Jaa

Rivitason suojaus (RLS) Power BI -raporttipalvelimessa

  • Artikkeli

Tietojen käyttöä voidaan Power BI -raporttipalvelimessa rajoittaa tietyille käyttäjille määrittämällä rivitason suojaus (RLS). Suodattimet rajoittavat tietojen käyttöä rivitasolla ja voit määrittää roolien sisäisiä suodattimia. Jos käytät Power BI -raporttipalvelimen oletuskäyttöoikeuksia, kaikki käyttäjät, joilla on Power BI -raportin julkaisu- tai sisällönhallintaoikeudet, voivat määrittää käyttäjille raportin rooleja.

Voit määrittää rivitason suojauksen raporteille, jotka on tuotu Power BI:hin Power BI Desktopin avulla. Voit myös määrittää rivitason suojauksen raporteille, jotka käyttävät DirectQueryä, kuten SQL Serveriä. Huomaa, että rivitason suojausta ei huomioida, jos DirectQuery-yhteytesi käyttää raportin lukijoiden integroitua todentamista. Määrität rivitason suojauksen paikalliselle mallille Analysis Servicesin reaaliaikaisia yhteyksiä varten. Suojausvaihtoehtoa ei näy reaaliaikaisen yhteyden tietojoukoille.

Roolien ja sääntöjen määrittäminen Power BI Desktopissa

Voit määrittää rooleja ja sääntöjä Power BI Desktopissa. Tällä editorilla voit vaihtaa avattavan oletuskäyttöliittymän ja DAX-liittymän välillä. Kun julkaiset Power BI:ssä, julkaiset myös roolimääritykset.

Käyttöoikeusroolien määrittäminen:

  1. Tuo tietoja Power BI Desktop -raporttiin tai määritä DirectQuery-yhteys.

    Muistiinpano

    Power BI Desktopissa ei voi määrittää rooleja reaaliaikaisille Analysis Services -yhteyksille. Se on tehtävä Analysis Services -mallissa.

  2. Valitse Mallinnus-välilehdeltä Roolien hallinta.

    Näyttökuva Mallinnus-välilehdestä, jossa näkyy korostettu Roolien hallinta.

  3. Luo uusi rooli valitsemalla Roolien hallinta -ikkunassa Uusi.

    Näyttökuva Roolien hallinta -ikkunasta, jossa korostetaan Luo uusi rooli -painiketta.

  4. Anna roolille nimi Roolit-kohdassa ja valitse Enter.

    Näyttökuva Roolien hallinta -ikkunasta, jossa roolin nimeäminen uudelleen korostetaan.

    Muistiinpano

    Et voi määrittää roolia pilkulla, esimerkiksi London,ParisRole.

  5. Valitse Valitse taulukot -kohdassa taulukko, johon haluat käyttää rivitason suojaussuodatinta.

  6. Määritä roolit oletuseditorin avulla kohdassa Suodata tiedot. Luodut lausekkeet palauttavat arvon tosi tai epätosi.

    Näyttökuva Roolien hallinta -ikkunan oletuseditorista rivitason suojauksen määrittämistä varten.

    Muistiinpano

    Kaikkia Power BI:n rivitason suojauksen suodattimia ei voi määrittää oletuseditoria käyttämällä. Rajoitukset sisältävät lausekkeita, jotka nykyään voidaan määrittää vain käyttämällä DAXia, mukaan lukien dynaamiset säännöt, kuten username() tai userprincipalname(). Jos haluat määrittää roolit näiden suodattimien avulla, siirry DAX-editorin käyttöön.

  7. Voit halutessasi vaihtaa roolisi DAX-editorin käyttöön valitsemalla Vaihda DAX-editoriin . DAX-lausekkeet palauttavat arvon tosi tai epätosi. Esimerkki: [Entity ID] = “Value”. DAX-editori on valmis kaavojen (intellisense) automaattisella täydennyksellä. Voit palauttaa muutokset valitsemalla lausekeruudun yläpuolelta valintamerkin lausekkeen vahvistamiseksi ja X-painikkeen lausekeruudun yläpuolella.

    Näyttökuva Roolien hallinta -ikkunasta, jossa korostetaan esimerkki DAX-lausekkeesta.

    Muistiinpano

    Voit käyttää lausekkeessa funktiota username( ). Huomaa, että username() on Power BI Desktopissa muodossa TOIMIALUE\käyttäjänimi . Power BI -palvelussa ja Power BI -raporttipalvelimessa se esitetään käyttäjän täydellinen käyttäjätunnus (UPN) muodossa. Voit lisäksi käyttää tässä lausekeruudussa pilkkuja DAX-funktioargumenttien erottamiseen, vaikka käyttäisit tavallisesti puolipisteerottimia, kuten ranskaa tai saksaa.

  8. Voit vaihtaa takaisin oletuseditoriin valitsemalla Vaihda oletuseditoriin. Kaikki jommassakummassa editorin käyttöliittymässä tehdyt muutokset säilyvät, kun käyttöliittymää vaihdetaan, kun se on mahdollista. Kun määrität roolia käyttämällä DAX-editoria, jota ei voi määrittää oletuseditorissa, näyttöön tulee varoitus siitä, että joitain tietoja menetetään, jos yrität vaihtaa oletuseditoriin. Jos haluat säilyttää nämä tiedot, valitse Peruuta ja jatka vain tämän roolin muokkaamista DAX-editorissa.

    Näyttökuvassa on valintaikkuna, jossa vahvistetaan, että haluat vaihtaa oletuseditoriin.

    Muistiinpano

    Erota DAX-funktioargumentit toisistaan pilkuilla tämän lausekeruudun avulla, vaikka käyttäisit tavallisesti puolipisteerottimia, kuten ranskaa tai saksaa.

  9. Valitse Tallenna.

Käyttäjille ei voi määrittää roolia Power BI Desktopissa. Voit määrittää ne Power BI -palvelussa. Voit ottaa käyttöön Power BI Desktopin dynaamisen suojauksen hyödyntämällä username() - tai userprincipalname() -DAX-funktioita, kun oikeat suhteet on määritetty.

Kaksisuuntainen ristiinsuodatus

Oletuksena rivitason suojauksen suodatukseen käytetään yksisuuntaisia suodattimia riippumatta siitä, onko suhteet määritetty yksi- vai kaksisuuntaisille suhteille. Voit ottaa rivitason suojauksessa kaksisuuntaisen ristiinsuodatuksen käyttöön manuaalisesti.

  • Valitse suhde ja sitten Ota suojaussuodattimet käyttöön molempiin suuntiin -valintaruutu.

    Suojaussuodattimen käyttäminen

Valitse tämä ruutu, jos otat käyttöön käyttäjänimeen tai kirjautumistunnukseen perustuvan dynaamisen rivitason suojauksen.

Lisätietoja on artikkelissa Kaksisuuntainen ristiinsuodatus käyttämällä DirectQueryä Power BI Desktopissa ja teknisessä raportissa Taulukkomuotoisen liiketoimintatietojen semanttisen mallin suojaaminen.

Roolien vahvistaminen Power BI Desktopissa

Kun olet luonut roolit, voit testata roolien tuloksia Power BI Desktopissa.

  1. Valitse Mallinnus-välilehdeltä Näytä nimellä.

    Näyttökuva Mallinnus-välilehdestä, jossa Näytä muodossa -korostus näkyy.

    Esiin tulee Näytä rooleina -ikkuna, jossa näet luomasi roolit.

    Näyttökuva Näytä rooleina -ikkunasta, jossa Ei mitään on valittuna.

  2. Valitse luomasi rooli. Valitse sitten OK ottaaksesi roolin käyttöön.

    Raportit hahmontavat tiedot, jotka ovat merkittäviä kyseisen roolin kannalta.

  3. Voit myös valita Toisen käyttäjän ja määrittää tietyn käyttäjän.

    Näyttökuva Näytä rooleina -ikkunasta, jossa on esimerkkikäyttäjästä.

    On parasta määrittää täydellinen käyttäjätunnus (UPN), koska sitä Power BI -palvelu ja Power BI -raporttipalvelin käyttävät.

    Toinen käyttäjä näyttää eri tuloksia Power BI Desktopissa vain, jos käytössäsi on dynaaminen tietoturva, joka perustuu DAX-lausekkeisiin. Tässä tapauksessa sinun on sisällytettävä sekä käyttäjänimi että rooli.

  4. Valitse OK.

    Raportti hahmonnetetaan sen perusteella, mitä RLS-suodattimet sallivat käyttäjän nähdä.

    Muistiinpano

    Näytä rooleina -ominaisuus ei toimi DirectQuery-malleissa, joissa kertakirjautuminen on käytössä.

Jäsenten lisääminen rooleihin

Kun olet tallentanut raportin Power BI -raporttipalvelimeen, voit hallita suojausta ja lisätä tai poistaa jäseniä palvelimessa. Rivitason suojaus on käytettävissä ainoastaan käyttäjillä, joilla on raportin joko julkaisu- tai sisällönhallintaoikeudet. Vaihtoehto näkyy harmaana.

Jos raportissa ei ole tarvitsemiasi rooleja, sinun on avattava raportti Power BI Desktopissa, lisättävä tai muokattava rooleja ja tallennettava se sitten takaisin Power BI -raporttipalvelimeen.

  1. Tallenna raportti Power BI Desktopissa Power BI -raporttipalvelimeen. Sinun on käytettävä Power BI Desktopin versiota Power BI -raporttipalvelimelle.

  2. Valitse Power BI -raporttipalvelussa raportin vieressä oleva ellipsi (...).

  3. >Valitse Hallitse rivitason suojausta.

    Rivitason suojauksen hallinta

    Rivitason suojaus -sivulla voit lisätä jäseniä rooliin, jonka loit Power BI Desktopissa.

  4. Lisää jäsen valitsemalla Lisää jäsen.

  5. Kirjoita käyttäjä tai ryhmä tekstiruutuun Käyttäjänimi-muodossa (TOIMIALUE\käyttäjä) ja valitse roolit, jotka haluat hänelle määrittää. Jäsenen on kuuluttava organisaatioosi.

    Lisää jäsen rooliin

    Active Directoryn määrityksestä riippuen myös täydellinen käyttäjätunnus toimii. Tässä tapauksessa raporttipalvelin näyttää luettelossa vastaavaa käyttäjänimeä.

  6. Valitse OK ottaaksesi käyttöön.

  7. Jos haluat poistaa jäseniä, valitse jäsenen nimen vieressä oleva ruutu ja valitse Poista. Voit poistaa useita jäseniä kerrallaan.

    Jäsenten poistaminen

username() ja userprincipalname()

Voit hyödyntää tietojoukossa DAX-funktioita username() ja userprincipalname(). Voit käyttää niitä lausekkeissa Power BI Desktopissa. Kun julkaiset mallin, Power BI -raporttipalvelin käyttää niitä.

Power BI Desktopissa username() palauttaa käyttäjän muodossa TOIMIALUE\Käyttäjä ja userprincipalname() muodossa user@contoso.com.

Power BI -raporttipalvelimessa sekä username() että userprincipalname() palauttavat käyttäjän ensisijaisen nimen (UPN), joka vastaa sähköpostiosoitetta.

Jos käytät Power BI -raporttipalvelimessa mukautettua todentamista, se palauttaa käyttäjänimen muodon, jonka olet määrittänyt käyttäjille.

Huomioitavat asiat ja rajoitukset

Tässä ovat Power BI -mallien rivitason suojauksen tämänhetkiset rajoitukset.

Käyttäjät, joiden raporteissa käytettiin username()-DAX-funktiota, huomaavat uuden toimintatoiminnon, jossa funktio palauttaa täydellinen käyttäjätunnus (UPN), PAITSI JOS DirectQuerya käytetään yhdessä integroidun suojauksen kanssa. Koska rivitason suojaus ei kyseisessä skenaariossa pädä, skenaarioon ei tule muutoksia.

Voit määrittää rivitason suojauksen vain tietojoukoille, jotka on luotu Power BI Desktopin avulla. Jos haluat ottaa rivitason suojauksen käyttöön tietojoukoille, jotka on luotu Excelin avulla, sinun on ensin muunnettava tiedostosi Power BI Desktop (PBIX) -tiedostoiksi. Lue lisätietoja Excel-tiedostojen muuntamisesta.

Tuetaan vain keräämistä, muuntamista ja lataamista (ETL) sekä DirectQuery-yhteyksiä, joissa käytetään tallennettuja tunnistetietoja. Analysis Servicesiin muodostetut reaaliaikaiset yhteydet ja DirectQuery-yhteydet, joissa käytetään integroitua todentamista, käsitellään pohjana olevassa tietolähteessä.

Jos käytät DirectQueryssä integroitua suojausta, käyttäjät voivat huomata seuraavaa:

  • Rivitason suojaus on poistettu käytöstä ja kaikki tiedot palautetaan.
  • Käyttäjät eivät voi päivittää roolimäärityksiään, ja he saavat virheilmoituksen rivitason suojauksen hallintasivulla.
  • DAX-käyttäjänimi-funktio antaa edelleen käyttäjänimen muodossa TOIMIALUE\KÄYTTÄJÄ.

Raporttien tekijöillä ei ole raportin tietojen tarkasteluoikeutta Power BI -raporttipalvelimessa, ennen kuin he ovat määrittäneet itselleen roolit vastaavasti raportin lataamisen jälkeen.

Roolimäärityksiä ryhmän jäsenyyksien kautta tuetaan vain, kun Power BI -raporttipalvelin on määritetty suoritettavaksi NTLM- tai Kerberos-todennuksella. Palvelimet, jotka suoritetaan mukautetulla todennuksella tai Windows Basicilla, tarvitsevat käyttäjiä, jotka on nimenomaisesti määritetty rooleihin.

UKK

Voinko luoda nämä roolit Analysis Services -tietolähteille?

Voit, jos tiedot on tuotu Power BI Desktopiin. Jos käytät reaaliaikaista yhteyttä, et voi määrittää rivitason suojausta Power BI -palvelun sisällä. RLS määritetään Analysis Services -mallissa paikallisesti.

Voinko käyttää rivitason suojausta rajoittamaan käyttäjien käytössä olevia sarakkeita tai mittareita?

Ei. Jos käyttäjällä on tietyn tietorivin käyttöoikeus, hän voi nähdä kaikki kyseisen rivin tietosarakkeet.

Salliiko rivitason suojaus tarkkojen tietojen piilottamisen ja käytön visualisoinneissa yhteenvetoihin?

Ei, voit suojata yksittäisiä tietorivejä, mutta käyttäjät voivat aina nähdä tarkat tiedot tai yhteenvetotiedot.

Voinko lisätä uusia rooleja Power BI Desktopissa, jos olen jo määrittänyt rooleja ja jäseniä?

Kyllä. Jos olet jo määrittänyt rooleja ja jäseniä Power BI -raporttipalvelimessa, voit luoda lisää rooleja ja julkaista raportin uudelleen vaikuttamatta nykyisiin määrityksiäsi.

Liittyvä sisältö

Onko sinulla lisää kysymyksiä? Voit esittää kysymyksiä Power BI -yhteisössä