Model izin
Microsoft Fabric memiliki model izin fleksibel yang memungkinkan Anda mengontrol akses ke data di organisasi Anda. Artikel ini menjelaskan berbagai jenis izin di Fabric dan cara mereka bekerja sama untuk mengontrol akses ke data di organisasi Anda.
Ruang kerja adalah entitas logis untuk mengelompokkan item di Fabric. Peran ruang kerja menentukan izin akses untuk ruang kerja. Meskipun item disimpan di satu ruang kerja, item tersebut dapat dibagikan dengan pengguna lain di seluruh Fabric. Saat berbagi item Fabric, Anda dapat memutuskan izin mana yang akan diberikan kepada pengguna tempat Anda berbagi item. Item tertentu seperti laporan Power BI, memungkinkan kontrol data yang lebih terperinci. Laporan dapat disiapkan sehingga bergantung pada izin mereka, pengguna yang melihatnya hanya melihat sebagian data yang mereka simpan.
Peran ruang kerja
Peran ruang kerja digunakan untuk mengontrol akses ke ruang kerja dan konten di dalamnya. Administrator Fabric dapat menetapkan peran ruang kerja untuk pengguna atau grup individual. Peran ruang kerja terbatas pada ruang kerja tertentu dan tidak berlaku untuk ruang kerja lain, kapasitas ruang kerja berada, atau penyewa.
Ada empat peran Ruang Kerja dan berlaku untuk semua item dalam ruang kerja. Pengguna yang tidak memiliki salah satu peran ini, tidak dapat mengakses ruang kerja. Perannya adalah:
Penampil - Dapat melihat semua konten di ruang kerja, tetapi tidak dapat mengubahnya.
Kontributor - Dapat melihat dan memodifikasi semua konten di ruang kerja.
Anggota - Dapat melihat, memodifikasi, dan berbagi semua konten di ruang kerja.
Admin - Dapat melihat, memodifikasi, berbagi, dan mengelola semua konten di ruang kerja, termasuk mengelola izin.
Tabel ini memperlihatkan sekumpulan kecil kemampuan yang dimiliki setiap peran. Untuk daftar lengkap dan lebih rinci, lihat Peran ruang kerja Microsoft Fabric.
| Kemampuan | Admin | Anggota | Kontributor | Penampil |
|---|---|---|---|---|
| Menghapus ruang kerja | ✅ | ❌ | ❌ | ❌ |
| Menambahkan admin | ✅ | ❌ | ❌ | ❌ |
| Menambahkan Anggota | ✅ | ✅ | ❌ | ❌ |
| Data tulis | ✅ | ✅ | ✅ | ❌ |
| Membuat item | ✅ | ✅ | ✅ | ❌ |
| Membaca data | ✅ | ✅ | ✅ | ✅ |
Izin item
Izin item digunakan untuk mengontrol akses ke item Fabric individual dalam ruang kerja. Izin item terbatas pada item tertentu dan tidak berlaku untuk item lain. Gunakan izin item untuk mengontrol siapa yang bisa menampilkan, mengubah, dan mengelola item individual di ruang kerja. Anda dapat menggunakan izin item untuk memberi pengguna akses ke satu item di ruang kerja yang tidak dapat mereka akses.
Saat berbagi item dengan pengguna atau grup, Anda dapat mengonfigurasi izin item. Berbagi item memberi pengguna izin baca untuk item tersebut secara default. Izin baca memungkinkan pengguna melihat metadata untuk item tersebut dan melihat laporan apa pun yang terkait dengannya. Namun, izin baca tidak memungkinkan pengguna mengakses data yang mendasar di SQL atau OneLake.
Item Fabric yang berbeda memiliki izin yang berbeda. Untuk mempelajari selengkapnya tentang izin untuk setiap item, lihat:
Izin komputasi
Izin juga dapat diatur dalam mesin komputasi tertentu di Fabric, khususnya melalui titik akhir SQL atau dalam model semantik. Izin mesin komputasi memungkinkan kontrol akses data yang lebih terperinci, seperti keamanan tingkat tabel dan baris.
Titik akhir SQL - Titik akhir SQL menyediakan akses SQL langsung ke tabel di OneLake, dan dapat memiliki keamanan yang dikonfigurasi secara asli melalui perintah SQL. Izin ini hanya berlaku untuk kueri yang dibuat melalui SQL.
Model semantik - Model semantik memungkinkan keamanan didefinisikan menggunakan DAX. Pembatasan yang ditentukan menggunakan DAX berlaku untuk pengguna yang mengkueri melalui model semantik atau laporan Power BI yang dibangun pada model semantik.
Anda dapat menemukan informasi selengkapnya dalam artikel ini:
Izin OneLake (peran akses data)
OneLake memiliki izin sendiri untuk mengatur akses ke file dan folder di OneLake melalui peran akses data OneLake. Peran akses data OneLake memungkinkan pengguna untuk membuat peran kustom dalam lakehouse dan memberikan izin baca hanya ke folder yang ditentukan saat mengakses OneLake. Untuk setiap peran OneLake, pengguna dapat menetapkan pengguna, grup keamanan, atau memberikan penugasan otomatis berdasarkan peran ruang kerja.
Pelajari selengkapnya tentang Model Kontrol Akses Data OneLake dan lihat panduan cara penggunaan.
Urutan operasi
Fabric memiliki tiga tingkat keamanan yang berbeda. Pengguna harus memiliki akses di setiap tingkat untuk mengakses data. Setiap tingkat mengevaluasi secara berurutan untuk menentukan apakah pengguna memiliki akses. Aturan keamanan seperti kebijakan Perlindungan Informasi Microsoft mengevaluasi pada tingkat tertentu untuk mengizinkan atau melarang akses. Urutan operasi saat mengevaluasi keamanan Fabric adalah:
- Autentikasi Entra: Memeriksa apakah pengguna dapat mengautentikasi ke penyewa Microsoft Entra.
- Akses fabric: Memeriksa apakah pengguna dapat mengakses Microsoft Fabric.
- Keamanan data: Memeriksa apakah pengguna dapat melakukan tindakan yang diminta pada tabel atau file.
Contoh
Bagian ini menyediakan dua contoh bagaimana izin dapat diatur di Fabric.
Contoh 1: Menyiapkan izin tim
Wingtip Toys disiapkan dengan satu penyewa untuk seluruh organisasi, dan tiga kapasitas. Setiap kapasitas mewakili wilayah yang berbeda. Wingtip Toys beroperasi di Amerika Serikat, Eropa, dan Asia. Setiap kapasitas memiliki ruang kerja untuk setiap departemen dalam organisasi, termasuk departemen penjualan.
Departemen penjualan memiliki manajer, pemimpin tim penjualan, dan anggota tim penjualan. Wingtip Toys juga mempekerjakan satu analis untuk seluruh organisasi.
Tabel berikut ini memperlihatkan persyaratan untuk setiap peran di departemen penjualan dan bagaimana izin disiapkan untuk mengaktifkannya.
| Peran | Persyaratan | Siapkan |
|---|---|---|
| Manajer | Menampilkan dan memodifikasi semua konten di departemen penjualan di seluruh organisasi | Peran anggota untuk semua ruang kerja penjualan di organisasi |
| Pemimpin tim | Melihat dan memodifikasi semua konten di departemen penjualan di wilayah tertentu | Peran anggota untuk ruang kerja penjualan di wilayah tersebut |
| Anggota tim penjualan | ||
| Analis | Menampilkan semua konten di departemen penjualan di seluruh organisasi | Peran penampil untuk semua ruang kerja penjualan di organisasi |
Wingtip juga memiliki laporan triwulanan yang mencantumkan pendapatan penjualannya per anggota penjualan. Laporan ini disimpan di ruang kerja keuangan. Dengan menggunakan keamanan tingkat baris, laporan disiapkan sehingga setiap anggota penjualan hanya dapat melihat angka penjualan mereka sendiri. Prospek tim dapat melihat angka penjualan semua anggota penjualan di wilayah mereka, dan manajer penjualan dapat melihat angka penjualan dari semua anggota penjualan di organisasi.
Contoh 2: Izin ruang kerja dan item
Saat Anda berbagi item, atau mengubah izinnya, peran ruang kerja tidak berubah. Contoh di bagian ini menunjukkan bagaimana izin ruang kerja dan item berinteraksi.
Veronica dan Marta bekerja sama. Veronica adalah pemilik laporan yang ingin dia bagikan dengan Marta. Jika Veronica berbagi laporan dengan Marta, Marta akan dapat mengaksesnya terlepas dari peran ruang kerja yang dia miliki.
Katakanlah Marta memiliki peran penampil di ruang kerja tempat laporan disimpan. Jika Veronica memutuskan untuk menghapus izin item Marta dari laporan, Marta masih akan dapat melihat laporan di ruang kerja. Marta juga akan dapat membuka laporan dari ruang kerja dan melihat kontennya. Ini karena Marta memiliki izin tampilan ke ruang kerja.
Jika Veronica tidak ingin Marta melihat laporan, menghapus izin item Marta dari laporan tidak cukup. Veronica juga perlu menghapus izin penampil Marta dari ruang kerja. Tanpa izin penampil ruang kerja, Marta tidak akan dapat melihat bahwa laporan ada karena dia tidak akan dapat mengakses ruang kerja. Marta juga tidak akan dapat menggunakan tautan ke laporan, karena dia tidak memiliki akses ke laporan.
Sekarang setelah Marta tidak memiliki peran penampil ruang kerja, jika Veronica memutuskan untuk berbagi laporan dengannya lagi, Marta akan dapat melihatnya menggunakan tautan yang dibagikan Veronica dengannya, tanpa memiliki akses ke ruang kerja.
Contoh 3: Izin Aplikasi Power BI
Saat berbagi laporan Power BI, Anda sering ingin penerima Anda hanya memiliki akses ke laporan dan bukan ke item di ruang kerja. Untuk ini, Anda dapat menggunakan aplikasi Power BI atau berbagi laporan secara langsung dengan pengguna.
Selain itu, Anda dapat membatasi akses penampil ke data menggunakan Keamanan tingkat baris (RLS), dengan RLS Anda dapat membuat peran yang memiliki akses ke bagian data tertentu, dan membatasi hasil yang hanya mengembalikan apa yang dapat diakses oleh identitas pengguna.
Ini berfungsi dengan baik saat menggunakan model impor karena data diimpor dalam model semantik dan penerima memiliki akses ke ini sebagai bagian dari aplikasi. Dengan DirectLake, laporan membaca data langsung dari Lakehouse dan penerima laporan harus memiliki akses ke file-file ini di danau. Anda dapat melakukan ini dengan beberapa cara:
- Berikan
ReadDataizin pada Lakehouse secara langsung. - Alihkan kredensial sumber data dari Akses Menyeluruh (SSO) ke identitas tetap yang memiliki akses ke file di lake.
Karena RLS didefinisikan dalam Model Semantik, data akan dibaca terlebih dahulu dan kemudian baris akan difilter.
Jika ada keamanan yang ditentukan di titik akhir SQL tempat laporan dibuat, kueri secara otomatis kembali ke mode DirectQuery. Jika Anda tidak menginginkan perilaku fallback default ini, Anda dapat membuat Lakehouse baru menggunakan pintasan ke tabel di Lakehouse asli dan tidak menentukan RLS atau OLS di SQL di Lakehouse baru.
Konten terkait
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk