Behörighetsmodell
Microsoft Fabric har en flexibel behörighetsmodell som gör att du kan styra åtkomsten till data i din organisation. Den här artikeln beskriver de olika typerna av behörigheter i Infrastrukturresurser och hur de fungerar tillsammans för att styra åtkomsten till data i din organisation.
En arbetsyta är en logisk entitet för att gruppera objekt i infrastrukturresurser. Arbetsyteroller definierar åtkomstbehörigheter för arbetsytor. Även om objekt lagras på en arbetsyta kan de delas med andra användare i Infrastrukturresurser. När du delar Infrastrukturobjekt kan du bestämma vilka behörigheter som ska ge användaren som du delar objektet med. Vissa objekt, till exempel Power BI-rapporter, tillåter ännu mer detaljerad kontroll av data. Rapporter kan konfigureras så att användare som visar dem bara ser en del av de data som de har, beroende på deras behörigheter.
Arbetsyteroller
Arbetsyteroller används för att styra åtkomsten till arbetsytor och innehållet i dem. En infrastrukturadministratör kan tilldela arbetsyteroller till enskilda användare eller grupper. Arbetsyteroller är begränsade till en viss arbetsyta och gäller inte för andra arbetsytor, kapaciteten som arbetsytan finns i eller klientorganisationen.
Det finns fyra arbetsyteroller och de gäller för alla objekt på arbetsytan. Användare som inte har någon av dessa roller kan inte komma åt arbetsytan. Rollerna är:
Visningsprogram – Kan visa allt innehåll på arbetsytan, men det går inte att ändra det.
Deltagare – Kan visa och ändra allt innehåll på arbetsytan.
Medlem – Kan visa, ändra och dela allt innehåll på arbetsytan.
Administratör – Kan visa, ändra, dela och hantera allt innehåll på arbetsytan, inklusive att hantera behörigheter.
Den här tabellen visar en liten uppsättning funktioner som varje roll har. En fullständig och mer detaljerad lista finns i Microsoft Fabric-arbetsyteroller.
| Kapacitet | Administratör | Medlem | Deltagare | Tittare |
|---|---|---|---|---|
| Ta bort arbetsytan | ✅ | ❌ | ❌ | ❌ |
| Lägga till administratörer | ✅ | ❌ | ❌ | ❌ |
| Lägg till medlemmar | ✅ | ✅ | ❌ | ❌ |
| Skrivdata | ✅ | ✅ | ✅ | ❌ |
| Skapa objekt | ✅ | ✅ | ✅ | ❌ |
| Läsa data | ✅ | ✅ | ✅ | ✅ |
Objektbehörigheter
Objektbehörigheter används för att styra åtkomsten till enskilda infrastrukturobjekt på en arbetsyta. Objektbehörigheter är begränsade till ett visst objekt och gäller inte för andra objekt. Använd objektbehörigheter för att styra vem som kan visa, ändra och hantera enskilda objekt på en arbetsyta. Du kan använda objektbehörigheter för att ge en användare åtkomst till ett enskilt objekt på en arbetsyta som de inte har åtkomst till.
När du delar objektet med en användare eller grupp kan du konfigurera objektbehörigheter. Om du delar ett objekt får användaren läsbehörighet för objektet som standard. Läsbehörigheter gör det möjligt för användare att se metadata för objektet och visa eventuella rapporter som är associerade med det. Läsbehörigheter tillåter dock inte användare att komma åt underliggande data i SQL eller OneLake.
Olika infrastrukturobjekt har olika behörigheter. Mer information om behörigheter för varje objekt finns i:
Beräkningsbehörigheter
Behörigheter kan också anges i en specifik beräkningsmotor i Fabric, särskilt via SQL-slutpunkten eller i en semantisk modell. Behörigheter för beräkningsmotorn möjliggör en mer detaljerad dataåtkomstkontroll, till exempel säkerhet på tabell- och radnivå.
SQL-slutpunkt – SQL-slutpunkten ger direkt SQL-åtkomst till tabeller i OneLake och kan ha säkerhet konfigurerad internt via SQL-kommandon. Dessa behörigheter gäller endast för frågor som görs via SQL.
Semantisk modell – Semantiska modeller tillåter att säkerhet definieras med DAX. Begränsningar som definierats med DAX gäller för användare som frågar via den semantiska modellen eller Power BI-rapporter som bygger på den semantiska modellen.
Mer information finns i följande artiklar:
Exempel
Det här avsnittet innehåller två exempel på hur behörigheter kan konfigureras i Infrastrukturresurser.
Exempel 1: Konfigurera teambehörigheter
Wingtip Toys har konfigurerats med en klientorganisation för hela organisationen och tre kapaciteter. Varje kapacitet representerar en annan region. Wingtip Toys verkar i USA, Europa och Asien. Varje kapacitet har en arbetsyta för varje avdelning i organisationen, inklusive försäljningsavdelningen.
Försäljningsavdelningen har en chef, en säljteamledare och säljteammedlemmar. Wingtip Toys har även en analytiker för hela organisationen.
I följande tabell visas kraven för varje roll på försäljningsavdelningen och hur behörigheter konfigureras för att aktivera dem.
| Roll | Krav | Ställ in |
|---|---|---|
| Ansvarig | Visa och ändra allt innehåll på försäljningsavdelningen i hela organisationen | En medlemsroll för alla försäljningsarbetsytor i organisationen |
| Gruppledare | Visa och ändra allt innehåll på försäljningsavdelningen i en viss region | En medlemsroll för säljarbetsytan i regionen |
| Sales-teammedlem | ||
| Analytiker | Visa allt innehåll på försäljningsavdelningen i hela organisationen | En visningsroll för alla arbetsytor för försäljning i organisationen |
Wingtip har också en kvartalsrapport som listar dess försäljningsintäkter per försäljningsmedlem. Den här rapporten lagras på en ekonomiarbetsyta. Med säkerhet på radnivå konfigureras rapporten så att varje försäljningsmedlem bara kan se sina egna försäljningssiffror. Team-leads kan se försäljningssiffrorna för alla försäljningsmedlemmar i deras region, och säljchefen kan se försäljningssiffror för alla försäljningsmedlemmar i organisationen.
Exempel 2: Behörigheter för arbetsyta och objekt
När du delar ett objekt eller ändrar dess behörigheter ändras inte arbetsyteroller. Exemplet i det här avsnittet visar hur arbetsyte- och objektbehörigheter interagerar.
Veronica och Marta arbetar tillsammans. Veronica är ägare till en rapport som hon vill dela med Marta. Om Veronica delar rapporten med Marta kommer Marta att kunna komma åt den oavsett vilken arbetsyteroll hon har.
Anta att Marta har en visningsroll på arbetsytan där rapporten lagras. Om Veronica bestämmer sig för att ta bort Martas objektbehörigheter från rapporten kan Marta fortfarande visa rapporten på arbetsytan. Marta kommer också att kunna öppna rapporten från arbetsytan och visa dess innehåll. Det beror på att Marta har visningsbehörighet till arbetsytan.
Om Veronica inte vill att Marta ska visa rapporten räcker det inte att ta bort Martas objektbehörigheter från rapporten. Veronica måste också ta bort Martas visningsbehörigheter från arbetsytan. Utan arbetsytans visningsbehörigheter kan Marta inte se att rapporten finns eftersom hon inte kommer att kunna komma åt arbetsytan. Marta kommer inte heller att kunna använda länken till rapporten, eftersom hon inte har åtkomst till rapporten.
Nu när Marta inte har en arbetsytevisningsroll kan Marta, om Veronica bestämmer sig för att dela rapporten med henne igen, visa den med länken Veronica delar med henne, utan att ha åtkomst till arbetsytan.
Relaterat innehåll
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för