Model povolení
Microsoft Fabric má flexibilný model povolení, ktorý vám umožňuje riadiť prístup k údajom vo vašej organizácii. V tomto článku sa vysvetľujú rôzne typy povolení v službe Fabric a ako spolupracujú pri kontrole prístupu k údajom vo vašej organizácii.
Pracovný priestor je logická entita na zoskupenie položiek v službe Fabric. Roly pracovného priestoru definujú povolenia na prístup k pracovným priestorom. Hoci sú položky uložené v jednom pracovnom priestore, môžu byť zdieľané s ostatnými používateľmi v rámci služby Fabric. Pri zdieľaní položiek služby Fabric môžete rozhodnúť, ktoré povolenia udelíte používateľovi, s ktorým položku zdieľate. Niektoré položky, ako napríklad zostavy Power BI, umožňujú ešte podrobnejšiu kontrolu údajov. Zostavy je možné nastaviť tak, aby v závislosti od ich povolení používateľom, ktorí ich zobrazujú, sa zobrazuje len časť údajov, ktoré uchovávajú.
Roly pracovného priestoru
Roly pracovného priestoru sa používajú na riadenie prístupu k pracovným priestorom a obsahu, ktorý sa v nich nachádza. Správca služby Fabric môže priradiť roly pracovného priestoru jednotlivým používateľom alebo skupinám. Roly pracovného priestoru sú obmedzené na konkrétny pracovný priestor a nevzťahujú sa na iné pracovné priestory, kapacitu, v akej sa pracovný priestor nachádza, alebo na nájomníka.
K dispozícii sú štyri roly pracovného priestoru, ktoré sa vzťahujú na všetky položky v rámci pracovného priestoru. Používatelia, ktorí nemajú žiadnu z týchto rolí, nemajú prístup k pracovnému priestoru. K rolám patria:
Čitateľ – môže zobraziť všetok obsah v pracovnom priestore, ale nemôže ho upravovať.
Prispievateľ – môže zobrazovať a upravovať všetok obsah v pracovnom priestore.
Členstvo – môže zobrazovať, upravovať a zdieľať všetok obsah v pracovnom priestore.
Spravovanie – môže zobrazovať, upravovať, zdieľať a spravovať všetok obsah v pracovnom priestore vrátane spravovania povolení.
V tejto tabuľke je znázornená malá množina možností pre jednotlivé roly. Úplný a podrobnejší zoznam nájdete v téme Roly pracovného priestoru služby Microsoft Fabric.
| Funkcia | Správca | Člen | Prispievateľ | Divák |
|---|---|---|---|---|
| Odstránenie pracovného priestoru | ✅ | ❌ | ❌ | ❌ |
| Pridať správcov | ✅ | ❌ | ❌ | ❌ |
| Pridať členov | ✅ | ✅ | ❌ | ❌ |
| Zapisovať údaje | ✅ | ✅ | ✅ | ❌ |
| Vytváranie položiek | ✅ | ✅ | ✅ | ❌ |
| Čítať údaje | ✅ | ✅ | ✅ | ✅ |
Povolenia pre položku
Povolenia položiek sa používajú na ovládanie prístupu k jednotlivým položkám služby Fabric v rámci pracovného priestoru. Povolenia položky sú obmedzené na konkrétnu položku a nevzťahujú sa na iné položky. Pomocou povolení položky môžete kontrolovať, kto môže zobrazovať, upravovať a spravovať jednotlivé položky v pracovnom priestore. Povolenia na položku môžete použiť na to, aby ste používateľovi poskytli prístup k jednej položke v pracovnom priestore, ku ktorému nemá prístup.
Keď zdieľate položku s používateľom alebo skupinou, môžete nakonfigurovať povolenia položiek. Zdieľanie položky predvolene udelí používateľovi povolenie na čítanie pre danú položku. Povolenia na čítanie umožňujú používateľom zobraziť metaúdaje pre danú položku a zobraziť všetky zostavy, ktoré sú k nej priradené. Povolenia na čítanie však neumožňujú používateľom pristupovať k základným údajom v službe SQL alebo OneLake.
Rôzne položky tkaniny majú rôzne povolenia. Ďalšie informácie o povoleniach pre každú položku nájdete v téme:
Výpočtové povolenia
Povolenia možno nastaviť aj v rámci konkrétneho výpočtového nástroja v službe Fabric, konkrétne prostredníctvom koncového bodu SQL alebo v sémantickom modeli. Povolenia výpočtového nástroja umožňujú podrobnejšie riadenie prístupu k údajom, ako je napríklad zabezpečenie na úrovni tabuľky a riadkov.
Koncový bod SQL – koncový bod SQL poskytuje priamy prístup SQL k tabuľkám vo OneLake a môže mať zabezpečenie nakonfigurované natívne prostredníctvom príkazov SQL. Tieto povolenia sa vzťahujú len na dotazy vytvorené prostredníctvom SQL.
Sémantický model – sémantické modely umožňujú definovanie zabezpečenia pomocou jazyka DAX. Obmedzenia definované pomocou jazyka DAX sa vzťahujú na používateľov, ktorí dotazujú prostredníctvom sémantického modelu alebo zostáv Power BI vytvorených na sémantickom modeli.
Ďalšie informácie nájdete v týchto článkoch:
Príklady
V tejto časti nájdete dva príklady toho, ako možno nastaviť povolenia v službe Fabric.
Príklad č. 1: Nastavenie povolení tímu
Wingtip Toys je nastavený s jedným nájomníkom pre celú organizáciu a tromi kapacitami. Každá kapacita predstavuje inú oblasť. Wingtip Toys pôsobí v Spojených štátoch, Európe a Ázii. Každá kapacita má pracovný priestor pre každé oddelenie v organizácii vrátane oddelenia predaja.
Oddelenie predaja má manažéra, potenciálneho zákazníka a členov tímu predaja. Wingtip Toys tiež zamestnáva jedného analytika pre celú organizáciu.
Nasledujúca tabuľka zobrazuje požiadavky na každú rolu v oddelení predaja a spôsob nastavenia povolení na ich povolenie.
| Rola | Požiadavka | Inštalácia |
|---|---|---|
| Manažér | Zobrazenie a úprava všetkého obsahu v oddelení predaja v celej organizácii | Rola člena pre všetky pracovné priestory predaja v organizácii |
| Vedúci tímu | Zobrazenie a úprava všetkého obsahu v oddelení predaja v konkrétnej oblasti | Rola člena pre pracovný priestor predaja v oblasti |
| Člen tímu predaja | ||
| Analytici | Zobrazenie všetkého obsahu v oddelení predaja v celej organizácii | Rola čitateľa pre všetky pracovné priestory predaja v organizácii |
Wingtip má tiež štvrťročnú správu, ktorá uvádza jej príjmy z predaja na člena predaja. Táto zostava je uložená v pracovnom priestore financie. Pomocou zabezpečenia na úrovni riadkov sa nastaví zostava tak, aby každý člen predaja mohol vidieť iba svoje vlastné údaje o predaji. Potenciálni zákazníci tímu môžu zobraziť údaje o predaji všetkých členov predaja vo svojom regióne a manažér predaja môže vidieť údaje o predaji všetkých členov predaja v organizácii.
Príklad 2: Povolenia pre pracovný priestor a položku
Keď zdieľate položku alebo zmeníte jej povolenia, roly pracovného priestoru sa nezmenia. V príklade v tejto časti je znázornená interakcia povolení pracovného priestoru a položiek.
Veronica a Marta spolu pracujú. Veronica je majiteľka zostavy, ktorú chce zdieľať s Martou. Ak Veronica zdieľa zostavu s Martou, Marta k nej bude môcť získať prístup bez ohľadu na rolu pracovného priestoru, ktorú má.
Povedzme, že Marta má rolu čitateľa v pracovnom priestore, v ktorom je zostava uložená. Ak sa Veronica rozhodne odstrániť povolenia položky marty zo zostavy, Marta bude môcť stále zobraziť zostavu v pracovnom priestore. Marta tiež bude môcť otvoriť zostavu z pracovného priestoru a zobraziť jej obsah. Dôvodom je, že Marta má povolenia na zobrazenie pracovného priestoru.
Ak Veronica nechce, aby marta zobrazovala zostavu, odstránenie povolení položky Marta zo zostavy nestačí. Veronica tiež potrebuje odstrániť povolenia Marta diváka z pracovného priestoru. Bez povolení prezerajúceho používateľa pracovného priestoru nebude môcť Marta vidieť, že zostava existuje, pretože nebude môcť pristupovať k pracovnému priestoru. Marta tiež nebude môcť použiť prepojenie na zostavu, pretože nemá prístup k zostave.
Teraz, keď Marta nemá rolu diváka pracovného priestoru, ak sa Veronica rozhodne s ňou znova zdieľať zostavu, Marta ju bude môcť zobraziť pomocou prepojenia, ktoré s ňou zdieľa Veronica, bez toho, aby mala prístup k pracovnému priestoru.
Súvisiaci obsah
Pripomienky
Pripravujeme: V priebehu roka 2024 postupne zrušíme službu Problémy v službe GitHub ako mechanizmus pripomienok týkajúcich sa obsahu a nahradíme ju novým systémom pripomienok. Ďalšie informácie nájdete na stránke: https://aka.ms/ContentUserFeedback.
Odoslať a zobraziť pripomienky pre