Configurar o modificar la seguridad a nivel de objetos (OLS)
La OLS se modifica ajustando los roles o los permisos de objeto definidos para tablas o columnas. Los permisos de objeto son propiedades TOM visibles en la propiedad Object Level Security, que puede ser Default (sin OLS; funcionalmente similar a Read), Read o None. La OLS se diferencia de la RLS en que no filtra los datos, sino que impide la ejecución del objeto y de todos sus dependientes. Esto significa que cualquier relación o medida que haga referencia al objeto donde Object Level Security esté establecido en None devolverá un error al evaluarse.
- Acerca de la seguridad de datos y RLS/OLS: Una visión general funcional de RLS y OLS.
- Modificar/configurar una configuración de RLS: Cómo configurar RLS en un Dataset.
- Modificar/configurar la configuración de OLS (este artículo): Cómo configurar OLS en un Dataset.
- Probar RLS/OLS con suplantación: Cómo validar fácilmente la seguridad de datos con Tabular Editor.
Configurar OLS en Tabular Editor 3
A continuación se ofrece una visión general de los cambios habituales que se pueden realizar en una configuración de OLS existente. Además, a continuación se describen estrategias para configurar OLS en objetos no habituales (medidas, grupos de cálculo):
1. Eliminar un rol
Para quitar un rol del modelo, basta con eliminar el objeto de rol pulsando Del o haciendo clic con el botón derecho y seleccionando "Eliminar".
Note
Los usuarios asignados a este rol ya no podrán ver los datos del modelo, mientras exista al menos otro rol.
2. Agregar un nuevo rol
Para agregar un rol al modelo:
- Haz clic con el botón derecho en el tipo de objeto "Roles": Se abrirá el cuadro de diálogo para crear un nuevo rol.
- Selecciona "Crear" > "Rol": Asigna un nombre al nuevo rol.
- Establece la propiedad
Model PermissionenRead: Esto es necesario para los Datasets de Power BI.
- Configura los permisos: Establece los permisos de tabla de RLS y/o los permisos de objeto de OLS, como se describe a continuación.
3. Eliminar OLS
Para eliminar OLS del modelo, todas las columnas y tablas deben tener la propiedad Object Level Security configurada en Default para todos los roles. Para quitar la seguridad de datos del modelo, tienes que eliminar todos los roles.
Note
Una vez que hayas eliminado todos los roles, todos los usuarios podrán ver todos los datos siempre que tengan permisos de Read en el Dataset.
4. Configurar o cambiar OLS
Configurar o modificar OLS es muy fácil para columnas y tablas. Solo tienes que seleccionar el objeto y navegar hasta la propiedad Object Level Security, usando el desplegable para cambiarla al valor deseado.
---
5. Combinar OLS con RLS
Combinar RLS con OLS con éxito requiere diseñar un modelo y una estrategia de seguridad de datos / gestión de acceso que estén alineados. Dado que RLS y OLS no se pueden combinar entre roles, esto significa que, si planeas implementar tanto RLS como OLS, los usuarios quedan limitados a un único rol.
6. Configurar OLS para las medidas
De forma nativa, OLS solo funciona con columnas, tablas y sus dependencias; no existe ninguna propiedad seguridad a nivel de objetos para las medidas. Sin embargo, como OLS también se aplica a las dependencias, es posible diseñar OLS que funcione con las medidas mediante tablas desconectadas o grupos de cálculo. Para ello, el DAX de la medida debe modificarse para evaluar una columna o un grupo de cálculo configurado con RLS. Si la propiedad seguridad a nivel de objetos de ese objeto es None, la medida no se evaluará.
Consulta también este artículo de SQLBI, que explica en detalle este enfoque para ocultar medidas.