Delen via


Op rollen gebaseerd toegangsbeheer (RBAC)

OneLake RBAC maakt gebruik van roltoewijzingen om machtigingen toe te passen op de leden. U kunt rollen toewijzen aan personen of aan beveiligingsgroepen, Microsoft 365-groepen en distributielijsten. Elk lid in de gebruikersgroep krijgt de toegewezen rol.

Als iemand zich in twee of meer beveiligingsgroepen of Microsoft 365-groep bevindt, krijgt deze persoon het hoogste machtigingsniveau dat door de rollen wordt verstrekt. Als u gebruikersgroepen nest en een rol toewijst aan een groep, hebben alle ingesloten gebruikers machtigingen.

Met OneLake RBAC kunnen gebruikers alleen rollen voor gegevenstoegang definiëren voor Lakehouse-items .

OneLake RBAC beperkt de toegang tot gegevens voor gebruikers met Werkruimteviewer of leestoegang tot een lakehouse. Deze is niet van toepassing op werkruimtebeheerders, leden of inzenders. Als gevolg hiervan ondersteunt OneLake RBAC alleen het leesniveau van machtigingen.

RBAC-rollen maken

U kunt OneLake RBAC-rollen definiëren en beheren via uw lakehouse-instellingen voor gegevenstoegang.

Meer informatie vindt u in Aan de slag met Data Access-rollen.

Standaard RBAC-rol in Lakehouse

Wanneer de gebruiker een nieuw lakehouse maakt, genereert OneLake een standaard RBAC-rol met de naam Default Readers. Met de rol kunnen alle gebruikers met de machtiging ReadAll alle mappen in het item lezen.

Dit is de standaardroldefinitie:

Fabric-item Rolnaam Machtiging Mappen die zijn opgenomen Toegewezen leden
Lakehouse DefaultReader ReadAll Alle mappen onder Tables/ en Files/ Alle gebruikers met de machtiging ReadAll

Notitie

Als u de toegang tot specifieke gebruikers of specifieke mappen wilt beperken, moet u de standaardrol wijzigen of verwijderen en een nieuwe aangepaste rol maken.

Overname in OneLake RBAC

Voor een bepaalde map nemen OneLake RBAC-machtigingen altijd over aan de volledige hiërarchie van de bestanden en submappen van de map.

Bijvoorbeeld, op basis van de volgende hiërarchie van een lakehouse in OneLake.

Tables/
──── (empty folder)
Files/
────folder1
│   │   file11.txt
│   │
│   └───subfolder11
│       │   file1111.txt
|       │
│       └───subfolder111
|            │   file1111.txt
│   
└───folder2
    │   file21.txt

Voor de opgegeven hiërarchie krijgen OneLake RBAC-machtigingen voor Role1 en Role2 nemen ze op een volgende manier over:

Rol Toestemming Map die is gedefinieerd in de machtiging Mappen en bestanden die de machtiging overnemen
Rol1 Lezen map1
│   │   file11.txt
│   │
│   └───subfolder11
│       │   file1111.txt
|       │
│       └───subfolder111
|            │   file1111.txt
Role2 Lezen map2
    │   file21.txt

Doorkruising en vermelding in OneLake RBAC

OneLake RBAC biedt automatische doorkruising van bovenliggende items om ervoor te zorgen dat gegevens gemakkelijk te vinden zijn. Als een gebruiker Lezen verleent aan submap11, verleent deze de gebruiker de mogelijkheid om de bovenliggende mapmap1 weer te geven en te doorlopen. Deze functionaliteit is vergelijkbaar met mapmachtigingen van Windows, waarbij het verlenen van toegang tot een submap detectie en doorkruising biedt voor de bovenliggende mappen. De lijst en doorkruising die aan het bovenliggende item worden verleend, worden niet uitgebreid naar andere items buiten de directe bovenliggende items, zodat andere mappen veilig blijven.

Bijvoorbeeld, op basis van de volgende hiërarchie van een lakehouse in OneLake.

Tables/
──── (empty folder)
Files/
────folder1
│   │   file11.txt
│   │
│   └───subfolder11
│       │   file111.txt
|       │
│       └───subfolder111
|            │   file1111.txt
│   
└───folder2
    │   file21.txt

Voor de opgegeven hiërarchie biedt OneLake RBAC-machtigingen voor 'Role1' de volgende toegang. De toegang tot file11.txt is niet zichtbaar omdat het geen bovenliggende submap11 is. Ook voor Role2 is file111.txt ook niet zichtbaar.

Rol Toestemming Map die is gedefinieerd in de machtiging Mappen en bestanden die de machtiging overnemen
Rol1 Lezen submap11
Files/
────folder1
│   │
│   └───subfolder11
│       │   file111.txt
|       │
│       └───subfolder111
|            │   file1111.txt
Role2 Lezen submap111
Files/
────folder1
│   │
│   └───subfolder11
|       │
│       └───subfolder111
|            │   file1111.txt

Voor snelkoppelingen is het gedrag van de vermelding iets anders. Snelkoppelingen naar externe gegevensbronnen gedragen zich hetzelfde als mappen, maar snelkoppelingen naar andere OneLake-locaties hebben gespecialiseerd gedrag. Toegang tot een OneLake-snelkoppeling wordt bepaald door de doelmachtigingen van de snelkoppeling. Bij het weergeven van snelkoppelingen wordt er geen aanroep uitgevoerd om de doeltoegang te controleren. Als gevolg hiervan worden bij het weergeven van een map alle interne snelkoppelingen geretourneerd, ongeacht de toegang van een gebruiker tot het doel. Wanneer een gebruiker probeert de snelkoppeling te openen, wordt de toegangscontrole geëvalueerd en ziet een gebruiker alleen gegevens die ze de vereiste machtigingen hebben om te zien. Zie de sectie Beveiliging van snelkoppelingen voor meer informatie over snelkoppelingen.

In de onderstaande voorbeelden wordt de volgende maphiërarchie gebruikt.

Files/
────folder1
│   
└───shortcut2
|
└───shortcut3
Rol Toestemming Map die is gedefinieerd in de machtiging Resultaat van het weergeven van bestanden
Rol1 Lezen map1
Files/
────folder1
│   
└───shortcut2
|
└───shortcut3
Role2 N.V.T N.V.T
Files/
│   
└───shortcut2
|
└───shortcut3

Hoe OneLake RBAC-machtigingen worden geëvalueerd met infrastructuurmachtigingen

Met werkruimte- en itemmachtigingen kunt u 'grofkorrelige' toegang verlenen tot gegevens in OneLake voor het opgegeven item. Met OneLake RBAC-machtigingen kunt u de toegang tot gegevens in OneLake beperken tot specifieke mappen.

Diagram met de volgorde van machtigingenevaluaties met werkruimte, item en RBAC.

Machtigingen voor OneLake RBAC en werkruimte

De werkruimtemachtigingen vormen de eerste beveiligingsgrens voor gegevens in OneLake. Elke werkruimte vertegenwoordigt één domein of projectgebied waar teams kunnen samenwerken aan gegevens. U beheert de beveiliging in de werkruimte via infrastructuurwerkruimterollen. Meer informatie over op rollen gebaseerd toegangsbeheer voor Fabric (RBAC): Werkruimterollen

Werkruimterollen in Fabric verlenen de volgende machtigingen in OneLake.

Machtiging Beheerder Lid Inzender Kijker
Bestanden weergeven in OneLake Altijd* Ja Altijd* Ja Altijd* Ja Nee standaard. Gebruik OneLake RBAC om de toegang te verlenen.
Bestanden schrijven in OneLake Altijd* Ja Altijd* Ja Altijd* Ja Nr.

Notitie

*Aangezien de rollen Werkruimtebeheerder, Lid en Inzender automatisch schrijfmachtigingen verlenen aan OneLake, worden alle leesmachtigingen van OneLake RBAC overschreven.

Werkruimterol Past OneLake RBAC-leesmachtigingen toe?
Beheerder, Inzender, Lid Nee, OneLake Security negeert alle leesmachtigingen voor OneLake RBC
Kijker Ja, indien gedefinieerd, worden leesmachtigingen voor OneLake RBAC toegepast

Machtigingen voor OneLake RBAC en Lakehouse

In een werkruimte kunnen fabric-items afzonderlijk van de werkruimterollen machtigingen hebben geconfigureerd. U kunt machtigingen configureren via het delen van een item of door de machtigingen van een item te beheren. De volgende machtigingen bepalen de mogelijkheid van een gebruiker om acties uit te voeren op gegevens in OneLake.

Lakehouse-machtigingen

Lakehouse-machtiging Kunt u bestanden weergeven in OneLake? Kunt u bestanden schrijven in OneLake? Kunt u gegevens lezen via een SQL-analyse-eindpunt?
Read Nee standaard: gebruik OneLake RBAC om toegang te verlenen. Nee Nr.
ReadAll Ja standaard. Gebruik OneLake RBAC om de toegang te beperken. Nee Nr.
Schrijven Ja Ja Ja
Uitvoeren, opnieuw delen, ViewOutput, ViewLogs N.v.t. - kan niet zelfstandig worden toegekend N.v.t. - kan niet zelfstandig worden toegekend N.v.t. - kan niet zelfstandig worden toegekend

Machtigingen voor OneLake RBAC en Lakehouse SQL Analytics-eindpunten

SQL Analytics-eindpunt is een magazijn dat automatisch wordt gegenereerd vanuit een Lakehouse in Microsoft Fabric. Een klant kan overstappen van de 'Lake'-weergave van Lakehouse (die data engineering en Apache Spark ondersteunt) naar de SQL-weergave van hetzelfde Lakehouse. Meer informatie over sql-analyse-eindpunten in datawarehouse-documentatie: SQL-analyse-eindpunt.

Machtiging voor SQL Analytics-eindpunt Gebruikers kunnen bestanden bekijken via OneLake Endpoint? Gebruikers kunnen bestanden schrijven via OneLake Endpoint? Gebruikers kunnen gegevens lezen via een SQL Analytics-eindpunt?
Read Nee standaard: gebruik OneLake RBAC om toegang te verlenen. Nee Nee standaard, maar kan worden geconfigureerd met gedetailleerde SQL-machtigingen
ReadData Nee standaard. Gebruik OneLake RBAC om toegang te verlenen. Nr. Ja
Schrijven Ja Ja Ja

Machtigingen voor OneLake RBAC en Default Lakehouse Semantic Model

Wanneer de gebruiker in Microsoft Fabric een lakehouse maakt, richt het systeem ook het bijbehorende standaard semantische model in. Het standaard semantische model bevat metrische gegevens boven op lakehouse-gegevens. Met het semantische model kan Power BI gegevens laden voor rapportage.

Standaardmachtiging voor Semantisch model Kunt u bestanden weergeven in OneLake? Kunt u bestanden schrijven in OneLake? Ziet u het schema in het Semantische model? Kunt u gegevens lezen in Semantisch model?
Read Nee standaard: gebruik OneLake RBAC om toegang te verlenen. Nee Nr. Ja standaard. Kan worden beperkt met beveiliging op Power BI-objectniveau en beveiliging op rijniveau van Power BI
Build Ja standaard. Gebruik OneLake RBAC om de toegang te beperken. Ja Ja Ja
Schrijven Ja Ja Ja Ja
Opnieuw delen N.v.t. - kan niet zelfstandig worden toegekend N.v.t. - kan niet zelfstandig worden toegekend N.v.t. - kan niet zelfstandig worden toegekend N.v.t. - kan niet zelfstandig worden toegekend

Lakehouse-machtigingen voor delen en OneLake RBAC

Wanneer gebruikers een lakehouse delen, verlenen ze andere gebruikers of een groep gebruikers toegang tot een lakehouse zonder toegang te verlenen tot de werkruimte en de rest van de items. Shared Lakehouse vindt u via Data Hub of de sectie Gedeeld met mij in Microsoft Fabrics.

Wanneer iemand een lakehouse deelt, kan hij of zij ook toegang verlenen tot het SQL-analyse-eindpunt en het bijbehorende standaard-semantische model.

Een schermopname van het scherm Personen toegang verlenen tot Lakehouse.

Optie voor delen Kunt u bestanden weergeven in OneLake? Kunt u bestanden schrijven in OneLake? Kunt u gegevens lezen via een SQL-analyse-eindpunt? Kunt u Semantische modellen weergeven en bouwen?
Er zijn geen extra machtigingen geselecteerd Nee standaard: gebruik OneLake RBAC om toegang te verlenen. Nee Nee Nr.
Alle Apache Spark-bestanden lezen Ja standaard. Gebruik OneLake RBAC om de toegang te beperken. Nee Nee Nr.
Alle SQL-eindpuntgegevens lezen Nee standaard: gebruik OneLake RBAC om toegang te verlenen. Nr. Ja Nr.
Rapporten maken over de standaardgegevensset Ja standaard. Gebruik OneLake RBAC om de toegang te beperken. Nee No Ja

Meer informatie over het machtigingsmodel voor het delen van gegevens:

Snelkoppelingen

OneLake RBAC in interne snelkoppelingen

Voor elke map in een lakehouse nemen RBAC-machtigingen altijd over aan alle interne snelkoppelingen waarin deze map is gedefinieerd als doel.

Wanneer een gebruiker gegevens opent via een snelkoppeling naar een andere OneLake-locatie, wordt de identiteit van de aanroepende gebruiker gebruikt om toegang tot de gegevens in het doelpad van de snelkoppeling* te autoriseren. Als gevolg hiervan moet deze gebruiker OneLake RBAC-machtigingen hebben op de doellocatie om de gegevens te lezen.

Belangrijk

Wanneer u snelkoppelingen opent via semantische Power BI-modellen of T-SQL, wordt de identiteit van de aanroepende gebruiker niet doorgegeven aan het snelkoppelingsdoel. De identiteit van de eigenaar van het aanroepende item wordt doorgegeven, waarbij de toegang tot de aanroepende gebruiker wordt overgedragen.

Het definiëren van RBAC-machtigingen voor de interne snelkoppeling is niet toegestaan en moet worden gedefinieerd in de doelmap in het doelitem. Omdat het definiëren van RBAC-machtigingen beperkt is tot lakehouse-items, worden RBAC-machtigingen alleen ingeschakeld voor snelkoppelingen die zijn gericht op mappen in Lakehouse-items.

De volgende tabel geeft aan of het bijbehorende snelkoppelingsscenario wordt ondersteund voor het definiëren van OneLake RBAC-machtigingen.

Intern snelkoppelingsscenario Ondersteunde OneLake RBAC-machtigingen? Opmerkingen
Snelkoppeling in een lakehouse1 die verwijst naar map2 in hetzelfde lakehouse. Ondersteund. Als u de toegang tot gegevens in snelkoppeling wilt beperken, definieert u OneLake RBAC voor map2.
Snelkoppeling in een lakehouse1 die verwijst naar map2 in een ander lakehouse2 Ondersteund. Als u de toegang tot gegevens in snelkoppeling wilt beperken, definieert u OneLake RBAC voor map2 in Lakehouse2.
Snelkoppeling in een lakehouse die verwijst naar een tabel in een datawarehouse Wordt niet ondersteund. OneLake biedt geen ondersteuning voor het definiëren van RBAC-machtigingen in datawarehouses. Toegang wordt bepaald op basis van de machtiging ReadAll.
Snelkoppeling in een lakehouse die verwijst naar een tabel in een KQL-database Wordt niet ondersteund. OneLake biedt geen ondersteuning voor het definiëren van RBAC-machtigingen in KQL-databases. Toegang wordt bepaald op basis van de machtiging ReadAll.

OneLake RBAC in externe snelkoppelingen (ADLS, S3, Dataverse)

OneLake ondersteunt het definiëren van RBAC-machtigingen voor snelkoppelingen, zoals ADLS-, S3- en Dataverse-snelkoppelingen. In dit geval wordt het RBAC-model toegepast op het gedelegeerde autorisatiemodel dat is ingeschakeld voor dit type snelkoppeling.

Stel dat gebruiker1 een S3-snelkoppeling maakt in een lakehouse die verwijst naar een map in een AWS S3-bucket. Vervolgens probeert gebruiker2 toegang te krijgen tot gegevens in deze snelkoppeling.

Autoriseert S3 Connection toegang voor de gedelegeerde gebruiker1? Autoriseert OneLake RBAC toegang voor de aanvragende gebruiker2? Resultaat: Heeft gebruiker2 toegang tot gegevens in S3 Shortcut?
Ja Ja Ja
No Nee Nee
No Ja No
Ja No Nr.

De RBAC-machtigingen moeten worden gedefinieerd voor het volledige bereik van de snelkoppeling (volledige doelmap), maar nemen recursief over aan alle submappen en bestanden.

Meer informatie over S3-, ADLS- en Dataverse-snelkoppelingen vindt u in OneLake-snelkoppelingen.

Limieten voor OneLake RBAC

De volgende tabel bevat de beperkingen van Rollen voor Gegevenstoegang van OneLake.

Scenario Grenswaarde
Maximum aantal OneLake RBAC-rollen per fabric-item Maximaal 250 rollen voor elk lakehouse-item.
Maximum aantal leden per OneLake RBAC-rol Maximaal 500 gebruikers en gebruikersgroepen per rol.
Maximum aantal machtigingen per OneLake RBAC-rol Maximaal 500 machtigingen per rol

Latenties in OneLake RBAC

  • Als u een OneLake RBAC-roldefinitie wijzigt, duurt het ongeveer vijf minuten voordat OneLake de bijgewerkte definities toepast.
  • Als u een gebruikersgroep in OneLake RBAC-rol wijzigt, duurt het ongeveer een uur voordat OneLake de machtigingen van de rol toepast op de bijgewerkte gebruikersgroep.