Model oprávnění
Microsoft Fabric má flexibilní model oprávnění, který umožňuje řídit přístup k datům ve vaší organizaci. Tento článek vysvětluje různé typy oprávnění v prostředcích infrastruktury a jejich spolupráci při řízení přístupu k datům ve vaší organizaci.
Pracovní prostor je logická entita pro seskupení položek v prostředcích infrastruktury. Role pracovního prostoru definují přístupová oprávnění pro pracovní prostory. I když jsou položky uložené v jednom pracovním prostoru, dají se sdílet s ostatními uživateli v rámci prostředků infrastruktury. Když sdílíte položky prostředků infrastruktury, můžete se rozhodnout, se kterými oprávněními uživateli udělíte položku, se kterou položku sdílíte. Některé položky, jako jsou sestavy Power BI, umožňují ještě podrobnější kontrolu nad daty. Sestavy je možné nastavit tak, aby v závislosti na jejich oprávněních uživatelé, kteří si je prohlížejí, viděli jenom část dat, která uchovávají.
Role pracovního prostoru
Role pracovního prostoru slouží k řízení přístupu k pracovním prostorům a obsahu v nich. Správce prostředků infrastruktury může přiřadit role pracovního prostoru jednotlivým uživatelům nebo skupinám. Role pracovního prostoru se omezují na konkrétní pracovní prostor a nevztahují se na jiné pracovní prostory, kapacitu, ve které se pracovní prostor nachází, nebo na tenanta.
Existují čtyři role pracovního prostoru, které platí pro všechny položky v pracovním prostoru. Uživatelé, kteří nemají žádnou z těchto rolí, nemají přístup k pracovnímu prostoru. Jedná se o následující role:
Prohlížeč – Může zobrazit veškerý obsah v pracovním prostoru, ale nemůže ho upravovat.
Přispěvatel – Může zobrazit a upravit veškerý obsah v pracovním prostoru.
Člen – Může zobrazit, upravit a sdílet veškerý obsah v pracovním prostoru.
Správce – může zobrazit, upravit, sdílet a spravovat veškerý obsah v pracovním prostoru, včetně správy oprávnění.
Tato tabulka ukazuje malou sadu funkcí, které každá role má. Úplný a podrobnější seznam najdete v tématu Role pracovního prostoru Microsoft Fabric.
Schopnost | Správce | Člen | Přispěvatel | Prohlížející |
---|---|---|---|---|
Odstranění pracovního prostoru | ✅ | ❌ | ❌ | ❌ |
Přidání správců | ✅ | ❌ | ❌ | ❌ |
Přidat členy | ✅ | ✅ | ❌ | ❌ |
Zápis dat | ✅ | ✅ | ✅ | ❌ |
Vytvoření položek | ✅ | ✅ | ✅ | ❌ |
Čtení dat | ✅ | ✅ | ✅ | ✅ |
Oprávnění k položce
Oprávnění k položce slouží k řízení přístupu k jednotlivým položkám infrastruktury v pracovním prostoru. Oprávnění k položce jsou omezena na konkrétní položku a nevztahují se na jiné položky. Oprávnění k položce slouží k řízení, kdo může zobrazovat, upravovat a spravovat jednotlivé položky v pracovním prostoru. Pomocí oprávnění k položce můžete uživateli udělit přístup k jedné položce v pracovním prostoru, ke kterému nemá přístup.
Když položku sdílíte s uživatelem nebo skupinou, můžete nakonfigurovat oprávnění k položce. Sdílení položky uživateli uděluje oprávnění ke čtení dané položky ve výchozím nastavení. Oprávnění ke čtení umožňují uživatelům zobrazit metadata pro danou položku a zobrazit všechny sestavy, které jsou k ní přidružené. Oprávnění ke čtení ale neumožňují uživatelům přístup k podkladovým datům v SQL nebo OneLake.
Různé položky infrastruktury mají různá oprávnění. Další informace o oprávněních pro každou položku najdete tady:
Výpočetní oprávnění
Oprávnění je také možné nastavit v rámci konkrétního výpočetního modulu v prostředcích infrastruktury, konkrétně prostřednictvím koncového bodu analýzy SQL nebo v sémantickém modelu. Oprávnění výpočetního modulu umožňují podrobnější řízení přístupu k datům, například zabezpečení na úrovni tabulek a řádků.
Koncový bod analýzy SQL – Koncový bod analýzy SQL poskytuje přímý přístup SQL k tabulkám ve OneLake a může mít nativně nakonfigurované zabezpečení prostřednictvím příkazů SQL. Tato oprávnění platí jenom pro dotazy provedené prostřednictvím SQL.
Sémantický model – Sémantické modely umožňují definovat zabezpečení pomocí jazyka DAX. Omezení definovaná pomocí jazyka DAX platí pro uživatele dotazující se prostřednictvím sémantického modelu nebo sestav Power BI založených na sémantickém modelu.
Další informace najdete v těchto článcích:
Oprávnění OneLake (role přístupu k datům)
OneLake má vlastní oprávnění pro řízení přístupu k souborům a složkám ve OneLake prostřednictvím rolí přístupu k datům OneLake. Role přístupu k datům OneLake umožňují uživatelům vytvářet vlastní role v rámci jezera a udělovat oprávnění ke čtení pouze určeným složkám při přístupu k OneLake. Pro každou roli OneLake můžou uživatelé přiřazovat uživatele, skupiny zabezpečení nebo udělovat automatické přiřazení na základě role pracovního prostoru.
Přečtěte si další informace o modelu řízení přístupu k datům OneLake a podívejte se na příručky s návody.
Pořadí operací
Prostředky infrastruktury mají tři různé úrovně zabezpečení. Aby měl uživatel přístup k datům, musí mít přístup na každé úrovni. Každá úroveň se vyhodnocuje postupně, aby určila, jestli má uživatel přístup. Pravidla zabezpečení, jako jsou zásady služby Microsoft Information Protection, se vyhodnocují na dané úrovni, aby umožňovala nebo nepovolila přístup. Pořadí operací při vyhodnocování zabezpečení prostředků infrastruktury je:
- Ověřování Entra: Zkontroluje, jestli se uživatel může ověřit v tenantovi Microsoft Entra.
- Přístup k prostředkům infrastruktury: Zkontroluje, jestli má uživatel přístup k Microsoft Fabric.
- Zabezpečení dat: Zkontroluje, jestli uživatel může provést požadovanou akci u tabulky nebo souboru.
Příklady
Tato část obsahuje dva příklady nastavení oprávnění v prostředcích infrastruktury.
Příklad 1: Nastavení oprávnění týmu
Wingtip Toys je nastavený s jedním tenantem pro celou organizaci a třemi kapacitami. Každá kapacita představuje jinou oblast. Wingtip Toys působí v USA, Evropě a Asii. Každá kapacita má pracovní prostor pro každé oddělení v organizaci, včetně prodejního oddělení.
Prodejní oddělení má manažera, vedoucího prodejního týmu a členy prodejního týmu. Wingtip Toys také využívá jednoho analytika pro celou organizaci.
Následující tabulka uvádí požadavky pro každou roli v prodejním oddělení a způsob, jakým jsou oprávnění nastavená tak, aby je povolovala.
Role | Požadavek | Nastavení |
---|---|---|
Manažer | Zobrazení a úprava veškerého obsahu v prodejním oddělení v celé organizaci | Členová role pro všechny pracovní prostory prodeje v organizaci |
Vedoucí týmu | Zobrazení a úprava veškerého obsahu v prodejním oddělení v konkrétní oblasti | Členová role pracovního prostoru prodeje v oblasti |
Člen prodejního týmu | ||
Analytik | Zobrazení veškerého obsahu v prodejním oddělení v celé organizaci | Role čtenáře pro všechny pracovní prostory prodeje v organizaci |
Wingtip má také čtvrtletní sestavu, která uvádí tržby za člena prodeje. Tato sestava se ukládá do finančního pracovního prostoru. Pomocí zabezpečení na úrovni řádků je sestava nastavená tak, aby každý člen prodeje viděl pouze své vlastní údaje o prodeji. Zájemci týmu můžou zobrazit údaje o prodeji všech členů prodeje v jejich oblasti a manažer prodeje může zobrazit údaje o prodeji všech členů prodeje v organizaci.
Příklad 2: Oprávnění pracovního prostoru a položky
Když sdílíte položku nebo změníte její oprávnění, role pracovního prostoru se nezmění. Příklad v této části ukazuje, jak pracují oprávnění pracovního prostoru a položky.
Veronica a Marta spolupracují. Veronica je vlastníkem zprávy, kterou chce sdílet s Martou. Pokud Veronica sdílí sestavu s Martou, bude mít Marta přístup k ní bez ohledu na roli pracovního prostoru, kterou má.
Řekněme, že Marta má v pracovním prostoru, kde je sestava uložená, roli čtenáře. Pokud se Veronica rozhodne odebrat oprávnění k položce Marta ze sestavy, bude marta stále moct sestavu zobrazit v pracovním prostoru. Marta bude také moct otevřít sestavu z pracovního prostoru a zobrazit její obsah. Je to proto, že má Marta oprávnění k zobrazení pracovního prostoru.
Pokud Veronica nechce, aby marta sestavu zobrazila, odebrání oprávnění k položce Marta ze sestavy nestačí. Veronica také potřebuje odebrat oprávnění prohlížeče Marta z pracovního prostoru. Bez oprávnění prohlížeče pracovního prostoru nebude Marta moct zobrazit, že sestava existuje, protože nebude mít přístup k pracovnímu prostoru. Marta také nebude moct použít odkaz na sestavu, protože nemá přístup k sestavě.
Když teď Marta nemá roli čtenáře pracovního prostoru, pokud se Veronica rozhodne sestavu znovu sdílet s ní, Bude ji moct marta zobrazit pomocí odkazu, který s ní sdílí Veronica, aniž by měla přístup k pracovnímu prostoru.
Příklad 3: Oprávnění aplikace Power BI
Při sdílení sestav Power BI často chcete, aby příjemci měli přístup jenom k sestavám, a ne k položkám v pracovním prostoru. K tomu můžete použít aplikace Power BI nebo sdílet sestavy přímo s uživateli.
Kromě toho můžete omezit přístup prohlížeče k datům pomocí zabezpečení na úrovni řádků (RLS) a pomocí zabezpečení na úrovni řádků můžete vytvářet role, které mají přístup k určitým částem dat, a omezit výsledky, které vracejí jenom to, k čemu má identita uživatele přístup.
To funguje správně při použití modelů importu při importu dat v sémantickém modelu a příjemci k tomu mají přístup jako součást aplikace. S DirectLake sestavou čte data přímo z Lakehouse a příjemce sestavy musí mít přístup k těmto souborům v jezeře. Můžete to udělat několika způsoby:
- Udělte
ReadData
oprávnění přímo na Lakehouse. - Přepněte přihlašovací údaje zdroje dat z Jednotné přihlašování (SSO) na pevnou identitu, která má přístup k souborům v jezeře.
Vzhledem k tomu, že zabezpečení na úrovni řádků je definováno v sémantickém modelu, data se nejprve načtou a pak se řádky vyfiltrují.
Pokud je v koncovém bodu analýzy SQL definované nějaké zabezpečení, na které je sestava založená, dotazy se automaticky vrátí do režimu DirectQuery. Pokud nechcete toto výchozí náhradní chování, můžete vytvořit nové Lakehouse pomocí zástupců tabulek v původním Lakehouse a nedefinovat zabezpečení na úrovni řádků nebo OLS v SQL v novém Lakehouse.