Bảo mật cấp hàng (RLS) trong Power BI: Hướng dẫn toàn diện

Row-Level Security (RLS) trong Power BI cho phép bạn kiểm soát những hàng dữ liệu mà người dùng có thể xem dựa trên các bộ lọc. Tính năng này đặc biệt hữu ích khi nhiều người dùng cần truy cập một báo cáo dùng chung nhưng mỗi người xem dữ liệu được cá nhân hóa theo vai trò hoặc phòng ban của họ.

Trong hướng dẫn này, tôi sẽ đưa bạn đi sâu vào RLS một cách thực tiễn và toàn diện, bao gồm cấu hình tĩnh và động, các bước triển khai trực tiếp, kỹ thuật doanh nghiệp nâng cao và những lỗi thường gặp mà tôi đã rút kinh nghiệm để tránh. Tôi cũng sẽ chia sẻ các phương pháp hay nhất và so sánh RLS với các mô hình bảo mật khác.

Nếu bạn mới bắt đầu với Power BI, tôi khuyên bạn nên xem Lộ trình kỹ năng Power BI Fundamentals của chúng tôi để nắm vững các kỹ năng thiết yếu bạn sẽ cần.

Row-Level Security là gì?

Row-Level Security (RLS) là một tính năng bảo mật trong Power BI nhằm hạn chế quyền truy cập vào các hàng trong một bảng dựa trên danh tính của người xem báo cáo. Thay vì nhân bản báo cáo cho từng nhóm người dùng, RLS cho phép bạn áp dụng bộ lọc ở cấp dữ liệu để mỗi người dùng chỉ nhìn thấy dữ liệu mà họ được phép xem.

Điều này rất quan trọng để bảo toàn tính bảo mật và toàn vẹn dữ liệu, nhất là với thông tin nhạy cảm hoặc sở hữu. RLS hoạt động trong mô hình dữ liệu Power BI và đảm bảo người dùng không được ủy quyền không thể truy cập dữ liệu bị hạn chế, kể cả qua các phương thức gián tiếp như slicer hoặc drill-down.

Vai trò và bộ lọc

Triển khai RLS dựa trên ba thành phần cốt lõi:

• Vai trò (Roles): Nhóm logic với các quy tắc truy cập được xác định.
• Bộ lọc DAX: Biểu thức xác định dữ liệu mà mỗi vai trò có thể truy cập.
• Gán người dùng: Cấu hình người dùng hoặc nhóm thuộc về vai trò nào.

Các thành phần này phối hợp để đánh giá từng truy vấn theo điều kiện truy cập trước khi trả kết quả.

Tình huống sử dụng

RLS được áp dụng rộng rãi trong nhiều ngành và bối cảnh, bao gồm:

• Khu vực bán hàng: Quản lý bán hàng chỉ xem dữ liệu hiệu suất của khu vực mình phụ trách.
• Y tế: Bác sĩ chỉ truy cập hồ sơ của bệnh nhân được phân công.
• SaaS đa thuê: Khách hàng chỉ thấy dữ liệu của tổ chức mình trên các bảng điều khiển dùng chung.

Mô hình bảo mật này giúp chia sẻ bộ dữ liệu an toàn đồng thời giảm thiểu việc nhân bản và công tác quản trị.

Kiến trúc RLS tĩnh và động

Bảo mật cấp hàng có thể chia làm hai loại: tĩnh và động.

Tôi đã tóm tắt sự khác nhau của chúng trong bảng dưới đây:

Mẹo: Dùng RLS tĩnh cho nhóm người dùng nhỏ, cố định. Dùng RLS động cho môi trường đang phát triển hoặc quy mô lớn.

Tôi sẽ trình bày một số cách triển khai ví dụ cho cả RLS tĩnh và động bên dưới.

Triển khai RLS tĩnh

RLS tĩnh liên quan đến việc tạo các vai trò với bộ lọc DAX được mã hóa cứng. Mỗi vai trò tương ứng với một nhóm hay phân khúc cụ thể, như vùng địa lý hoặc phòng ban.

Các bước chung để triển khai RLS tĩnh:

1. Tạo một vai trò, ví dụ, "Region_East".
2. Áp dụng bộ lọc như [Region] = "East" cho vai trò đó.
3. Gán người dùng cụ thể vào vai trò trong Power BI Service.

Triển khai RLS động

RLS động sử dụng các hàm như USERNAME() hoặc USERPRINCIPALNAME() kết hợp với các bảng ánh xạ để lọc dữ liệu động theo danh tính người dùng.

Các bước chung để triển khai RLS động:

1. Tạo một bảng ánh xạ liên kết người dùng với các cấp độ truy cập. Đây sẽ là bảng bảo mật của bạn. Bảng này nên có các cột như email người dùng, khu vực họ có quyền truy cập và tên của họ.
2. Viết bộ lọc DAX như: [Region] = RELATED(UserRegion[Region])
3. Lọc bảng đó với: UserRegion[Email] = USERPRINCIPALNAME()

Thiết lập Row-Level Security trong Power BI Desktop

Giờ chúng ta sẽ xem hướng dẫn nhanh cách thiết lập RLS tĩnh bằng một bộ dữ liệu bán hàng đơn giản.

1. Tạo bộ dữ liệu mẫu bằng Python

Để thử RLS, hãy tạo bộ dữ liệu mẫu bằng Python:

import pandas as pd

data = {
    'Salesperson': ['Alice', 'Bob', 'Charlie', 'Alice', 'Bob', 'Charlie'],
    'Region': ['East', 'West', 'South', 'East', 'West', 'South'],
    'SalesAmount': [15000, 20000, 18000, 17000, 21000, 16000],
    'Email': ['alice@company.com', 'bob@company.com', 'charlie@company.com'] * 2,
    'Date': pd.date_range(start='2025-01-01', periods=6, freq='M')
}

sales_df = pd.DataFrame(data)
sales_df.to_csv('sample_sales_data.csv', index=False)

2. Nhập vào Power BI và tạo trực quan tham chiếu

1. Mở Power BI Desktop.
2. Đi tới Home > Get Data > Text/CSV.
3. Chọn tệp sample_sales_data.csv.

4. Tải dữ liệu vào mô hình.

Đảm bảo kiểu dữ liệu phù hợp và xác nhận cột Email khớp với định dạng danh tính đăng nhập (thường là email).

5. Tạo biểu đồ Stacked Column Chart cơ bản trong Power BI. Kéo trường Date vào trục X và SalesAmount vào trục Y.

Biểu đồ của bạn sẽ trông như sau:

Bạn có thể tìm hiểu thêm về cách sử dụng Power BI trong cheat sheet của chúng tôi như hình dưới.

3. Tạo vai trò

Tiếp theo, hãy tạo một số vai trò để xác định vai trò nào có quyền gì.

1. Đi tới Modeling > Manage Roles.

2. Nhấp Create và đặt tên vai trò, ví dụ, SalesRegionStatic.
3. Chọn bảng liên quan.
4. Nhập một biểu thức bộ lọc DAX:

[Email] = “charlie@company.com”

Giao diện của bạn sẽ trông như sau:

5. Lưu và đóng hộp thoại.

Nếu thay đổi được lưu thành công, một thanh thông báo màu xanh lá sẽ xuất hiện như bên dưới.

4. Kiểm tra vai trò

1. Đi tới Modeling > View as Roles.

2. Chọn vai trò SalesRegionStatic mà chúng ta đã tạo trước đó.

3. Xem các trực quan trong báo cáo đã được lọc theo danh tính đó.

Như bạn thấy ở hình dưới, biểu đồ đã được lọc để chỉ hiển thị dữ liệu có email là “charlie@company.com”.

Điều này cho phép xác thực cục bộ trước khi triển khai.

Gán người dùng và quản lý vai trò trong Power BI Service

Sau khi thiết lập và kiểm tra vai trò RLS trong Power BI Desktop, bước tiếp theo là xuất bản báo cáo lên Power BI Service. Điều này cho phép bạn gán người dùng hoặc nhóm bảo mật cụ thể cho mỗi vai trò, đảm bảo kiểm soát truy cập được thực thi khi báo cáo được chia sẻ.

1. Xuất bản báo cáo lên Power BI Service

1. Trong Power BI Desktop, nhấp Home > Publish > To Power BI.
2. Chọn không gian làm việc đích trong Power BI Service.

3. Sau khi xuất bản, đăng nhập vào Power BI Service tại https://app.powerbi.com.

Đây là giao diện của tôi trên Power BI Service trên web.

Xuất bản là điều kiện tiên quyết để cấu hình gán vai trò RLS, vì các vai trò được định nghĩa trong Power BI Desktop sẽ được chuyển cùng với tập dữ liệu.

2. Truy cập cài đặt bảo mật

1. Chọn menu Tùy chọn khác cho semantic model liên quan của bạn.Nhấp dấu ba chấm (...) cạnh tập dữ liệu và chọn Security.
2. Bạn sẽ thấy danh sách các vai trò được định nghĩa trong Power BI Desktop.

Tại đây, bạn gán người dùng hoặc nhóm Azure Active Directory (AAD) cho từng vai trò.

3. Gán người dùng cá nhân và nhóm bảo mật

Để gán người dùng, nhập đầy đủ địa chỉ email của họ vào ô văn bản dưới vai trò mong muốn, nhấn Enter và nhấp Add.

Để gán nhóm AAD, dùng tên nhóm (ví dụ, Sales_Region_East hoặc Finance_Team). Hãy đảm bảo nhóm đã được định nghĩa và quản lý trong Azure Active Directory.

4. Xác minh quyền truy cập đã gán

Sau khi gán người dùng hoặc nhóm, hãy dành thời gian xác minh rằng dữ liệu phù hợp được hiển thị cho đúng nhóm.

Mỗi người chỉ thấy dữ liệu được lọc bởi biểu thức DAX gắn với vai trò của họ. Họ sẽ không được thông báo trực tiếp về việc gán vai trò, vì vậy bạn có thể cần thông tin hướng dẫn truy cập sau khi đã xác minh.

5. Kiểm thử gán vai trò trong Power BI Service

1. Trên cùng trang, nhấp vào tên RLS bạn đã định nghĩa trước đó, nhấp dấu ba chấm (...), rồi chọn Test as role.

2. Power BI sẽ mở phiên bản chỉ đọc của báo cáo, chỉ hiển thị dữ liệu được phép theo vai trò đã chọn.

Với RLS động, bạn cũng có thể mô phỏng những gì một người dùng cụ thể sẽ thấy:

• Nhấp Test as role.
• Nhập email của một người dùng để mô phỏng trải nghiệm của họ.

Điều này hữu ích để đảm bảo các bộ lọc động (ví dụ dựa trên USERPRINCIPALNAME()) hoạt động chính xác.

Kỹ thuật triển khai nâng cao

RLS có thể được tích hợp sâu hơn vào quy trình Power BI của bạn thông qua một số kỹ thuật nâng cao. Dưới đây là những điều bạn nên lưu ý:

1. Tích hợp nhóm bảo mật

Sử dụng nhóm bảo mật Azure Active Directory (AAD) cho phép bạn gán quyền truy cập cho cả nhóm thay vì từng người dùng riêng lẻ. 

Cách làm này đặc biệt hữu ích ở các doanh nghiệp có nhân sự ra vào đội nhóm thường xuyên, vì loại bỏ nhu cầu cập nhật thủ công quyền truy cập trong Power BI.

2. Cân nhắc mô hình dữ liệu phức tạp

Khi xây dựng mô hình dữ liệu quy mô lớn, hãy đảm bảo RLS không can thiệp vào mối quan hệ và truyền lọc. 

Một vài mẹo:

• Dùng thiết kế sơ đồ sao để tránh các phép nối phức tạp.
• Hạn chế quan hệ hai chiều trừ khi thật sự cần thiết.
• Tránh các mối quan hệ mơ hồ có thể dẫn đến lọc sai.
• Tối ưu hiệu năng bằng cách giảm thiểu cột tính toán trong các bảng bị lọc nhiều.

3. Cách tiếp cận lai

Cách tiếp cận lai đối với RLS là kết hợp kỹ thuật tĩnh và động. 

Ví dụ, bạn có thể định nghĩa một vai trò tĩnh để cấp quyền cho một đơn vị kinh doanh cụ thể và áp dụng lọc động trong vai trò đó dựa trên địa chỉ email hoặc tên người dùng. Cách này cho phép logic bảo mật theo lớp linh hoạt.

4. Bảo mật cấp đối tượng (OLS)

Object-Level Security cho phép ẩn toàn bộ bảng hoặc cột khỏi một số vai trò. Nó bổ sung cho RLS bằng cách thêm một lớp bảo vệ dữ liệu khác. OLS có thể dùng cho các trường nhạy cảm như lương hay thông tin y tế.

Chiến lược kiểm thử và xác thực

1. Kiểm thử trên Desktop

Power BI Desktop cung cấp cách hữu ích để mô phỏng các chế độ xem người dùng khác nhau thông qua tính năng “View as” theo vai trò. Tính năng này giúp nhà phát triển báo cáo xác thực rằng logic RLS hoạt động đúng trước khi xuất bản.

Cách kiểm thử RLS trong Power BI Desktop:

1. Nhấp vào thẻ Modeling.
2. Chọn View as từ ribbon.
3. Chọn các vai trò bạn đã cấu hình (ví dụ: SalesRegionStatic).
4. Tùy chọn: nhập tên người dùng/email thử nghiệm nếu bạn dùng RLS động.
5. Nhấp OK và xem cách các trực quan được lọc.

Điều này mô phỏng báo cáo như thể người dùng được gán vai trò đó đang xem. Đặc biệt hữu ích khi kiểm thử các bộ lọc RLS động phụ thuộc vào các hàm DAX như USERPRINCIPALNAME().

2. Kiểm thử trên Service

Sau khi xuất bản lên Power BI Service, RLS nên được kiểm thử lại trong môi trường đám mây để đảm bảo độ chính xác.

Cách kiểm thử RLS trong Power BI Service:

1. Đi tới tập dữ liệu trong không gian làm việc của bạn.
2. Nhấp ... cạnh tập dữ liệu > Security.
3. Chọn một vai trò > nhấp Test as role.
4. Dùng tùy chọn “Test as specific user” để mô phỏng các bộ lọc RLS động.

Điều này đảm bảo các bộ lọc hoạt động như mong đợi với người dùng thực tế.

3. Mẹo xác thực chính

Để xác thực, bạn có thể cân nhắc dùng tài khoản thử nghiệm hoặc danh tính dịch vụ để mô phỏng việc sử dụng thực. Tất cả các bộ lọc trên trực quan chính như bảng và biểu đồ cũng nên được rà soát định kỳ.

Bạn cũng nên kiểm tra kỹ slicer, drillthrough và bookmark để đảm bảo chúng không làm rò rỉ dữ liệu trái phép.

Lỗi thường gặp và cách khắc phục

Triển khai RLS có thể phát sinh một số vấn đề, dưới đây là những lỗi phổ biến và cách xử lý.

1. Sự cố sau khi xuất bản

Sau khi xuất bản lên Power BI Service, một số người dùng thấy RLS không hoạt động như mong đợi dù chạy ổn trong Power BI Desktop.

Giải pháp:

• Đảm bảo xuất bản lại báo cáo sau khi thay đổi vai trò hoặc bộ lọc.
• Xác nhận email dùng trong USERPRINCIPALNAME() khớp định dạng miền đăng nhập trong tập dữ liệu.

2. Xung đột vai trò trong workspace

Người dùng với một số vai trò workspace (Admin, Member) có thể vô tình bỏ qua RLS.

Giải pháp:

• Gán người dùng là Viewer trong workspace để áp đặt quy tắc RLS.
• Tránh cấp quyền Contributor/Admin trừ khi cần cho phát triển nội dung.

3. Hạn chế của hàm DAX

Các lỗi phổ biến nảy sinh từ việc dùng sai các hàm DAX như USERNAME() và USERPRINCIPALNAME():

• USERNAME() có thể trả về tên tài khoản cục bộ thay vì email khi kiểm thử ở Desktop.
• Dùng USERPRINCIPALNAME() để nhất quán với hành vi danh tính trên đám mây.

Mẹo:

• Thêm bảng tham chiếu với email mẫu để hỗ trợ kiểm thử cục bộ.
• Dùng logic điều kiện hoặc giá trị mặc định trong DAX để tránh lỗi bộ lọc.

4. Thách thức với DirectQuery và SSO

RLS động với nguồn DirectQuery cần chú ý đặc biệt, nhất là khi dùng Single Sign-On (SSO).

Vấn đề thường gặp:

• Cấu hình gateway không đúng có thể chặn mạo danh người dùng.
• Thiết lập SSO với Kerberos có thể lỗi nếu SPN cấu hình sai.

Giải pháp:

• Tham khảo tài liệu Microsoft về SSO với Power BI gateways.
• Phối hợp chặt chẽ với đội CNTT và hạ tầng để bật ủy quyền Kerberos.

Gỡ hoặc vô hiệu hóa RLS để truy cập công khai

Có những tình huống cần gỡ RLS tạm thời (ví dụ để demo hoặc dashboard mở) hoặc vĩnh viễn (ví dụ khi chia sẻ dữ liệu với đối tác bên ngoài). Trong các trường hợp này, bạn cần cẩn trọng với cài đặt hiển thị để tránh rò rỉ ngoài ý muốn.

Vô hiệu hóa RLS trong Power BI Desktop

Để vô hiệu hóa RLS:

1. Mở báo cáo trong Power BI Desktop.
2. Đi tới Modeling > Manage Roles.
3. Chọn và xóa tất cả vai trò hoặc vô hiệu hóa các bộ lọc của chúng.
4. Lưu và xuất bản lại tập dữ liệu lên Power BI Service.

Sau khi gỡ, tất cả người dùng sẽ có thể truy cập toàn bộ tập dữ liệu trừ khi có lớp bảo mật khác.

Chia sẻ an toàn khi không dùng RLS

Nếu RLS không khả thi hoặc không cần thiết, hãy cân nhắc các cách sau để duy trì bảo mật dữ liệu:

• Dùng quyền ở cấp tập dữ liệu: Chia sẻ tập dữ liệu hoặc báo cáo chỉ với người dùng tin cậy và sử dụng đúng quyền workspace (Viewer, Contributor).
• Tránh Publish to Web: “Publish to Web” loại bỏ mọi kiểm soát bảo mật. Thay vào đó, dùng “Embed for organization” hoặc Power BI Embedded để chia sẻ kiểu công khai một cách an toàn.

Gỡ RLS không đồng nghĩa loại bỏ mọi bảo mật. Hãy dùng các lớp kiểm soát truy cập và tính năng chia sẻ khác trong Power BI Service để đảm bảo phân phối dữ liệu có trách nhiệm.

Thực tiễn tốt nhất cho triển khai doanh nghiệp

Triển khai RLS trên toàn doanh nghiệp thành công đòi hỏi lập kế hoạch kỹ lưỡng, kiến trúc có thể mở rộng và quản trị phù hợp. Phần này phác thảo các thực tiễn tốt đã được kiểm chứng ở các khía cạnh triển khai RLS khác nhau.

1. Mô hình dữ liệu

Mô hình dữ liệu được thiết kế tốt hỗ trợ cấu hình RLS hiệu quả và dễ bảo trì.

Khuyến nghị:

• Tuân theo sơ đồ sao với quan hệ rõ ràng giữa bảng sự kiện và bảng chiều.
• Tránh quan hệ hai chiều không cần thiết vì có thể gây mơ hồ khi lọc.

2. Quản lý vai trò

Quản lý vai trò RLS tập trung và nhất quán giúp giảm lỗi và cải thiện hợp tác.

Khuyến nghị:

• Duy trì tài liệu định nghĩa vai trò để theo dõi logic RLS và biểu thức DAX.
• Dùng tên vai trò có tính mô tả (ví dụ, “Region_East_Sales”) để tránh nhầm lẫn.

3. Tối ưu hiệu năng

RLS có thể ảnh hưởng hiệu năng báo cáo, đặc biệt khi bộ lọc phức tạp hoặc tập dữ liệu lớn.

Khuyến nghị:

• Tiền tổng hợp dữ liệu khi có thể bằng các bảng tóm tắt.
• Giảm thiểu dùng cột tính toán trong logic RLS.
• Dùng lập chỉ mục và truy vấn tối ưu ở hệ thống nguồn để hỗ trợ kịch bản DirectQuery.

RLS so với các mô hình bảo mật thay thế

Giờ hãy so sánh sự khác nhau giữa Row-Level Security (RLS) và các tính năng bảo mật khác, đặc biệt là Object-Level Security (OLS).

1. Mức độ chi tiết và tình huống sử dụng

RLS cho phép kiểm soát truy cập tới từng hàng dữ liệu, lý tưởng để lọc theo danh tính người dùng, địa lý, phòng ban hoặc đơn vị kinh doanh. OLS, ngược lại, kiểm soát quyền truy cập tới cả bảng hoặc cột, hữu ích để ẩn thông tin tài chính hoặc nhân sự nhạy cảm (ví dụ cột lương). 

2. Triển khai và khả năng thích ứng động

RLS có thể dễ dàng triển khai trong Power BI Desktop qua bộ lọc DAX trên vai trò. Các quy tắc này có thể là tĩnh (bộ lọc mã cứng) hoặc động (logic theo người dùng). OLS được cấu hình qua Tabular Editor hoặc endpoint XMLA. Nó cũng yêu cầu workspace premium hoặc tập dữ liệu Power BI lưu trữ trong Analysis Services.

Tôi đã tổng hợp so sánh trong bảng dưới đây:

Kết luận

Tổng kết lại, bảo mật cấp hàng (RLS) trong Power BI là phương thức then chốt để đảm bảo quản trị dữ liệu trên nền tảng. Nó cho phép tổ chức cung cấp trải nghiệm phân tích bảo mật, cá nhân hóa trong một báo cáo hoặc bảng điều khiển duy nhất mà không ảnh hưởng đến tính bảo mật hay toàn vẹn của dữ liệu nền.

Bảo mật ngày càng quan trọng trong quản lý và quản trị dữ liệu, là khía cạnh thiết yếu khi làm việc với Power BI. Để tìm hiểu chuyên sâu hơn về Power BI, hãy xem khóa Triển khai và duy trì tài sản trong Power BI hoặc khóa Reports in Power BI của chúng tôi. Để đọc thêm, các hướng dẫn về Phân cấp trong Power BI và Bảng điều khiển Power BI cũng có thể hữu ích.