Ασφάλεια σε επίπεδο γραμμών (RLS) με το Power BI
Η ασφάλεια σε επίπεδο γραμμών (RLS) με το Power BI μπορεί να χρησιμοποιηθεί για τον περιορισμό της πρόσβασης σε δεδομένα για συγκεκριμένους χρήστες. Τα φίλτρα περιορίζουν την πρόσβαση σε δεδομένα σε επίπεδο γραμμής και μπορείτε να ορίσετε φίλτρα μέσα σε ρόλους. Στην υπηρεσία Power BI, οι χρήστες με πρόσβαση σε έναν χώρο εργασίας έχουν πρόσβαση σε σημασιολογικά μοντέλα σε αυτόν τον χώρο εργασίας. Το RLS περιορίζει μόνο την πρόσβαση σε δεδομένα για χρήστες με δικαιώματα Θεατή . Δεν ισχύει για διαχειριστές, μέλη ή συμβάλλοντες.
Μπορείτε να ρυθμίσετε το RLS για μοντέλα δεδομένων που έχουν εισαχθεί στο Power BI με το Power BI. Μπορείτε επίσης να ρυθμίσετε το RLS σε σημασιολογικά μοντέλα που χρησιμοποιούν το DirectQuery, όπως ο SQL Server. Για δυναμικές συνδέσεις των Υπηρεσιών ανάλυσης ή των Υπηρεσιών ανάλυσης του Azure, ρυθμίζετε τις παραμέτρους της ασφάλειας σε επίπεδο γραμμών στο μοντέλο, όχι στο Power BI. Η επιλογή ασφαλείας δεν εμφανίζεται για σημασιολογικά μοντέλα δυναμικής σύνδεσης.
Ορισμός ρόλων και κανόνων στο Power BI Desktop
Μπορείτε να ορίσετε ρόλους και κανόνες στο Power BI Desktop. Με αυτό το πρόγραμμα επεξεργασίας, μπορείτε να κάνετε εναλλαγή μεταξύ της χρήσης της προεπιλεγμένης αναπτυσσόμενης διασύνδεσης και μιας διασύνδεσης DAX. Όταν δημοσιεύετε στο Power BI, δημοσιεύετε επίσης τους ορισμούς ρόλων.
Για να ορίσετε ρόλους ασφαλείας:
Εισαγάγετε δεδομένα στην αναφορά σας Power BI Desktop ή ρυθμίστε τις παραμέτρους μιας σύνδεσης DirectQuery.
Σημείωμα
Δεν μπορείτε να ορίσετε ρόλους στο Power BI Desktop για δυναμικές συνδέσεις των Υπηρεσιών ανάλυσης. Αυτό πρέπει να το κάνετε στο μοντέλο Υπηρεσιών ανάλυσης.
Από την καρτέλα Μοντελοποίηση , επιλέξτε Διαχείριση ρόλων.
Από το παράθυρο Διαχείριση ρόλων , επιλέξτε Δημιουργία για να δημιουργήσετε έναν νέο ρόλο.
Στην περιοχή Ρόλοι, δώστε ένα όνομα για τον ρόλο και επιλέξτε enter.
Σημείωμα
Δεν μπορείτε να ορίσετε έναν ρόλο με κόμμα, για παράδειγμα
London,ParisRole
.Στην περιοχή Επιλογή πινάκων, επιλέξτε τον πίνακα στον οποίο θέλετε να εφαρμόσετε ένα φίλτρο ασφάλειας σε επίπεδο γραμμών.
Στην περιοχή Φιλτράρισμα δεδομένων, χρησιμοποιήστε το προεπιλεγμένο πρόγραμμα επεξεργασίας για να ορίσετε τους ρόλους σας. Οι παραστάσεις που δημιουργήθηκαν επιστρέφουν μια τιμή true ή false.
Σημείωμα
Δεν μπορούν να οριστούν όλα τα φίλτρα ασφάλειας σε επίπεδο γραμμών που υποστηρίζονται στο Power BI χρησιμοποιώντας το προεπιλεγμένο πρόγραμμα επεξεργασίας. Οι περιορισμοί περιλαμβάνουν παραστάσεις που σήμερα μπορούν να οριστούν μόνο με χρήση του DAX, συμπεριλαμβανομένων δυναμικών κανόνων, όπως username() ή userprincipalname(). Για να ορίσετε ρόλους χρησιμοποιώντας αυτά τα φίλτρα, μεταβείτε για να χρησιμοποιήσετε το πρόγραμμα επεξεργασίας DAX.
Προαιρετικά, επιλέξτε Μετάβαση στο πρόγραμμα επεξεργασίας DAX για να μεταβείτε στη χρήση του προγράμματος επεξεργασίας DAX για να ορίσετε τον ρόλο σας. Οι παραστάσεις DAX επιστρέφουν μια τιμή true ή false. Για παράδειγμα:
[Entity ID] = “Value”
. Το πρόγραμμα επεξεργασίας DAX συμπληρώνεται με την αυτόματη συμπλήρωση για τύπους (intellisense). Μπορείτε να επιλέξετε το σημάδι ελέγχου πάνω από το πλαίσιο παράστασης για να επικυρώσετε την παράσταση και το κουμπί X πάνω από το πλαίσιο παράστασης για να επαναφέρετε τις αλλαγές.Σημείωμα
Μπορείτε να χρησιμοποιήσετε τη συνάρτηση username() μέσα σε αυτή την παράσταση. Να γνωρίζετε ότι η συνάρτηση username() έχει τη μορφή ΤΟΜΈΑΣ\όνομα χρήστη στο Power BI Desktop. Στην υπηρεσία Power BI και τον Power BI Report Server, έχει τη μορφή του κύριου ονόματος χρήστη (UPN). Εναλλακτικά, μπορείτε να χρησιμοποιήσετε τη συνάρτηση userprincipalname(), η οποία επιστρέφει πάντα τον χρήστη με τη μορφή του κύριου ονόματος χρήστη, username@contoso.com. Επιπλέον, σε αυτό το πλαίσιο παράστασης, χρησιμοποιήστε κόμματα για να διαχωρίσετε ορίσματα συναρτήσεων DAX, ακόμη και αν χρησιμοποιείτε τοπικές ρυθμίσεις που συνήθως χρησιμοποιούν διαχωριστικά με ερωτηματικό (π.χ. Γαλλικά ή Γερμανικά).
Μπορείτε να επιστρέψετε στο προεπιλεγμένο πρόγραμμα επεξεργασίας, επιλέγοντας Μετάβαση στο προεπιλεγμένο πρόγραμμα επεξεργασίας. Όλες οι αλλαγές που πραγματοποιήθηκαν σε οποιοδήποτε από τα δύο περιβάλλοντα εργασίας του προγράμματος επεξεργασίας διατηρούνται κατά την εναλλαγή διασυνδέσεων, όποτε είναι δυνατό. Όταν ορίζετε έναν ρόλο χρησιμοποιώντας το πρόγραμμα επεξεργασίας DAX που δεν μπορεί να οριστεί στο προεπιλεγμένο πρόγραμμα επεξεργασίας, εάν επιχειρήσετε να μεταβείτε στο προεπιλεγμένο πρόγραμμα επεξεργασίας, θα σας ζητηθεί μια προειδοποίηση ότι η αλλαγή προγράμματος επεξεργασίας μπορεί να έχει ως αποτέλεσμα την απώλεια ορισμένων πληροφοριών. Για να διατηρήσετε αυτές τις πληροφορίες, επιλέξτε Ακύρωση και συνεχίστε να επεξεργάζεστε αυτόν τον ρόλο μόνο στο πρόγραμμα επεξεργασίας DAX.
Σημείωμα
Σε αυτό το πλαίσιο παράστασης, χρησιμοποιήστε κόμματα για να διαχωρίσετε ορίσματα συναρτήσεων DAX, ακόμα και αν χρησιμοποιείτε τοπικές ρυθμίσεις που συνήθως χρησιμοποιούν διαχωριστικά με ερωτηματικό (π.χ. Γαλλικά ή Γερμανικά).
Επιλέξτε Αποθήκευση.
Δεν μπορείτε να αναθέσετε χρήστες σε έναν ρόλο στο Power BI Desktop. Τις εκχωρείτε στην υπηρεσία Power BI. Μπορείτε να ενεργοποιήσετε τη δυναμική ασφάλεια στο Power BI Desktop κάνοντας χρήση των συναρτήσεων DAX username() ή userprincipalname() και έχοντας ρυθμίσει τις παραμέτρους των κατάλληλων σχέσεων.
Από προεπιλογή, το φιλτράρισμα ασφαλείας σε επίπεδο γραμμών χρησιμοποιεί φίλτρα μονής κατεύθυνσης, ανεξάρτητα αν οι σχέσεις έχουν οριστεί σε μονή ή αμφίδρομη κατεύθυνση. Μπορείτε να ενεργοποιήσετε με μη αυτόματο τρόπο το διασταυρούμενο φιλτράρισμα διπλής κατεύθυνσης με ασφάλεια σε επίπεδο γραμμών, επιλέγοντας τη σχέση και επιλέγοντας το πλαίσιο ελέγχου Εφαρμογή φίλτρων ασφαλείας και στις δύο κατευθύνσεις . Σημειώστε ότι εάν ένας πίνακας λαμβάνει μέρος σε πολλές σχέσεις αμφίδρομης κατεύθυνσης, μπορείτε να επιλέξετε αυτή την επιλογή μόνο για μία από αυτές τις σχέσεις. Ενεργοποιήστε αυτή την επιλογή όταν υλοποιήσετε δυναμική ασφάλεια σε επίπεδο γραμμών στο επίπεδο διακομιστή, όπου η ασφάλεια σε επίπεδο γραμμών βασίζεται στο όνομα χρήστη ή το αναγνωριστικό σύνδεσης.
Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Διασταυρούμενο φιλτράρισμα διπλής κατεύθυνσης με χρήση του DirectQuery στο Power BI και στο τεχνικό άρθρο Ασφάλιση του μοντέλου σημασιολογίας BI σε μορφή πίνακα.
Διαχείριση ασφάλειας στο μοντέλο σας
Για να διαχειριστείτε την ασφάλεια στο σημασιολογικό μοντέλο σας, ανοίξτε τον χώρο εργασίας όπου αποθηκεύσατε το σημασιολογικό μοντέλο σας στο Fabric και κάντε τα παρακάτω βήματα:
Στο Fabric, επιλέξτε το μενού Περισσότερες επιλογές για ένα μοντέλο σημασιολογίας. Αυτό το μενού εμφανίζεται όταν τοποθετείτε τον δείκτη του ποντικιού σε ένα όνομα μοντέλου σημασιολογίας.
Επιλέξτε Ασφάλεια.
Η Ασφάλεια σάς μεταφέρει στη σελίδα Ασφάλεια σε επίπεδο ρόλων, όπου προσθέτετε μέλη σε έναν ρόλο που δημιουργήσατε. Συμβάλλων (και μεγαλύτεροι ρόλοι χώρου εργασίας) θα βλέπουν την Ασφάλεια και μπορούν να αναθέσουν χρήστες σε έναν ρόλο.
Εργασία με μέλη
Προσθήκη μελών
Στην υπηρεσία Power BI, μπορείτε να προσθέσετε ένα μέλος στον ρόλο, πληκτρολογώντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου ή το όνομα του χρήστη ή της ομάδας ασφαλείας. Δεν μπορείτε να προσθέσετε Ομάδες που έχουν δημιουργηθεί στο Power BI. Μπορείτε να προσθέσετε μέλη εξωτερικά στον οργανισμό σας.
Μπορείτε να χρησιμοποιήσετε τις ακόλουθες ομάδες για να ρυθμίσετε την ασφάλεια σε επίπεδο γραμμών.
- Ομάδα διανομής
- Ομάδα με δυνατότητα αλληλογραφίας
- Ομάδα ασφαλείας Microsoft Entra
Σημειώστε ότι οι ομάδες του Microsoft 365 δεν υποστηρίζονται και δεν μπορούν να προστεθούν σε οποιονδήποτε ρόλο.
Μπορείτε επίσης να δείτε πόσα μέλη ανήκουν στον ρόλο από τον αριθμό σε παρένθεση δίπλα στο όνομα του ρόλου ή δίπλα στα μέλη.
Κατάργηση μελών
Μπορείτε να καταργήσετε μέλη επιλέγοντας το X δίπλα στο όνομά τους.
Επικύρωση του ρόλου εντός της υπηρεσίας Power BI
Μπορείτε να επαληθεύσετε ότι ο ρόλος που ορίσατε λειτουργεί σωστά στην υπηρεσία Power BI, δοκιμάζοντας τον ρόλο.
- Επιλέξτε Περισσότερες επιλογές (...) δίπλα στον ρόλο.
- Επιλέξτε Δοκιμή ως ρόλος.
Ανακατευθύνεστε στην αναφορά που δημοσιεύτηκε από το Power BI Desktop με αυτό το σημασιολογικό μοντέλο, εάν υπάρχει. Οι πίνακες εργαλείων δεν είναι διαθέσιμοι για δοκιμές χρησιμοποιώντας την επιλογή Δοκιμή ως ρόλου .
Στην κεφαλίδα της σελίδας, εμφανίζεται ο ρόλος που εφαρμόζεται. Δοκιμάστε άλλους ρόλους, έναν συνδυασμό ρόλων ή ένα συγκεκριμένο άτομο, επιλέγοντας Προβολή τώρα ως. Εδώ βλέπετε σημαντικές λεπτομέρειες σχετικά με τα δικαιώματα που αφορούν το άτομο ή τον ρόλο που δοκιμάζεται. Για περισσότερες πληροφορίες σχετικά με τον τρόπο αλληλεπίδρασης των δικαιωμάτων με το RLS, ανατρέξτε στο θέμα Εμπειρία χρήστη RLS.
Δοκιμάστε άλλες αναφορές που συνδέονται στο μοντέλο σημασιολογίας, επιλέγοντας Προβολή στην κεφαλίδα της σελίδας. Μπορείτε να ελέγξετε αναφορές που βρίσκονται μόνο στον ίδιο χώρο εργασίας με το σημασιολογικό μοντέλο σας.
Για να επιστρέψετε στην κανονική προβολή, επιλέξτε Επιστροφή στην ασφάλεια σε επίπεδο γραμμών.
Σημείωμα
Η δυνατότητα Δοκιμή ως ρόλου δεν λειτουργεί για μοντέλα DirectQuery με ενεργοποιημένη την καθολική σύνδεση (SSO). Επιπλέον, δεν μπορούν να επικυρωθούν όλες οι πτυχές μιας αναφοράς στη δυνατότητα Δοκιμή ως ρόλου, συμπεριλαμβανομένων των απεικονίσεων Ε&Α, των απεικονίσεων Γρήγορων δεδομενικών πληροφοριών και Copilot.
Χρήση της συνάρτησης DAX username() ή userprincipalname()
Μπορείτε να εκμεταλλευτείτε τις συναρτήσεις DAX username() ή userprincipalname() εντός του συνόλου δεδομένων σας. Μπορείτε να τις χρησιμοποιήσετε σε παραστάσεις στο Power BI Desktop. Όταν δημοσιεύετε το μοντέλο σας, θα χρησιμοποιηθεί εντός της υπηρεσίας Power BI.
Στο Power BI Desktop, η συνάρτηση username() θα επιστρέψει έναν χρήστη με τη μορφή ΤΟΜΈΑΣ\Χρήστης και η συνάρτηση userprincipalname() θα επιστρέψει έναν χρήστη με τη μορφή user@contoso.com.
Στην υπηρεσία Power BI, η συνάρτηση username() και η συνάρτηση userprincipalname() θα επιστρέψουν και οι δύο το κύριο όνομα χρήστη (UPN). Αυτό μοιάζει με μια διεύθυνση ηλεκτρονικού ταχυδρομείου.
Χρήση RLS με χώρους εργασίας στο Power BI
Εάν δημοσιεύσετε την αναφορά σας Power BI Desktop σε έναν χώρο εργασίας στην υπηρεσία Power BI, οι ρόλοι RLS εφαρμόζονται στα μέλη που έχουν αντιστοιχιστεί στον ρόλο "Θεατής " στον χώρο εργασίας. Ακόμη και αν εκχωρούνται στους Θεατές δικαιώματα δόμησης για το μοντέλο σημασιολογίας, το RLS εξακολουθεί να ισχύει. Για παράδειγμα, εάν οι θεατές με δικαιώματα δόμησης χρησιμοποιούν την Ανάλυση στο Excel, η προβολή τους των δεδομένων περιορίζεται από το RLS. Στα μέλη του χώρου εργασίας εκχωρούνται δικαιώματα "Διαχειριστής", "Μέλος" ή "Συμβάλλων " για το μοντέλο σημασιολογίας και, επομένως, το RLS δεν ισχύει για αυτά. Εάν θέλετε το RLS να εφαρμόζεται σε άτομα σε έναν χώρο εργασίας, μπορείτε να τους αναθέσετε μόνο τον ρόλο Θεατής . Διαβάστε περισσότερα σχετικά με τους ρόλους σε χώρους εργασίας.
Ζητήματα προς εξέταση και περιορισμοί
Εδώ μπορείτε να δείτε τους τρέχοντες περιορισμούς για την ασφάλεια σε επίπεδο γραμμών σε μοντέλα cloud:
- Εάν ορίσατε προηγουμένως ρόλους και κανόνες στην υπηρεσία Power BI, πρέπει να τους δημιουργήσετε εκ νέου στο Power BI Desktop.
- Μπορείτε να ορίσετε RLS μόνο στα σημασιολογικά μοντέλα που δημιουργούνται με το Power BI Desktop. Εάν θέλετε να ενεργοποιήσετε το RLS για σημασιολογικά μοντέλα που έχουν δημιουργηθεί με το Excel, πρέπει πρώτα να μετατρέψετε τα αρχεία σας σε αρχεία Power BI Desktop (PBIX). Μάθετε περισσότερα..
- Οι οντότητες υπηρεσίας δεν μπορούν να προστεθούν σε έναν ρόλο RLS. Κατά συνέπεια, το RLS δεν εφαρμόζεται για εφαρμογές που χρησιμοποιούν μια κύρια υπηρεσία ως την τελική αποτελεσματική ταυτότητα.
- Υποστηρίζονται μόνο οι συνδέσεις Εισαγωγή και DirectQuery. Ο χειρισμός των δυναμικών συνδέσεων στις Υπηρεσίες ανάλυσης γίνεται στο μοντέλο εσωτερικής εγκατάστασης.
- Η δυνατότητα Δοκιμή ως ρόλος/Προβολή ως δεν λειτουργεί για μοντέλα DirectQuery με ενεργοποιημένη την καθολική σύνδεση (SSO).
- Η δυνατότητα Δοκιμή ως ρόλος/προβολή ως ρόλου εμφανίζει μόνο αναφορές από χώρο εργασίας σημασιολογικών μοντέλων.
- Η δυνατότητα Δοκιμή ως ρόλος/Προβολή ως ρόλου δεν λειτουργεί για σελιδοποιημένες αναφορές.
Να θυμάστε ότι εάν μια αναφορά Power BI αναφέρεται σε μια γραμμή με ρυθμισμένη την RLS, τότε εμφανίζεται το ίδιο μήνυμα όπως για ένα πεδίο που διαγράφηκε ή δεν υπάρχει. Για αυτούς τους χρήστες, φαίνεται ότι η αναφορά έχει διακοπεί.
Συνήθεις ερωτήσεις
Ερώτηση: Τι γίνεται εάν έχω δημιουργήσει προηγουμένως ρόλους και κανόνες για ένα σύνολο δεδομένων στην υπηρεσία Power BI; Εξακολουθούν να λειτουργούν αν δεν κάνω τίποτα;
Απάντηση: Όχι, οι απεικονίσεις δεν αποδίδονται σωστά. Πρέπει να δημιουργήσετε εκ νέου τους ρόλους και τους κανόνες στο Power BI Desktop και, στη συνέχεια, να δημοσιεύσετε στην υπηρεσία Power BI.
Ερώτηση: Μπορώ να δημιουργήσω αυτούς τους ρόλους για προελεύσεις δεδομένων Υπηρεσιών ανάλυσης;
Απάντηση: Ναι, εάν εισαγάγατε τα δεδομένα στο Power BI Desktop. Εάν χρησιμοποιείτε δυναμική σύνδεση, δεν μπορείτε να ρυθμίσετε τις παραμέτρους RLS στην υπηρεσία Power BI. Ορίζετε το RLS στο μοντέλο Υπηρεσιών ανάλυσης εσωτερικής εγκατάστασης.
Ερώτηση: Μπορώ να χρησιμοποιήσω το RLS για να περιοριστώ τις στήλες ή τις μετρήσεις που είναι προσβάσιμες από τους χρήστες μου;
Απάντηση: Όχι, εάν ένας χρήστης έχει πρόσβαση σε μια συγκεκριμένη γραμμή δεδομένων, μπορεί να δει όλες τις στήλες δεδομένων για αυτήν τη γραμμή. Για να περιορίσετε την πρόσβαση σε στήλες και μετα-δεδομένα στήλης, εξετάστε το ενδεχόμενο να χρησιμοποιήσετε ασφάλεια σε επίπεδο αντικειμένου.
Ερώτηση: Η RLS μού επιτρέπει να αποκρύπτω λεπτομερή δεδομένα, αλλά να παρέχω πρόσβαση σε δεδομένα που συνοψίζονται σε απεικονίσεις;
Απάντηση: Όχι, ασφαλίζετε μεμονωμένες γραμμές δεδομένων, αλλά οι χρήστες μπορούν πάντα να βλέπουν είτε τις λεπτομέρειες είτε τα συνοπτικά δεδομένα.
Ερώτηση: Η προέλευση δεδομένων μου έχει ήδη καθορισμένους ρόλους ασφαλείας (για παράδειγμα, ρόλοι SQL Server ή SAP BW). Ποια είναι η σχέση μεταξύ αυτών των ρόλων και του RLS;
Απάντηση: Η απάντηση εξαρτάται από το αν εισάγετε δεδομένα ή χρησιμοποιείτε το DirectQuery. Εάν εισάγετε δεδομένα στο σύνολο δεδομένων σας Power BI, οι ρόλοι ασφαλείας στην προέλευση δεδομένων σας δεν χρησιμοποιούνται. Σε αυτήν την περίπτωση, θα πρέπει να ορίσετε το RLS για την επιβολή κανόνων ασφαλείας για τους χρήστες που συνδέονται στο Power BI. Εάν χρησιμοποιείτε το DirectQuery, χρησιμοποιούνται οι ρόλοι ασφαλείας στην προέλευση δεδομένων σας. Όταν ένας χρήστης ανοίγει μια αναφορά, το Power BI αποστέλλει ένα ερώτημα στην υποκείμενη προέλευση δεδομένων, το οποίο εφαρμόζει κανόνες ασφαλείας στα δεδομένα με βάση τα διαπιστευτήρια του χρήστη.
Ερώτηση: Μπορεί ένας χρήστης να ανήκει σε περισσότερους από έναν ρόλους;
Απάντηση: Ένας χρήστης μπορεί να ανήκει σε πολλούς ρόλους και οι ρόλοι είναι πρόσθετοι. Για παράδειγμα, εάν ένας χρήστης ανήκει στους ρόλους "Πωλήσεις" και "Μάρκετινγκ", μπορεί να δει δεδομένα και για τους δύο αυτούς ρόλους.
Σχετικό περιεχόμενο
- Περιορισμός πρόσβασης σε δεδομένα με την ασφάλεια σε επίπεδο γραμμών (RLS) για το Power BI Desktop
- Οδηγίες ασφάλειας σε επίπεδο γραμμών (RLS) στο Power BI Desktop
- Σχεδιασμός υλοποίησης Power BI: Σχεδιασμός ασφάλειας καταναλωτών αναφοράς
- RLS για ενσωματωμένα σενάρια για ISV
Ερωτήσεις; Δοκιμάστε να ρωτήσετε τις προτάσεις της κοινότητας του Power BI; Συνεισφέρετε ιδέες για τη βελτίωση του Power BI