【发布时间】:2021-01-05 16:51:32
【问题描述】:
我们在网站中嵌入了 Power BI 仪表板。我们目前使用 RLS 保护一些表。然而,有些表还包含并非所有人都能看到的数据,但我们无法使用简单的 DAX 表达式进行保护。
我的问题是,只要我们不在显示这些数据的仪表板中公开任何组件,这些数据是否安全?或者有没有办法让某人绕过组件并直接查询底层数据集?
【问题讨论】:
标签: powerbi
【发布时间】:2021-01-05 16:51:32
【问题描述】:
这取决于如何嵌入此仪表板。如果您使用带有 API 的 JS 客户端,并且看到报告的用户有权编辑或创建,那么它可以更改报告并访问当前未在现有表中公开的表中的数据。如果用户只有查看权限,则数据是安全的。
因此,如果您使用user owns data 方案,请确保用户仅对报表具有查看权限。如果您使用app owns data 场景,make sure the embed token is generated with view rights only(即token access level is view)。
访问任意数据的另一个选项是Q&A visual。
【讨论】:
-
我们正在使用
app owns data,其中嵌入令牌当前是使用查看权限在服务器端生成的。所以我想一切都应该是安全的。谢谢! -
啊,我忘了Q&A visual。它允许用户询问有关数据的纯文本问题。