Behörighetsmodell
Microsoft Fabric har en flexibel behörighetsmodell som gör att du kan styra åtkomsten till data i din organisation. Den här artikeln beskriver de olika typerna av behörigheter i Infrastrukturresurser och hur de fungerar tillsammans för att styra åtkomsten till data i din organisation.
En arbetsyta är en logisk entitet för att gruppera objekt i infrastrukturresurser. Arbetsyteroller definierar åtkomstbehörigheter för arbetsytor. Även om objekt lagras på en arbetsyta kan de delas med andra användare i Infrastrukturresurser. När du delar Infrastrukturobjekt kan du bestämma vilka behörigheter som ska ge användaren som du delar objektet med. Vissa objekt, till exempel Power BI-rapporter, tillåter ännu mer detaljerad kontroll av data. Rapporter kan konfigureras så att användare som visar dem bara ser en del av de data som de har, beroende på deras behörigheter.
Arbetsyteroller
Arbetsyteroller används för att styra åtkomsten till arbetsytor och innehållet i dem. En infrastrukturadministratör kan tilldela arbetsyteroller till enskilda användare eller grupper. Arbetsyteroller är begränsade till en viss arbetsyta och gäller inte för andra arbetsytor, kapaciteten som arbetsytan finns i eller klientorganisationen.
Det finns fyra arbetsyteroller och de gäller för alla objekt på arbetsytan. Användare som inte har någon av dessa roller kan inte komma åt arbetsytan. Rollerna är:
Visningsprogram – Kan visa allt innehåll på arbetsytan, men det går inte att ändra det.
Deltagare – Kan visa och ändra allt innehåll på arbetsytan.
Medlem – Kan visa, ändra och dela allt innehåll på arbetsytan.
Administratör – Kan visa, ändra, dela och hantera allt innehåll på arbetsytan, inklusive att hantera behörigheter.
Den här tabellen visar en liten uppsättning funktioner som varje roll har. En fullständig och mer detaljerad lista finns i Microsoft Fabric-arbetsyteroller.
Kapacitet | Administratör | Medlem | Deltagare | Tittare |
---|---|---|---|---|
Ta bort arbetsytan | ✅ | ❌ | ❌ | ❌ |
Lägga till administratörer | ✅ | ❌ | ❌ | ❌ |
Lägg till medlemmar | ✅ | ✅ | ❌ | ❌ |
Skrivdata | ✅ | ✅ | ✅ | ❌ |
Skapa objekt | ✅ | ✅ | ✅ | ❌ |
Läsa data | ✅ | ✅ | ✅ | ✅ |
Objektbehörigheter
Objektbehörigheter används för att styra åtkomsten till enskilda infrastrukturobjekt på en arbetsyta. Objektbehörigheter är begränsade till ett visst objekt och gäller inte för andra objekt. Använd objektbehörigheter för att styra vem som kan visa, ändra och hantera enskilda objekt på en arbetsyta. Du kan använda objektbehörigheter för att ge en användare åtkomst till ett enskilt objekt på en arbetsyta som de inte har åtkomst till.
När du delar objektet med en användare eller grupp kan du konfigurera objektbehörigheter. Om du delar ett objekt får användaren läsbehörighet för objektet som standard. Läsbehörigheter gör det möjligt för användare att se metadata för objektet och visa eventuella rapporter som är associerade med det. Läsbehörigheter tillåter dock inte användare att komma åt underliggande data i SQL eller OneLake.
Olika infrastrukturobjekt har olika behörigheter. Mer information om behörigheter för varje objekt finns i:
Beräkningsbehörigheter
Behörigheter kan också anges i en specifik beräkningsmotor i Fabric, särskilt via SQL-analysslutpunkten eller i en semantisk modell. Behörigheter för beräkningsmotorn möjliggör en mer detaljerad dataåtkomstkontroll, till exempel säkerhet på tabell- och radnivå.
SQL-analysslutpunkt – SQL-analysslutpunkten ger direkt SQL-åtkomst till tabeller i OneLake och kan ha säkerhet konfigurerad internt via SQL-kommandon. Dessa behörigheter gäller endast för frågor som görs via SQL.
Semantisk modell – Semantiska modeller tillåter att säkerhet definieras med DAX. Begränsningar som definierats med DAX gäller för användare som frågar via den semantiska modellen eller Power BI-rapporter som bygger på den semantiska modellen.
Mer information finns i följande artiklar:
OneLake-behörigheter (dataåtkomstroller)
OneLake har sina egna behörigheter för att styra åtkomsten till filer och mappar i OneLake via OneLake-dataåtkomstroller. Med OneLake-dataåtkomstroller kan användare skapa anpassade roller i ett lakehouse och endast bevilja läsbehörighet till de angivna mapparna vid åtkomst till OneLake. För varje OneLake-roll kan användare tilldela användare, säkerhetsgrupper eller bevilja en automatisk tilldelning baserat på arbetsyterollen.
Läs mer om OneLake Data Access Control Model och visa guiderna.
Åtgärdsordning
Infrastrukturresurser har tre olika säkerhetsnivåer. En användare måste ha åtkomst på varje nivå för att få åtkomst till data. Varje nivå utvärderas sekventiellt för att avgöra om en användare har åtkomst. Säkerhetsregler som Microsoft Information Protection-principer utvärderas på en viss nivå för att tillåta eller neka åtkomst. Åtgärdsordningen vid utvärdering av infrastruktursäkerhet är:
- Entra-autentisering: Kontrollerar om användaren kan autentisera till Microsoft Entra-klientorganisationen.
- Infrastrukturåtkomst: Kontrollerar om användaren kan komma åt Microsoft Fabric.
- Datasäkerhet: Kontrollerar om användaren kan utföra den begärda åtgärden i en tabell eller fil.
Exempel
Det här avsnittet innehåller två exempel på hur behörigheter kan konfigureras i Infrastrukturresurser.
Exempel 1: Konfigurera teambehörigheter
Wingtip Toys har konfigurerats med en klientorganisation för hela organisationen och tre kapaciteter. Varje kapacitet representerar en annan region. Wingtip Toys verkar i USA, Europa och Asien. Varje kapacitet har en arbetsyta för varje avdelning i organisationen, inklusive försäljningsavdelningen.
Försäljningsavdelningen har en chef, en säljteamledare och säljteammedlemmar. Wingtip Toys har även en analytiker för hela organisationen.
I följande tabell visas kraven för varje roll på försäljningsavdelningen och hur behörigheter konfigureras för att aktivera dem.
Roll | Krav | Ställ in |
---|---|---|
Ansvarig | Visa och ändra allt innehåll på försäljningsavdelningen i hela organisationen | En medlemsroll för alla försäljningsarbetsytor i organisationen |
Gruppledare | Visa och ändra allt innehåll på försäljningsavdelningen i en viss region | En medlemsroll för säljarbetsytan i regionen |
Sales-teammedlem | ||
Analytiker | Visa allt innehåll på försäljningsavdelningen i hela organisationen | En visningsroll för alla arbetsytor för försäljning i organisationen |
Wingtip har också en kvartalsrapport som listar dess försäljningsintäkter per försäljningsmedlem. Den här rapporten lagras på en ekonomiarbetsyta. Genom att använda säkerhet på radnivå konfigureras rapporten så att varje försäljningsmedlem bara kan se sina egna försäljningssiffror. Team-leads kan se försäljningssiffrorna för alla försäljningsmedlemmar i deras region, och säljchefen kan se försäljningssiffror för alla försäljningsmedlemmar i organisationen.
Exempel 2: Behörigheter för arbetsyta och objekt
När du delar ett objekt eller ändrar dess behörigheter ändras inte arbetsyteroller. Exemplet i det här avsnittet visar hur arbetsyte- och objektbehörigheter interagerar.
Veronica och Marta arbetar tillsammans. Veronica är ägare till en rapport som hon vill dela med Marta. Om Veronica delar rapporten med Marta kommer Marta att kunna komma åt den oavsett vilken arbetsyteroll hon har.
Anta att Marta har en visningsroll på arbetsytan där rapporten lagras. Om Veronica bestämmer sig för att ta bort Martas objektbehörigheter från rapporten kan Marta fortfarande visa rapporten på arbetsytan. Marta kommer också att kunna öppna rapporten från arbetsytan och visa dess innehåll. Det beror på att Marta har visningsbehörighet till arbetsytan.
Om Veronica inte vill att Marta ska visa rapporten räcker det inte att ta bort Martas objektbehörigheter från rapporten. Veronica måste också ta bort Martas visningsbehörigheter från arbetsytan. Utan arbetsytans visningsbehörigheter kan Marta inte se att rapporten finns eftersom hon inte kommer att kunna komma åt arbetsytan. Marta kommer inte heller att kunna använda länken till rapporten, eftersom hon inte har åtkomst till rapporten.
Nu när Marta inte har en arbetsytevisningsroll kan Marta, om Veronica bestämmer sig för att dela rapporten med henne igen, visa den med länken Veronica delar med henne, utan att ha åtkomst till arbetsytan.
Exempel 3: Power BI-appbehörigheter
När du delar Power BI-rapporter vill du ofta att mottagarna bara ska ha åtkomst till rapporterna och inte till objekt på arbetsytan. För detta kan du använda Power BI-appar eller dela rapporter direkt med användare.
Dessutom kan du begränsa visningsprogrammets åtkomst till data med hjälp av säkerhet på radnivå (RLS), med RLS kan du skapa roller som har åtkomst till vissa delar av dina data och begränsa resultat som bara returnerar vad användarens identitet kan komma åt.
Detta fungerar bra när du använder importmodeller eftersom data importeras i den semantiska modellen och mottagarna har åtkomst till detta som en del av appen. Med DirectLake läser rapporten data direkt från Lakehouse och rapportmottagaren måste ha åtkomst till dessa filer i sjön. Du kan göra detta på flera sätt:
- Ge
ReadData
tillstånd till Lakehouse direkt. - Växla datakällans autentiseringsuppgifter från Enkel inloggning (SSO) till en fast identitet som har åtkomst till filerna i sjön.
Eftersom RLS definieras i den semantiska modellen kommer data att läsas först och sedan filtreras raderna.
Om någon säkerhet definieras i SQL-analysslutpunkten som rapporten bygger på återgår frågorna automatiskt till DirectQuery-läge. Om du inte vill ha det här standardåterställningsbeteendet kan du skapa ett nytt Lakehouse med genvägar till tabellerna i det ursprungliga Lakehouse och inte definiera RLS eller OLS i SQL på nya Lakehouse.