İzin modeli
Microsoft Fabric, kuruluşunuzdaki verilere erişimi denetlemenizi sağlayan esnek bir izin modeline sahiptir. Bu makalede, Doku'daki farklı izin türleri ve kuruluşunuzdaki verilere erişimi denetlemek için birlikte nasıl çalıştıkları açıklanmaktadır.
Çalışma alanı, Doku'daki öğeleri gruplandırma için mantıksal bir varlıktır. Çalışma alanı rolleri, çalışma alanları için erişim izinlerini tanımlar. Öğeler bir çalışma alanında depolansa da, doku genelinde diğer kullanıcılarla paylaşılabilir. Doku öğelerini paylaştığınızda, öğeyi paylaştığınız kullanıcıya hangi izinlerin vereceğine karar vekleyebilirsiniz. Power BI raporları gibi bazı öğeler, verilerin daha ayrıntılı denetlenebilmesini sağlar. Raporlar, izinlerine bağlı olarak, bunları görüntüleyen kullanıcıların ellerindeki verilerin yalnızca bir bölümünü görmesi için ayarlanabilir.
Çalışma alanı rolleri
Çalışma alanı rolleri, çalışma alanlarına ve içindeki içeriğe erişimi denetlemek için kullanılır. Doku yöneticisi tek tek kullanıcılara veya gruplara çalışma alanı rolleri atayabilir. Çalışma alanı rolleri belirli bir çalışma alanıyla sınırlandırılır ve diğer çalışma alanları, çalışma alanının içinde olduğu kapasite veya kiracı için geçerli değildir.
Dört Çalışma Alanı rolü vardır ve bunlar çalışma alanı içindeki tüm öğelere uygulanır. Bu rollerden herhangi birine sahip olmayan kullanıcılar çalışma alanına erişemez. Roller şunlardır:
Görüntüleyici - Çalışma alanındaki tüm içeriği görüntüleyebilir, ancak değiştiremez.
Katkıda Bulunan - Çalışma alanındaki tüm içeriği görüntüleyebilir ve değiştirebilir.
Üye - Çalışma alanındaki tüm içeriği görüntüleyebilir, değiştirebilir ve paylaşabilir.
Yönetici - İzinleri yönetme dahil olmak üzere çalışma alanındaki tüm içeriği görüntüleyebilir, değiştirebilir, paylaşabilir ve yönetebilir.
Bu tabloda, her rolün sahip olduğu özelliklerden oluşan küçük bir küme gösterilmektedir. Tam ve daha ayrıntılı bir liste için bkz . Microsoft Fabric çalışma alanı rolleri.
| Özellik | Yönetici | Üye | Katılımcı | İzleyici |
|---|---|---|---|---|
| Çalışma alanını silme | ✅ | ❌ | ❌ | ❌ |
| Yönetici ekleme | ✅ | ❌ | ❌ | ❌ |
| Üye ekle | ✅ | ✅ | ❌ | ❌ |
| Veri yazma | ✅ | ✅ | ✅ | ❌ |
| Öğe oluşturma | ✅ | ✅ | ✅ | ❌ |
| Verileri okuma | ✅ | ✅ | ✅ | ✅ |
Öğe izinleri
Öğe izinleri, çalışma alanı içindeki tek tek Doku öğelerine erişimi denetlemek için kullanılır. Öğe izinleri belirli bir öğeyle sınırlandırılır ve diğer öğelere uygulanmaz. Çalışma alanında tek tek öğeleri kimlerin görüntüleyebileceğini, değiştirebileceğini ve yönetebileceğini denetlemek için öğe izinlerini kullanın. Kullanıcıya çalışma alanında erişimi olmayan tek bir öğeye erişim vermek için öğe izinlerini kullanabilirsiniz.
Öğeyi bir kullanıcı veya grupla paylaşırken, öğe izinlerini yapılandırabilirsiniz. Bir öğe paylaşılması kullanıcıya varsayılan olarak bu öğe için okuma izni verir. Okuma izinleri, kullanıcıların bu öğenin meta verilerini görmesine ve onunla ilişkili raporları görüntülemesine olanak tanır. Ancak, okuma izinleri kullanıcıların SQL veya OneLake'teki temel verilere erişmesine izin vermez.
Farklı Doku öğelerinin farklı izinleri vardır. Her öğenin izinleri hakkında daha fazla bilgi edinmek için bkz:
İşlem izinleri
İzinler, özellikle SQL analiz uç noktası aracılığıyla veya anlamsal modelde Doku'daki belirli bir işlem altyapısı içinde de ayarlanabilir. İşlem altyapısı izinleri, tablo ve satır düzeyi güvenlik gibi daha ayrıntılı bir veri erişim denetimi sağlar.
SQL analizi uç noktası - SQL analiz uç noktası, OneLake'teki tablolara doğrudan SQL erişimi sağlar ve SQL komutları aracılığıyla güvenliğin yerel olarak yapılandırılmasını sağlayabilir. Bu izinler yalnızca SQL aracılığıyla yapılan sorgular için geçerlidir.
Anlam modeli - Anlam modelleri, güvenliğin DAX kullanılarak tanımlanmasını sağlar. DAX kullanılarak tanımlanan kısıtlamalar, anlamsal model veya anlam modeli üzerinde oluşturulan Power BI raporları aracılığıyla sorgulayan kullanıcılar için geçerlidir.
Bu makalelerde daha fazla bilgi bulabilirsiniz:
OneLake izinleri (veri erişim rolleri)
OneLake, OneLake veri erişimi rolleri aracılığıyla OneLake'deki dosya ve klasörlere erişimi idare etmek için kendi izinlerine sahiptir. OneLake veri erişim rolleri, kullanıcıların bir lakehouse içinde özel roller oluşturmasına ve OneLake'e erişirken yalnızca belirtilen klasörlere okuma izinleri vermesine olanak tanır. Her OneLake rolü için kullanıcılar kullanıcıları, güvenlik gruplarını atayabilir veya çalışma alanı rolüne göre bir otomatik atama verebilir.
OneLake Veri Erişim Denetimi Modeli hakkında daha fazla bilgi edinin ve nasıl yapılır kılavuzlarını görüntüleyin.
İşlem sırası
Doku üç farklı güvenlik düzeyine sahiptir. Bir kullanıcının verilere erişebilmesi için her düzeyde erişimi olmalıdır. Her düzey, kullanıcının erişimi olup olmadığını belirlemek için sıralı olarak değerlendirilir. Microsoft Information Protection ilkeleri gibi güvenlik kuralları, erişime izin vermek veya erişimi reddetmek için belirli bir düzeyde değerlendirilir. Doku güvenliği değerlendirilirken işlemin sırası şöyledir:
- Entra kimlik doğrulaması: Kullanıcının Microsoft Entra kiracısı için kimlik doğrulaması gerçekleştirip gerçekleştiremeyeceğini denetler.
- Doku erişimi: Kullanıcının Microsoft Fabric'e erişip erişemediğini denetler.
- Veri güvenliği: Kullanıcının istenen eylemi bir tablo veya dosya üzerinde gerçekleştirip gerçekleştiremediğini denetler.
Örnekler
Bu bölümde, dokuda izinlerin nasıl ayarlanabileceğine yönelik iki örnek sağlanır.
Örnek 1: Ekip izinlerini ayarlama
Wingtip Toys, kuruluşun tamamı için bir kiracı ve üç kapasite ile ayarlanır. Her kapasite farklı bir bölgeyi temsil eder. Wingtip Toys Birleşik Devletler, Avrupa ve Asya'da faaliyet göstermektedir. Her kapasitenin, satış departmanı dahil olmak üzere kuruluştaki her departman için bir çalışma alanı vardır.
Satış departmanının bir yöneticisi, satış ekibi lideri ve satış ekibi üyeleri vardır. Wingtip Toys ayrıca tüm kuruluş için bir analist istihdam ediyor.
Aşağıdaki tabloda satış departmanındaki her rolün gereksinimleri ve izinlerin bunları etkinleştirmek için nasıl ayarlandığı gösterilmektedir.
| Role | Gereksinim | Ayarlama |
|---|---|---|
| Yönetici | Kuruluşun tamamında satış departmanındaki tüm içeriği görüntüleme ve değiştirme | Kuruluştaki tüm satış çalışma alanları için üye rolü |
| Ekip lideri | Belirli bir bölgedeki satış departmanındaki tüm içeriği görüntüleme ve değiştirme | Bölgedeki satış çalışma alanı için üye rolü |
| Sales takımı üyesi | ||
| Analist | Kuruluşun tamamında satış departmanındaki tüm içeriği görüntüleme | Kuruluştaki tüm satış çalışma alanları için görüntüleyici rolü |
Wingtip'in satış üyesi başına satış gelirini listeleyen üç aylık bir raporu da vardır. Bu rapor bir finans çalışma alanında depolanır. Satır düzeyi güvenlik kullanılarak rapor, her satış üyesinin yalnızca kendi satış rakamlarını görebilmesi için ayarlanır. Ekip adayları, bölgelerindeki tüm satış üyelerinin satış rakamlarını görebilir ve satış yöneticisi kuruluştaki tüm satış üyelerinin satış rakamlarını görebilir.
Örnek 2: Çalışma alanı ve öğe izinleri
Bir öğeyi paylaştığınızda veya izinlerini değiştirdiğinizde, çalışma alanı rolleri değişmez. Bu bölümdeki örnekte çalışma alanı ve öğe izinlerinin nasıl etkileşimde olduğu gösterilmektedir.
Veronica ve Marta birlikte çalışıyor. Veronica, Marta ile paylaşmak istediği raporun sahibi. Veronica raporu Marta ile paylaşırsa, Marta sahip olduğu çalışma alanı rolünden bağımsız olarak rapora erişebilir.
Marta'nın raporun depolandığı çalışma alanında bir görüntüleyici rolü olduğunu varsayalım. Veronica, Marta'nın öğe izinlerini rapordan kaldırmaya karar verirse, Marta raporu çalışma alanında görüntülemeye devam edebilir. Marta ayrıca raporu çalışma alanından açabilir ve içeriğini görüntüleyebilir. Bunun nedeni Marta'nın çalışma alanı için görüntüleme izinlerine sahip olmasıdır.
Veronica, Marta'nın raporu görüntülemesini istemiyorsa, Marta'nın öğe izinlerini rapordan kaldırmak yeterli değildir. Veronica'nın çalışma alanından Marta'nın görüntüleyici izinlerini de kaldırması gerekiyor. Çalışma alanı görüntüleyici izinleri olmadan Marta, çalışma alanına erişemeyeceği için raporun mevcut olduğunu göremez. Marta, rapora erişimi olmadığından raporun bağlantısını da kullanamayacaktır.
Artık Marta'nın çalışma alanı görüntüleyici rolü olmadığından, Veronica raporu kendisiyle yeniden paylaşmaya karar verirse, Marta çalışma alanına erişimi olmadan Veronica'nın kendisiyle paylaştığı bağlantıyı kullanarak raporu görüntüleyebilir.
Örnek 3: Power BI Uygulama izinleri
Power BI raporlarını paylaşırken, alıcılarınızın çalışma alanı öğelerine değil yalnızca raporlara erişmesini istersiniz. Bunun için Power BI uygulamalarını kullanabilir veya raporları doğrudan kullanıcılarla paylaşabilirsiniz.
Ayrıca Satır düzeyi güvenlik (RLS) kullanarak görüntüleyici erişimini sınırlayabilir, RLS ile verilerinizin belirli bölümlerine erişimi olan roller oluşturabilir ve sonuçları yalnızca kullanıcının kimliğinin erişebileceği şekilde sınırlayabilirsiniz.
Veriler anlamsal modelde içeri aktarıldığında ve alıcılar uygulamanın bir parçası olarak buna erişebildiklerinden içeri aktarma modelleri kullanılırken bu işlem düzgün çalışır. DirectLake ile rapor, verileri doğrudan Lakehouse'dan okur ve rapor alıcısının göldeki bu dosyalara erişmesi gerekir. Bunu çeşitli yollarla yapabilirsiniz:
- Lakehouse'a doğrudan izin ver
ReadData. - Veri kaynağı kimlik bilgilerini Çoklu Oturum Açma 'den (SSO) göldeki dosyalara erişimi olan sabit bir kimliğe geçirin.
RLS Anlam Modeli'nde tanımlandığından önce veriler okunur ve ardından satırlar filtrelenir.
Raporun oluşturulduğu SQL analizi uç noktasında herhangi bir güvenlik tanımlanmışsa, sorgular otomatik olarak DirectQuery moduna geri döner. Bu varsayılan geri dönüş davranışını istemiyorsanız, özgün Lakehouse'daki tabloların kısayollarını kullanarak yeni bir Lakehouse oluşturabilir ve yeni Lakehouse'da SQL'de RLS veya OLS tanımlamayabilirsiniz.