A Power BI-modellobjektumokhoz való hozzáférés korlátozása

  • 8 perc

Adatmodellezőként érdemes lehet korlátozni a felhasználói hozzáférést a Power BI-modell objektumaihoz. Az objektumszintű biztonság (OLS) korlátozhatja bizonyos táblákhoz és oszlopokhoz, valamint azok metaadataihoz való hozzáférést. Az OLS-t általában olyan objektumok védelmére alkalmazza, amelyek bizalmas adatokat tárolnak, például az alkalmazottak személyes adatait.

Amikor a Power BI kényszeríti az OLS-t, nemcsak a táblákhoz és oszlopokhoz való hozzáférést korlátozza, hanem a metaadatokat is. A metaadatok védelmekor nem lehet adatokat lekérni a védett táblákról és oszlopokról dinamikus felügyeleti nézetek (DMV-k) használatával.

Fontos

A táblázatos modellek perspektíva használatával elrejthetik a táblákat és oszlopokat (és más objektumokat). A perspektíva a modellobjektumok megtekinthető részhalmazait határozza meg, hogy a jelentéskészítők konkrét fókuszt biztosítsanak. A perspektívák célja, hogy csökkentsék a modell összetettségét, és segítsenek a jelentéskészítőknek megtalálni az érdekes erőforrásokat. A perspektívák azonban nem biztonsági funkciók, mert nem védik az objektumokat. A felhasználók akkor is lekérdezhetnek egy táblát vagy oszlopot, ha az nem látható számukra.

Vegyünk egy példát az Adventure Works-ben. Ez a szervezet egy DimEmployee nevű adattárház dimenziótáblával rendelkezik. A táblázat olyan oszlopokat tartalmaz, amelyek az alkalmazottak nevét, telefonszámát, e-mail-címét és fizetését tárolják. Bár az általános jelentés felhasználói láthatják az alkalmazottak nevét és kapcsolattartási adatait, nem láthatják a bérértékeket. Csak a vezető emberierőforrás-munkatársak láthatják a bérértékeket. Az adatmodellező tehát OLS-t használt, hogy csak bizonyos emberierőforrás-személyzet számára biztosítson hozzáférést a béroszlophoz.

Képernyőkép az Alkalmazott tábla modelldiagram nézetéről, amely tartalmazza a korlátozott fizetés oszlopot.

Az OLS az Azure Analysis Servicestől (AAS) és az SQL Server Analysis Servicestől (SSAS) örökölt szolgáltatás. A funkció a Power BI Premiumban érhető el, hogy visszamenőleges kompatibilitást biztosítson a Power BI-ba migrált modellekhez. Ezért nem lehet teljesen beállítani az OLS-t a Power BI Desktopban.

OLS beállítása

Az OLS beállításához először szerepköröket kell létrehoznia. A Power BI Desktopban ugyanúgy hozhat létre szerepköröket, mint az RLS beállításakor. Ezután OLS-szabályokat kell hozzáadnia a szerepkörökhöz. Ezt a képességet a Power BI Desktop nem támogatja, ezért más megközelítést kell alkalmaznia.

OLS-szabályokat adhat hozzá egy Power BI Desktop-modellhez egy XML for Analysis (XMLA) végpont használatával. Az XMLA-végpontok a Power BI Premiumban érhetők el, és hozzáférést biztosítanak az Analysis Services motorhoz a Power BI szolgáltatás. Az olvasási/írási végpont támogatja az adathalmazok kezelését, az alkalmazás életciklusának kezelését, a fejlett adatmodellezést és egyebeket. XmlA végpontbarát API-kat használhat szkripteléshez, például táblázatos modellszkriptnyelvet (TMSL) vagy a PowerShell SqlServer modult. Vagy használhat egy ügyféleszközt, például az SSMS-t. Léteznek külső eszközök is, például a Tabular Editor, amely nyílt forráskódú eszköz modellek létrehozásához, karbantartásához és kezeléséhez.

Alapértelmezés szerint az összes modelltáblát és oszlopot nem korlátozza a rendszer. Beállíthatja a None (Nincs) vagy az Olvasás (Olvasott) értéket. Ha Nincs értékre van állítva, a szerepkörhöz társított felhasználók nem férhetnek hozzá az objektumhoz. Ha olvasásra van állítva, a szerepkörrel társított felhasználók hozzáférhetnek az objektumhoz. Adott oszlopok korlátozásakor győződjön meg arról, hogy a tábla nincs beállítva.

Az OLS-szabályok hozzáadása után közzéteheti a modellt a Power BI szolgáltatás. Ugyanezt a folyamatot használja az RLS-hez a fiókok és biztonsági csoportok szerepkörökhöz való leképezéséhez.

Megfontolások

A Power BI-jelentésekben, ha egy felhasználó nem rendelkezik engedéllyel egy tábla vagy oszlop elérésére, hibaüzenet jelenik meg. Az üzenet tájékoztatja őket arról, hogy az objektum nem létezik.

Képernyőkép egy Power B I Desktop-hibaüzenetről, amikor egy jelentésvizualizáció korlátozott oszlopot próbál lekérdezni.

Alaposan gondolja át, hogy az OLS a megfelelő megoldás-e a projekthez. Ha egy felhasználó megnyit egy Korlátozott objektumot lekérdező Power BI-jelentést (számukra), a hibaüzenet zavaró lehet, és negatív élményt eredményez. Számukra úgy tűnik, hogy a jelentés hibás. Jobb megoldás lehet egy különálló modell vagy jelentéskészlet létrehozása a különböző jelentésfelhasználói követelményekhez.

Korlátozások

Az OLS implementálása során korlátozásokkal kell tisztában lenni.

Az RLS és az OLS nem keverhető ugyanabban a szerepkörben. Ha RLS-t és OLS-t kell alkalmaznia ugyanabban a modellben, hozzon létre külön szerepköröket az egyes típusokhoz. Emellett nem állíthat be táblaszintű biztonságot, ha megszakít egy kapcsolatláncot. Ha például az A és a B tábla, valamint a B és a C tábla között kapcsolat áll fenn, a B táblát nem lehet biztonságossá helyezni. Ha a B tábla védett, az A táblában lévő lekérdezések nem tudják átvitni az A és a B, valamint a B és a C tábla közötti kapcsolatokat. Ebben az esetben külön kapcsolatot állíthat be az A és a C tábla között.

Az ábrán az előző bekezdésben leírt kapcsolati példa látható.

A védett oszlopra hivatkozó modellkapcsolatok azonban működni fognak, feltéve, hogy az oszlop táblája nem védett.

Végül, bár a mértékek védelme nem lehetséges, a védett objektumokra hivatkozó mértékek automatikusan korlátozottak lesznek.

További információ: Objektumszintű biztonság.