σύνδεση προς την αναφορά, επειδή δεν έχει πρόσβαση στην αναφορά.
Τώρα που η Μάρτα δεν έχει ρόλο θεατή χώρου εργασίας, αν η Βερόνικα αποφασίσει να μοιραστεί ξανά την αναφορά μαζί της, η Μάρτα θα μπορεί να την δει χρησιμοποιώντας τη σύνδεση που μοιράζεται η Βερόνικα μαζί της, χωρίς να έχει πρόσβαση στον χώρο εργασίας.
Κατά την κοινή χρήση αναφορών Power BI, συχνά θέλετε οι παραλήπτες σας να έχουν πρόσβαση μόνο στις αναφορές και όχι σε στοιχεία στον χώρο εργασίας. Για αυτό, μπορείτε να χρησιμοποιήσετε εφαρμογές Power BI ή να μοιραστείτε αναφορές απευθείας με τους χρήστες.
Επιπλέον, μπορείτε να περιορίσετε την πρόσβαση των χρηστών σε δεδομένα χρησιμοποιώντας την ασφάλεια σε επίπεδο γραμμών (RLS), με το RLS μπορείτε να δημιουργήσετε ρόλους που έχουν πρόσβαση σε ορισμένα τμήματα των δεδομένων σας και να περιορίσετε τα αποτελέσματα που επιστρέφουν μόνο τα στοιχεία στα οποία μπορεί να αποκτήσει πρόσβαση η ταυτότητα του χρήστη.
Αυτό λειτουργεί καλά όταν χρησιμοποιείτε μοντέλα εισαγωγής καθώς τα δεδομένα εισάγονται στο μοντέλο σημασιολογίας και οι παραλήπτες έχουν πρόσβαση σε αυτό ως μέρος της εφαρμογής. Με το DirectLake, η αναφορά διαβάζει τα δεδομένα απευθείας από το Lakehouse και ο παραλήπτης αναφοράς πρέπει να έχει πρόσβαση σε αυτά τα αρχεία στη λίμνη. Μπορείτε να το κάνετε με διάφορους τρόπους:
- Δώστε
ReadData
άδεια απευθείας στο Lakehouse. - Αλλάξτε τα διαπιστευτήρια της προέλευσης δεδομένων από Καθολική σύνδεση (SSO) σε μια σταθερή ταυτότητα που έχει πρόσβαση στα αρχεία στη λίμνη.
Επειδή το RLS ορίζεται στο μοντέλο σημασιολογίας, τα δεδομένα θα διαβαστούν πρώτα και, στη συνέχεια, οι γραμμές θα φιλτραριστούν.
Εάν έχει οριστεί οποιαδήποτε ασφάλεια στο τελικό σημείο ανάλυσης SQL σύμφωνα με την οποία δημιουργείται η αναφορά, τα ερωτήματα επιστρέφουν αυτόματα στη λειτουργία DirectQuery. Εάν δεν θέλετε αυτή την προεπιλεγμένη συμπεριφορά επιστροφής, μπορείτε να δημιουργήσετε ένα νέο Lakehouse χρησιμοποιώντας συντομεύσεις για τους πίνακες στο αρχικό Lakehouse και να μην ορίσετε RLS ή OLS στο SQL στο νέο Lakehouse.