Ohne Security geht nichts: Power BI Security-Layer in Aktion

Gelebter Self-Service mit Power BI: In diesem Artikel geht es darum, wie Sicherheitsrichtlinien in Power BI abgebildet werden können, ohne dafür die einzelnen Anwender direkt auf Datenbanken zu berechtigen. Dabei wird die Administration vom Backend ins Admin Center verlagert, was neue Möglichkeiten eröffnet. Ausgearbeitet hat dieses erweiterungsfähige Konzept ein kleines pmOne-Team, das sich intensiv mit dem Aspekt „Security“ bei Self-Service BI beschäftigt.

Microsoft Power BI ist eine Sammlung von Funktionen und Diensten, mit denen die Analyse und Aufarbeitung mithilfe von Excel und weiteren Tools ermöglicht wird. Dabei soll die Arbeit auf eine neue, intuitive Art und Weise geschehen, um neue Zusammenhänge in bestehenden Daten zu analysieren und zu visualisieren. Das Ziel von Microsoft ist es, die unternehmensweite Self-Service Business Intelligence(BI)-Strategie in den Unternehmen zu etablieren. Diese neuen Dienste arbeiten nahtlos mit Microsoft Excel zusammen.

Mit der Einführung von Power BI versucht Microsoft, die Grenzen zwischen der Datenaufbereitung, -modellierung und -darstellung weiter aufzuweichen. Die Unternehmen sollen lernen, nicht mehr in festen Modellen zu denken, sondern ihre Synergien aus den Fachbereichen nutzen und heben. Die dahinterstehende Idee ist, abteilungsübergreifend Datenmodelle und Visualisierungen zu erstellen und im Unternehmen zu teilen – und das alles mit einem Tool: Power BI.

Power BI Admin Center

Das Power BI Admin Center ist das Herzstück für jede Art von Administration der Power BI Tools aus dem Hause Microsoft. Im Power BI für Office 365 Admin Center können IT-Administratoren lokale Datenquellen im Portal registrieren, OData-Feeds für die Datenquellen aktivieren und die Tabellen/Ansichten auswählen, die in die Feeds eingeschlossen werden sollen. Darüber hinaus können sie zum Beispiel verwalten, ob Excel-Arbeitsmappen, die in SharePoint online gespeichert wurden, mit Daten aus lokalen Datenquellen aktualisiert werden können.

Power BI Admin Center: Administration via Sharepoint

 

Power BI Security Layer – Ein Sicherheitskonzept für jede Fachabteilung

In diesem Artikel soll ein Konzept vorgestellt werden, mit dem beliebige Sicherheitsrichtlinien auf Power BI abgebildet werden können, ohne dafür die einzelnen Anwender direkt auf der Datenbank berechtigen zu müssen. Das zugrunde liegende Konzept lässt sich beliebig erweitern.

Der Power BI Security Layer verfolgt den Ansatz, die Zugriffsberechtigung aus dem Backend zu holen und in das Power BI Admin Center zu integrieren, um beispielsweise neue Einstellungs- und Zugriffsmöglichkeiten für Data Stewards zu ermöglichen. Doch was bedeutet das konkret?

Sicherheitskonzept für Self Service BI

 

Zu Beginn werden die benötigten Informationen der Fachabteilungen in den Datenbanken aufbereitet und in verschiedenen Sichten, auch bekannt als Views, direkt im SQL Server bereitgestellt. Diese Sichten werden nach den entsprechenden Anforderungen der Fachabteilungen gestaltet. Im Power BI Admin Center wird dann ein Gateway zur Datenbank eingerichtet, in dem die Views abgerufen werden.

Gateways ermöglichen die Anbindung von Datenquellen

 

Dieses Gateway nutzt ein SQL-Benutzerkonto, das zuvor auf der Datenbank angelegt wurde. Nach der Erstellung des Gateways werden zusätzlich die Datenquellen für bestimmte Fachbereiche eingerichtet, welche die vordefinierten Views zugewiesen bekommen. Somit werden über einen Gateway verschiedene Datenquellen zur Verfügung gestellt. Die Datenquellen enthalten vordefinierte Rollen und Gruppen die mit verschiedenen Leserechten auf die Views ausgestattet sind.

Data Sources können Views und Tabellen sein

 

Dem Data Steward kommt hierbei eine besondere Bedeutung zu, da er die Aufgabe wahrnimmt, den Datenquellen die Rollen und Gruppen zuzuweisen. Nachdem die Benutzer den Datenquellen zugeordnet sind, können diese mittels Microsoft Excel und den Power BI-Tools auf die Views durchgreifen, die durch den Data Steward vorher in den Datenquellen hinterlegt und mit Zugriffsrechten ausgestattet wurden. Auf diese Weise ist einfach aber wirkungsvoll sichergestellt, dass die Fachbereiche nur auf die notwendigen Daten zugreifen können und die Administration durch den Data Steward erfolgt.

Expertenmeinung und Ausblick

Dieses Konzept zur Abbildung von Sicherheitsrichtlinien beinhaltet eine einfache aber wirkungsvolle Möglichkeit, um verschiedene Anforderungen individuell zu definieren. Vorteil: Durch die Verschiebung der Administration auf den Power BI Layer sind lediglich minimale Anpassungen der Datenbank notwendig. Des Weiteren kann der Data Steward durch einfache Methoden und ohne Kenntnisse von SQL oder Active Directory Administration direkt im Power BI Portal Datenquellen bereitstellen. Mit den Views auf Datenbankebene ist es möglich, die relationalen Daten vorzufiltern bzw. individuell an die Benutzeranforderungen anzupassen. Insgesamt kann unter Verwendung dieses Konzeptes ein Self Service-Ansatz implementiert werden, der sowohl den Anforderungen einer SQL Datenbank als auch dem modernen Verständnis von Power BI Rechnung trägt – und zwar stets unter Berücksichtigung aktueller Sicherheitsstandards von Microsoft.