LewisParkPBI
Hola a todos,
Primera publicación aquí … ¡ojalá no sea la última!
Estoy trabajando en una solución empresarial con la siguiente configuración:
– Modelo / fuente de datos de Azure Analysis Services
– Interfaz de usuario de Power BI: diseñado solo para consumo, los usuarios no pueden descargar / editar los informes
– Alojado en el espacio de trabajo de PBI Service y luego integrado en nuestro portal de informes empresariales
Ahora, como siguiente paso en el proyecto, buscamos crear un segundo cubo para análisis ad-hoc. Estará disponible para una comunidad mucho más pequeña de superusuarios en nuestros equipos de soporte financiero. La intención es que puedan crear informes ad-hoc para responder preguntas específicas planteadas por los usuarios que ven el informe empresarial mencionado anteriormente. El flujo de trabajo sería: el usuario comercial ve el informe empresarial y tiene preguntas> le pide a finanzas que analice algo> el usuario de finanzas se conecta al cubo de análisis ad-hoc> el usuario de finanzas comparte la salida con el usuario comercial a través del servicio PBI
El cubo AAS implementa RLS. Ahora, una vez que esté listo, si damos acceso al cubo ad-hoc solo a la comunidad financiera más pequeña, cuando creen y compartan el informe a través del servicio PBI con los usuarios comerciales, los usuarios comerciales no verían ningún dato (ya que no tienen el acceso al cubo AAS). Si ampliamos el acceso al cubo ad-hoc de AAS para los usuarios comerciales, esto significa que ellos también podrían conectarse y crear sus propios informes, que no es el modelo operativo deseado.
Entonces me di cuenta de que si publicamos el conjunto de datos en el servicio, podemos controlar la división de roles de espectador / colaborador allí, asignando a los usuarios de finanzas como contribuyentes y a los usuarios comerciales como espectadores. Sin embargo, si un usuario de finanzas ve el linaje de datos en el servicio PBI, verá la cadena de conexión directamente al cubo AAS. Si luego comparte esto con un usuario comercial, el usuario comercial podría conectarse desde Excel / PBI directamente usando la cadena, sin pasar por el rol de espectador que se le asignó (hasta donde tengo entendido).
Entonces mi pregunta es: ¿alguien ha encontrado una solución a esto? ¿Se pueden lograr divisiones de espectador / contribuyente directamente en el cubo AAS? ¿O hay alguna forma de hacer que la funcionalidad de linaje de datos no esté disponible para todos los usuarios en un espacio de trabajo? Esencialmente, queremos que los contribuyentes puedan conectarse al modelo a través del servicio, sin poder detectar que los datos subyacentes están en AAS con una cadena de conexión disponible.
¡Cualquier ayuda es muy apreciada!
Saludos cordiales,
Luis
v-stephen-msft
Hola @LewisParkPBI,
Para las conexiones de Analysis Services o Azure Analysis Services en vivo, configure la seguridad de nivel de fila en el modelo, no en Power BI Desktop.
Para obtener información, puede consultar:
Implementar seguridad a nivel de fila en un modelo tabular de Analysis Services local
Atentamente,
Stephen Tao
Si esta publicación ayuda, entonces por favor considere Acéptalo como la solución para ayudar a los demás miembros a encontrarlo más rápidamente.
LewisParkPBI
En respuesta a v-stephen-msft
Hola @ v-stephen-msft
Gracias por la rápida resonancia. La configuración actual que tenemos implementa RLS en AAS. Sin embargo, es un cubo de análisis ad-hoc para ser utilizado solo por usuarios financieros, quienes brindan soporte a nuestros usuarios comerciales. No queremos que los usuarios comerciales puedan crear directamente sus propios informes basados en AAS. Desde la perspectiva del acceso a los datos, tanto el usuario financiero como el empresarial tendrían acceso para «ver» los mismos datos.
Entonces, el desafío al que me enfrenté fue que si implementamos RLS en el cubo, se resuelve el problema de la privacidad. Pero no parece resolver el problema donde …
- Un usuario de finanzas crea un análisis / informe ad-hoc
- Comparten esto con el usuario empresarial.
- El problema es que el usuario empresarial también debe tener derechos sobre los datos a través de RLS, pero también necesita acceso de lectura al cubo para hacer uso del informe … en ese momento, podría verificar la cadena de conexión / crear la suya propia. informes adicionales usando la conexión (que no queremos)
Así que supongo que me preguntaba si hay alguna forma de lograr una configuración similar a los roles de contribuyente / espectador en un conjunto de datos de PBI, pero ¿usando AAS? ¿Permitir que el usuario empresarial se conecte y vea datos en un informe utilizando los datos AAS, pero no para poder crear sus propios informes adicionales?
Gracias,
Luis
RKallaewe
En respuesta a LewisParkPBI
Hola Lewis,
nos enfrentamos al mismo problema actualmente. ¿Encontraste una solución?
Gracias de antemano.
Br,
René
