Ασφάλεια σε επίπεδο γραμμών (RLS) με το Power BI

Η ασφάλεια σε επίπεδο γραμμών (RLS) με το Power BI μπορεί να χρησιμοποιηθεί για τον περιορισμό της πρόσβασης σε δεδομένα για συγκεκριμένους χρήστες. Τα φίλτρα περιορίζουν την πρόσβαση σε δεδομένα σε επίπεδο γραμμής και μπορείτε να ορίσετε φίλτρα μέσα σε ρόλους. Στην υπηρεσία Power BI, τα μέλη ενός χώρου εργασίας έχουν πρόσβαση σε σύνολα δεδομένων στον χώρο εργασίας. Η RLS δεν περιορίζει αυτήν την πρόσβαση σε δεδομένα.

Μπορείτε να ρυθμίσετε το RLS για μοντέλα δεδομένων που έχουν εισαχθεί στο Power BI με το Power BI Desktop. Μπορείτε επίσης να ρυθμίσετε το RLS σε σύνολα δεδομένων που χρησιμοποιούν το DirectQuery, όπως ο SQL Server. Για τις δυναμικές συνδέσεις των Υπηρεσιών ανάλυσης ή των Υπηρεσιών ανάλυσης του Azure, ρυθμίζετε τις παραμέτρους της ασφάλειας σε επίπεδο γραμμών στο μοντέλο, όχι στο Power BI Desktop. Η επιλογή ασφαλείας δεν θα εμφανίζεται για τα δυναμικά σύνολα δεδομένων.

Καθορισμός ρόλων και κανόνων στο Power BI Desktop

Μπορείτε να καθορίσετε ρόλους και κανόνες στο Power BI Desktop. Όταν κάνετε δημοσίευση στο Power BI, δημοσιεύονται επίσης οι ορισμοί ρόλων.

Για να ορίσετε ρόλους ασφαλείας, ακολουθήστε αυτά τα βήματα.

  1. Εισαγάγετε δεδομένα στην αναφορά του Power BI Desktop ή ρυθμίστε τις παραμέτρους μιας σύνδεσης DirectQuery.

    Σημείωση

    Δεν μπορείτε να ορίσετε ρόλους στο Power BI Desktop για δυναμικές συνδέσεις των Υπηρεσιών ανάλυσης. Αυτό πρέπει να το κάνετε στο μοντέλο Υπηρεσιών ανάλυσης.

  2. Από την καρτέλα Μοντελοποίηση, επιλέξτε Διαχείριση ρόλων.

    Επιλέξτε

  3. Από το παράθυρο Διαχείριση ρόλων, επιλέξτε Δημιουργία.

    Επιλέξτε

  4. Στην περιοχή Ρόλοι, δώστε ένα όνομα για τον ρόλο.

    Σημείωση

    Δεν μπορείτε να ορίσετε έναν ρόλο με κόμμα, για παράδειγμα London,ParisRole.

  5. Στην περιοχή Πίνακες, επιλέξτε τον πίνακα στον οποίο θέλετε να εφαρμόσετε έναν κανόνα DAX.

  6. Στο πλαίσιο Παράσταση DAX φίλτρου πίνακα, καταχωρήστε τις παραστάσεις DAX. Αυτή η παράσταση επιστρέφει μια τιμή true ή false. Για παράδειγμα: [Entity ID] = “Value”.

    Παράθυρο

    Σημείωση

    Μπορείτε να χρησιμοποιήσετε τη συνάρτηση username() μέσα σε αυτή την παράσταση. Έχετε υπόψη ότι η συνάρτηση username() έχει τη μορφή ΤΟΜΈΑΣ\όνομαχρήστη στο Power BI Desktop. Στην υπηρεσία Power BI και στο Power BI Report Server, έχει τη μορφή του Κύριου ονόματος χρήστη (UPN). Εναλλακτικά, μπορείτε να χρησιμοποιήσετε τη συνάρτηση userprincipalname() που επιστρέφει πάντα τον χρήστη στη μορφή του κύριου ονόματος χρήστη, username@contoso.com.

  7. Αφού δημιουργήσετε την παράσταση DAX, μπορείτε να επιλέξετε το σημάδι ελέγχου επάνω από την παράσταση για να επικυρώσετε την παράσταση.

    Επικύρωση παράστασης DAX

    Σημείωση

    Σε αυτό το πλαίσιο παράστασης, χρησιμοποιείτε κόμματα για να διαχωρίσετε ορίσματα συναρτήσεων DAX, ακόμη και εάν χρησιμοποιείτε τοπικές ρυθμίσεις που κανονικά χρησιμοποιούν διαχωριστικά με ερωτηματικό (π.χ. Γαλλικά ή Γερμανικά).

  8. Επιλέξτε Αποθήκευση.

Δεν μπορείτε να αντιστοιχίσετε χρήστες σε έναν ρόλο στο Power BI Desktop. Μπορείτε να τους αντιστοιχίσετε στην υπηρεσία Power BI. Μπορείτε να ενεργοποιήσετε τη δυναμική ασφάλεια στο Power BI Desktop, κάνοντας χρήση των συναρτήσεων DAX username() ή userprincipalname() και έχοντας ρυθμίσει τις παραμέτρους των κατάλληλων σχέσεων.

Από προεπιλογή, το φιλτράρισμα ασφαλείας σε επίπεδο γραμμών χρησιμοποιεί φίλτρα μονής κατεύθυνσης, ανεξάρτητα αν οι σχέσεις που έχουν οριστεί είναι μονής ή διπλής κατεύθυνσης. Μπορείτε να ενεργοποιήσετε με μη αυτόματο τρόπο το διασταυρούμενο φιλτράρισμα διπλής κατεύθυνσης με ασφάλεια σε επίπεδο γραμμών, επιλέγοντας τη σχέση και προσθέτοντας ένα σημάδι επιλογής στο πλαίσιο ελέγχου Εφαρμογή φίλτρων ασφαλείας και στις δύο κατευθύνσεις. Σημειώστε ότι εάν ένας πίνακας συμμετέχει σε πολλές σχέσεις αμφίδρομης κατεύθυνσης, μπορείτε να επιλέξετε αυτή την επιλογή μόνο για μία από αυτές τις σχέσεις. Επιλέξτε αυτή την επιλογή όταν υλοποιήσετε δυναμική ασφάλεια σε επίπεδο γραμμών στο επίπεδο διακομιστή, όπου η ασφάλεια σε επίπεδο γραμμών βασίζεται στο όνομα χρήστη ή το αναγνωριστικό σύνδεσης.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Διασταυρούμενο φιλτράρισμα διπλής κατεύθυνσης με χρήση του DirectQuery στο Power BI Desktop και το τεχνικό άρθρο Ασφάλιση του μοντέλου σημασιολογίας BI σε μορφή πίνακα.

Εφαρμογή φίλτρων ασφαλείας

Επικύρωση ρόλων στο Power BI Desktop

Μετά τη δημιουργία των ρόλων σας, ελέγξτε τα αποτελέσματα των ρόλων στο Power BI Desktop.

  1. Από την καρτέλα Μοντελοποίηση , επιλέξτε Προβολή ως.

    Επιλέξτε

    Εμφανίζεται το παράθυρο Προβολή ως ρόλων, όπου βλέπετε τους ρόλους που έχετε δημιουργήσει.

    Παράθυρο

  2. Επιλέξτε έναν ρόλο που δημιουργήσατε και, στη συνέχεια, επιλέξτε OK για να εφαρμόσετε αυτόν τον ρόλο.

    Η αναφορά εμφανίζει τα δεδομένα που σχετίζονται με αυτόν τον ρόλο.

  3. Επίσης, μπορείτε να επιλέξετε Άλλος χρήστης και να παράσχετε έναν δεδομένο χρήστη.

    Επιλέξτε

    Είναι καλύτερα να καταχωρήσετε το κύριο όνομα χρήστη (UPN) που είναι αυτό που χρησιμοποιούν η υπηρεσία Power BI και το Power BI Report Server.

    Στο Power BI Desktop, η επιλογή Άλλος χρήστης εμφανίζει διαφορετικά αποτελέσματα μόνο αν χρησιμοποιείτε δυναμική ασφάλεια με βάση τις παραστάσεις DAX.

  4. Επιλέξτε OK.

    Η αναφορά αποδίδεται με βάση τα στοιχεία που μπορεί να δει ο συγκεκριμένος χρήστης.

    Σημείωση

    Η δυνατότητα Προβολή ως ρόλου δεν λειτουργεί για μοντέλα DirectQuery με ενεργοποιημένο το Single Sign-On (SSO).

Τώρα που ολοκληρώσατε την επικύρωση των ρόλων σε Power BI Desktop, προχωρήστε και δημοσιεύστε την αναφορά σας στο Υπηρεσία Power BI.

Διαχείριση της ασφάλειας στο μοντέλο σας

Για να διαχειριστείτε την ασφάλεια στο μοντέλο δεδομένων σας, ανοίξτε τον χώρο εργασίας όπου αποθηκεύσατε την αναφορά σας στη Υπηρεσία Power BI και ακολουθήστε τα παρακάτω βήματα:

  1. Στην Υπηρεσία Power BI, επιλέξτε το μενού Περισσότερες επιλογές για ένα σύνολο δεδομένων. Αυτό το μενού εμφανίζεται όταν τοποθετήσετε τον δρομέα σε ένα όνομα συνόλου δεδομένων, είτε το επιλέξετε από το μενού περιήγησης ή από τη σελίδα του χώρου εργασίας.

    Μενού

    Μενού

  2. Επιλέξτε Ασφάλεια.

    Επιλέξτε

Η ασφάλεια θα σας μεταφέρει στη σελίδα Role-Level Ασφαλείας, όπου προσθέτετε μέλη σε έναν ρόλο που δημιουργήσατε σε Power BI Desktop. Ο συμβάλλων (και υψηλότεροι ρόλοι χώρου εργασίας) θα βλέπει την Ασφάλεια και μπορεί να αναθέτει χρήστες σε έναν ρόλο.

Μπορείτε να δημιουργήσετε ή να τροποποιήσετε ρόλους μόνο στο Power BI Desktop.

Εργασία με μέλη

Προσθήκη μελών

Στο Υπηρεσία Power BI, μπορείτε να προσθέσετε ένα μέλος στον ρόλο πληκτρολογώντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου ή το όνομα του χρήστη ή της ομάδας ασφαλείας. Δεν μπορείτε να προσθέσετε Ομάδες που έχουν δημιουργηθεί μέσα στο Power BI. Μπορείτε να προσθέσετε μέλη που είναι εξωτερικά στον οργανισμό σας.

Μπορείτε να χρησιμοποιήσετε τις ακόλουθες ομάδες για να ρυθμίσετε την ασφάλεια σε επίπεδο γραμμών.

  • Ομάδα διανομής
  • Ομάδα με δυνατότητα αλληλογραφίας
  • Ομάδα ασφαλείας

Σημειώστε, ωστόσο, ότι Office 365 ομάδες δεν υποστηρίζονται και δεν μπορούν να προστεθούν σε κανέναν ρόλο.

Προσθήκη μέλους

Επίσης, μπορείτε να δείτε πόσα μέλη ανήκουν στον ρόλο από τον αριθμό σε παρένθεση δίπλα στο όνομα του ρόλου ή δίπλα στα μέλη.

Μέλη στον ρόλο

Κατάργηση μελών

Μπορείτε να καταργήσετε μέλη, επιλέγοντας το X δίπλα στο όνομά τους.

Κατάργηση μέλους

Επικύρωση του ρόλου μέσα στην υπηρεσία Power BI

Μπορείτε να επικυρώσετε ότι ο ρόλος που ορίσατε λειτουργεί σωστά στη Υπηρεσία Power BI, δοκιμάζοντας τον ρόλο.

  1. Επιλέξτε Περισσότερες επιλογές (...) δίπλα στον ρόλο.
  2. Επιλέξτε Δοκιμή δεδομένων ως ρόλου.

Δοκιμή ως ρόλος

Θα ανακατευθυνθείτε στην αναφορά που δημοσιεύτηκε από Power BI Desktop με αυτό το σύνολο δεδομένων, εάν υπάρχει. Οι πίνακες εργαλείων δεν είναι διαθέσιμοι για δοκιμές χρησιμοποιώντας την επιλογή Δοκιμή ως ρόλου .

Στην κεφαλίδα της σελίδας, εμφανίζεται ο ρόλος που εφαρμόζεται.

Στιγμιότυπο οθόνης της προβολής Τώρα ως Ανατολικές Η.Π.Α.

Δοκιμάστε και άλλους ρόλους, ή συνδυασμό ρόλων, επιλέγοντας Προβολή τώρα ως.

Δοκιμή άλλων ρόλων

Μπορείτε να προβάλετε τα δεδομένα ως ένα συγκεκριμένο άτομο ή μπορείτε να επιλέξετε έναν συνδυασμό από τους διαθέσιμους ρόλους για να επαληθεύσετε ότι λειτουργούν.

Για να επιστρέψετε στην κανονική προβολή, επιλέξτε Επιστροφή στην ασφάλεια σε επίπεδο γραμμών.

Σημείωση

Η δυνατότητα Δοκιμή ως ρόλου δεν λειτουργεί για μοντέλα DirectQuery με ενεργοποιημένο το Single Sign-On (SSO).

Χρήση της συνάρτησης DAX username() ή userprincipalname()

Μπορείτε να εκμεταλλευτείτε τις συναρτήσεις DAX username() ή userprincipalname() στο σύνολο δεδομένων σας. Μπορείτε να τις χρησιμοποιήσετε σε παραστάσεις στο Power BI Desktop. Όταν δημοσιεύετε το μοντέλο σας, αυτό θα χρησιμοποιηθεί εντός της υπηρεσίας Power BI.

Στο Power BI Desktop, η συνάρτηση username() θα επιστρέψει έναν χρήστη με τη μορφή ΤΟΜΈΑΣ\χρήστης και η συνάρτηση userprincipalname() θα επιστρέψει έναν χρήστη με τη μορφή user@contoso.com.

Στην υπηρεσία Power BI, η συνάρτηση username() και η συνάρτηση userprincipalname() θα επιστρέψουν και οι δύο το κύριο όνομα χρήστη (UPN) του χρήστη. Αυτό μοιάζει με μια διεύθυνση ηλεκτρονικού ταχυδρομείου.

Χρήση RLS με χώρους εργασίας στο Power BI

Εάν δημοσιεύσετε την αναφορά σας Power BI Desktop σε έναν χώρο εργασίας στον Υπηρεσία Power BI, οι ρόλοι RLS εφαρμόζονται στα μέλη που έχουν εκχωρηθεί στον ρόλο "Θεατής" στον χώρο εργασίας. Ακόμη και αν στους Θεατές εκχωρούνται δικαιώματα δόμησης για το σύνολο δεδομένων, εξακολουθεί να ισχύει το RLS. Για παράδειγμα, εάν οι θεατές με δικαιώματα δόμησης χρησιμοποιούν την Ανάλυση στο Excel, η προβολή τους των δεδομένων θα προστατεύεται από την RLS. Τα μέλη χώρου εργασίας στους οποίους έχει εκχωρηθεί Διαχείριση, Μέλος ή Συμβάλλων έχουν δικαίωμα επεξεργασίας για το σύνολο δεδομένων και, επομένως, το RLS δεν ισχύει για αυτά. Εάν θέλετε το RLS να εφαρμόζεται σε άτομα σε έναν χώρο εργασίας, μπορείτε να τους αναθέσετε μόνο τον ρόλο Θεατής . Διαβάστε περισσότερα σχετικά με τους ρόλους σε χώρους εργασίας.

Ζητήματα και περιορισμοί

Οι τρέχοντες περιορισμοί για την ασφάλεια σε επίπεδο γραμμών σε μοντέλα cloud είναι οι εξής:

  • Εάν είχατε ορίσει προηγουμένως ρόλους και κανόνες στην υπηρεσία Power BI, θα πρέπει να τους δημιουργήσετε εκ νέου στο Power BI Desktop.
  • Μπορείτε να ορίσετε RLS μόνο στα σύνολα δεδομένων που δημιουργούνται με χρήση του Power BI Desktop. Εάν θέλετε να ενεργοποιήσετε το RLS για σύνολα δεδομένων που έχουν δημιουργηθεί με το Excel, θα πρέπει να μετατρέψετε πρώτα τα αρχεία σας σε αρχεία Power BI Desktop (PBIX). Μάθετε περισσότερα
  • Οι οντότητες υπηρεσίας δεν μπορούν να προστεθούν σε έναν ρόλο RLS. Κατά συνέπεια, το RLS δεν θα εφαρμοστεί για εφαρμογές που χρησιμοποιούν μια κύρια υπηρεσία ως την τελική ουσιαστική ταυτότητα.
  • Υποστηρίζονται μόνο Εισαγωγή και συνδέσεις DirectQuery. Ο χειρισμός των δυναμικών συνδέσεων στις Υπηρεσίες ανάλυσης γίνεται στο μοντέλο εσωτερικής εγκατάστασης.
  • Η δυνατότητα Δοκιμή ως ρόλος/Προβολή ως ρόλου δεν λειτουργεί για μοντέλα DirectQuery με ενεργοποιημένο το Single Sign-On (SSO).

Συνήθεις ερωτήσεις

Ερώτηση: Τι γίνεται εάν είχα δημιουργήσει προηγουμένως ρόλους και κανόνες για ένα σύνολο δεδομένων στην υπηρεσία Power BI; Θα εξακολουθούν να λειτουργούν εάν δεν κάνω τίποτα;
Απάντηση: Όχι, οι απεικονίσεις δεν θα αποδίδονται σωστά. Θα χρειαστεί να δημιουργήσετε ξανά τους ρόλους και τους κανόνες στο Power BI Desktop και, στη συνέχεια, να τους δημοσιεύσετε στην υπηρεσία Power BI.

Ερώτηση: Μπορώ να δημιουργήσω αυτούς τους ρόλους για προελεύσεις δεδομένων Υπηρεσιών ανάλυσης;
Απάντηση: Μπορείτε, εάν έχετε εισαγάγει τα δεδομένα στο Power BI Desktop. Εάν χρησιμοποιείτε δυναμική σύνδεση, δεν θα έχετε τη δυνατότητα να ρυθμίσετε τις παραμέτρους RLS στην υπηρεσία Power BI. Αυτές ορίζονται στο μοντέλο Υπηρεσιών ανάλυσης εσωτερικής εγκατάστασης.

Ερώτηση: Μπορώ να χρησιμοποιήσω την RLS για να περιορίσω τις στήλες ή τις μετρήσεις που είναι προσβάσιμες από τους χρήστες μου;
Απάντηση: Όχι, εάν ένας χρήστης έχει πρόσβαση σε μια συγκεκριμένη γραμμή δεδομένων, μπορεί να δει όλες τις στήλες δεδομένων για αυτήν τη γραμμή.

Ερώτηση: Η RLS μού επιτρέπει να αποκρύπτω λεπτομερή δεδομένα, αλλά να παρέχω πρόσβαση σε δεδομένα που συνοψίζονται σε απεικονίσεις;
Απάντηση: Όχι, διασφαλίζετε μεμονωμένες σειρές δεδομένων, αλλά οι χρήστες μπορούν πάντα να βλέπουν είτε τις λεπτομέρειες είτε τα συνοπτικά δεδομένα.

Ερώτηση: Η προέλευση δεδομένων μου έχει ήδη καθορισμένους ρόλους ασφαλείας (για παράδειγμα, ρόλους SQL Server ή ρόλους SAP BW). Ποια είναι η σχέση μεταξύ αυτών και των RLS;
Απάντηση: Η απάντηση εξαρτάται από το αν εισάγετε δεδομένα ή χρησιμοποιείτε το DirectQuery. Εάν εισαγάγετε δεδομένα στο σύνολο δεδομένων σας Power BI, οι ρόλοι ασφαλείας στην προέλευση δεδομένων σας δεν χρησιμοποιούνται. Σε αυτήν την περίπτωση, θα πρέπει να ορίσετε το RLS για επιβολή ρόλων ασφαλείας για χρήστες που συνδέονται στο Power BI. Εάν χρησιμοποιείτε το DirectQuery, χρησιμοποιούνται οι ρόλοι ασφαλείας στην προέλευση δεδομένων σας. Όταν ένας χρήστης ανοίγει μια αναφορά Power BI, στέλνει ένα ερώτημα στην υποκείμενη προέλευση δεδομένων, που εφαρμόζει ρόλους ασφαλείας στα δεδομένα με βάση τα διαπιστευτήρια χρήστη.

Επόμενα βήματα