Engedélymodell
A Microsoft Fabric rugalmas engedélymodellel rendelkezik, amely lehetővé teszi a szervezet adataihoz való hozzáférés szabályozását. Ez a cikk ismerteti a Fabric különböző engedélytípusait, valamint azt, hogy hogyan működnek együtt a szervezet adataihoz való hozzáférés szabályozása érdekében.
A munkaterület a Fabric elemeinek csoportosítására szolgáló logikai entitás. A munkaterületi szerepkörök hozzáférési engedélyeket határoznak meg a munkaterületekhez. Bár az elemek egy munkaterületen vannak tárolva, a Háló más felhasználóival is megoszthatóak. Hálóelemek megosztásakor eldöntheti, hogy mely engedélyekkel adja meg az elemet megosztó felhasználónak. Bizonyos elemek, például a Power BI-jelentések még részletesebben szabályozják az adatokat. A jelentések beállíthatók úgy, hogy az engedélyüktől függően azok a felhasználók, akik megtekintik őket, csak az általuk tárolt adatok egy részét lássák.
Munkaterületi szerepkörök
A munkaterületi szerepkörök a munkaterületekhez és a bennük lévő tartalmakhoz való hozzáférés szabályozására szolgálnak. A hálógazdák munkaterületi szerepköröket rendelhetnek hozzá az egyes felhasználókhoz vagy csoportokhoz. A munkaterületi szerepkörök egy adott munkaterületre korlátozódnak, és nem vonatkoznak más munkaterületekre, a munkaterület kapacitására vagy a bérlőre.
Négy munkaterületi szerepkör van, amelyek a munkaterületen belüli összes elemre vonatkoznak. Azok a felhasználók, akiknek nincs ilyen szerepkörük, nem férhetnek hozzá a munkaterülethez. A szerepkörök a következők:
Megtekintő – Megtekintheti a munkaterület összes tartalmát, de nem módosíthatja.
Közreműködő – Megtekintheti és módosíthatja a munkaterület összes tartalmát.
Tag – Megtekintheti, módosíthatja és megoszthatja a munkaterület összes tartalmát.
Rendszergazda – Megtekintheti, módosíthatja, megoszthatja és kezelheti a munkaterület összes tartalmát, beleértve az engedélyek kezelését is.
Ez a táblázat az egyes szerepkörök képességeinek egy kis halmazát mutatja be. A teljes és részletesebb listát a Microsoft Fabric-munkaterületi szerepkörökben találja.
Funkció | Rendszergazda | Tag | Közreműködő | Megtekintő |
---|---|---|---|---|
A munkaterület törlése | ✅ | ❌ | ❌ | ❌ |
Rendszergazdák hozzáadása | ✅ | ❌ | ❌ | ❌ |
Tagok hozzáadása | ✅ | ✅ | ❌ | ❌ |
Adatok írása | ✅ | ✅ | ✅ | ❌ |
Elemek létrehozása | ✅ | ✅ | ✅ | ❌ |
Adatok beolvasása | ✅ | ✅ | ✅ | ✅ |
Elemengedélyek
Az elemengedélyek a munkaterületen belüli egyes hálóelemekhez való hozzáférés szabályozására szolgálnak. Az elemengedélyek egy adott elemre korlátozódnak, és nem vonatkoznak más elemekre. Elemengedélyek használatával szabályozhatja, hogy ki tekintheti meg, módosíthatja és kezelheti a munkaterület egyes elemeit. Az elemengedélyekkel hozzáférést adhat a felhasználónak egy olyan munkaterület egyetlen eleméhez, amelyhez nincs hozzáférése.
Ha egy felhasználóval vagy csoporttal osztja meg az elemet, konfigurálhatja az elemengedélyeket. Egy elem megosztása alapértelmezés szerint olvasási engedélyt ad a felhasználónak az adott elemhez. Az olvasási engedélyek lehetővé teszik a felhasználók számára, hogy lássák az adott elem metaadatait, és megtekinthetik a hozzá társított jelentéseket. Az olvasási engedélyek azonban nem teszik lehetővé a felhasználók számára a mögöttes adatok elérését az SQL-ben vagy a OneLake-ben.
A különböző hálóelemek különböző engedélyekkel rendelkeznek. Az egyes elemek engedélyeiről a következő témakörben olvashat bővebben:
Számítási engedélyek
Az engedélyek egy adott számítási motoron belül is beállíthatók a Fabricben, különösen az SQL Analytics-végponton vagy szemantikai modellen keresztül. A számítási motor engedélyei részletesebb adathozzáférés-vezérlést tesznek lehetővé, például tábla- és sorszintű biztonságot.
SQL Analytics-végpont – Az SQL Analytics-végpont közvetlen SQL-hozzáférést biztosít a OneLake-táblákhoz, és natív módon konfigurálhatja a biztonságot SQL-parancsokkal. Ezek az engedélyek csak az SQL-en keresztül végzett lekérdezésekre vonatkoznak.
Szemantikai modell – A szemantikai modellek lehetővé teszik a biztonság DAX használatával történő meghatározását. A DAX használatával definiált korlátozások a szemantikai modellen vagy a szemantikai modellre épülő Power BI-jelentéseken keresztül lekérdező felhasználókra vonatkoznak.
További információt az alábbi cikkekben talál:
OneLake-engedélyek (adathozzáférési szerepkörök)
A OneLake saját engedélyekkel rendelkezik a OneLake-ben lévő fájlokhoz és mappákhoz való hozzáférés szabályozásához a OneLake-beli adathozzáférési szerepkörökön keresztül . A OneLake adathozzáférési szerepkörei lehetővé teszik, hogy a felhasználók egyéni szerepköröket hozzanak létre egy tóházban, és olvasási engedélyeket csak a megadott mappáknak adjanak meg a OneLake elérésekor. Az egyes OneLake-szerepkörökhöz a felhasználók felhasználókat, biztonsági csoportokat rendelhetnek hozzá, vagy automatikus hozzárendelést adhatnak a munkaterületi szerepkör alapján.
További információ a OneLake adathozzáférés-vezérlési modellről, és tekintse meg a útmutatókat.
A művelet sorrendje
A Háló három különböző biztonsági szinttel rendelkezik. A felhasználónak minden szinten hozzáféréssel kell rendelkeznie az adatok eléréséhez. Minden szint egymás után kiértékeli, hogy egy felhasználó rendelkezik-e hozzáféréssel. Az olyan biztonsági szabályok, mint a Microsoft Information Protection-szabályzatok , egy adott szinten kiértékelik a hozzáférést, vagy letiltják a hozzáférést. A Háló biztonságának kiértékelésekor a művelet sorrendje a következő:
- Entra-hitelesítés: Ellenőrzi, hogy a felhasználó képes-e hitelesítést végezni a Microsoft Entra-bérlőn.
- Hálóhozzáférés: Ellenőrzi, hogy a felhasználó hozzáfér-e a Microsoft Fabrichez.
- Adatbiztonság: Ellenőrzi, hogy a felhasználó végrehajthatja-e a kért műveletet egy táblán vagy fájlon.
Példák
Ez a szakasz két példát mutat be arra, hogyan állíthatók be engedélyek a Hálóban.
1. példa: Csoportengedélyek beállítása
A Wingtip Toys egy bérlővel és három kapacitással van beállítva a teljes szervezet számára. Minden kapacitás egy másik régiót jelöl. A Wingtip Toys Egyesült Államok, Európában és Ázsiában működik. Minden kapacitás rendelkezik egy munkaterülettel a szervezet minden részlegéhez, beleértve az értékesítési részleget is.
Az értékesítési részleg rendelkezik egy vezetővel, egy értékesítési csapat vezetővel és értékesítési csapattagokkal. A Wingtip Toys egy elemzőt is alkalmaz a teljes szervezet számára.
Az alábbi táblázat az értékesítési részleg egyes szerepköreinek követelményeit és az engedélyek engedélyezésének módját mutatja be.
Szerepkör | Követelmény | Beállítás |
---|---|---|
Kezelő | Az értékesítési részleg összes tartalmának megtekintése és módosítása a teljes szervezetben | Tagi szerepkör a szervezet összes értékesítési munkaterületéhez |
Csapatvezető | Az értékesítési részleg összes tartalmának megtekintése és módosítása egy adott régióban | A régió értékesítési munkaterületének tagi szerepköre |
Értékesítési csapattag | ||
Elemző | Az értékesítési részleg összes tartalmának megtekintése a teljes szervezetben | Megtekintői szerepkör a szervezet összes értékesítési munkaterületéhez |
A Wingtip egy negyedéves jelentéssel is rendelkezik, amely felsorolja az egy értékesítési tagra jutó értékesítési bevételét. Ez a jelentés egy pénzügyi munkaterületen van tárolva. A sorszintű biztonság használatával a jelentés úgy van beállítva, hogy az egyes értékesítési tagok csak a saját értékesítési adataikat láthassák. A csapatvezetők láthatják a régiójukban lévő összes értékesítési tag értékesítési adatait, az értékesítési vezető pedig a szervezet összes értékesítési tagjának értékesítési adatait.
2. példa: Munkaterület- és elemengedélyek
Ha megoszt egy elemet, vagy módosítja annak engedélyeit, a munkaterületi szerepkörök nem változnak. Az ebben a szakaszban látható példa bemutatja, hogyan működnek a munkaterület és az elemengedélyek.
Veronica és Marta együtt dolgoznak. Veronica egy jelentés tulajdonosa, amit meg szeretne osztani Martával. Ha Veronica megosztja a jelentést Martával, Marta a munkaterületi szerepkörétől függetlenül hozzáférhet hozzá.
Tegyük fel, hogy Marta megtekintői szerepkörrel rendelkezik azon a munkaterületen, ahol a jelentést tárolják. Ha Veronica úgy dönt, hogy eltávolítja Marta elemengedélyeit a jelentésből, Marta továbbra is megtekintheti a jelentést a munkaterületen. Marta a munkaterületről is megnyithatja a jelentést, és megtekintheti annak tartalmát. Ennek az az oka, hogy Marta megtekintési engedélyekkel rendelkezik a munkaterülethez.
Ha Veronica nem szeretné, hogy Marta megtekintse a jelentést, marta elemengedélyeinek eltávolítása a jelentésből nem elég. Veronikának emellett el kell távolítania Marta megtekintői engedélyeit a munkaterületről. A munkaterület-megtekintő engedélyei nélkül Marta nem fogja látni, hogy a jelentés létezik, mert nem fog tudni hozzáférni a munkaterülethez. Marta nem fogja tudni használni a jelentésre mutató hivatkozást, mert nincs hozzáférése a jelentéshez.
Most, hogy Marta nem rendelkezik munkaterület-megtekintő szerepkörrel, ha Veronica úgy dönt, hogy ismét megosztja vele a jelentést, Marta megtekintheti azt a Veronica által megosztott hivatkozás használatával anélkül, hogy hozzáférése lenne a munkaterülethez.
3. példa: Power BI-alkalmazásengedélyek
A Power BI-jelentések megosztásakor gyakran azt szeretné, hogy a címzettek csak a jelentésekhez férjenek hozzá, és ne a munkaterület elemeihez. Ehhez power BI-alkalmazásokat használhat, vagy jelentéseket oszthat meg közvetlenül a felhasználókkal.
Emellett a sorszintű biztonság (RLS) használatával korlátozhatja az adatokhoz való hozzáférést, az RLS használatával olyan szerepköröket hozhat létre, amelyek hozzáféréssel rendelkeznek az adatok bizonyos részeihez, és korlátozhatja azokat az eredményeket, amelyek csak a felhasználó identitásához férnek hozzá.
Ez akkor működik jól, ha importálási modelleket használ, mivel az adatok a szemantikai modellbe vannak importálva, és a címzettek az alkalmazás részeként hozzáférhetnek ezekhez. A DirectLake használatával a jelentés közvetlenül a Lakehouse-ból olvassa be az adatokat, és a jelentés címzettjének hozzá kell férnie ezekhez a fájlokhoz a tóban. Ezt többféleképpen is megteheti:
- Adjon
ReadData
engedélyt közvetlenül a Lakehouse-ra. - Állítsa át az adatforrás hitelesítő adatait Egyszeri bejelentkezés (SSO) egy rögzített identitásra, amely hozzáfér a tóban lévő fájlokhoz.
Mivel az RLS a szemantikai modellben van definiálva, az adatok először beolvashatók, majd a sorok szűrve lesznek.
Ha a jelentésre épülő SQL Analytics-végpontban bármilyen biztonsági beállítás van meghatározva, a lekérdezések automatikusan DirectQuery módba kerülnek vissza. Ha nem szeretné ezt az alapértelmezett tartalék viselkedést, létrehozhat egy új Lakehouse-t az eredeti Lakehouse-táblákra mutató billentyűparancsokkal, és nem definiálhat RLS-t vagy OLS-t az SQL-ben az új Lakehouse-on.