Row-level security in Power BI
Row-Level Security (RLS) in de praktijk
Een goed voorbeeld voor het toepassen van RLS is bij een winkelketen met verschillende filialen, waarbij elke filiaal manager verantwoordelijk is voor zijn eigen winkel. Elke filiaal manager mag alleen de cijfers zien van zijn eigen winkel. Door RLS is het niet meer nodig om voor elke winkel manager een apart rapport te maken.
RLS voor gepubliceerde dashboards wordt ingesteld in Power BI Desktop onder het tabje Modeling. Per rol moet er in het rapport worden aangegeven welke tabellen gefilterd moeten worden. Er kan binnen een tabel op verschillende kolommen worden gefilterd, bijvoorbeeld op de kolom Plaats.
Hieronder een voorbeeld voor de rol van een filiaal manager in Rotterdam.
WinkelCode filter
Door de regio van de winkel te filteren op Rotterdam wordt de transactie tabel ook gefilterd op gegevens van Rotterdam, mits er een relatie tussen deze twee tabellen is gelegd. Wanneer er verschillende vestigingen in Rotterdam zijn, zullen zij op de huidige manier elkaars cijfers kunnen inzien. Dit kan in sommige gevallen niet wenselijk zijn.
Om dit te voorkomen is het in deze dataset mogelijk om een niveau dieper te filteren. Dit doen we door middel van een uniek veld per winkel. In ons voorbeeld is dit WinkelCode. Zolang elke WinkelCode in onze dataset uniek is, kan iedere manager alleen gegevens van zijn eigen vestiging zien. Voor iedere manager zou er wel een aparte rol gemaakt moeten worden.
Zodra het rapport gepubliceerd is, kunnen we de e-mailadressen toevoegen aan de desbetreffende rol in de Power BI Service. Het is mogelijk om één e-mailadres aan verschillende rollen te koppelen.
Deze situatie kan bijvoorbeeld ontstaan wanneer een manager een andere vestiging (tijdelijk) overneemt. Een e-mailadres kan te allen tijde weer verwijderd worden. Dit betekent dat de rechten om de data in te zien ook direct vervallen voor de desbetreffende persoon. Het up-to-date houden en onderhouden van de RLS rechten is daarom erg belangrijk. Het is daarom van belang dat een aangewezen persoon de RLS rechten onderhoudt en up-to-date houdt.
Rollen in nieuwe werkruimtes
Zoals eerder benoemd zijn de functionaliteiten van werkruimtes sinds kort vernieuwd door Microsoft. Binnen de oude werkruimtes kon je alleen de rollen Lid of Beheerder toewijzen aan een persoon. In de nieuwe situatie zijn er vier verschillende rollen gedefinieerd:
- Kijker/Viewer is de alleen lezen rol. Met deze rol is het niet mogelijk om rapporten te bewerken of te wijzigen. Let op! Wanneer een rapport gebruik maakt van RLS is het van belang dat de personen minimaal de rol van kijker krijgen, want anders werkt de RLS niet.
- Inzender/Contributor is de rol die toegewezen wordt aan personen die rapporten moeten kunnen publiceren, aanpassen, updaten en verwijderen. Dit is een rol voor bijvoorbeeld de ontwikkelaars uit het team. De inzender heeft alleen niet het recht om rapporten te delen of gebruikers toe te voegen aan de werkruimtes.
- Lid/Member kan naast het publiceren, aanpassen en updaten ook de rapporten delen met anderen. Ook hebben zij de rechten om gebruikers toe te voegen met dezelfde of lagere rollen (Kijker en Inzender).
- Beheerder/Admin mag zoals vanzelfsprekend alles wat lagere rollen ook mogen, maar daarnaast kunnen beheerders werkruimtes verwijderen en andere personen beheerder maken. Ook mogen beheerders personen uit de werkruimtes verwijderen.
Aanmaken van nieuwe werkruimtes
Naast de nieuwe rollen is het aanmaken van een werkruimte ook anders. Bij het aanmaken van een oude werkruimte werd er altijd een Office 365 groep aangemaakt. Met de introductie van de nieuwe werkruimtes wordt een werkruimte aangemaakt zonder Office 365 groep. De werkruimtes bestaan dan alleen in de Power BI omgeving. Hierdoor duiken de werkruimtes niet automatisch op in bijvoorbeeld Teams. Dit werd in het verleden door veel gebruikers als verwarrend ervaren.
Het is mogelijk om een bestaande werkruimte om te zetten naar een nieuwe werkruimte. Dit is gemakkelijk te veranderen onder de geavanceerde instellingen. Deze optie vind je bij de instellingen van de werkruimte.
In de oude werkruimtes zijn alle leden los te zien. Bij het omzetten worden deze leden geclusterd in een groep met de naam van de werkruimte. Welke leden er in de groep zitten, is in te zien op de Office 356 site. We raden het omzetten van oude werkruimtes naar nieuwe werkruimtes aan zodat je specifiekere rollen kan toewijzen aan personen.
We zijn aan het einde gekomen van dit blog over de nieuwe functionaliteiten voor RLS en workspaces in Power BI. Mocht je meer willen weten over RLS of Power Bi in het algemeen, neem dan contact op met Paul!
Laatste berichten
Hoe kan ik het Power Platform optimaal benutten?
Tijdens deze Masterclass bespreken we uitvoerig de kracht van het Power Platform en de gecombineerde kracht met process mining. We gaan samen met jou hebben over drie scenario’s die je bedrijfsvoering kunnen verbeteren: Order2cash, een OnboardingApp, en een Customer Order Portal. Tijdens de Masterclass staat interactie centraal, zodat jij precies de antwoorden krijgt die je zoekt.
Is het tijd om te migreren naar Databricks?
Dit webinar verkent Databricks en waarom je deze tool zou moeten overwegen boven andere prominente data-infrastructuren. In ongeveer 15 minuten verkennen we verschillende aspecten van Databricks, hoe het zich verhoudt tot andere tools en of je moet overwegen om over te stappen naar Databricks.
The Future of Data & Automation: Your Roadmap for 2025
Forrester Research voorspelt dat bedrijven met slimme Data & Automation programma’s hun concurrenten niet alleen zullen inhalen, maar zelfs verpletteren. Als je Data & Automation op de juiste manier integreert, heb je een flinke voorsprong. Tijdens “The Future of Data & Automation: Your Roadmap for 2025” geven wij je de tips en tricks die er voor zorgen dat je Data & Automation naar een hoger niveau getild worden.