rubensalvador
Hola a todos,
estamos tratando de concluir si podemos evitar la creación de seguridad de nivel de fila al usar el tipo de conexión IMPORT o DIRECTQUERY a SAP BW. Entonces, nuestro escenario actual es probar las capacidades de SSO al conectar Power BI (en línea) a SAP BW. La razón es que ponemos tanto esfuerzo y tenemos un equipo que trabaja solo para roles en SAP BW y no queremos tener que hacerlo en paralelo en power bi.
Por lo tanto, hemos estado probando exhaustivamente la autenticación SSO (usando Windows/Kerberos) para Business Warehouse Server (BW), usando la versión de 64 bits, con diferentes usuarios que tienen diferentes roles y parece que no podemos obtener los datos. el usuario puede ver y, como tal, no seguir las autorizaciones de BW. (Tenga en cuenta que solo me estoy refiriendo al escenario de la plataforma en línea, justo después de que se publique el conjunto de datos desde la herramienta de escritorio).
Específicamente, si usa el tipo de conexión DirectQuery, parece estar usando la autorización BW del usuario que configuramos en la conexión de la fuente de datos de la puerta de enlace (estamos usando la autenticación de Windows, así que supusimos que el SSO funcionaría aquí). Desafortunadamente, no está siguiendo la autorización BW del usuario que actualiza los datos. Esto es bastante importante ya que es posible que no se pueda adoptar el conector SAP BW.
Para el tipo de conexión IMPORT, supongo que esto debería manejarse a través de Row Level Security. ¿o tal vez no? No obstante, queremos evitar el doble mantenimiento de roles.
La situación más utilizada en nuestro entorno es la de usuarios PRO compartiendo con un grupo de otros usuarios (GRATIS y PRO). Si permitimos este conector en esta etapa, los usuarios verán datos que se supone que no deben ver.
¿Alguien tiene una solución sobre cómo superar esto parcial o totalmente?
muchas gracias
ruben
vpshamsbi
Hola,
¿Alguna actualización sobre esto, por favor? ¿Algún progreso o éxito en la herencia de roles de SAP BW?
joel_gibby_csc
Si alguien tiene un enlace a un artículo que detalla un proceso para implementar la seguridad de nivel de fila para consultas de importación de SAP BW o HANA basadas en autorizaciones de SAP, se lo agradecería mucho.
Gracias,
Joel
aamikkelsen
Nos enfrentamos al mismo problema, pero no hemos intentado usar Kerberos, que era mi plan para probar. Entonces, para ser claros; no es posible crear una configuración en la que una puerta de enlace de Power BI se conecte a un sistema SAP BW y pase las credenciales de AD desde el servicio de Power BI hasta la capa de ejecución de la base de datos y, por lo tanto, filtre los datos para que contengan solo las filas que él/ella ¿La autorización para ver se basa en el sistema de autorización de BW?
rubensalvador
En respuesta a aamikkelsen
Hola @aamikkelsen,
no, no según mis pruebas.
Independientemente del escenario que use, IMPORTACIÓN o CONSULTA DIRECTA, las filas de usuario de Gateway siempre se recuperan y, lamentablemente, no las filas de usuario con las que he compartido el informe. Microsoft reitera la necesidad de recrear roles mediante el uso de la seguridad de nivel de fila.
Estamos tratando de explorar otras posibilidades, como Azure Analysis Services, pero eso definitivamente nos traerá un costo enorme.
hermano
ruben
Anónimo
En respuesta a rubensalvador
¡Hola @rubensalvador!
Me acabo de encontrar con su publicación y me pregunto si todavía es cierto que SSO no se puede usar para autenticar al usuario final cuando se usa la consulta directa. O lograste hacerlo funcionar?
v-yuezhe-msft
@rubensalvador,
Deberá definir la seguridad de nivel de fila en Power BI Desktop.
https://docs.microsoft.com/en-us/power-bi/service-admin-rls
Saludos,
lidia
rubensalvador
En respuesta a v-yuezhe-msft
Hola @v-yuezhe-msft Lydia,
eso es de hecho lo que realmente queremos evitar. La tarea de reproducir los roles de SAP BW es simplemente demasiado pesada para considerarla. Sería un no-go para nosotros.
atentamente
v-yuezhe-msft
En respuesta a rubensalvador
@rubensalvador,
Power BI no hereda los roles de SAP BW. Es posible configurar la seguridad de nivel de fila dinámica con el modelo tabular SSAS.
https://docs.microsoft.com/en-us/power-bi/desktop-tutorial-row-level-security-onprem-ssas-tabular
Saludos,
lidia
rubensalvador
En respuesta a v-yuezhe-msft
Hola Lydia @v-yuezhe-msft
¿Habría alguna forma de recuperar automáticamente los roles de SAP BW y transformarlos al formato RLS? ¿Alguien ha hecho esto todavía?
hermano
ruben
Brysonds
En respuesta a rubensalvador
Hola Rubén,
Después de investigar esto en mi organización, decidimos renunciar a incorporar los roles de BW y simplemente usar la cadena de administración que nuestro departamento de recursos humanos mantenía en Active Directory (AD).
Tengo una conexión directa a AD desde Power BI para obtener algunas dimensiones (empresa, nombre de usuario, dirección de correo electrónico y cadena de administración (que contiene todas las direcciones de correo electrónico de los usuarios que tienen acceso a los datos). Delimito el columna de la cadena de administración para que haya una columna para cada usuario en la cadena de acceso.
Luego combino en Power BI entre nuestros datos de ventas y los datos de AD para traer las columnas de la cadena de administración a cada fila en mis datos de ventas.
Por último, creé un rol para aplicar RLS en función de la dirección de correo electrónico del usuario que inició sesión en la aplicación web de Power BI para que los datos estén restringidos al vendedor en el registro y su cadena de administración en función de lo que estaba en AD.
[Sales Position]=USERNAME() || [BuckmanManagementChain.ManagementChain.1]=USERNAME() || [BuckmanManagementChain.ManagementChain.2]=USERNAME() || [BuckmanManagementChain.ManagementChain.3]=USERNAME() || [BuckmanManagementChain.ManagementChain.4]=USERNAME() || [BuckmanManagementChain.ManagementChain.5]=USERNAME() || [BuckmanManagementChain.ManagementChain.6]=USERNAME()
Probablemente podría usar el mismo enfoque para la autorización de roles de BW al importarlo como un archivo .csv y unirlo con sus datos.
¡Buena suerte!
rubensalvador
En respuesta a Brysonds
Gracias por tomarse el tiempo para explicar su escenario @Brysonds.
Parece una buena idea, pero me temo que nuestros roles de BW son mucho más complejos e incluso si usáramos nuestros datos de AD, no sería suficiente para hacer frente a nuestros distintos módulos.
De todos modos, muchas gracias.
Creo que renunciaremos a esto y optaremos por el RLS (doble trabajo, doble mantenimiento).
hermano
ruben
v-yuezhe-msft
En respuesta a rubensalvador
@rubensalvador,
me temo que no Puedes enviar una idea aquí.
Saludos,
lidia