Row-level security in Power BI
Row-Level Security (RLS) in de praktijk
Een goed voorbeeld voor het toepassen van RLS is bij een winkelketen met verschillende filialen, waarbij elke filiaal manager verantwoordelijk is voor zijn eigen winkel. Elke filiaal manager mag alleen de cijfers zien van zijn eigen winkel. Door RLS is het niet meer nodig om voor elke winkel manager een apart rapport te maken.
RLS voor gepubliceerde dashboards wordt ingesteld in Power BI Desktop onder het tabje Modeling. Per rol moet er in het rapport worden aangegeven welke tabellen gefilterd moeten worden. Er kan binnen een tabel op verschillende kolommen worden gefilterd, bijvoorbeeld op de kolom Plaats.
Hieronder een voorbeeld voor de rol van een filiaal manager in Rotterdam.
WinkelCode filter
Door de regio van de winkel te filteren op Rotterdam wordt de transactie tabel ook gefilterd op gegevens van Rotterdam, mits er een relatie tussen deze twee tabellen is gelegd. Wanneer er verschillende vestigingen in Rotterdam zijn, zullen zij op de huidige manier elkaars cijfers kunnen inzien. Dit kan in sommige gevallen niet wenselijk zijn.
Om dit te voorkomen is het in deze dataset mogelijk om een niveau dieper te filteren. Dit doen we door middel van een uniek veld per winkel. In ons voorbeeld is dit WinkelCode. Zolang elke WinkelCode in onze dataset uniek is, kan iedere manager alleen gegevens van zijn eigen vestiging zien. Voor iedere manager zou er wel een aparte rol gemaakt moeten worden.
Zodra het rapport gepubliceerd is, kunnen we de e-mailadressen toevoegen aan de desbetreffende rol in de Power BI Service. Het is mogelijk om één e-mailadres aan verschillende rollen te koppelen.
Deze situatie kan bijvoorbeeld ontstaan wanneer een manager een andere vestiging (tijdelijk) overneemt. Een e-mailadres kan te allen tijde weer verwijderd worden. Dit betekent dat de rechten om de data in te zien ook direct vervallen voor de desbetreffende persoon. Het up-to-date houden en onderhouden van de RLS rechten is daarom erg belangrijk. Het is daarom van belang dat een aangewezen persoon de RLS rechten onderhoudt en up-to-date houdt.
Rollen in nieuwe werkruimtes
Zoals eerder benoemd zijn de functionaliteiten van werkruimtes sinds kort vernieuwd door Microsoft. Binnen de oude werkruimtes kon je alleen de rollen Lid of Beheerder toewijzen aan een persoon. In de nieuwe situatie zijn er vier verschillende rollen gedefinieerd:
- Kijker/Viewer is de alleen lezen rol. Met deze rol is het niet mogelijk om rapporten te bewerken of te wijzigen. Let op! Wanneer een rapport gebruik maakt van RLS is het van belang dat de personen minimaal de rol van kijker krijgen, want anders werkt de RLS niet.
- Inzender/Contributor is de rol die toegewezen wordt aan personen die rapporten moeten kunnen publiceren, aanpassen, updaten en verwijderen. Dit is een rol voor bijvoorbeeld de ontwikkelaars uit het team. De inzender heeft alleen niet het recht om rapporten te delen of gebruikers toe te voegen aan de werkruimtes.
- Lid/Member kan naast het publiceren, aanpassen en updaten ook de rapporten delen met anderen. Ook hebben zij de rechten om gebruikers toe te voegen met dezelfde of lagere rollen (Kijker en Inzender).
- Beheerder/Admin mag zoals vanzelfsprekend alles wat lagere rollen ook mogen, maar daarnaast kunnen beheerders werkruimtes verwijderen en andere personen beheerder maken. Ook mogen beheerders personen uit de werkruimtes verwijderen.
Aanmaken van nieuwe werkruimtes
Naast de nieuwe rollen is het aanmaken van een werkruimte ook anders. Bij het aanmaken van een oude werkruimte werd er altijd een Office 365 groep aangemaakt. Met de introductie van de nieuwe werkruimtes wordt een werkruimte aangemaakt zonder Office 365 groep. De werkruimtes bestaan dan alleen in de Power BI omgeving. Hierdoor duiken de werkruimtes niet automatisch op in bijvoorbeeld Teams. Dit werd in het verleden door veel gebruikers als verwarrend ervaren.
Het is mogelijk om een bestaande werkruimte om te zetten naar een nieuwe werkruimte. Dit is gemakkelijk te veranderen onder de geavanceerde instellingen. Deze optie vind je bij de instellingen van de werkruimte.
In de oude werkruimtes zijn alle leden los te zien. Bij het omzetten worden deze leden geclusterd in een groep met de naam van de werkruimte. Welke leden er in de groep zitten, is in te zien op de Office 356 site. We raden het omzetten van oude werkruimtes naar nieuwe werkruimtes aan zodat je specifiekere rollen kan toewijzen aan personen.
We zijn aan het einde gekomen van dit blog over de nieuwe functionaliteiten voor RLS en workspaces in Power BI. Mocht je meer willen weten over RLS of Power Bi in het algemeen, neem dan contact op met Paul!
Laatste berichten
Webinar: Externe tools om jouw Power BI-omgeving te optimaliseren
Ben je doorgewinterde Power BI-gebruiker, of ben je een BI-manager en wil je je team helpen aan een goede werkomgeving? Dit webinar gaat je helpen aan de skills en tools voor een schone en efficiënte Power BI-omgeving. Schrijf je nu in via onderstaand formulier!
Webinar: Kick-start jouw Data Science project
Je hebt een goede businesscase voor jouw Data Science project geformuleerd. Gefeliciteerd! Maar hoe nu verder? In dit webinar geven we je een overzicht van de te nemen stappen in jouw Data Science project. Ook laten we je zien welke technologieën je hiervoor in kunt zetten.
Webinar: Hoe voorzie je jouw organisatie van de juiste data?
Het kiezen van de juiste datawarehouse oplossing: begin er maar eens aan. Waar moet je op letten? Wat zijn de voor- en nadelen van verschillende oplossingen? Tijdens dit webinar geven we je een eenvoudig overzicht van de verschillende oplossingen op de markt.