Sorszintű biztonság (RLS) a Power BI jelentéskészítő kiszolgáló

  • Cikk

A sorszintű biztonság (RLS) beállítása Power BI jelentéskészítő kiszolgáló korlátozhatja az adathozzáférést az adott felhasználók számára. A szűrők a sor szintjén korlátozzák az adathozzáférést, és szűrőket határozhat meg a szerepkörökben. Ha az alapértelmezett engedélyeket használja a Power BI jelentéskészítő kiszolgáló, a Power BI-jelentéshez Publisher- vagy Content Manager-engedélyekkel rendelkező felhasználók tagokat rendelhetnek a jelentés szerepköreihez.

A Power BI-ba a Power BI Desktoppal importált jelentésekhez konfigurálja az RLS-t. Konfigurálhatja az RLS-t a DirectQueryt használó jelentéseken is, például az SQL Serveren. Ne feledje, hogy az RLS nem lesz tiszteletben tartva, ha a DirectQuery-kapcsolat integrált hitelesítést használ a jelentésolvasók számára. Az Analysis Services élő kapcsolataihoz sorszintű biztonságot konfigurálhat a helyszíni modellen. A biztonsági beállítás nem jelenik meg élő kapcsolati adathalmazok esetében.

Szerepkörök és szabályok definiálása a Power BI Desktopban

Szerepköröket és szabályokat a Power BI Desktopban határozhat meg. A Power BI-ban való közzétételkor a szerepkördefiníciókat is közzéteszi.

Biztonsági szerepkörök definiálása:

  1. Importálja az adatokat a Power BI Desktop-jelentésbe, vagy konfiguráljon DirectQuery-kapcsolatot.

    Feljegyzés

    Az Analysis Services élő kapcsolataihoz nem definiálhat szerepköröket a Power BI Desktopban. Ezt az Analysis Services-modellben kell elvégeznie.

  2. A Modellezés lapon válassza a Szerepkörök kezelése lehetőséget.

    Képernyőkép a Modellezés lapról, kiemelve a Szerepkörök kezelése lehetőséget.

  3. A Szerepkörök kezelése ablakban válassza a Létrehozás lehetőséget.

    Képernyőkép a Szerepkörök kezelése ablakról, a Létrehozás kiemelésével.

  4. A Szerepkörök csoportban adja meg a szerepkör nevét.

    Feljegyzés

    Nem definiálhat például London,ParisRolevesszővel rendelkező szerepkört.

  5. A Táblák területen jelölje ki azt a táblát, amelyre DAX-szabályt (Data Analysis Expression) szeretne alkalmazni.

  6. A Table filter DAX kifejezésmezőbe írja be a DAX-kifejezéseket. Ez a kifejezés igaz vagy hamis értéket ad vissza. Például: [Entity ID] = “Value”

    Képernyőkép a Szerepkörök kezelése ablakról, kiemelve egy példa DAX-kifejezést.

    Feljegyzés

    Ebben a kifejezésben a felhasználónév() használható. Vegye figyelembe, hogy a felhasználónév() formátuma TARTOMÁNY\felhasználónév a Power BI Desktopban. A Power BI szolgáltatás és a Power BI jelentéskészítő kiszolgáló a felhasználó egyszerű felhasználóneve (UPN) formátumában található. Másik lehetőségként használhatja a userprincipalname() nevet, amely mindig a felhasználót adja vissza a felhasználónév formátumában. username@contoso.com

  7. Miután létrehozta a DAX-kifejezést, jelölje be a kifejezésmező feletti jelölőnégyzetet a kifejezés érvényesítéséhez.

    Képernyőkép a Táblaszűrő DAX-kifejezés ablakáról, kiemelve a pipát.

    Feljegyzés

    Ebben a kifejezésmezőben használjon vesszőket a DAX-függvényargumentumok elválasztásához, még akkor is, ha olyan területi beállítást használ, amely általában pontosvessző-elválasztókat használ (például francia vagy német).

  8. Válassza a Mentés lehetőséget.

A Power BI Desktopban nem rendelhet felhasználókat szerepkörhöz. Ezeket a Power BI szolgáltatás rendelheti hozzá. A Power BI Desktopban a felhasználónév() vagy a userprincipalname() DAX-függvények használatával és a megfelelő kapcsolatok konfigurálásával engedélyezheti a dinamikus biztonságot.

Kétirányú keresztszűrés

A sorszintű biztonsági szűrés alapértelmezés szerint egyirányú szűrőket használ, függetlenül attól, hogy a kapcsolatok egyirányúra vagy kétirányúra vannak-e állítva. A sorszintű biztonsággal manuálisan engedélyezheti a kétirányú keresztszűréseket.

  • Jelölje be a kapcsolatot, és jelölje be a Biztonsági szűrő alkalmazása mindkét irányban jelölőnégyzetet.

    Biztonsági szűrő alkalmazása

Jelölje be ezt a jelölőnégyzetet a dinamikus sorszintű biztonság felhasználónév vagy bejelentkezési azonosító alapján történő megvalósításakor.

További információ: Kétirányú keresztszűrés DirectQuery használatával a Power BI Desktopban és a táblázatos BI szemantikai modell műszaki tanulmánya.

Szerepkörök ellenőrzése a Power BI Desktopban

A szerepkörök létrehozása után tesztelje a szerepkörök eredményeit a Power BI Desktopban.

  1. A Modellezés lapon válassza a Nézet másként lehetőséget.

    Képernyőkép a Modellezés lapról, kiemelve a Nézet másként lehetőséget.

    Megjelenik a Nézet szerepkörként ablak, ahol láthatja a létrehozott szerepköröket.

    Képernyőkép a Nézet szerepkörként ablakról, amelyen nincs kijelölve.

  2. Válasszon ki egy létrehozott szerepkört. Ezután válassza az OK gombot a szerepkör alkalmazásához.

    A jelentés az adott szerepkörhöz kapcsolódó adatokat jeleníti meg.

  3. Az Egyéb felhasználó lehetőséget is választhatja, és megadhat egy adott felhasználót.

    Képernyőkép a Nézet szerepkörök ablakról egy példafelhasználóval.

    A legjobb, ha megadja az egyszerű felhasználónevet (UPN), mert ezt használja a Power BI szolgáltatás és Power BI jelentéskészítő kiszolgáló.

    A Power BI Desktopban más felhasználó csak akkor jelenít meg különböző eredményeket, ha a DAX-kifejezések alapján dinamikus biztonságot használ. Ebben az esetben a felhasználónevet és a szerepkört is tartalmaznia kell.

  4. Kattintson az OK gombra.

    A jelentés az RLS-szűrők által a felhasználó számára látható adatok alapján jelenik meg.

    Feljegyzés

    A Nézet szerepkörök funkció nem működik az egyszeri bejelentkezést (SSO) engedélyezve lévő DirectQuery-modellek esetében.

Tagok hozzáadása szerepkörökhöz

Miután Power BI jelentéskészítő kiszolgáló mentette a jelentést, kezelheti a biztonságot, és tagokat vehet fel vagy távolíthat el a kiszolgálón. Csak a jelentéshez Publisher vagy Content Manager engedélyekkel rendelkező felhasználók rendelkeznek a sorszintű biztonsági beállítással, és nem szürkítve.

Ha a jelentés nem rendelkezik a szükséges szerepkörökvel, meg kell nyitnia a Power BI Desktopban, szerepköröket kell hozzáadnia vagy módosítania, majd vissza kell mentenie a Power BI jelentéskészítő kiszolgáló.

  1. A Power BI Desktopban mentse a jelentést a Power BI jelentéskészítő kiszolgáló. A Power BI jelentéskészítő kiszolgáló a Power BI Desktop verzióját kell használnia.

  2. A Power BI jelentéskészítő szolgáltatásban válassza a jelentés melletti három pontot (...).

  3. Válassza a Sorszintű biztonság kezelése>lehetőséget.

    Sorszintű biztonság kezelése

    A Sorszintű biztonsági lapon tagokat vehet fel a Power BI Desktopban létrehozott szerepkörbe.

  4. Tag hozzáadásához válassza a Tag hozzáadása lehetőséget.

  5. Írja be a felhasználót vagy csoportot a szövegmezőbe felhasználónév formátumban (TARTOMÁNY\felhasználó), és válassza ki a hozzájuk hozzárendelni kívánt szerepköröket. A tagnak a szervezeten belül kell lennie.

    Tag hozzáadása szerepkörhöz

    Az Active Directory konfigurálásának módjától függően az egyszerű felhasználónév itt is beírása is működik. Ebben az esetben a jelentéskészítő kiszolgáló megjeleníti a megfelelő felhasználónevet a listában.

  6. Kattintson az OK gombra az alkalmazáshoz.

  7. A tagok eltávolításához jelölje be a nevük melletti jelölőnégyzetet, és válassza a Törlés lehetőséget. Egyszerre több tagot is törölhet.

    Tagok törlése

felhasználónév() és userprincipalname()

Az adathalmazon belül kihasználhatja a DAX-függvények felhasználónév() vagy userprincipalname() értékét. A Power BI Desktopban kifejezésekben is használhatja őket. A modell közzétételekor Power BI jelentéskészítő kiszolgáló használja őket.

A Power BI Desktopban a felhasználónév() tartomány\Felhasználó és userprincipalname() formátumban ad vissza egy felhasználót a következő formátumban user@contoso.com: .

A Power BI jelentéskészítő kiszolgáló belül a felhasználónév() és a userprincipalname() egyaránt a felhasználó egyszerű nevét (UPN) adja vissza, amely hasonló egy e-mail-címhez.

Ha egyéni hitelesítést használ a Power BI jelentéskészítő kiszolgáló, az a felhasználók számára beállított felhasználónévformátumot adja vissza.

Szempontok és korlátozások

Az alábbiakban a Power BI-modellek sorszintű biztonságának jelenlegi korlátait ismertetjük.

Azok a felhasználók, akik a felhasználónév() DAX függvényt használó jelentésekkel rendelkeztek, most új viselkedést fognak tapasztalni, amikor a rendszer visszaadja az egyszerű felhasználónevet (UPN), KIVÉVE, ha a DirectQueryt integrált biztonsággal használja. Mivel az RLS-t ebben a forgatókönyvben nem tartják tiszteletben, a forgatókönyv viselkedése nem változik.

Az RLS-t csak a Power BI Desktoppal létrehozott adathalmazokon definiálhatja. Az Excellel létrehozott adathalmazok RLS-ének engedélyezéséhez először Power BI Desktop-fájlokká (PBIX-) kell konvertálnia a fájlokat. További információ az Excel-fájlok konvertálásáról.

Csak a tárolt hitelesítő adatokat használó Kicsomagolás, Átalakítás, Betöltés (ETL) és DirectQuery-kapcsolatok támogatottak. Az Analysis Services és a DirectQuery-kapcsolatok élő kapcsolatait integrált hitelesítéssel kezeli a rendszer a mögöttes adatforrásban.

Ha integrált biztonságot használ a DirectQueryvel, a felhasználók a következőt tapasztalhatják:

  • Az RLS le van tiltva, és a rendszer minden adatot visszaad.
  • A felhasználók nem frissíthetik a szerepkör-hozzárendeléseiket, és hibaüzenetet kapnak az RLS Kezelés lapján.
  • A DAX felhasználónév függvény esetében továbbra is TARTOMÁNY\U Standard kiadás R néven kapja meg a felhasználónevet.

A jelentéskészítőknek nincs hozzáférésük a jelentésadatok megtekintéséhez Power BI jelentéskészítő kiszolgáló, amíg a jelentés feltöltése után nem rendelik magukhoz a szerepköröket.

A csoporttagságokon keresztüli szerepkör-hozzárendelések csak akkor támogatottak, ha a Power BI jelentéskészítő kiszolgáló NTLM- vagy Kerberos-hitelesítéssel való futtatásra van konfigurálva. Az egyéni hitelesítéssel vagy a Windows Basic szolgáltatással futó kiszolgálókhoz kifejezetten szerepkörökhöz kell hozzárendelni a felhasználókat.

GYIK

Létrehozhatom ezeket a szerepköröket az Analysis Services-adatforrásokhoz?

Ha az adatokat a Power BI Desktopba importálta. Ha élő kapcsolatot használ, az RLS nem konfigurálható a Power BI szolgáltatás. Az RLS a helyszíni Analysis Services-modellben van definiálva.

Használhatom az RLS-t a felhasználók által elérhető oszlopok vagy mértékek korlátozására?

Szám Ha egy felhasználó hozzáféréssel rendelkezik egy adott adatsorhoz, láthatja az adott sor összes adatoszlopát.

Az RLS lehetővé teszi, hogy elrejtsem a részletes adatokat, de hozzáférést adjak a vizualizációkban összegzett adatokhoz?

Nem, az egyes adatsorokat biztonságossá teheti, de a felhasználók mindig láthatják a részleteket vagy az összegzett adatokat.

Felvehetek új szerepköröket a Power BI Desktopban, ha már vannak hozzárendelve meglévő szerepkörök és tagok?

Igen, ha már rendelkezik definiált szerepkörökkel, és a tagok hozzá vannak rendelve Power BI jelentéskészítő kiszolgáló, további szerepköröket is létrehozhat, és az aktuális hozzárendelésekre gyakorolt hatás nélkül újra közzéteheti a jelentést.

Kapcsolódó tartalom

Van még esetleg kérdése? Kérdezze meg a Power BI-közösség