Sorszintű biztonság (RLS) a Power BI-jal

  • Cikk

A Sorszintű biztonság (RLS) a Power BI-jal az adott felhasználók adathozzáférésének korlátozására használható. A szűrők a sor szintjén korlátozzák az adathozzáférést, és szűrőket határozhat meg a szerepkörökben. A Power BI szolgáltatás a munkaterülethez hozzáféréssel rendelkező felhasználók hozzáférhetnek a munkaterület szemantikai modelljeihez. Az RLS csak megtekintő engedéllyel rendelkező felhasználók számára korlátozza az adathozzáférést. Ez nem vonatkozik a Rendszergazda, a tagokra vagy a közreműködőkre.

A Power BI-ba importált adatmodellekhez konfigurálhatja az RLS-t a Power BI-val. Konfigurálhatja az RLS-t a DirectQueryt használó szemantikai modelleken is, például az SQL Serveren. Az Analysis Services vagy az Azure Analysis Services élő kapcsolatok esetében a sorszintű biztonságot nem a Power BI-ban, hanem a modellben konfigurálja. A biztonsági beállítás nem jelenik meg az élő kapcsolat szemantikai modelljeinél.

Szerepkörök és szabályok definiálása a Power BI Desktopban

Szerepköröket és szabályokat a Power BI Desktopban határozhat meg. A Power BI-ban való közzétételkor a szerepkördefiníciókat is közzéteszi.

Biztonsági szerepkörök definiálása:

  1. Importálja az adatokat a Power BI Desktop-jelentésbe, vagy konfiguráljon DirectQuery-kapcsolatot.

    Feljegyzés

    Az Analysis Services élő kapcsolataihoz nem definiálhat szerepköröket a Power BI Desktopban. Ezt az Analysis Services-modellben kell elvégeznie.

  2. A Modellezés lapon válassza a Szerepkörök kezelése lehetőséget.

    Képernyőkép a Modellezés lapról, kiemelve a Szerepkörök kezelése lehetőséget.

  3. A Szerepkörök kezelése ablakban válassza a Létrehozás lehetőséget.

    Képernyőkép a Szerepkörök kezelése ablakról, a Létrehozás kiemelésével.

  4. A Szerepkörök csoportban adja meg a szerepkör nevét.

    Feljegyzés

    Nem definiálhat például London,ParisRolevesszővel rendelkező szerepkört.

  5. A Táblák területen jelölje ki azt a táblát, amelyre DAX-szabályt (Data Analysis Expression) szeretne alkalmazni.

  6. A Table filter DAX kifejezésmezőbe írja be a DAX-kifejezéseket. Ez a kifejezés igaz vagy hamis értéket ad vissza. Például: [Entity ID] = “Value”

    Képernyőkép a Szerepkörök kezelése ablakról, kiemelve egy példa DAX-kifejezést.

    Feljegyzés

    Ebben a kifejezésben a felhasználónév() használható. Vegye figyelembe, hogy a felhasználónév() formátuma TARTOMÁNY\felhasználónév a Power BI Desktopban. A Power BI szolgáltatás és a Power BI jelentéskészítő kiszolgáló a felhasználó egyszerű felhasználóneve (UPN) formátumában található. Másik lehetőségként használhatja a userprincipalname() nevet, amely mindig a felhasználót adja vissza a felhasználónév formátumában. username@contoso.com

  7. Miután létrehozta a DAX-kifejezést, jelölje be a kifejezésmező feletti jelölőnégyzetet a kifejezés érvényesítéséhez.

    Képernyőkép a Táblaszűrő DAX-kifejezés ablakáról, kiemelve a pipát.

    Feljegyzés

    Ebben a kifejezésmezőben használjon vesszőket a DAX-függvényargumentumok elválasztásához, még akkor is, ha olyan területi beállítást használ, amely általában pontosvessző-elválasztókat használ (például francia vagy német).

  8. Válassza a Mentés lehetőséget.

A Power BI Desktopban nem rendelhet felhasználókat szerepkörhöz. Ezeket a Power BI szolgáltatás rendelheti hozzá. A Power BI Desktopban a felhasználónév() vagy a userprincipalname() DAX-függvények használatával és a megfelelő kapcsolatok konfigurálásával engedélyezheti a dinamikus biztonságot.

A sorszintű biztonsági szűrés alapértelmezés szerint egyirányú szűrőket használ, függetlenül attól, hogy a kapcsolatok egyirányúak vagy kétirányúak. A kétirányú keresztszűrést manuálisan is engedélyezheti sorszintű biztonsággal. Ehhez jelölje be a kapcsolatot, és jelölje be a Biztonsági szűrő alkalmazása mindkét irányban jelölőnégyzetet. Vegye figyelembe, hogy ha egy tábla több kétirányú kapcsolatban vesz részt, akkor ezt a beállítást csak az egyik ilyen kapcsolathoz választhatja ki. Akkor válassza ezt a lehetőséget, ha dinamikus sorszintű biztonságot is implementált a kiszolgáló szintjén, ahol a sorszintű biztonság felhasználónévn vagy bejelentkezési azonosítón alapul.

További információ: Kétirányú keresztszűrés DirectQuery használatával a Power BI-ban és a Tabular BI szemantikai modell műszaki cikkének biztonságossá tétele.

Képernyőkép a kiválasztott biztonsági szűrő alkalmazásának jelölőnégyzetéről.

Szerepkörök és szabályok definiálása a Power BI-ban a bővített sorszintű biztonsági szerkesztővel (előzetes verzió)

A bővített sorszintű biztonsági szerkesztővel gyorsan és egyszerűen definiálhat sorszintű biztonsági szerepköröket és szűrőket a Power BI-ban. Ezzel a szerkesztővel válthat az alapértelmezett legördülő felület és a DAX-felület között. A Power BI-ban való közzétételkor a szerepkördefiníciókat is közzéteszi.

Biztonsági szerepkörök definiálása a bővített sorszintű biztonsági szerkesztővel:

  1. A Power BI Desktopban engedélyezze az előnézetet a Fájlok > beállításai és Gépház > Beállítások > előzetes verziójú funkcióinak megtekintésével, és kapcsolja be a "Továbbfejlesztett sorszintű biztonsági szerkesztő" funkciót. Másik lehetőségként használhatja ezt a szerkesztőt a Szolgáltatásban az adatmodell szerkesztésével a Power BI szolgáltatás.

  2. Adatokat importálhat a Power BI szemantikai modelljébe, vagy konfigurálhat DirectQuery-kapcsolatot.

  3. A menüszalagon válassza a Szerepkörök kezelése lehetőséget.

    Képernyőkép a Szerepkörök kezelése gombról az Asztal menüszalagon.

  4. A Szerepkörök kezelése ablakban válassza az Új lehetőséget egy új szerepkör létrehozásához.

    Képernyőkép egy új szerepkör létrehozásáról a bővített sorszintű biztonsági szerkesztőben.

  5. A Szerepkörök csoportban adja meg a szerepkör nevét, és válassza az Enter billentyűt.

    Képernyőkép egy szerepkör átnevezéséről a bővített sorszintű biztonsági szerkesztőben.

  6. A Táblák kijelölése csoportban jelölje ki azt a táblát, amelyhez sorszintű biztonsági szűrőt szeretne alkalmazni.

  7. Az Adatok szűrése csoportban használja az alapértelmezett szerkesztőt a szerepkörök meghatározásához. A létrehozott kifejezések igaz vagy hamis értéket adnak vissza.

    Képernyőkép az alapértelmezett szerkesztő használatáról a bővített sorszintű biztonsági szerkesztőben.

    Feljegyzés

    Nem minden, a Power BI-ban támogatott sorszintű biztonsági szűrő definiálható az alapértelmezett szerkesztővel. A korlátozások közé tartoznak azok a kifejezések, amelyek jelenleg csak DAX használatával határozhatók meg, beleértve a dinamikus szabályokat is, például a felhasználónév() vagy a userprincipalname(). A szerepkörök definiálásához a szűrők használatával váltson a DAX-szerkesztő használatára.

  8. Ha szeretné, válassza a Váltás DAX-szerkesztőre lehetőséget a szerepkör definiálásához a DAX-szerkesztő használatára való váltáshoz. Az alapértelmezett szerkesztőre való váltáshoz válassza a Váltás alapértelmezett szerkesztőre lehetőséget. A szerkesztőfelületek közötti váltáskor az összes módosítás megmarad, ha lehetséges.

    Képernyőkép a DAX-szerkesztő továbbfejlesztett sorszintű biztonsági szerkesztőben való használatáról.

    Ha olyan szerepkört határoz meg az alapértelmezett szerkesztőben nem definiálható DAX-szerkesztővel, amely nem határozható meg, ha az alapértelmezett szerkesztőre próbál váltani, a rendszer figyelmeztetést kap arról, hogy a szerkesztők váltása bizonyos információk elvesztését eredményezheti. Az információk megőrzéséhez válassza a Mégse lehetőséget, és csak a DAX-szerkesztőben szerkessze ezt a szerepkört.

    Képernyőkép egy hibaablakról, amikor a DAX-ról az alapértelmezett szerkesztőre vált a bővített sorszintű biztonsági szerkesztőben.

  9. Válassza a Mentés lehetőséget

Szerepkörök ellenőrzése a Power BI Desktopban

A szerepkörök létrehozása után tesztelje a szerepkörök eredményeit a Power BI Desktopban.

  1. A Modellezés lapon válassza a Nézet másként lehetőséget.

    Képernyőkép a Modellezés lapról, kiemelve a Nézet másként lehetőséget.

    Megjelenik a Nézet szerepkörként ablak, ahol láthatja a létrehozott szerepköröket.

    Képernyőkép a Nézet szerepkörként ablakról, amelyen nincs kijelölve.

  2. Válasszon ki egy létrehozott szerepkört. Ezután válassza az OK gombot a szerepkör alkalmazásához.

    A jelentés az adott szerepkörhöz kapcsolódó adatokat jeleníti meg.

  3. Az Egyéb felhasználó lehetőséget is választhatja, és megadhat egy adott felhasználót.

    Képernyőkép a Nézet szerepkörök ablakról egy példafelhasználóval.

    A legjobb, ha megadja az egyszerű felhasználónevet (UPN), mert ezt használja a Power BI szolgáltatás és Power BI jelentéskészítő kiszolgáló.

    A Power BI Desktopban más felhasználó csak akkor jelenít meg különböző eredményeket, ha a DAX-kifejezések alapján dinamikus biztonságot használ. Ebben az esetben a felhasználónevet és a szerepkört is tartalmaznia kell.

  4. Kattintson az OK gombra.

    A jelentés az RLS-szűrők által a felhasználó számára látható adatok alapján jelenik meg.

    Feljegyzés

    A Nézet szerepkörök funkció nem működik az egyszeri bejelentkezést (SSO) engedélyezve lévő DirectQuery-modellek esetében.

A modell biztonságának kezelése

A szemantikai modell biztonságának kezeléséhez nyissa meg azt a munkaterületet, ahol a szemantikai modellt a Power BI szolgáltatás mentette, és hajtsa végre a következő lépéseket:

  1. A Power BI szolgáltatás válassza a Szemantikai modell További beállítások menüjét. Ez a menü akkor jelenik meg, amikor egy szemantikai modell nevére mutat, akár a navigációs menüből, akár a munkaterület oldaláról választja.

    Képernyőkép a munkaterület További beállítások menüjéről.

    Képernyőkép a Navigációs menü További beállítások menüjéről.

  2. A biztonság kiválasztása.

    Képernyőkép a További beállítások menüről, amelyen a Biztonság lehetőség van kiválasztva.

A Security a szerepkörszintű biztonsági lapra viszi, ahol tagokat vesz fel egy létrehozott szerepkörbe. A közreműködő (és a magasabb munkaterületi szerepkörök) látni fogják a Biztonság elemet, és felhasználókat rendelhetnek hozzá egy szerepkörhöz.

Együttműködés a tagokkal

Tagok hozzáadása

A Power BI szolgáltatás a felhasználó vagy a biztonsági csoport e-mail-címének vagy nevének beírásával tagot vehet fel a szerepkörbe. A Power BI-ban létrehozott csoportok nem vehetők fel. A szervezeten kívüli tagokat is felvehet.

A sorszintű biztonság beállításához az alábbi csoportokat használhatja.

Vegye figyelembe, hogy a Microsoft 365-csoportok nem támogatottak, és nem vehetők fel szerepkörökbe.

Tag hozzáadását bemutató képernyőkép.

Azt is láthatja, hogy hány tag szerepel a szerepkörben a szerepkör neve mellett vagy a Tagok mellett zárójelben szereplő szám alapján.

Képernyőkép a szerepkörben lévő tagokról.

Tagok eltávolítása

A tagok eltávolításához jelölje ki a nevük melletti X-et.

Egy tag eltávolítását bemutató képernyőkép.

A szerepkör érvényesítése a Power BI szolgáltatás

A szerepkör tesztelésével ellenőrizheti, hogy a definiált szerepkör megfelelően működik-e a Power BI szolgáltatás.

  1. Válassza a szerepkör melletti További beállítások (...) lehetőséget.
  2. Válassza a Tesztelés szerepkört.

Képernyőkép a Tesztelés szerepkörként lehetőségről.

A rendszer átirányítja a Power BI Desktopból közzétett jelentésre ezzel a szemantikai modellel, ha létezik. Az irányítópultok nem érhetők el a Tesztelés szerepkörként lehetőséggel történő teszteléshez.

Az oldalfejlécen megjelenik az alkalmazott szerepkör. Tesztelje az egyéb szerepköröket, a szerepkörök kombinációját vagy egy adott személyt a Megtekintés másként lehetőséget választva. Itt láthatja a tesztelt személyre vagy szerepkörre vonatkozó fontos engedélyek részleteit. Az engedélyek RLS-sel való használatáról további információt az RLS felhasználói felületében talál.

Képernyőkép egy adott személy legördülő listájáról.

Tesztelje a szemantikai modellhez kapcsolódó egyéb jelentéseket az oldalfejléc Megtekintés elemének kiválasztásával. Csak a szemantikai modellel azonos munkaterületen található jelentéseket tesztelheti.

Képernyőkép a Megtekintésről egy másik tesztelendő jelentés kiválasztásához.

A normál megtekintéshez válassza a Vissza a sorszintű biztonsághoz lehetőséget.

Feljegyzés

A Tesztelés szerepkörként funkció nem működik az egyszeri bejelentkezést (SSO) engedélyezve lévő DirectQuery-modellek esetében. Emellett a jelentés nem minden aspektusa érvényesíthető a Teszt mint szerepkör funkcióban, beleértve a Q&A-vizualizációkat, a gyorselemzési vizualizációkat és Copilota .

A felhasználónév() vagy a userprincipalname() DAX függvény használata

Az adathalmazon belül kihasználhatja a DAX-függvények felhasználónév() vagy userprincipalname() értékét. A Power BI Desktopban kifejezésekben is használhatja őket. A modell közzétételekor a rendszer a Power BI szolgáltatás belül fogja használni.

A Power BI Desktopban a felhasználónév() tartomány\Felhasználó formátumban ad vissza egy felhasználót, a userprincipalname() pedig a következő formátumban adja vissza a felhasználótuser@contoso.com: .

A Power BI szolgáltatás belül a felhasználónév() és a userprincipalname() egyaránt visszaadja a felhasználó egyszerű felhasználónevet (UPN). Ez az e-mail-címhez hasonlóan néz ki.

RLS használata munkaterületekkel a Power BI-ban

Ha a Power BI Desktop-jelentést egy munkaterületen teszi közzé a Power BI szolgáltatás, a rendszer az RLS-szerepköröket a munkaterület Megtekintő szerepköréhez rendelt tagokra alkalmazza. Az RLS akkor is érvényes, ha a megtekintők buildengedélyeket kapnak a szemantikai modellhez. Ha például a buildelési engedélyekkel rendelkező megtekintők az Elemzést az Excelben használják, az adatok nézetét az RLS korlátozza. A Rendszergazda, tag vagy közreműködő által hozzárendelt munkaterület-tagok szerkesztési engedéllyel rendelkeznek a szemantikai modellhez, ezért az RLS nem vonatkozik rájuk. Ha azt szeretné, hogy az RLS a munkaterületen lévő személyekre vonatkozzanak, csak a Megtekintő szerepkört rendelheti hozzájuk. További információ a munkaterületek szerepköreiről.

Szempontok és korlátozások

A felhőalapú modellek sorszintű biztonságára vonatkozó jelenlegi korlátozásokat itt tekintheti meg:

  • Ha korábban definiált szerepköröket és szabályokat a Power BI szolgáltatás, újra létre kell hoznia őket a Power BI Desktopban.
  • Az RLS-t csak a Power BI Desktoppal létrehozott szemantikai modelleken definiálhatja. Ha engedélyezni szeretné az RLS-t az Excellel létrehozott szemantikai modellekhez, először Power BI Desktop -fájlokká (PBIX-) kell konvertálnia a fájlokat. További információ.
  • A szolgáltatásnevek nem vehetők fel RLS-szerepkörökbe. Ennek megfelelően a rendszer nem alkalmazza az RLS-t a szolgáltatásnevet használó alkalmazásokra, mint végső tényleges identitás.
  • Csak importálási és DirectQuery-kapcsolatok támogatottak. Az Analysis Services élő kapcsolatait a helyszíni modell kezeli.
  • A Teszt szerepkörként/Nézet szerepkörként funkció nem működik az egyszeri bejelentkezést (SSO) engedélyezve lévő DirectQuery-modellek esetében.
  • A Teszt szerepkörként/nézet szerepkörként funkció csak a szemantikai modellek munkaterületéről származó jelentéseket jeleníti meg.
  • A Tesztelés szerepkörként/Megtekintés szerepkörként funkció nem működik a lapszámozott jelentések esetében.

Ne feledje, hogy ha egy Power BI-jelentés egy konfigurált RLS-sel rendelkező sorra hivatkozik, akkor ugyanaz az üzenet jelenik meg, mint egy törölt vagy nem létező mező esetében. Ezeknek a felhasználóknak úgy tűnik, hogy a jelentés hibás.

GYIK

Kérdés: Mi a teendő, ha korábban szerepköröket és szabályokat hoztam létre egy adathalmazhoz a Power BI szolgáltatás? Akkor is működnek, ha nem csinálok semmit?
Válasz: Nem, a vizualizációk nem jelennek meg megfelelően. Újra létre kell hoznia a szerepköröket és szabályokat a Power BI Desktopban, majd közzé kell tennie a Power BI szolgáltatás.

Kérdés: Létrehozhatom ezeket a szerepköröket az Analysis Services-adatforrásokhoz?
Válasz: Igen, ha az adatokat a Power BI Desktopba importálta. Ha élő kapcsolatot használ, az RLS nem konfigurálható a Power BI szolgáltatás. Az RLS-t a helyszíni Analysis Services-modellben definiálhatja.

Kérdés: Használhatom az RLS-t a felhasználók által elérhető oszlopok vagy mértékek korlátozására?
Válasz: Nem, ha egy felhasználó hozzáféréssel rendelkezik egy adott adatsorhoz, láthatja az adott sor összes adatoszlopát. Az oszlopokhoz és az oszlop metaadataihoz való hozzáférés korlátozásához fontolja meg az objektumszintű biztonság használatát.

Kérdés: Lehetővé teszi az RLS, hogy elrejtsem a részletes adatokat, de hozzáférést adjak a vizualizációkban összegzett adatokhoz?
Válasz: Nem, az egyes adatsorokat biztonságossá teszi, de a felhasználók mindig láthatják a részleteket vagy az összesített adatokat.

Kérdés: Az adatforrásom már rendelkezik definiált biztonsági szerepkörökmel (például SQL Server-szerepkörök vagy SAP BW-szerepkörök). Mi a kapcsolat a szerepkörök és az RLS között?
Válasz: A válasz attól függ, hogy adatokat importál vagy DirectQueryt használ. Ha adatokat importál a Power BI-adatkészletbe, a rendszer nem használja az adatforrás biztonsági szerepköreit. Ebben az esetben meg kell határoznia az RLS-t, hogy biztonsági szabályokat kényszerítsen ki a Power BI-ban csatlakozó felhasználók számára. DirectQuery használata esetén a rendszer az adatforrás biztonsági szerepköreit használja. Amikor egy felhasználó megnyit egy jelentést, a Power BI egy lekérdezést küld a mögöttes adatforrásnak, amely biztonsági szabályokat alkalmaz az adatokra a felhasználó hitelesítő adatai alapján.

Kérdés: Egy felhasználó több szerepkörhöz is tartozhat?
Válasz: Egy felhasználó több szerepkörhöz is tartozhat, a szerepkörök pedig additívak. Ha például egy felhasználó az "Értékesítés" és a "Marketing" szerepkörhöz is tartozik, mindkét szerepkör adatait láthatja.

Kapcsolódó tartalom

Kérdése van? Próbálja meg megkérdezni a Power BI-közösség javaslatokat? Ötletek hozzáadása a Power BI fejlesztéséhez