سلام دوستان . با یک مقاله ترجمه شده دیگر در مورد پیاده سازی Row-level Security در Power BI Report Server در خدمت شما هستیم.
این مقاله تا حد ممکن ساده و خلاصه سازی شده است و برای دسترسی به محتوای اصلی میتوانید به لینک زیر مراجعه کنید
https://docs.microsoft.com/en-us/power-bi/report-server/row-level-security-report-server
Row-level Security می تواند به همراه Power BI برای محدود کردن دسترسی به دادهها برای برخی از کاربران مشخص، مورد استفاده قرار گیرد.
فیلترها سبب میشوند تا دسترسی به دادهها در سطح رکورد (row level) محدود شود و میتوانید با توجه به نقش های کاربری, فیلترهایی را تعریف کنید. توجه کنید که در Power BI Report Server فقط کاربرانی که دارای دسترسی Publisher یا Content Manager میتوانند کاربران را به نقش های تعریف شده در گزارش اختصاص دهند.
RLS فقط در گزارشهایی که داده های آن بصورت Import و یا DirectQuery خوانده میشوند , پیاده سازی خواهد شد. نه Live Connection
نکته : RLS برای کاربرانی که بصورت DirectQuery و با اعتبارسنجی مدل integrated authentication به گزارشات متصل میشوند , کاربردی ندارد
اگر منبع اطلاعاتی شما در SSAS (tabular – multidimensional) قرار دارد و بصورت live connections متصل میشوید باید در همان SSAS و در قسمت role نقشها و کاربران هر نقش را تعریف و تعیین کنید .
قبل از ادامه مبحث توجه کنید که در Power BI Desktop فقط می توانید Role یا همان نقش ها و نحوه فیلتر آنها بر روی اطلاعات را تعریف کنید و اختصاص کاربر به نقش Role مدنظر را باید در Power BI Report Server تعیین کنیم
تعریف نقشها و قوانین در Power BI Desktop
شما میتوانید در Power BI Desktop نقشها و قوانین (roles and rules) را تعریف کنید. زمانی که گزارش طراحی شده را منتشر میکنید ، آن نقش های تعریف شده نیز همراه گزارش منتشر میشوند.
برای تعریف نقشهای امنیتی این گامها را دنبال کنید.
- دادهها را وارد گزارش Power BI Desktop خود کنید (import) یا بصورت DirectQuery به منبع اطلاعاتی متصل شوید.
- از تب modeling قسمت Manage roles را انتخاب کنید.
- Create را انتخاب کنید.
- برای نقش role مورد نظر یک نام انتخاب کنید.
- جدولی که میخواهید قانون DAX بر آن اعمال شود را انتخاب کنید.
- عبارات DAX را وارد کنید. این عبارت باید در آخر صحیح یا غلط باشد. برای مثال: [ENTITY ID] = “VALUE”
نکته
میتوانید در این عبارت از تابع username() استفاده کنید. مراقب باشید که username() درPower BI Desktop دارای فرمت Domain\username است. در Service Power BI و Power BI Report Server دارای فرمت User Principal Name (UPN) است. همچنین میتوانید از userprincipalname() که همیشه کاربر را به فرمت نام کاربری اصلی usernme@contoso.com بازمیگرداند استفاده کنید
- پس از اینکه عبارت DAX را ساختید میتوانید برای تایید عبارت تیک موجود در بالای کادر عبارت را بزنید.
نکته: در این کادر میتونید از کاما برای جداکردن فیلرهای مختلف استفاده کنید
۸٫ Save را انتخاب کنید.
شما نمیتوانید با استفاده از Power BI Desktop برای کاربران نقش برگزینید.
باید ارتباط بین نقش و کاربران را در Power BI Service یا Power BI Report Server انجام دهید.
میتوانید با DAX و استفاده ازusername() یا userprincipalname() امنیت پویا (Dynamic Security) را در Power BI Desktop ایجاد و روابط مناسب را تنظیم کنید.
Bidirectional cross-filtering
RLS به صورت پیشفرض فارغ از اینکه روابط (Relationships) یکجهتی یا دوجهتی هستند، برای فیلتر کردن از فیلترهای تکجهتی استفاده میکند. با انتخاب رابطهی مورد نظر و علامت زدن تیک گزینهی “اعمال فیلتر امنیتی در هر دو جهت” در کادر انتخابی، میتوانید از طریق RLS به صورت دستی Apply security filter in both directions را فعال کنید.
همچنین در زمانی که در سطح سرور RLS پویا یا همان dynamic row-level security را اجرا میکنید باید به بررسی این کادر بپردازید و ببینید که RLS بر اساس نام کاربری تنظیم شده است یا ID ورودی.
برای اطلاعات بیشتر لینکهای زیر را مطالعه کنید
Bidirectional cross-filtering using DirectQuery in Power BI Desktop
Securing the Tabular BI Semantic Model
تست نقشها در Power BI Desktop
پس از اینکه نقشهای خود را ایجاد کردید، نتایج را در Power BI Desktop تست کنید.
- گزینهی view as roles را انتخاب کنید.
در بخش view as roles، نقشهایی که ایجاد کردهاید را مشاهده میکنید.
- نقشی که ایجاد کردهاید را انتخاب کنید و سپس ok را بزنید تا نقش مورد نظر اعمال شود. گزارش سبب می شود تا داده های مربوط به آن نقش ارائه شود.
- همچنین می توانید other user را انتخاب کنید و یک کاربر مشخص را برگزینید. بهترین راه این است که نام اصلی کاربری (UPN) را ارائه دهید چراکه Service Power BI و Power BI Report Server از این نام کاربری استفاده میکنند.
- Ok را انتخاب کنید تا گزارش بر اساس آنچه کاربر قادر به مشاهدهی آن است تطبیق پیدا کند.
بخش other user در Power BI Desktop، تنها در صورتی که بر اساس عبارات DAX خود از dynamic security استفاده کنید نتایج متفاوتی را نمایش میدهد.
اختصاص کاربر به نقش
بعد از اینکه گزارش طراحی شده را در Power BI Rerpot Server قرار دادید میتوانید مدیریت کاربران و نقش ها را انجام دهید
فقط کاربری که دارای دسترسی از نوع Publisher یا Content Manager میتواند نقش ها و کاربران را مدیریت کنید.
اگر داخل PowerBI Desktop برای گزارش نقشی تعریف نکرده باشید, در Report Server نمیتوانید Role تعریف کنید یا کاربرانی به نقش ها اختصاص دهید
برای مدیریت امنیت در مدل دادهی خود باید یه صورت زیر عمل کنید.
- بر روی گزارش , گوشه سمت راست بالا , منوی سه نقطه (…) را انتخاب کنید.
- گزینهی Manage > Row-level security را انتخاب کنید.
این کار باعث میشود تا به صفحهی RLS وارد شوید و بتوانید اعضا را به نقشهایی که در Power BI Desktop ایجاد کردهاید , اضافه کنید.
شما تنها در Power BI Desktop میتوانید نقشها را ایجاد و سازماندهی کنید و اختصاص کاربر به نقش ها در Rerpot Server انجام میشود.
۳٫ بر روی اضافه کردن کاربر به نقش بر روی دکمه Add Member کلیک کنید
۴٫نام کاربر یا گروه کاربری را با فرمت DOMAIN\user بنویسید و بعد تعیین کنید که این کاربر یا گروه کاربری چه نقش هایی میتواند داشته باشد.
دقت کنید که کاربر یا گروه کاربری باید در ویندوز سرور و یا دامینی که سرور در آن قرار دارد از قبل تعریف شده باشند
۶٫ بر روی دکمه OK کلیک کنید تا تغییرات ذخیره شوند
شما همچنین میتوانید بر حسب عددی که در کنار نوع نقش در کنار Members قرار دارد، ببینید که چند نفر در نقشی که ایجاد کردهاید موجود اند.
۷٫ برای حذف اعضا میتوانید آن را انتخاب کنید و دکمه Delete را کلیک کنید
استفاده از تابع زبان DAX بنام username یا userprincipalname
شما میتوانید از این توابع در تعریف عبارات فیلتر هنگام تعریف نقش role در Power BI Desktop استفاده کنید. زمانی که گزارش خود را بر روی Power BI Rerpot Server منتشر میکنید , از این توابع برای شناسایی کاربری که در حال مشاهده گزارش هست استفاده میشود تا در صورت نیاز طبق نقشهایی که برای آن کاربر تعیین شده است , اطلاعات را ببیند.
مثلا اگر کاربر شعبه شیراز در حال مشاهده گزارش بود, فقط اطلاعات فروش شعبه شیراز را ببیند و نه شعبات دیگر را
در Power BI Desktop تابع () username , نام کاربر را با فرمت DOMAIN\user و تابع userprincipalname نام کاربر را با فرمت ایمیلی مثلا user@cntoso.com برمیگرداند.
در Power BI Rerpot Server هر دو تابع نام کاربری را بصورت (UPN) که شبیه به آدرس ایمیل به نظر میرسد.برمیگرداند. البته حتما این مورد را در عمل چک کنید چون ممکن است مشابه Power BI Desktop هر تابع, نام کاربری را در قالب متفاوتی برگرداند.
محدودیتها
در قسمت زیر محدودیتهای فعلی RLS در مدل ابری آمده است.
- اگر اخیرا در سرویس Power BI نقشها و قوانینی را تعریف کردهاید باید بار دیگر در Power BI Desktop آنها را تعریف کنید.
- شما تنها میتوانید RLS را مجموعه دادههایی که در Power BI Dektop ساخته شدهاند تعریف کنید. اگر میخواهید RLS را برای مجوعه دادههایی که در Excel ساخته شدهاند فعال کنید، باید ابتدا فایلهای خود را به فایلهای Power BI Desktop(PBIX) تبدیل کنید.
- تنها ارتباطات Import و DirectQuery پشتیبانی میشوند. ارتباطات زنده Live Connection برایanalysis services با مدل on-premeises مدیریت میشود.
پرسشهای متدوال (FAQ)
پرسش: آیا میتوانم این نقشها را برای منبع دادهی Analysis Service ایجاد کنم؟
پاسخ: اگر دادهها را به Power BI Desktop بصورت import وارد کنید، می توانید. اگر از Live Connection استفاده میکنید، قادر به ایجاد RLS در Power BI نیستید.
اگر منبع اطلاعاتی شما در SSAS (tabular – multidimensional) قرار دارد و بصورت live connections متصل میشوید باید در همان SSAS و در قسمت role نقشها و کاربران هر نقش را تعریف و تعیین کنید .
پرسش: آیا میتوانم برای محدود کردن ستونها یا بررسی دسترسی کاربران از RLS استفاده کنم؟
پاسخ: خیر، اگر یک کاربر به یک ردیف از داده دسترسی داشته باشد، میتواند تمام ستونها و دادههای آن ردیف را مشاهده کند.
پرسش: آیا RLS به من امکان پنهان کردن دادهها را میدهد و از طرفی دسترسی به خلاصهی نمایشی دادهها را مقدور میکند؟
پاسخ: خیر، وقتی کاربر به اطلاعات رکوردهایی دسترسی داشته باشه هم میتواند جزئیات را ببیند و هم نتایج خلاصه شده آن اطلاعات را .
پرسش : آیا میتوانم نقش جدید در Power BI Desktop به گزارش اضافه کنم در حالی که این گزارش قبلا منتشر شده است و دارای نقش و کاربران اختصاص داده شده باشد؟
پاسخ : بله میتوانید