Power BI:n jaetut datasetit: jakaminen ja käyttöoikeudet V2-työtiloissa

Power BI:hin tuli uutena ominaisuutena Shared Datasets. Tämän innoittamana päätimme piirtää auki Power BI Servicen resurssien jakamiseen ja käyttöoikeuksiin liittyvän mallin. Power BI Servicen monipuolistuessa myöskään datan jakaminen ja käyttöoikeusmallin hallinta ei ole enää kokonaisuutena triviaalia.

Hyvä yleisesittely jaetuista dataseteistä löytyy esim Guy in a Cube:lta. Tässä kirjoituksessa keskitymme konseptuaalisiin eroihin datan jakamismetodeissa ja niiden hallinnoinnissa. Koska monet Power BI -konseptit ovat tutumpia englanniksi, käytän tässä (sekaisin) suomea ja englantia.

Havainnollistamme, miten resurssien jakaminen ja käyttöoikeudet toimivat Power BI Servicessä. Osa ominaisuuksista on yhä preview:ssa ja myös käyttöliittymässä tulee välillä vastaan epäjohdonmukaisuuksia hypittäessä työtilasta toiseen (esim. Manage Permissions ja View Related -valikoissa).

Rajauksena, käsiteltävät asiat koskevat vain ”new workspace experienceä”, ei vanhoja työtiloja. Asian laajuuden vuoksi myös Data Flowt, tenatin ulkopuolinen jakaminen ja lisensointi on rajattu ulos. Emme myöskään käy tässä läpi ”Tenant Level” -asetuksia, joilla Power BI Service Administatorit voivat vaikuttaa koko tenantin asetuksiin.

Käydään ensin läpi yleisellä tasolla raporttien jakaminen ja sen jälkeen tarkemmin, mitä itse asiassa ovat Power BI:n resurssit (resources) ja niiden käyttöoikeudet (permissions).

Disclaimer: Vaikka olemme tarkistaneet kaikki alla esiteltävät skenaariot, on toiminnallisuuksien uutuuden vuoksi myös hyvä muistaa, että esimerkiksi Shared Dataset toiminnallisuudet saattavat muuttua GA:n myötä.

Resurssien jakaminen

Resursseja (Workspace, App, Dashboard, Report, Dataset) voidaan jakaa useammalla tavalla. Alla olevassa kuvassa on kuvattu konseptuaalisesti, miten resursseja voidaan jakaa eteenpäin itselle tai muille käyttäjille.

Miten resursseja voidaan jakaa

Raportteja voidaan jakaa V2 App Workspaceista seuraavilla tavoilla. Tekstissä mainittavia käyttöoikeuksia (read, build, reshare) käymme myöhemmin tarkemmin läpi:

App sharing

• Loppukäyttäjä luvitetaan Appiin. App ei ole muokattavissa.
• Jakaminen vaatii admin- tai member-oikeuden työtilaan.
• Loppukäyttäjä (jakamisen kohde) voi viedä raportin My Workspaceen muokattavaksi, jos käyttäjälle annetaan ”Allow users to make a copy of the reports in this app” -oikeus.
• Loppukäyttäjä saa rakentaa uuden raportin datasetin päälle, jos hänelle annetaan ”Allow all users to connect to the app’s underlying datasets using the Build permission” -oikeus.
• Jos haluat, ettei loppukäyttäjällä ole kuin lukuoikeus (esim. ei edelleenjako-oikeuksia viemällä App omaan työtilaan) onnistuu tämä ottamalla build-oikeus pois.
• Kun poistaa loppukäyttäjän App:sta, jää hänelle datasettiin kuitenkin read-oikeudet (ja myös build jos ollut sallittu). Jos käyttäjä on kopioinut App:n My Workspace:en, niin täytyy käyttöoikeuksien kokonaan poistamiseksi poistaa ”Manage access” -välilehdeltä erikseen read-oikeudet.
• Appissa sijaitsee kopio dashbordista ja raportista, jotka viittaavat samaan datasettiin kuin alkuperäinen dashboard ja raportti.

Report/dashboard sharing

• Kun loppukäyttäjä ei ole luvitettuna työtilassa, hänelle voidaan jakaa raportti tai dashboard My Workspaceen.
• Kun dashboard jaetaan, niin loppukäyttäjä saa automaattisesti Dashboardiin, Report:iin ja Datasettiin ”read-permissionin”. Raporttia jaettaessa read-permission tulee report- ja dataset-tasolle.
• Jakaminen vaatii jakalta admin- tai member-oikeuden työtilaan.
• Shared report / dashboard on read-only, ellei käyttäjällä ole muuta kautta muokkausoikeutta raporttiin.
• Loppukäyttäjä voi edelleen viedä raportin / dashboardin kokonaan erilliseen App Workspaceen (loogisempaa on tosin viedä raportit suoraan alkuperäisestä työtilasta, kuten alla kuvataan).
• Kertaalleen jaetun raportin edelleen jakaminen vaatii, että report- tai dataset-permissioneihin on laitettu loppukäyttäjälle ”reshare”.

Copy report to same App Workspace

• Kopioidaan toinen versio raportista samaan työtilaan.
• Vaatii admin-, member- tai contributor-oikeuden.
  
  

Copy report to another App Workspace / Publish from Power BI Desktop

• Voidaan kopioida raportti suoraan työtilasta toiseen Power BI servicessä. Vaatii admin-, member- tai contributor-roolin.

Power BI Desktop

• ”Power BI Datasets” -connectorilla ”live”-yhteyden ottaminen Power BI Servicessä olevaan datasettiin ja uuden raportin rakentaminen vanhan datasetin päälle. Vaatii build-oikeuden.
• Uusi raportti voidaan julkaista uuteen työtilaan.
• Uuden raportin tekeminen voidaan joko aloittaa tyhjältä raportilta Power BI Desktopilla tai muokkaamalla olemassa olevaa raporttia Power BI Servicessä. Ei siis vielä ole vaihtoehtoa, jossa saataisiin Desktopin muokattavuus (mm. measureiden teko) ja Power BI Servicen kopioinnilla tulevat valmiit visualisaatiot pohjaksi.

Resurssien jakamisen ja kuluttamisen vaatimat käyttöoikeudet

Resurssien jakamista voi ajatella myös jakamiseen tarvittavien käyttöoikeuksien kannalta, kuten on tehty alla olevassa kuvassa. Kuva on muutoin sama kuin aiempi konseptikuva, mutta katkoviivoille on merkitty jakamiseen tarvittava oikeus. ”Workspace”-merkintä tarkoittaa, että oikeus periytyy työtilan roolien kautta. ”Contributor+” tarkoittaa, että vaaditaan contributor-, member- tai admin-rooli.

Eli esimerkiksi raportin kopiointi työtilasta toiseen vaatii kopioinnin tekijältä vähintään contributor-roolin alkuperäisessä työtilassa.

Tarvittavat oikeudet resurssien jakamiseen

Kolmas tapa katsoa asiaa on jaettujen resurssien käyttämiseen tarvittavien käyttöoikeuksien kautta. Kuva on muutoin sama kuin ylempänä, mutta katkoviivoille on merkitty jaetun resurssin katseluun tarvittava oikeus.

Jos loppukäyttäjällä on esimerkiksi viewer-rooli kohdetyötilassa, saa hän siitä tarvittavan read-oikeuden raporttiin. Loppukäyttäjällä ei kuitenkaan ole kohdetyötilan viewer-roolin (tai edes admin-roolin!) kautta datasettiin read-oikeutta, koska se on jaettu datasetti. Täten täytyy käyttäjälle erikseen lisätä dataset-tasolla (joko alkuperäisessä tai uudessa työtilassa, koska molemmat viittaavat samaan datasettiin) read-oikeus.

Tarvittavat oikeudet jaettujen resurssien käyttämiseen

Seuraavaksi käydään läpi, mitä read- ja build-oikeudet tarkoittavat käytännössä.

Resussien käyttöoikeudet

Seuraavassa on SQL Serveristä soveltaen lainattu tapa kuvata Power BI Servicen käyttöoikeuksia. SQL Serverin Authentication & Authorization kääntyy Power BI Servicessä Access & Permission -muotoon.

Power BI Servicessä on käyttäjiä (user). Käyttäjät voivat kuulua rooliin (role) ja roolilla voi olla sisäänpääsyoikeus (access) resurssiin tai käyttöoikeuksia (permission) resursseihin (resource). Käyttäjälle voi antaa myös suoraan oikeuksia resursseihin.

Access ja permissions - konseptuaalinen malli

Käyttäjä saa pääsyoikeuden Workspace-resurssiin app workspace -roolin kautta. Workspace pitää sisällään dashboard-, report- ja dataset-resursseja (+workbook ja dataflow). Workspace-roolin kautta käyttäjä perii automaattisesti myös tiettyjä oikeuksia workspacen sisällä oleviin resursseihin. Näitä periytyviä oikeuksia on kuvattu tarkemmin myöhemmin.

App:in pääsyoikeus tulee app-roolin kautta. App-resurssi sisältää dashboard ja report-resurssit, jotka ovat kopioita vastaavista dashboardeista ja raporteista App Workspacessa.

Workspace- ja app-rooleista perittyjä käyttöoikeuksia voidaan käsin muokata Workspacesta jokaiselle resurssille (Dashboard, Report, Dataset) erikseen. Alla yleiskuva Access & Permission -oikeuksien periytymisestä käyttäjälle.

Eli esimerkiksi app-rooliin kuuluminen (eli käyttäjä luvitettu App:iin) antaa oikeuden päästä sisään Appiin ja nähdä siihen kuuluvat dashboardit ja raportit, mutta rooli antaa myös oikeuden alla olevaan Workspacen datasettiin.

Power BI servicen access ja permissions -yleiskuva 

Seuraavassa kuvassa on esitetty Power BI servicen dokumentaation perusteella, mitä workspacen hallinointiin liittyviä oikeuksia eri Workspace-rooleihin kuulumisesta periytyy käyttäjälle. Tässä kuvassa ei ole mukana itse dataan liittyvät oikeudet vaan pelkästään hallinnointioikeudet.

Workspace role permissions 

Kuten aiemmin mainitsimme, tarkemmalla tasolla tarkasteltaessa voidaan työtilan yksittäisille resursseille antaa erilaisia käyttöoikeuksia.

Dashboardille ja raportille voidaan antaa reshare- tai read-oikeudet. Jos käyttäjä on admin tai member, työtilassa tulee hänestä automaattisesti Dashboard-, Report- ja Dataset-resurssien ”owner”. Se tarkoittaa, että käyttäjällä on kaikki alla esitetyt niihin liittyvät oikeudet.

Contributor ja viewer-roolissa työtilassa olevat henkilöt saavat vain read-oikeudet resusseihin. Nimensä mukaisesti read oikeuttaa katsomaan resurssia ja reshare oikeuttaa jakamaan resurssin eteenpäin.

Datasetillä on edellämainittujen oikeuksien lisäksi uusi build-oikeus. Build viittaa siihen, että datasetin päälle voidaan rakentaa uusia raportteja live-yhteydellä. Build permission tarvitaan Analyze in Excel ja Power BI Desktop Live -connectionin luomiseen. Käyttäjille, jotka ovat ennen build-oikeutta saaneet käyttää Analyze in Excel -toimintoa on automaattisesti konvertoitu build-oikeus.

Tosiasiassa oikeuksia on varmasti enemmän (esim ”write”). Näitä voisi varmasti lähteä penkomaan esimerkiksi REST API -dokumentaation kautta, mutta keskitytään tässä käyttäjälle käyttöliittymässä näkyviin oikeuksiin, joiden kautta määritellään resurssien hallintaa Power BI servicessä.

Alla olevassa kuvassa (joka on varmasti tähän mennessä sekavin) kuvataan, miten käyttäjä voi saada tietyn spesifin oikeuden resurssiin joko app- tai workspace-roolin kautta tai suoraan käyttäjälle lisättynä. App:n dashboard ja raportti on jätetty selkeyden vuoksi pois kuvasta.

Esimerkiksi työtilan member-rooliin kuuluva käyttäjä saa owner-oikeuden dashboardeihin, raportteihin ja datasetteihin. Eli hän saa tehdä ja nähdä työtilassa kaiken mitä adminkin, lukuun ottamatta muutamia yllämainittuja työtilan hallintaan liittyviä ominaisuuksia. Row Level Security koskee vain uutta viewer-roolia, muut roolit näkevät kaiken datan.

Esimerkki käyttöoikeuksien jakamisesta

Otetaan käyttöoikeusmallin selventämiseksi vielä esimerkkitapaus käyttöoikeuksista: käyttäjä A jakaa raportin käyttäjä B:lle (Share report -toimilla), joka jakaa sen eteenpäin käyttäjä C:lle.

A:n täytyy olla admin tai member App Workspacessa, jotta hän voi jakaa raportin B:lle. A sallii myös raportin edelleenjakamisen ja muttei build-oikeutta (live-yhteyden ottamista Power BI Desktopista) B:lle.

B jakaa raportin edelleen käyttäjä C:lle, mutta ei anna tälle edelleenjako-oikeutta. Tällöin kaikki käyttäjät A,B ja C saavat erilaisen käyttöoikeuden raporttiin ja siihen liittyvään datasettiin. Käyttöoikeuden resursseihin näyttävät siis seuraavalta:

Esimerkin käyttöoikeudet

Olemme yrittäneet yllä kuvata mahdollisimman kattavasti resurssien jakamista, käyttöoikeuksia ja niiden periytymistä Power BI Servicessä. Power BI Servicen muuttuessa Microsoftin strategian mukaisesti ”unified business intelligence“ -alustaksi, nousee datan hallinointi alustalla yhä tärkeämpään rooliin. Toivottavasti tämä kirjoitus auttaa tämän kokonaisuuden ymmärtämisessä.

(Alkuperäinen kirjoittaja Tero Isoranta)