Power BI Row-Level Security (RLS): Tutorial Komprehensif

Row-Level Security (RLS) di Power BI memungkinkan Anda mengontrol baris data mana yang dapat dilihat pengguna berdasarkan filter. Fungsionalitas ini sangat berharga ketika banyak pengguna memerlukan akses ke laporan bersama, tetapi dengan tampilan yang dipersonalisasi sesuai peran atau departemen mereka.

Dalam tutorial ini, saya akan memandu Anda memahami RLS secara praktis dan mendalam, termasuk konfigurasi statis dan dinamis, langkah-langkah implementasi langsung, teknik tingkat perusahaan yang lebih lanjut, serta jebakan umum yang saya pelajari untuk dihindari. Saya juga akan membagikan praktik terbaik dan membandingkan RLS dengan model keamanan lainnya.

Jika Anda baru mulai menggunakan Power BI, saya sarankan Anda melihat jalur keterampilan Power BI Fundamentals kami, yang akan membantu Anda menguasai semua keterampilan penting yang dibutuhkan.

Apa itu Row-Level Security?

Row-Level Security (RLS) adalah fitur keamanan di Power BI yang membatasi akses ke baris dalam sebuah tabel berdasarkan identitas pengguna yang melihat laporan. Alih-alih menduplikasi laporan untuk kelompok pengguna berbeda, RLS memungkinkan Anda menerapkan filter pada tingkat data sehingga setiap pengguna hanya melihat data yang diizinkan untuk mereka.

Ini sangat penting untuk menjaga kerahasiaan dan integritas data, terutama dalam situasi yang melibatkan informasi sensitif atau kepemilikan. RLS beroperasi di dalam model data Power BI dan memastikan pengguna tidak berwenang tidak dapat mengakses data yang dibatasi, bahkan melalui metode tidak langsung seperti slicer atau drill-down.

Peran dan filter

Implementasi RLS didasarkan pada tiga elemen inti:

• Peran: Pengelompokan logis dengan aturan akses yang ditentukan.
• DAX filter: Ekspresi yang menentukan data apa yang dapat diakses setiap peran.
• Penetapan pengguna: Konfigurasi pengguna atau grup mana yang termasuk dalam peran tertentu.

Elemen-elemen ini bekerja bersama untuk mengevaluasi setiap kueri terhadap ketentuan akses sebelum mengembalikan hasil.

Kasus penggunaan

RLS sangat dapat diterapkan di banyak industri dan skenario, termasuk:

• Wilayah penjualan: Manajer penjualan hanya melihat data kinerja wilayahnya.
• Kesehatan: Dokter hanya mengakses rekam medis pasien yang ditugaskan kepada mereka.
• SaaS multi-penyewa: Klien hanya melihat data organisasi mereka sendiri di dasbor bersama.

Model keamanan ini memungkinkan kumpulan data bersama tetap aman sekaligus meminimalkan duplikasi dan beban administratif.

Arsitektur RLS Statis vs Dinamis

Keamanan tingkat baris dapat dibagi menjadi dua jenis: statis dan dinamis.

Saya telah merangkum perbedaannya dalam tabel di bawah:

Kiat: Gunakan RLS statis untuk kelompok pengguna kecil yang tetap. Gunakan RLS dinamis untuk lingkungan yang berkembang atau berskala besar.

Saya akan membahas beberapa implementasi untuk contoh statis dan dinamis di bawah ini.

Implementasi RLS statis

RLS statis melibatkan pembuatan peran dengan filter DAX yang ditanamkan (hardcoded). Setiap peran sesuai dengan kelompok atau segmen tertentu, seperti wilayah geografis atau departemen.

Berikut langkah umum untuk menerapkan RLS statis:

1. Buat peran bernama, misalnya, "Region_East."
2. Terapkan filter seperti [Region] = "East" pada peran tersebut.
3. Tetapkan pengguna tertentu ke peran tersebut di Power BI Service.

Implementasi RLS dinamis

RLS dinamis menggunakan fungsi seperti USERNAME() atau USERPRINCIPALNAME() yang dikombinasikan dengan tabel pemetaan untuk memfilter data secara dinamis berdasarkan identitas pengguna.

Berikut langkah umum untuk menerapkan RLS dinamis:

1. Buat tabel pemetaan yang mengaitkan pengguna dengan tingkat akses. Ini akan menjadi tabel keamanan Anda. Tabel ini harus mencakup kolom seperti email pengguna, wilayah akses mereka, dan nama mereka.
2. Tulis filter DAX seperti: [Region] = RELATED(UserRegion[Region])
3. Filter tabel tersebut dengan: UserRegion[Email] = USERPRINCIPALNAME()

Menyiapkan Row-Level Security di Power BI Desktop

Sekarang kita akan melihat panduan singkat tentang cara menyiapkan keamanan tingkat baris statis menggunakan dataset penjualan sederhana.

1. Membuat dataset contoh menggunakan Python

Untuk menguji RLS, buat dataset contoh menggunakan Python:

import pandas as pd

data = {
    'Salesperson': ['Alice', 'Bob', 'Charlie', 'Alice', 'Bob', 'Charlie'],
    'Region': ['East', 'West', 'South', 'East', 'West', 'South'],
    'SalesAmount': [15000, 20000, 18000, 17000, 21000, 16000],
    'Email': ['alice@company.com', 'bob@company.com', 'charlie@company.com'] * 2,
    'Date': pd.date_range(start='2025-01-01', periods=6, freq='M')
}

sales_df = pd.DataFrame(data)
sales_df.to_csv('sample_sales_data.csv', index=False)

2. Mengimpor ke Power BI dan Membuat Visualisasi Referensi

1. Buka Power BI Desktop.
2. Masuk ke Home > Get Data > Text/CSV.
3. Pilih file sample_sales_data.csv.

4. Muat data ke dalam model.

Pastikan tipe data sudah tepat dan konfirmasikan bahwa kolom Email sesuai dengan format identitas login (biasanya email).

5. Buat Stacked Column Chart dasar di Power BI. Seret field Date ke sumbu X dan SalesAmount ke sumbu Y.

Berikut tampilan bagan Anda:

Lebih lanjut tentang penggunaan Power BI dapat ditemukan di lembar contekan kami, seperti ditunjukkan di bawah ini.

3. Membuat peran

Selanjutnya, mari buat beberapa peran untuk menentukan peran mana yang dapat memiliki izin apa.

1. Buka Modeling > Manage Roles.

2. Klik Create dan beri nama peran Anda, misalnya, SalesRegionStatic.
3. Pilih tabel yang relevan.
4. Masukkan ekspresi filter DAX:

[Email] = “charlie@company.com”

Berikut tampilan antarmuka Anda:

5. Simpan dan tutup dialog.

Jika perubahan berhasil disimpan, pemberitahuan bilah hijau akan muncul seperti di bawah ini.

4. Menguji peran

1. Buka Modeling > View as Roles.

2. Pilih peran SalesRegionStatic yang kita buat sebelumnya.

3. Lihat visual laporan yang terfilter berdasarkan identitas tersebut.

Seperti terlihat pada gambar di bawah, bagan telah difilter untuk hanya menampilkan data dengan email “charlie@company.com”.

Ini memungkinkan validasi lokal sebelum penyebaran.

Menetapkan Pengguna dan Mengelola Peran di Power BI Service

Setelah peran RLS Anda disiapkan dan diuji di Power BI Desktop, langkah berikutnya adalah memublikasikan laporan ke Power BI Service. Ini memungkinkan Anda menetapkan pengguna tertentu atau grup keamanan ke setiap peran, memastikan kontrol akses ditegakkan saat laporan dibagikan.

1. Memublikasikan laporan ke Power BI Service

1. Di Power BI Desktop, klik Home > Publish > To Power BI.
2. Pilih workspace target di Power BI Service Anda.

3. Setelah memublikasikan, masuk ke Power BI Service di https://app.powerbi.com.

Berikut tampilan saya di Power BI service pada web.

Publikasi adalah prasyarat untuk mengonfigurasi penetapan peran RLS, karena peran yang didefinisikan di Power BI Desktop ditransfer bersama dataset.

2. Mengakses pengaturan keamanan

1. Pilih menu Opsi lainnya untuk model semantik yang relevan.Klik tanda elipsis (...) di sebelah dataset dan pilih Security.
2. Anda akan melihat daftar peran yang didefinisikan di Power BI Desktop.

Di sinilah Anda menetapkan pengguna atau grup Azure Active Directory (AAD) ke setiap peran.

3. Menetapkan pengguna individual dan grup keamanan

Untuk menetapkan pengguna, masukkan alamat email lengkap mereka di kotak teks di bawah peran yang diinginkan, tekan Enter, lalu klik Add.

Untuk menetapkan grup AAD, gunakan nama grup (misalnya, Sales_Region_East atau Finance_Team). Pastikan grup sudah didefinisikan dan dikelola di Azure Active Directory.

4. Memverifikasi akses yang ditetapkan

Setelah menetapkan pengguna atau grup, luangkan waktu untuk memverifikasi bahwa data yang tepat ditampilkan kepada grup yang tepat.

Setiap orang hanya akan melihat data yang difilter oleh ekspresi DAX yang ditautkan ke perannya. Mereka tidak akan diberi tahu langsung tentang penetapan peran, jadi Anda mungkin ingin mengomunikasikan instruksi akses apa pun setelah Anda menyelesaikan verifikasi.

5. Menguji penetapan peran di Power BI Service

1. Pada halaman yang sama, klik nama RLS yang Anda tentukan sebelumnya lalu klik tanda elipsis (...), kemudian Test as role.

2. Power BI akan membuka versi laporan hanya-baca yang menampilkan data yang diizinkan oleh peran yang dipilih.

Untuk RLS dinamis, Anda juga dapat mensimulasikan apa yang akan dilihat pengguna tertentu:

• Klik Test as role.
• Masukkan email pengguna untuk mensimulasikan pengalamannya.

Ini berguna untuk memastikan filter dinamis Anda (misalnya, berdasarkan USERPRINCIPALNAME()) berfungsi dengan benar.

Teknik Implementasi Lanjutan

RLS dapat semakin diintegrasikan ke alur kerja Power BI Anda melalui beberapa teknik lanjutan. Berikut beberapa yang perlu Anda perhatikan:

1. Integrasi grup keamanan

Menggunakan grup keamanan Azure Active Directory (AAD) memungkinkan Anda menetapkan izin akses ke seluruh grup alih-alih pengguna individual. 

Praktik ini sangat berguna di perusahaan tempat karyawan sering bergabung atau keluar dari tim, karena menghilangkan kebutuhan untuk memperbarui izin akses secara manual di Power BI.

2. Pertimbangan model data yang kompleks

Saat membangun model data berskala besar, pastikan RLS tidak mengganggu relasi dan propagasi filter. 

Berikut beberapa kiat:

• Gunakan desain skema bintang untuk menghindari join yang kompleks.
• Batasi penggunaan relasi dua arah kecuali diperlukan.
• Hindari relasi ambigu yang dapat menghasilkan pemfilteran yang tidak benar.
• Optimalkan performa dengan meminimalkan kolom terhitung di tabel yang banyak difilter.

3. Pendekatan hibrida

Pendekatan hibrida terhadap RLS adalah kombinasi teknik statis dan dinamis. 

Misalnya, Anda dapat mendefinisikan peran statis untuk memberikan akses ke unit bisnis tertentu dan menerapkan pemfilteran dinamis dalam peran tersebut berdasarkan alamat email atau nama pengguna individu. Metode ini memungkinkan logika keamanan berlapis dan fleksibel.

4. Keamanan tingkat objek (OLS)

Object-Level Security memungkinkan Anda menyembunyikan seluruh tabel atau kolom dari peran tertentu. Ini melengkapi RLS dengan menambahkan lapisan perlindungan data lain. OLS dapat digunakan untuk field sensitif seperti gaji atau informasi medis.

Strategi Pengujian dan Validasi

1. Pengujian di Desktop

Power BI Desktop menyediakan cara yang berguna untuk mensimulasikan tampilan pengguna berbeda melalui fitur “View as” role. Fitur ini membantu pengembang laporan memvalidasi bahwa logika Row-Level Security berfungsi dengan benar sebelum laporan dipublikasikan.

Cara menguji RLS di Power BI Desktop:

1. Klik tab Modeling.
2. Pilih View as dari pita.
3. Pilih peran yang telah Anda konfigurasikan (misalnya, SalesRegionStatic).
4. Opsional: masukkan nama pengguna/email uji jika Anda menggunakan RLS dinamis.
5. Klik OK dan periksa bagaimana visual difilter.

Ini mensimulasikan laporan seolah-olah dilihat oleh pengguna yang ditetapkan ke peran tersebut. Sangat membantu saat menguji filter RLS dinamis yang bergantung pada fungsi DAX seperti USERPRINCIPALNAME().

2. Pengujian di Service

Setelah dipublikasikan ke Power BI Service, RLS harus diuji kembali di lingkungan cloud untuk memastikan akurasi.

Cara menguji RLS di Power BI Service:

1. Arahkan ke dataset di workspace Anda.
2. Klik ... di sebelah dataset > Security.
3. Pilih peran > klik Test as role.
4. Gunakan opsi “Test as specific user” untuk mensimulasikan filter RLS dinamis.

Ini memastikan filter berperilaku sesuai harapan untuk pengguna sebenarnya.

3. Kiat validasi utama

Untuk validasi, Anda dapat mempertimbangkan menggunakan akun uji atau identitas layanan untuk meniru penggunaan nyata. Semua filter pada visual kunci, seperti tabel dan bagan, juga harus ditinjau secara berkala.

Anda juga harus memeriksa slicer, drillthrough, dan bookmark secara menyeluruh untuk memastikan bahwa data yang tidak berwenang tidak bocor.

Jebakan Umum dan Solusinya

Menerapkan RLS dapat menimbulkan beberapa masalah, berikut beberapa yang umum terjadi dan cara memperbaikinya.

1. Masalah pasca-publikasi

Setelah memublikasikan ke Power BI Service, beberapa pengguna mendapati bahwa RLS tidak berfungsi seperti yang diharapkan, meskipun berfungsi di Power BI Desktop.

Solusi:

• Pastikan laporan dipublikasikan ulang setelah membuat perubahan pada peran atau filter.
• Konfirmasi bahwa email yang digunakan dalam USERPRINCIPALNAME() cocok dengan format domain login di dataset.

2. Konflik peran workspace

Pengguna dengan peran workspace tertentu (Admin, Member) dapat tanpa sengaja melewati RLS.

Solusi:

• Tetapkan pengguna sebagai Viewer di workspace untuk menegakkan aturan RLS.
• Hindari memberikan hak Contributor/Admin kecuali diperlukan untuk pengembangan konten.

3. Keterbatasan fungsi DAX

Jebakan umum muncul dari penyalahgunaan fungsi DAX seperti USERNAME() dan USERPRINCIPALNAME():

• USERNAME() dapat mengembalikan nama akun lokal alih-alih email saat diuji di Desktop.
• Gunakan USERPRINCIPALNAME() untuk konsistensi dengan perilaku identitas cloud.

Kiat:

• Tambahkan tabel referensi dengan email contoh untuk memudahkan pengujian lokal.
• Gunakan logika kondisional atau nilai default di DAX untuk mencegah kegagalan filter.

4. Tantangan DirectQuery dan SSO

RLS dinamis dengan sumber DirectQuery memerlukan perhatian ekstra, terutama saat digunakan dengan Single Sign-On (SSO).

Masalah umum:

• Konfigurasi gateway yang salah dapat memblokir penyamaran pengguna (impersonation).
• Penyiapan SSO dengan Kerberos dapat gagal jika SPN salah dikonfigurasi.

Solusi:

• Lihat dokumentasi Microsoft tentang SSO dengan gateway Power BI.
• Bekerja sama dengan tim TI dan infrastruktur untuk mengaktifkan delegasi Kerberos.

Menghapus atau Menonaktifkan RLS untuk Akses Publik

Ada skenario ketika RLS perlu dihapus sementara (misalnya, untuk demo atau dasbor terbuka) atau permanen (misalnya, saat berbagi data dengan pemangku kepentingan eksternal). Dalam kasus tersebut, Anda harus berhati-hati dengan pengaturan visibilitas untuk mencegah kebocoran yang tidak diinginkan.

Menonaktifkan RLS di Power BI Desktop

Untuk menonaktifkan RLS:

1. Buka laporan Anda di Power BI Desktop.
2. Masuk ke Modeling > Manage Roles.
3. Pilih dan hapus semua peran atau nonaktifkan filternya.
4. Simpan dan publikasikan ulang dataset ke Power BI Service.

Setelah dihapus, semua pengguna akan dapat mengakses seluruh dataset kecuali ada langkah keamanan lain yang diterapkan.

Berbagi secara aman tanpa RLS

Jika RLS tidak memungkinkan atau tidak diperlukan, pertimbangkan praktik berikut untuk menjaga keamanan data:

• Gunakan izin tingkat dataset: Bagikan dataset atau laporan hanya dengan pengguna tepercaya dan gunakan izin workspace (Viewer, Contributor) secara tepat.
• Hindari publish to web: “Publish to Web” menghapus semua kontrol keamanan. Sebagai gantinya, gunakan “Embed for organization” atau Power BI Embedded untuk berbagi gaya publik yang aman.

Menghapus RLS tidak berarti menghapus semua keamanan. Gunakan lapisan kontrol akses dan fitur berbagi lain di Power BI Service untuk memastikan penyebaran data yang bertanggung jawab.

Praktik Terbaik untuk Penerapan di Perusahaan

Keberhasilan penerapan Row-Level Security di seluruh perusahaan memerlukan perencanaan matang, arsitektur yang dapat diskalakan, dan tata kelola yang tepat. Bagian ini menguraikan praktik terbaik yang terbukti di berbagai dimensi implementasi RLS.

1. Pemodelan data

Model data yang dirancang baik mendukung konfigurasi RLS yang efisien dan mudah dipelihara.

Rekomendasi:

• Ikuti skema bintang dengan relasi yang jelas antara tabel fakta dan dimensi.
• Hindari relasi dua arah yang tidak perlu yang dapat menimbulkan ambiguitas dalam pemfilteran.

2. Manajemen peran

Mengelola peran RLS secara terpusat dan konsisten membantu mengurangi kesalahan dan meningkatkan kolaborasi.

Rekomendasi:

• Pelihara dokumen definisi peran untuk melacak logika RLS dan ekspresi DAX.
• Gunakan nama peran yang deskriptif (misalnya, “Region_East_Sales”) untuk menghindari kebingungan.

3. Optimasi performa

RLS dapat memengaruhi performa laporan, terutama saat filter kompleks atau dataset besar terlibat.

Rekomendasi:

• Pra-agregasi data jika memungkinkan menggunakan tabel ringkasan.
• Minimalkan penggunaan kolom terhitung dalam logika RLS.
• Gunakan pengindeksan dan kueri yang dioptimalkan di sistem sumber untuk mendukung skenario DirectQuery.

RLS vs Model Keamanan Alternatif

Sekarang mari bandingkan perbedaan antara Row-Level Security (RLS) dan fitur keamanan lainnya, khususnya Object-Level Security (OLS).

1. Tingkat detail dan kasus penggunaan

RLS memungkinkan kontrol akses hingga baris data individual, yang ideal untuk memfilter data berdasarkan identitas pengguna, geografi, departemen, atau unit bisnis. OLS, di sisi lain, mengontrol akses ke seluruh tabel atau kolom, yang berguna untuk menyembunyikan informasi keuangan atau SDM yang sensitif (misalnya, kolom gaji). 

2. Implementasi dan adaptasi dinamis

RLS dapat dengan mudah diterapkan di Power BI Desktop melalui filter DAX pada peran. Aturan ini dapat bersifat statis (filter tertanam) atau dinamis (logika berbasis pengguna). OLS dikonfigurasikan melalui Tabular Editor atau endpoint XMLA. OLS juga memerlukan workspace premium atau dataset Power BI yang dihosting di Analysis Services.

Saya telah menyusun ringkasan perbandingan dalam tabel di bawah:

Kesimpulan

Sebagai penutup, row-level security (RLS) di Power BI adalah metode kunci untuk memastikan tata kelola data dalam platform. Ini memungkinkan organisasi menyajikan pengalaman analitik yang dipersonalisasi dan aman dalam satu laporan atau dasbor, tanpa mengorbankan kerahasiaan atau integritas data yang mendasarinya.

Keamanan semakin menjadi faktor penting dalam manajemen dan tata kelola data, yang merupakan aspek penting saat bekerja dengan Power BI. Untuk informasi lebih mendalam tentang Power BI, lihat kursus Deploying and Maintaining Assets in Power BI kami atau kursus Reports in Power BI kami. Untuk bacaan lebih lanjut, panduan kami tentang Hierarchy Power BI dan Dasbor Power BI mungkin bermanfaat.