Bezpieczeństwo danych w Power BI – role i uprawnienia użytkowników

W Power BI możemy przechowywać dane dotyczące zakresu działania całego przedsiębiorstwa. Możliwe jest nawiązane połączenia z wieloma źródłami danych o różnych strukturach, które po przekształceniach mogą zostać zaimportowane do jednolitej hurtowni. Dane zawarte w Power BI mogą charakteryzować się różnym poziomem poufności, dlatego nie zawsze wskazane jest nadawanie wszystkim użytkownikom platformy pełnego dostępu do zawartych tam treści. Power BI umożliwia kontrolowanie dostępu do danych wyświetlanych na raportach według ich przeznaczenia poprzez definiowanie roli użytkowników.

Poziomy zabezpieczeń

Uprawnienia definiowane są na trzech poziomach:

  1. Przestrzeni roboczej (ang. workspace) – w tym miejscu przechowywane są całe zestawy danych (ang. dataset) Power BI oraz skojarzone z nimi raporty. Uprawnienia na tym poziomie dotyczą całej zawartości przestrzeni. Użytkownik usługi może zostać do niego przypisany jako osoba zarządzająca, czyli: administratorczłonek (ang. member) lub współautor (ang. contributor). Istnieje także czwarta grupa dla osób tylko przeglądających zawartość, bez dostępu do ustawień.
  2. Zestawu danych (ang. dataset) – ograniczenia dostępu do danych według zabezpieczeń na poziomie wiersza (ang. row-level security). W przestrzeni roboczej może znajdować się wiele zestawów danych z różnymi definicjami zabezpieczeń do danych zawartych w każdym z nich. Na tym poziomie – w odróżnieniu od przestrzeni roboczej – nie ma predefiniowanych ról. O ich liczbie i zakresie decyduje projektant, co pozwala na indywidualne podejście do ich tworzenia.
  3. Raportu – można określić, kto będzie mógł wyświetlać wybrany raport w ramach danej przestrzeni. Same raporty nie przechowują danych. Wizualizacje są skojarzone z zestawami danych, które determinują jaka porcja informacji może zostać do nich załadowana. Użytkownik może też otrzymać uprawienia do eksportu raportu (ta opcja jest obecnie dostępna w wersji zapoznawczej). Ten typ raportu zawiera wizualizacje oraz swój własny zestaw danych. Pobrany w ten sposób plik może być dowolnie rozbudowywany.

Bezpieczeństwo na poziomie wiersza – przykład zastosowania ról

Do demonstracji działania mechanizmów zabezpieczeń zostaną wykorzystane przykładowe profile klientów z całego kraju. Aktualnie raport wyświetla dane wszystkich klientów. Załóżmy, że taki poziom szczegółów zarezerwowany jest dla kadry zarządzającej, która powinna mieć dostęp do pełnego zakresu informacji. Dla opiekunów regionów przydatne mogą być statystyki związane wyłącznie z własnym obszarem działań. Możemy też chcieć chronić informacje na temat klientów z innych województw.

Aby ograniczyć wyświetlanie danych dla użytkownika, który jest odpowiedzialny tylko za wybrany region należy skonfigurować role zestawu danych przy użyciu aplikacji Power BI Desktop. Spowoduje to zabezpieczenie przed wyświetlaniem wierszy, które nie spełniają warunku opisanego w wyrażeniu filtra dla danej roli. Reguły mogą zostać ustalone dla kilku obiektów jednocześnie, dzięki czemu można ograniczyć dostęp do danych według atrybutów, które znajdują się w różnych tabelach. Można również ukryć całe tabele.

Dla każdej z utworzonych ról można przypisać inne wyrażenia filtrujące wybrane tabele. Na przykład osoba będąca w roli opiekuna regionu “południe” będzie mogła wyświetlać raporty dla klientów, których dane w kolumnach spełniają warunki i pochodzą z województw (kolumna [province]): dolnośląskiego, śląskiego lub opolskiego.

Aby przypisać użytkowników do grup, należy opublikować zestaw w przestrzeni roboczej usługi Power BI oraz przejść do sekcji zarządzania zabezpieczeniami na poziomie wiersza. Z poziomu tej sekcji można również szybko przetestować poprawne działanie zabezpieczeń w wybranej roli. Raporty zostaną wtedy wyświetlone w wersji, jaką zobaczy jej uczestnik, bez konieczności zmiany uprawnień własnego konta. Ustawienia można także przetestować lokalnie przed wdrożeniem do usługi Power BI w aplikacji Desktop.

Należy pamiętać, aby użytkownicy przypisywani do ról zabezpieczeń na poziomie wiersza nie mieli uprawnień do zarządzania konfiguracją lub edycji treści w ramach całej przestrzeni roboczej – wtedy ograniczenia dla wybranego zestawu danych zostaną przesłonięte i będą w stanie samodzielnie zmienić ustawienia bezpieczeństwa, pobierając go w całości.

Podsumowanie

Omówiony przypadek przedstawia jedną z wielu metod implementacji zabezpieczeń dostępnych w Power BI. Warunki ograniczające wyświetlane dane mogą być zdefiniowane bazując na statycznych warunkach lub wykorzystując obiekt dynamiczny – na przykład nazwę zalogowanego użytkownika.

Role i uprawnienia to nie tylko bezpieczeństwo i zapewnienie kontroli nad dostępem do danych, ale także sposób na ułatwienie pracy. Analizy mogą automatycznie przyjmować kontekst biznesowy dla osoby, której dotyczą. Skonfigurowane w ten sposób raporty mogą być dalej edytowane i rozbudowywane w bezpośrednio w chmurze, lub lokalnie przy użyciu aplikacji Power BI Desktop, bez konieczności każdorazowej konfiguracji zestawu danych dla użytkownika końcowego.

Nasi eksperci
/ Dzielą się wiedzą

12.10.2021

Single Source of Truth (SSoT) / Sposób na dług technologiczny

E-Commerce

Zbędne powtórzenia, niedokładność i niekonsekwencja to problemy, których każda firma chce uniknąć. Ich obecność często wskazuje na błędny wybór (lub użytkowanie) technologii. Użyte we właściwy sposób, odpowiednio dobrane technologie powinny usuwać powtórzenia w procesach, zapewnić większą przejrzystość i całościowo poprawiać...

05.10.2021

Personalizacja w e-commerce / Solidne podstawy

E-Commerce

Kiedy rozmawiamy, personalizacja często dzieje się nieświadomie. Interakcja jest wtedy płynna, a na potrzeby klienta reagujemy w czasie rzeczywistym. Obsługa w sklepie może pokierować ludzi w odpowiednie miejsce po coś, czego właśnie potrzebują – to sekret wszystkich dobrych sprzedawców. Co z Internetem? Tam musimy się dostosować. Trendy...

28.09.2021

Black Friday Checklist/ Praktyczna lista kontrolna dla właścicieli portali E-commerce

E-Commerce

Każdego stresuje Black Friday, ale umówmy się, ci, których stresuje najmniej, to kupujący 😉 Za kulisami każdej wyprzedaży tego typu stoją całe działy IT, marketingu i wsparcia klienta, które muszą się dokładnie przygotować i obmyślić całą strategię działania. Nie wspominając już nawet o magazynie, logistyce i wszystkich następnych...

Ekspercka wiedza
dla Twojego biznesu

Jak widać, przez lata zdobyliśmy ogromną wiedzę - i uwielbiamy się nią dzielić! Porozmawiajmy o tym, jak możemy Ci pomóc.

Napisz do nas

<dialogue.opened>