Existe una característica maravilloso en Power Bi llamada RLS. Con el correr del tiempo me he encontrado con múltiples casos que no han encontrado la utilidad o comprendido tanto el uso como su implementación. Ciertamente su concepto puede ser confuso para un usuario no técnico que solo pensará en "Seguridad es bueno".
Seguridad a niveles de filas significa nada más y nada menos que restringir el acceso a los datos a determinados usuarios. Me detengo en "a los datos" un momento porque esto no significa que no pueden entrar a ver los informes de Power Bi. Lo que RLS restringe son datos puntuales en si y no informes, paneles o areas dentro de Power Bi. Una cosa es el acceso a la información y otra a un dato puntual. RLS va a conseguir que dos usuarios con perfiles/roles diferentes estén viendo el mismo informe y cada quien vea distintos datos porque fueron asignados con un rol que tiene una regla de filtros hacia el conjunto de datos. Eso es seguridad a niveles de filas. Filtrar filas de un conjunto de datos bajo una regla definida que será parte de un rol que asignaremos a un usuario.
Para implementar desde cero esta maravillosa característica vamos a seguir el siguiente proceso.
Definir Roles y sus Reglas
Comenzaremos nuestra configuración desde Power Bi Desktop. Las reglas son definidas para un conjunto de datos. Es por eso que vamos a nutrirnos desde ésta herramienta que es quien tiene el primer conjunto de datos antes de ser publicado.
En la pestaña de Modelado vamos a encontrar una opción "Administrar Roles" como indica la siguiente imagen.
Al pulsarla veremos una ventana que tiene un botón "Crear" referido a los roles. Damos click y vamos a crear un rol, con el nombre deseado, junto con su respectiva regla.
Luego de poner un nombre al Rol veremos el listado de tablas que tiene nuestro conjunto de datos. Las reglas se ejecutan por tabla, es decir que en la ventana de la derecha que nos permitirá ejecutar DAX para filtrar será referido a las columnas de la tabla bajo la cual ejecutamos. La prueba más sencilla es seguir la imagen clickeando en los tres puntos de la tabla para "Agregar filtro…" y seleccionar la columna a filtrar.
En nuestro caso el rol se llama "Sucursal China". Entonces nuestra regla quedará de la siguiente manera:
[CountryRegion] = "China"
Vamos a guardar y probar el rol. Para asegurarnos que todo funciona correctamente tenemos la posibilidad de conocer "Como vería el informe un usuario con el rol Sucursal China asignado". Nuevamente en la pestaña modelado nos dirigimos a "Ver como".
Ante la nueva pantalla seleccionamos Sucursal China. Veremos algo semejante a la siguiente imagen
A partir de este momento tenemos nuestro rol asignado al conjunto de datos para poder asignar sus usuarios en el servicio de power bi desde el portal web. La realidad de los informes hace que siempre tengamos un rol disponible al que yo llamo "VerTodo". Es importante crear un rol sin reglas que puedar ver todo el tablero porque en la mayoría de los casos hay usuarios que tienen compartido el informe y no deseamos que se les restrinja nada.
NOTA: Es indispensable entender que una vez que el conjunto de datos tiene roles, todas las personas que lo tienen compartido con permiso de lectura deberán tener un rol asignado para verlo. Caso contrario saldrá un error.
Asignación de roles a usuarios
Continuaremos nuestro trabajo desde el portal web. Nos dirigimos a nuestra área de trabajo donde publicamos el archivo de Power Bi y filtramos por datasets o conjuntos de datos. Veremos nuestro conjunto del cual buscaremos la opción seguridad bajo los tres puntos.
A partir de ahora todos los usuario de lectura deberán ser incluido en alguno de los roles creados. Podemos apreciar tanto Sucursal China como VerTodo. En la siguiente imagen voy a asignarme a Sucursal china escribiendo mi correo y al terminar daremos Add/Agregar y Save/Guardar. No olvidemos de guardar para que se aplique el cambio porque la interfaz es tramposa.
Al terminar podremos apreciar, en caso que estemos investigando que personas tiene que rol, la lista de usuarios con dicho rol. En mi foto solo saldría yo como parte del rol sucursal china que ahora tiene un 1 al lado.
A partir de ese momento cuando el usuario Ignacio ingrese al informe en el servicio de Power Bi, vera un informe filtrado que no indica en ninguna parte que está siendo filtrado bajo su rol y es completamente invisible para el.
Cabe aclarar que un usuario que tiene permisos administrativos en sentido de lectura, edición y escritura sobre el informe, no puede ser filtrado bajo un rol. Por más que lo agreguemos en la lista de Sucursal China, seguirá viendo todo pues es considerado de un permiso superior el poder leer, editar y escribir un informe. Éste será capas de ver todo sin ningún filtro rls.
Hemos concluido nuestro post y espero que ahora puedan crear las reglas necesarios en su institución para que un gran informe sea accedido por muchos usuarios que verán lo que es pertinente a cada uno.