Áp dụng bảo mật cấp đối tượng

  • 8 phút

Bảo mật cấp đối tượng (OLS) hạn chế quyền truy cập vào các bảng và cột cụ thể trong mô hình ngữ nghĩa. Trong khi RLS lọc những hàng mà người dùng có thể nhìn thấy, OLS kiểm soát bảng và cột nào có thể nhìn thấy. Khi OLS bảo mật một đối tượng, người dùng trong vai trò đó không thể nhìn thấy hoặc truy vấn đối tượng và siêu dữ liệu của nó cũng bị ẩn.

Hiểu khi nào nên sử dụng OLS

OLS được thiết kế cho các tình huống trong đó một số yếu tố dữ liệu nhất định chứa thông tin nhạy cảm mà một số người dùng không nên truy cập. Các trường hợp sử dụng phổ biến bao gồm:

  • Thông tin nhận dạng cá nhân (PII). Các cột như số an sinh xã hội, số điện thoại cá nhân hoặc địa chỉ nhà.
  • Dữ liệu tài chính. Cột lương, tỷ suất lợi nhuận hoặc dữ liệu chi phí bị giới hạn trong các vai trò kinh doanh cụ thể.
  • Bảng phát triển. Bảng dàn dựng hoặc bảng trung gian không được hiển thị để báo cáo người tiêu dùng.

Hãy xem xét một mô hình ngữ nghĩa nhân sự trong đó bảng Nhân viên chứa cột Lương . Tổng giám đốc có thể xem tên nhân viên và chi tiết liên hệ, nhưng chỉ nhân viên tính lương nhân sự mới được xem giá trị lương. OLS cho phép bạn ẩn cột Lương khỏi tất cả các vai trò ngoại trừ vai trò tính lương.

Ảnh chụp màn hình hiển thị dạng xem sơ đồ mô hình của bảng Nhân viên, bao gồm cột Mức lương bị hạn chế.

Cấu hình OLS bằng Trình soạn thảo Bảng

Bạn không thể đặt cấu hình OLS nguyên bản trong Power BI Desktop. Thay vào đó, hãy sử dụng một công cụ bên ngoài như Trình soạn thảo Bảng để xác định các quy tắc OLS. Trình soạn thảo dạng bảng kết nối trực tiếp với công cụ Dịch vụ Phân tích hỗ trợ mô hình ngữ nghĩa của bạn.

  1. Trong Power BI Desktop, hãy tạo vai trò xác định cấu trúc bảo mật của bạn từ tab Modeling.
  2. Mở Trình soạn thảo dạng bảng từ ruy-băng Công cụ bên ngoài . Nếu bạn không thấy Trình chỉnh sửa dạng bảng, hãy cài đặt Trình chỉnh sửa từ tabulareditor.com. Trình chỉnh sửa dạng bảng tự động kết nối với mô hình của bạn khi nó mở ra.
  3. Trong chế độ xem Mô hình , hãy mở rộng Vai trò và chọn vai trò bạn muốn đặt cấu hình.
  4. Mở rộng Quyền bảng cho vai trò đó.
  5. Đặt quyền cho từng bảng hoặc cột:
    • Không có: Đối tượng bị ẩn khỏi người dùng trong vai trò này. Đối tượng và siêu dữ liệu của nó là vô hình.
    • Đọc: Đối tượng hiển thị với người dùng trong vai trò này. Đây là giá trị mặc định cho tất cả các đối tượng.
  6. Lưu các thay đổi trong Trình chỉnh sửa bảng.
  7. Phát hành mô hình ngữ nghĩa lên Power BI service.

Sau khi phát hành, hãy gán thành viên cho các vai trò trong Power BI service giống như cách bạn làm cho vai trò RLS. Điều hướng đến mô hình ngữ nghĩa, chọn Tùy chọn khác (...), sau đó chọn Bảo mật để quản lý tư cách thành viên vai trò.

Ẩn toàn bộ bảng

Việc đặt quyền của bảng thành Không có sẽ ẩn toàn bộ bảng khỏi người dùng trong vai trò đó. Ẩn bảng rất hữu ích cho các bảng chứa dữ liệu nhạy cảm độc quyền hoặc cho các cấu phần phần mềm phát triển không nên hiển thị cho người tiêu dùng.

Ví dụ: bảng tra cứu SalaryBand chỉ được sử dụng để tính lương có thể bị ẩn khỏi tất cả các vai trò ngoại trừ nhóm tính lương.

Ẩn các cột cụ thể

Bạn có thể ẩn các cột riêng lẻ trong khi vẫn hiển thị phần còn lại của bảng. Chọn cột bên dưới bảng trong Trình soạn thảo dạng bảng và đặt Bảo mật cấp độ đối tượng của nó thành Không có cho vai trò.

Đây là mô hình OLS phổ biến nhất. Nó cho phép người dùng truy vấn bảng để biết thông tin chung trong khi bảo vệ các trường nhạy cảm cụ thể.

Hiểu các giới hạn của OLS

OLS có một số hạn chế cần xem xét khi thiết kế mô hình bảo mật của bạn:

  • Không thể ẩn trực tiếp các biện pháp. Tuy nhiên, bất kỳ thước đo nào tham chiếu đến bảng hoặc cột được bảo mật sẽ tự động bị hạn chế đối với những người dùng không có quyền truy cập vào đối tượng được bảo mật.

  • Ghi đè vai trò không gian làm việc. OLS chỉ áp dụng cho người dùng có quyền Người xem . Người dùng có vai trò Quản trị viên, Thành viên hoặc Cộng tác viên có quyền chỉnh sửa và bỏ qua OLS.

  • Phụ thuộc mối quan hệ. Bạn không thể đảm bảo một bàn nếu làm như vậy phá vỡ chuỗi mối quan hệ. Ví dụ: nếu bảng A, B và C có liên quan theo trình tự (A đến B đến C), bạn không thể bảo mật bảng B vì nó sẽ phá vỡ đường dẫn bộ lọc từ A đến C. Tuy nhiên, bạn có thể bảo mật các cột riêng lẻ trong bảng B miễn là bản thân bảng vẫn có thể truy cập được.

    Sơ đồ cho thấy ví dụ về chuỗi mối quan hệ trong đó bảng B không thể được bảo mật vì nó sẽ phá vỡ đường dẫn giữa bảng A và C.

  • Giới hạn tính năng. Các mô hình ngữ nghĩa với OLS không hỗ trợ Quick Insights, hình ảnh Smart Narrative hoặc thư viện Excel Data Types.

  • Trải nghiệm lỗi. Khi báo cáo truy vấn một đối tượng được bảo mật, Power BI sẽ hiển thị thông báo lỗi cho biết không thể tìm thấy trường. Điều này có thể gây nhầm lẫn cho người tiêu dùng báo cáo không biết về cấu hình bảo mật.

    Ảnh chụp màn hình hiển thị thông báo lỗi Power BI Máy tính để bàn khi hình ảnh báo cáo cố gắng truy vấn cột bị hạn chế.

Quan trọng

Nếu OLS sẽ gây ra trải nghiệm người dùng kém cho một số người tiêu dùng báo cáo, hãy cân nhắc tạo các báo cáo hoặc mô hình ngữ nghĩa riêng biệt cho các nhóm đối tượng khác nhau. Báo cáo được thiết kế cho đối tượng sẽ tránh các thông báo lỗi gây nhầm lẫn.

Kết hợp OLS với RLS

OLS và RLS giải quyết các nhu cầu bảo mật khác nhau và có thể hoạt động cùng nhau trong cùng một mô hình. Sử dụng vai trò riêng cho từng loại:

  • Vai trò RLS lọc các hàng dựa trên danh tính người dùng.
  • Vai trò OLS ẩn bảng hoặc cột.

Người dùng được gán cho cả hai vai trò chỉ thấy các hàng được RLS cho phép và chỉ các cột được OLS cho phép. Cách tiếp cận phân lớp này cho phép bạn triển khai bảo vệ dữ liệu toàn diện.

Lưu ý

OLS ngăn Copilot và tác nhân dữ liệu hiển thị các cột bị hạn chế trong các câu trả lời bằng ngôn ngữ tự nhiên. Khi một cột được bảo mật bằng OLS, các tính năng do AI cung cấp không thể truy cập hoặc hiển thị dữ liệu đó, ngay cả thông qua các truy vấn đàm thoại.