Was ist Row-Level Security (RLS)?
Row-Level Security (RLS) ist ein Sicherheitsmechanismus, der steuert, welche Datenzeilen ein Nutzer in einem Bericht oder Datenmodell sehen darf. In Power BI sorgt RLS dafür, dass jeder Anwender denselben Bericht öffnet, aber nur die für ihn freigegebenen Daten angezeigt bekommt, etwa nur die eigene Region oder Abteilung.
Auch bekannt als: RLS · zeilenbasierte Sicherheit · Datenzeilensicherheit
Einordnung: Wofür wird Row-Level Security genutzt?
Row-Level Security filtert die Daten je nach Nutzer, ohne dass für jede Gruppe ein eigener Bericht gebaut werden muss. Über definierte Rollen und Filterregeln wird festgelegt, welche Zeilen eine Person sehen darf. Häufig wird die Identität des angemeldeten Nutzers herangezogen, um dynamisch die passenden Zeilen einzublenden (dynamische RLS).
In Power BI wird RLS auf dem Semantic Model definiert und greift für alle darauf aufbauenden Berichte. Damit ist die Zugriffssteuerung zentral und konsistent, statt sie pro Bericht zu wiederholen.
Typische Anwendungsfälle
Row-Level Security wird gebraucht, sobald derselbe Bericht von Personen mit unterschiedlichen Sichtrechten genutzt wird.
- Regional- oder Niederlassungsleiter sehen nur ihre eigene Region
- Vertriebsmitarbeiter sehen nur ihre eigenen Kunden oder Gebiete
- Mandanten- oder Kundentrennung in einem gemeinsam genutzten Bericht
- Abteilungsbezogene Sichten ohne separate Berichtskopien
Abgrenzung & Bezug zu smiit
RLS steuert, welche Zeilen sichtbar sind, nicht welche Berichte oder Arbeitsbereiche jemand öffnen darf; das regeln die Berechtigungen in Power BI darüber. RLS ist ein konkretes Werkzeug der Data Governance und wird auf dem Semantic Model umgesetzt, oft in Kombination mit DAX-Filterausdrücken. In der Datenplattform der dy Project AG stellte RLS sicher, dass verschiedene Projektbeteiligte nur die für sie relevanten Daten sahen. smiit gestaltet RLS so, dass sie sicher, nachvollziehbar und performant bleibt.
Häufige Fehler & Missverständnisse
- Row-Level Security verbirgt nur Zeilen, nicht Spalten. Sensible Felder bleiben für berechtigte Zeilen sichtbar; das Ausblenden von Spalten erfordert andere Mechanismen.
- Viele glauben, RLS schütze automatisch alle Zugriffswege. Die Regeln greifen im Modell, doch Export, Direktzugriff auf die Quelle oder fehlende Tests können sie umgehen.
- Ein verbreiteter Irrtum ist, dass RLS-Rollen nach dem Anlegen nicht getestet werden müssen. Ohne „Als Rolle anzeigen“-Tests bleiben Fehlkonfigurationen oft unbemerkt.
Häufige Fragen
Was ist der Unterschied zwischen statischer und dynamischer RLS?
Bei statischer RLS wird je Rolle ein fester Filter hinterlegt. Bei dynamischer RLS wird die Identität des angemeldeten Nutzers genutzt, um die sichtbaren Zeilen automatisch zu bestimmen, was bei vielen Nutzern deutlich wartungsärmer ist.
Schützt Row-Level Security die Daten vollständig?
RLS steuert die Sichtbarkeit von Zeilen im Bericht. Für umfassenden Schutz gehört sie in ein Gesamtkonzept aus Berechtigungen, Verschlüsselung und Governance, das smiit ganzheitlich betrachtet.
Wie testet man, ob Row-Level Security korrekt greift?
Power BI bietet eine Funktion, mit der sich ein Bericht aus der Sicht einer bestimmten Rolle oder eines bestimmten Nutzers anzeigen lässt. So kann vor der Veröffentlichung geprüft werden, ob jede Rolle wirklich nur die vorgesehenen Zeilen sieht.
Beeinträchtigt Row-Level Security die Performance eines Berichts?
RLS-Filter werden bei jeder Abfrage ausgewertet und können bei sehr komplexen Regeln oder großen Modellen die Antwortzeiten beeinflussen. Mit einem sauberen Datenmodell und möglichst einfachen Filterausdrücken bleibt der Effekt in der Regel gering.
Verwandte Begriffe
Quellen & weiterführende Links
Sie möchten dieses Thema in Ihrem Unternehmen umsetzen?
Aktualisiert am · Zurück zum Glossar