Toegang tot Power BI-modelobjecten beperken

  • 8 minuten

Als gegevensmodeller kunt u overwegen om gebruikerstoegang tot Power BI-modelobjecten te beperken. Beveiliging op objectniveau (OLS) kan de toegang tot specifieke tabellen en kolommen en de bijbehorende metagegevens beperken. Normaal gesproken past u OLS toe op beveiligde objecten die gevoelige gegevens opslaan, zoals persoonlijke gegevens van werknemers.

Wanneer OLS wordt afgedwongen, beperkt Power BI niet alleen de toegang tot tabellen en kolommen, maar kan het ook metagegevens beveiligen. Wanneer u metagegevens beveiligt, is het niet mogelijk om informatie over beveiligde tabellen en kolommen op te halen met behulp van dynamische beheerweergaven (DMV's).

Belangrijk

Tabellaire modellen kunnen tabellen en kolommen (en andere objecten) verbergen met behulp van een perspectief. Een perspectief definieert bekijkbare subsets van modelobjecten om een specifieke focus te bieden voor rapportauteurs. Perspectieven zijn bedoeld om de complexiteit van een model te verminderen, zodat auteurs van rapporten nuttige informatiebronnen kunnen vinden. Perspectieven zijn echter geen beveiligingsfunctie omdat ze geen objecten beveiligen. Een gebruiker kan nog steeds een query uitvoeren op een tabel of kolom, zelfs als deze niet zichtbaar is.

Bekijk een voorbeeld bij Adventure Works. Deze organisatie heeft een datawarehousedimensietabel met de naam DimEmployee. De tabel bevat kolommen waarin werknemersnaam, telefoon, e-mailadres en salaris worden opgeslagen. Hoewel algemene rapportgebruikers de naam en contactgegevens van werknemers kunnen zien, mogen ze geen salariswaarden zien. Alleen het personeel van senior Human Resources mag salariswaarden zien. De gegevensmodeller heeft OLS gebruikt om alleen toegang te verlenen tot de salariskolom aan specifieke Human Resources-medewerkers.

Schermopname van een modeldiagramweergave van de tabel Werknemer, die de kolom Beperkt Salaris bevat.

OLS is een functie die is overgenomen van Azure Analysis Services (AAS) en SQL Server Analysis Services (SSAS). De functie is beschikbaar in Power BI Premium om achterwaartse compatibiliteit te bieden voor modellen die naar Power BI zijn gemigreerd. Daarom is het niet mogelijk om OLS volledig in te stellen in Power BI Desktop.

OLS instellen

Als u OLS wilt instellen, begint u met het maken van rollen. U kunt rollen maken in Power BI Desktop op dezelfde manier als bij het instellen van RLS. Vervolgens moet u OLS-regels toevoegen aan de rollen. Deze mogelijkheid wordt niet ondersteund door Power BI Desktop, dus u moet een andere benadering kiezen.

U voegt OLS-regels toe aan een Power BI Desktop-model met behulp van een XML for Analysis-eindpunt (XMLA). XMLA-eindpunten zijn beschikbaar met Power BI Premium en bieden toegang tot de Analysis Services-engine in de Power BI-service. Het eindpunt lezen/schrijven ondersteunt gegevenssetbeheer, levenscyclusbeheer van toepassingen, geavanceerde gegevensmodellering en meer. U kunt API's met XMLA-eindpunten gebruiken voor scripting, zoals TMSL (Tabular Model Scripting Language) of de PowerShell SqlServer-module. U kunt ook een clienthulpprogramma gebruiken, zoals SSMS. Er zijn ook opties voor hulpprogramma's van derden, zoals Tabular Editor, een opensource-hulpprogramma voor het maken, onderhouden en beheren van modellen.

Standaard zijn alle modeltabellen en -kolommen niet beperkt. U kunt ze instellen op Geen of Lezen. Wanneer deze optie is ingesteld op Geen, hebben gebruikers die zijn gekoppeld aan de rol geen toegang tot het object. Wanneer deze optie is ingesteld op Lezen, hebben gebruikers die zijn gekoppeld aan de rol toegang tot het object. Wanneer u specifieke kolommen beperkt, moet u ervoor zorgen dat de tabel niet is ingesteld op Geen.

Nadat u de OLS-regels hebt toegevoegd, kunt u het model publiceren naar de Power BI-service. Gebruik hetzelfde proces voor RLS om accounts en beveiligingsgroepen toe te wijzen aan de rollen.

Overwegingen

Wanneer een gebruiker in een Power BI-rapport niet gemachtigd is om toegang te krijgen tot een tabel of kolom, wordt er een foutbericht weergegeven. In het bericht wordt aangegeven dat het object niet bestaat.

Schermopname van een Power BI Desktop-foutbericht wanneer een rapportvisual probeert een query uit te voeren op een beperkte kolom.

Overweeg zorgvuldig of OLS de juiste oplossing is voor uw project. Wanneer een gebruiker een Power BI-rapport opent waarin een query wordt uitgevoerd op een beperkt object (voor hen), kan het foutbericht verwarrend zijn en leidt dit tot een negatieve ervaring. Voor hen lijkt het alsof het rapport is verbroken. Een betere benadering is het maken van een afzonderlijke set modellen of rapporten voor de verschillende consumentenvereisten voor rapporten.

Beperkingen

Er zijn beperkingen waarmee u rekening moet houden bij het implementeren van OLS.

U kunt RLS en OLS niet combineren in dezelfde rol. Als u RLS en OLS in hetzelfde model wilt toepassen, maakt u afzonderlijke rollen die aan elk type zijn toegewezen. U kunt ook geen beveiliging op tabelniveau instellen als er een relatieketen wordt verbroken. Als er bijvoorbeeld relaties zijn tussen tabellen A en B en B en C, kunt u tabel B niet beveiligen. Als tabel B is beveiligd, kan een query in tabel A de relaties tussen tabel A en B en B en C niet doorvoeren. In dit geval kunt u een afzonderlijke relatie tussen tabellen A en C instellen.

Diagram toont het relatievoorbeeld dat in de vorige alinea is beschreven.

Modelrelaties die verwijzen naar een beveiligde kolom werken echter wel, mits de tabel van de kolom niet is beveiligd.

Ten slotte is het niet mogelijk om metingen te beveiligen, maar een meting die verwijst naar beveiligde objecten, wordt automatisch beperkt.

Zie Beveiliging op objectniveau voor meer informatie.