Skip to content
Close
SEARCH
de
en
Kontakt
de
en
Kontakt
NextLytics
Megamenü_2023_Über-uns

Shaping Business Intelligence

Ob clevere Zusatzprodukte für SAP BI, Entwicklung aussagekräftiger Dashboards oder Implementierung KI-basierter Anwendungen - wir gestalten zusammen mit Ihnen die Zukunft von Business Intelligence. 

Mehr
Megamenü_2023_Über-uns_1

Über uns

Als Partner mit tiefem Prozess-Know-how, Wissen der neuesten SAP-Technologien sowie hoher sozialer Kompetenz und langjähriger Projekterfahrung gestalten wir die Zukunft von Business Intelligence auch in Ihrem Unternehmen.

Megamenü_2023_Methodik

Unsere Methodik

Die Mischung aus klassischem Wasserfallmodell und agiler Methodik garantiert unseren Projekten eine hohe Effizienz und Zufriedenheit auf beiden Seiten. Erfahren Sie mehr über unsere Vorgehensweise.

Produkte
Megamenü_2023_NextTables

NextTables

Daten in SAP BW out of the Box bearbeiten: Mit NextTables wird das Editieren von Tabellen einfacher, schneller und intuitiver, egal ob Sie SAP BW on HANA, SAP S/4HANA oder SAP BW 4/HANA nutzen.

Megamenü_2023_Connector

NextLytics Connectoren

Die zunehmende Automatisierung von Prozessen erfordert die Konnektivität von IT-Systemen. Die NextLytics Connectoren ermöglichen eine Verbindung Ihres SAP Ökosystems mit diversen open-source Technologien.

IT-Services
Megamenü_2023_Data-Science

Data Science & Engineering

Bereit für die Zukunft? Als starker Partner stehen wir Ihnen bei der Konzeption, Umsetzung und Optimierung Ihrer KI-Anwendung zur Seite.

Megamenü_2023_Planning

SAP Planning

Wir gestalten neue Planungsanwendungen mithilfe von SAP BPC Embedded, IP oder  SAC Planning, die einen Mehrwert für Ihr Unternehmen schaffen.

Megamenü_2023_Dashboarding

Business Intelligence

Mit unserer Expertise verhelfen wir Ihnen auf Basis von Tableau, Power BI, SAP Analytics Cloud oder SAP Lumira zu aussagekräftigen Dashboards. 

Megamenü_2023_Data-Warehouse-1

SAP Data Warehouse

Planen Sie eine Migration auf SAP HANA? Wir zeigen Ihnen, welche Herausforderungen zu beachten sind und welche Vorteile eine Migration bringt.

Business Analytics
Megamenü_2023_Procurement

Procurement Analytics

Transparente und valide Zahlen sind vor allem in Unternehmen mit dezentraler Struktur wichtig. SAP Procurement Analytics ermöglicht die Auswertung von SAP ERP-Daten in SAP BI.

Mehr
Megamenü_2023_Reporting

SAP HR Reporting & Analytics

Mit unserem Standardmodell für Reporting von SAP HCM mit SAP BW beschleunigen Sie administrative Tätigkeiten und stellen Daten aus verschiedenen Systemen zentral und valide zur Verfügung.

Mehr
Megamenü_2023_Dataquality

Data Quality Management

In Zeiten von Big Data und IoT kommt der Vorhaltung einer hohen Datenqualität eine enorm wichtige Bedeutung zu. Mit unserer Lösung für Datenqualitätsmanagement (DQM) behalten Sie stets den Überblick.

Mehr
Karriere
Megamenü_2023_Karriere-2b

Arbeiten bei NextLytics

Wenn Du mit Freude zur Arbeit gehen möchtest und dabei Deine berufliche und persönliche Weiterentwicklung nicht zu kurz kommen soll, dann bist Du bei uns genau richtig! 

Mehr
Megamenü_2023_Karriere-1

Berufserfahrene

Zeit für etwas Neues? Gehe Deinen nächsten beruflichen Schritt und gestalte Innovation und Wachstum in einem spannenden Umfeld zusammen mit uns!

Mehr
Megamenü_2023_Karriere-5

Berufseinsteigende

Schluss mit grauer Theorie - Zeit, die farbenfrohe Praxis kennenzulernen! Gestalte bei uns Deinen Einstieg ins Berufsleben mit lehrreichen Projekten und Freude an der Arbeit.

Mehr
Megamenü_2023_Karriere-4-1

Studierende

Du möchtest nicht bloß die Theorie studieren, sondern Dich gleichzeitig auch praktisch von ihr überzeugen? Teste mit uns Theorie und Praxis und erlebe wo sich Unterschiede zeigen.

Mehr
Megamenü_2023_Karriere-3

Offene Stellen

Hier findest Du alle offenen Stellenangebote. Schau Dich um und bewirb Dich - wir freuen uns! Falls keine passende Stelle dabei ist, sende uns gerne Deine Initiativbewerbung zu.

Mehr
Blog
Row Level Security für PowerBI auf Databricks: durchsetzen & pflegen
Row Level Security für PowerBI auf Databricks: durchsetzen & pflegen
SAP Analytics Cloud Q2 2026 Release: Die wichtigsten Highlights
SAP Analytics Cloud Q2 2026 Release: Die wichtigsten Highlights
SAC goes Snowflake: So funktioniert die native Live-Verbindung ab 2026
SAC goes Snowflake: So funktioniert die native Live-Verbindung ab 2026
Wertvolle Zeit sparen mit Metric Report in SAP Analytics Cloud
Wertvolle Zeit sparen mit Metric Report in SAP Analytics Cloud
NextLytics Newsletter
Abonnieren Sie jetzt unseren monatlichen Newsletter:
Newsletter abonnieren
 

Row Level Security für PowerBI auf Databricks: durchsetzen & pflegen

Apostolos Kouzoukos04.06.2026 11:00:01 13 min read

Es ist Montagmorgen, und beim Plattformteam liegen bereits drei Anfragen vor. „Füge Sara zur EMEA-Pipeline-Ansicht hinzu“ , „Verschiebe Marco von den US-Konten zu APAC, er hat vor zwei Wochen das Team gewechselt“ , „Die Revision möchte die Zugriffsliste zum Stand des ersten Quartals, noch heute.“
Auf der Databricks-Seite sieht es in der Regel gut aus: Unity Catalog mit Katalogen, Schemata, Berechtigungen und Herkunftsnachweisen. Der Teil, der entscheidet, wer welche Zeilen sehen darf, befindet sich oft an einem etwas unauffälligeren Ort, z. B. in einer Tabelle auf SharePoint, einer Sidecar-SQL-Tabelle oder einem Power BI-Datensatz, der jede Nacht neu importiert wird, in der Hoffnung, dass sich nichts geändert hat.

Die Sicherheit auf Zeilenebene (Row-Level Security, RLS) für Power BI auf Databricks hat eigentlich zwei Aufgaben. Die erste ist die Durchsetzung: sicherzustellen, dass eine Abfrage nur die Zeilen zurückgibt, die ein Benutzer sehen darf. Die zweite ist die Pflege: die Liste der Personen, die was sehen dürfen, auf dem neuesten Stand zu halten, wenn Mitarbeiter hinzukommen, wechseln oder die Region wechseln. Die Durchsetzung ist gut verstanden, und es gibt zwei bewährte Wege, dies zu tun. Bei der Pflege veralten die meisten Konfigurationen still und leise.

Dieser Artikel führt durch beide Implementierungsansätze, vergleicht sie ehrlich und wendet sich dann der Frage der Wartung zu, die keiner der beiden Ansätze für sich allein beantwortet. Die Implementierungsdetails (die SQL, das Schema, die Screenshots) sind im letzten Abschnitt zusammengefasst, sodass Sie sich zunächst über die Grundzüge der Entscheidung informieren und später zur Umsetzung zurückkehren können.

Was bei der Sicherheit auf Zeilenebene in diesem Stack richtig gemacht werden muss

Behalten Sie beim Lesen diese vier Fragen im Hinterkopf. Anhand dieser Fragen können Sie eine solide Konfiguration von einer anfälligen unterscheiden, und genau diese Punkte bilden später die Grundlage für den Vergleich.

  • Aktualität: Wenn sich Zugriffsrechte ändern, wie schnell spiegelt der Bericht dies wider?

  • Verantwortung: Wer bearbeitet die Zugriffsliste, und können die Personen, die die Antwort kennen, dies sicher tun?

  • Wiederverwendung: Befindet sich die Regel an einem Ort oder wird sie in jedes Datenset kopiert?

  • Prüfung: Können Sie nachweisen, wer wann auf was zugegriffen hat und auf wessen Anweisung?

Die Ansätze im Vergleich

Ansatz 1: RLS in Power BI mit DAX-Sicherheitsrollen

Der bekannteste Ansatz hält alles innerhalb von Power BI. Sie erstellen eine Zuordnung von Benutzern zu den Werten, die sie sehen dürfen, importieren diese in das Modell und schreiben eine DAX-Sicherheitsrolle, die die Daten basierend auf dem angemeldeten Benutzer filtert. Weisen Sie Personen im Power BI-Dienst der Rolle zu, veröffentlichen Sie den Bericht, und dieser berücksichtigt die Zuordnung für jeden Betrachter.

Wo es passt: Datensets im Importmodus, bei denen die Durchsetzung vollständig innerhalb von Power BI bleiben soll; kleinere, in sich geschlossene Berichte, die durchgängig von einem einzigen BI-Entwickler betreut werden; Teams, die etwas suchen, das sie mit ihren vorhandenen Fähigkeiten noch heute einrichten können.

Was zu beachten ist: Die Zuordnung ist nur so aktuell wie die letzte Aktualisierung des Datensets, sodass Änderungen am Zugriff erst bei der nächsten Aktualisierung wirksam werden. Die Wartung obliegt dem BI-Team, wodurch routinemäßige Anfragen zu Hinzufügungen und Verschiebungen zu einer Ticket-Warteschlange werden. Jedes Datenset enthält in der Regel eine eigene Kopie der Rollen, sodass sich dieselbe Regel über Berichte hinweg fortsetzt. Jeder Neuaufbau des semantischen Modells ist eine Gelegenheit, einen Zeilenfilter unbemerkt zu entfernen. Und den Prüfverlauf der Liste müssen Sie manuell zusammenstellen.

Dieser Ansatz ist durchaus nützlich und kann für einen einzelnen Bericht, der einer einzigen Person gehört, die richtige Entscheidung sein. Er stößt jedoch an seine Grenzen, sobald dieselbe Zugriffslogik für mehr als ein Datenset gelten muss.

Ansatz 2: Plattformgestützte RLS mit Zeilenfiltern aus dem Unity Catalog

Der zweite Ansatz verlagert die Durchsetzung auf Databricks selbst. Die Zuordnung befindet sich in einer Tabelle im Unity Catalog; eine Zeilenfilterfunktion liest die angemeldete Identität und wird direkt an die Daten angehängt. Power BI stellt dann über DirectQuery eine Verbindung mit Microsoft Entra ID Single Sign-On her, sodass die Identität des Benutzers zum Zeitpunkt der Abfrage Databricks erreicht und der Filter bei jeder Abfrage ausgelöst wird, nicht bei jeder Aktualisierung.

Wo es passt: Mehrere User, die dieselben Daten lesen, wobei Sie einen einzige single-source-of-truth für Power BI, Notebooks und Pipelines gleichermaßen wünschen; Teams, die möchten, dass Berechtigungsänderungen bereits bei der nächsten Abfrage wirksam werden; Umgebungen, in denen das semantische Modell häufig neu erstellt wird und bei jedem Neuaufbau die Durchsetzung intakt bleiben soll.

Was zu beachten ist: Die Durchsetzung ist solide, aber die Zugriffstabelle benötigt noch einen Eigentümer und eine sichere Möglichkeit, sie zu bearbeiten. Das manuelle oder skriptgesteuerte Bearbeiten einer Unity-Catalog-Tabelle verlagert Routineänderungen wieder auf die Entwickler, und eine versehentliche Änderung wirkt sich sofort auf jeden Bericht aus. Die Validierung von Einträgen wie echten Identitäten, bekannten Codes, sinnvollen Operatoren und Wertekombinationen müssen Sie weiterhin selbst implementieren. Und den Änderungsverlauf der Liste müssen Sie nach wie vor separat erfassen.

Dies ist das stärkere der beiden Implementierungsmodelle, da die Regel einmalig auf der Plattform existiert und jeder Nutzer sie erbt. Es bleibt genau eine Frage offen: Wer sorgt dafür, dass die Zugriffstabelle selbst korrekt bleibt, und wie geschieht dies auf sichere Weise?

Die gemeinsame Schwachstelle: die Pflege der Zugriffsliste

Beide Ansätze lösen die Durchsetzung gut. Beide lassen dieselbe Lücke offen. Das Lakehouse ist zentralisiert und kontrolliert, während die Liste, die entscheidet, wer welche Zeilen sieht, manuell in einer Tabelle, einer Sidecar-Tabelle oder einem Skript gepflegt wird, an dessen Ausführung sich eine Person erinnern muss. Diese Lücke zeigt sich in drei wiederkehrenden Kosten:

  • Organisatorische Veränderungen gibt es laufend. Neue Mitarbeiter, Versetzungen, Austritte und Veränderungen an Regionen lassen die Liste bereits am Tag nach ihrer Erstellung veralten.

  • Routinemäßige Aktualisierungen landen beim falschen Team. Die IT- oder Plattformabteilung wird zum Engpass für Anfragen, die eigentlich in den Zuständigkeitsbereich der Personalabteilung fallen, und die Personen, die die Antwort kennen, sind nicht diejenigen, die die Knöpfe drücken.

  • Die Revision verlangt die Liste, nicht das Lakehouse. SOX, DSGVO und DORA verlangen eine versionierte, nachvollziehbare Aufzeichnung darüber, wer wann Zugriff auf was hatte. Eine Tabelle ohne Historie kann diese Frage kaum beantworten.

Die entscheidende Frage dreht sich also weniger darum, wie man Sicherheit auf Zeilenebene durchsetzen kann (die beiden oben genannten Ansätze kümmern sich darum), sondern vielmehr darum, wie man die Zugriffsliste aktuell, gültig und nachvollziehbar hält – und zwar in der Verantwortung des Teams, das tatsächlich die Antwort kennt.

Seien Sie einer der Ersten und
melden Sie sich für die neue Version an!

Early Adopter werden! Früher Zugang zu der neuen Version?  Genau das bekommen angemeldete Early Adopter, zusammen mit exklusiven Sneak-Previews und  Möglichkeiten, die Version mit frischen Ideen zu beeinflussen.  Als Early Adopter anmelden 

Wie man sich entscheidet

Gemessen an den vier Fragen lassen sich die drei Optionen klar voneinander abgrenzen:

Frage DAX-Sicherheitsrollen Unity Catalog-Zeilenfilter Zeilenfilter + gepflegte Zugriffsliste
Aktualität Nächste Aktualisierung des Datensets Nächste Abfrage Nächste Abfrage
Wer pflegt die Liste BI-Team Ingenieure Das Geschäftsteam, das für das Organigramm verantwortlich ist
Wiederverwendung durch verschiedene Nutzer Pro Datenset Eine Regel, jeder Verbraucher Eine Regel, jeder Verbraucher
Validierung von Einträgen Manuell Selbst erstellen Bei der Eingabe validiert
Überprüfung der Liste Manuell Selbst erstellen Vollständiger Prüfpfad

Wenn Sie alleiniger Eigentümer eines einzelnen Berichts sind, reichen DAX-Sicherheitsrollen aus. Wenn mehrere Nutzer dieselben Daten lesen, ist ein Zeilenfilter im Unity Catalog das strengere Implementierungsmodell und allein schon aus diesem Grund eine lohnende Lösung. In beiden Fällen benötigt die Zugriffsliste jedoch einen Eigentümer – daher die dritte Spalte, auf der der Rest dieses Artikels aufbaut.

Die Umsetzung von Anfang bis Ende

Der Rest dieses Artikels befasst sich mit der Umsetzung: dem Schema, der SQL und wie die einzelnen Teile in der Praxis aussehen. Er folgt Ansatz 2, da dies das Modell ist, auf das sich die meisten Teams einigen, sobald mehr als ein Verbraucher beteiligt ist.

Die Zugriffstabelle

Die Zuordnung erfolgt in einer einzigen operatorabhängigen Tabelle: eine Zeile pro Berechtigung, mit einem Benutzer, einem Operator und den Werten, die sie steuert. Die Operator-Spalte ermöglicht es, in einem Schema „gleich“, „in einer Liste“, „zwischen“ und „alle“ auszudrücken, ohne dass für jede Regel eine eigene Spalte erforderlich ist.

Operatorenbezogene_Zugriffstabelle
Die operatorenbezogene Zugriffstabelle: eine Zeile pro Berechtigung, ausgedrückt als Benutzer → Operator → Wert(e).

Der Zeilenfilter

Eine Zeilenfilterfunktion von Unity Catalog liest current_user() und führt eine Verknüpfung mit der Zugriffstabelle durch; anschließend wird sie mit ALTER TABLE … SET ROW FILTER an jede geschützte Tabelle angehängt. Da die Funktion zum Zeitpunkt der Abfrage ausgewertet wird, ist eine Änderung an der Tabelle bereits bei der nächsten Abfrage sichtbar.

Zeilenfilterfunktion

Die Zeilenfilterfunktion und die ALTER TABLE-Anweisung, die sie an die Daten anhängt.

Zum Vergleich: Die native Power BI-Version desselben Konzepts (Ansatz 1) ist eine DAX-Sicherheitsrolle, die den angemeldeten Benutzer anhand einer importierten Zuordnung nachschlägt:

[Region] =
LOOKUPVALUE(
    UserAccess[Region],
    UserAccess[E-Mail], USERPRINCIPALNAME()
)

So sieht die Durchsetzung aus

Wenn der Filter angewendet ist und Power BI über DirectQuery mit Entra ID SSO verbunden ist, öffnen zwei Personen denselben Bericht und sehen unterschiedliche Daten, jeweils beschränkt auf die Zeilen, die ihre Identität zulässt. Kein benutzerspezifischer Arbeitsbereich, kein doppeltes Datenset.

Vollständiger Satz an Plattformen, Gruppen und BuchungskreisenEin Benutzer mit umfassenden Berechtigungen sieht den vollständigen Satz an Plattformen, Gruppen und Buchungskreisen.

Benutzer auf einzelnen Buchungskreis Ein Benutzer, der auf einen einzelnen Buchungskreis beschränkt ist, sieht nur seinen Ausschnitt desselben Berichts. Gleiches Datenset, gleiche Visualisierungen, gefiltert nach der Plattform.

Die Wartungslücke schließen

Die Durchsetzung ist geregelt. Die offene Frage aus dem Vergleich, d. h. wer die Zugriffstabelle korrekt hält und wie, ist ein Wartungsproblem, und es ist dasjenige, das die meisten Teams unterschätzen. Eine Möglichkeit, diese Lücke zu schließen, besteht darin, dem Unternehmen eine sichere, validierte Oberfläche für dieselbe Zugriffstabelle zur Verfügung zu stellen, sodass die Verantwortlichen für das Organigramm diese direkt pflegen können, anstatt Tickets einzureichen. Das ist die Rolle, die NextTables in der hier gezeigten Konfiguration spielt.

Die Zugriffstabelle bleibt genau dort, wo sie ist, nämlich in Databricks. Eine datenbasierte App auf Ordnerebene stellt sie als vertrautes Raster dar, wobei eine intelligente Suche Benutzeridentitäten und Berechtigungswerte anhand vorhandener Stammdaten auflöst, sodass Mitwirkende den richtigen Wert auswählen können, anstatt sich Codes merken zu müssen.

NextTables_ZugriffstabelleDie als Raster dargestellte Zugriffstabelle kann das Team, das für das Organigramm verantwortlich ist, direkt pflegen.

Jeder Eintrag wird bei der Eingabe validiert: Ungültige Identitäten, unbekannte Codes und nicht übereinstimmende Operator-/Wert-Kombinationen werden abgefangen, bevor sie die Plattform erreichen, und Berechtigungen auf Ordnerebene beschränken den Bearbeitungsumfang, sodass das Team, das den EMEA-Zugriff verwaltet, nicht versehentlich den APAC-Zugriff ändern kann.

Geführte Eingabe mit ValidierungGeführte Eingabe mit Validierung: Der Operator und seine Werte werden überprüft, bevor die Zeile geschrieben wird.

Die Durchsetzung bleibt unverändert. Derselbe Zeilenfilter im Unity Catalog liest die Tabelle in Echtzeit, sodass eine Bearbeitung im Raster bei der nächsten Abfrage sichtbar ist und Power BI, Notebooks und Pipelines alle dieselbe Regel übernehmen.

Zugriffstabelle auf der PlattformEine Zugriffstabelle auf der Plattform; ein Zeilenfilter; jeder Nutzer erbt dieselbe Regel.

Da die Zugriffstabelle und ihr Verlauf in Databricks verbleiben, handelt es sich hierbei nicht um ein neues System of Record und auch nicht um einen Ersatz für Entra ID oder Unity Catalog. Es setzt das bereits vorhandene Modell durch und bietet dem Unternehmen eine validierte, autorisierte und überprüfbare Oberfläche zur Pflege der darin enthaltenen Daten. Entfernt man es, bleibt die Plattform weiterhin die Quelle der Wahrheit.

Row Level Security: Unser Fazit

Die Governance des Lakehouse muss über technische Metadaten hinausgehen und die menschliche Logik des Zugriffs einbeziehen. Die Zuordnung, die die Sichtbarkeit bestimmt, sollte von der Abteilung verwaltet werden, die für das Organigramm verantwortlich ist, und auf derselben Plattform gehostet werden, auf der sich die zugrunde liegenden Daten befinden. Während die Durchsetzung über DAX oder Unity Catalog eine gelöste technische Herausforderung ist, liegt der eigentliche operative Vorteil darin, sicherzustellen, dass die Zugriffsliste aktuell, gültig und vollständig nachvollziehbar bleibt. Durch die Überbrückung der Kluft zwischen Plattformingenieuren und Geschäftsverantwortlichen kann das Lakehouse sein Versprechen einer sicheren, genauen Datenbereitstellung bis hin zur endgültigen Abfrage erfüllen, anstatt an der Grenze des Unity Catalog Halt zu machen. NextTables erleichtert diese Governance, indem es die Eigentümer des Organigramms direkt mit der Zugriffskontrolle der Plattform verbindet und so sicherstellt, dass die menschliche Logik des Unternehmens genau in der Datenschicht widergespiegelt wird.

Bringen Sie die Logik Ihres Unternehmens direkt in die Zugriffskontrolle Ihrer Datenplattform. Kontaktieren Sie uns für eine unverbindliche Beratung oder fordern Sie eine Testversion von NextTables an, um den Mehrwert business-gesteuerter Governance selbst zu erleben.

 

Erfahren Sie alles über NextTables

 

FAQ - Row Level Security

Hier finden Sie einige der häufigst gestellten Fragen zur Sicherheit auf Zeilenebene.

Sollte ich für die Sicherheit auf Zeilenebene DAX-Sicherheitsrollen oder Zeilenfilter im Unity Catalog verwenden? Das hängt davon ab, wie viele Komponenten die Daten lesen. DAX-Sicherheitsrollen halten die Durchsetzung vollständig innerhalb von Power BI und sind eine sinnvolle Wahl für einen einzelnen Bericht im Importmodus, der durchgängig von einem BI-Entwickler betreut wird; Sie können dies noch heute mit Ihren vorhandenen Kenntnissen umsetzen. Der Nachteil ist, dass Zugriffsänderungen erst bei der nächsten Aktualisierung des Datensatzes wirksam werden, jeder Datensatz tendenziell eine eigene Kopie der Rollen enthält und jeder Neuaufbau des semantischen Modells die Gefahr birgt, dass ein Zeilenfilter unbemerkt entfernt wird. Ein Zeilenfilter im Unity Catalog verlagert die Durchsetzung auf Databricks, sodass die Regel einmalig definiert wird und jeder Verbraucher (Power BI, Notebooks, Pipelines) sie erbt, wobei Änderungen bereits bei der nächsten Abfrage und nicht erst bei der nächsten Aktualisierung wirksam werden. Sobald mehr als ein Verbraucher dieselben Daten liest, ist der Zeilenfilter das stärkere Modell.
Wie schnell werden Zugriffsänderungen in einem Bericht sichtbar? Das ist die Frage nach der „Aktualität“ und einer der deutlichsten Unterschiede zwischen den beiden Ansätzen. Bei DAX-Sicherheitsrollen ist die Zuordnung nur so aktuell wie die letzte Datensetaktualisierung, sodass eine Änderung bis zum nächsten Aktualisierungsfenster warten muss. Bei einem Zeilenfilter im Unity Catalog wird die Filterfunktion zum Zeitpunkt der Abfrage anhand der Zugriffstabelle ausgewertet, sodass eine Änderung an der Tabelle bereits bei der nächsten Abfrage sichtbar ist – es gibt keine Synchronisierungsverzögerung und kein Warten auf eine Aktualisierung. Dies ist auch der Grund, warum DirectQuery mit Entra ID SSO im Plattformansatz eine Rolle spielt: Die Identität des Benutzers muss zum Zeitpunkt der Abfrage bei Databricks vorliegen, damit der Filter pro Betrachter ausgelöst wird.
Bedeutet die Verlagerung der Durchsetzung auf Databricks, dass ich sie für jedes BI-Tool oder jeden Verbraucher neu erstellen muss? Nein, das ist der Hauptvorteil der Durchsetzung auf der Plattform. Der Zeilenfilter wird mit ALTER TABLE … SET ROW FILTER an die Tabelle im Unity Catalog angehängt, sodass er überall dort gilt, wo die Daten gelesen werden. Power BI in DirectQuery ist ein Verbraucher; Notebooks und Pipelines, die dieselbe Tabelle lesen, übernehmen die identische Regel ohne separate Konfiguration. Im Gegensatz dazu befindet sich der DAX-Ansatz innerhalb jedes Power BI-Modells, sodass dieselbe Logik über Datensätze hinweg neu implementiert wird (und dazu neigt, sich zu verschieben). Durch die einmalige Durchsetzung auf der Plattform vermeiden Sie es, die Regel an mehreren Stellen pflegen zu müssen.
Wenn die Durchsetzung gelöst ist, was kann dann eigentlich noch schiefgehen? Die Pflege: die Zugriffsliste selbst aktuell, gültig und nachvollziehbar zu halten. Beide Implementierungsansätze setzen eine korrekte Zuordnung voraus, wer was sehen darf, aber keiner sagt Ihnen, wem diese Liste gehört oder wie man sie sicher bearbeitet. In der Praxis veralten Setups genau hier still und leise: Organisatorische Veränderungen sind ständig im Gange (Neueintritte, Versetzungen, Austritte und Veränderungen in Regionen) lassen die Liste schon am Tag nach ihrer Erstellung veralten), routinemäßige Aktualisierungen landen bei der IT oder dem Plattformteam statt bei den Personen, die die Antwort tatsächlich kennen, und die manuelle Bearbeitung einer Unity-Catalog-Tabelle bedeutet, dass eine versehentliche Änderung nur einen Fehler davon entfernt ist, jeden Bericht zu erreichen. Die Validierung von Einträgen (echte Identitäten, bekannte Codes, sinnvolle Betreiber-/Wert-Kombinationen) und ein Änderungsverlauf sind ebenfalls Dinge, die Sie selbst erstellen müssen, sofern sie nicht anderweitig bereitgestellt werden.
Wie beantworten wir eine Audit-Anfrage wie „Zeigen Sie die Zugriffsliste zum Stand des 1. Quartals“? Das hängt ganz davon ab, wie die Liste gepflegt wird, nicht davon, wie sie durchgesetzt wird. Auditoren im Rahmen von SOX, DSGVO und DORA verlangen einen versionierten, nachvollziehbaren Nachweis darüber, wer wann auf was zugegriffen hat und auf wessen Anweisung hin - und eine Tabelle oder Sidecar-Tabelle ohne Historie kann dies kaum liefern, was die Anfrage zu einem archäologischen Projekt durch Dateiversionen macht. Die Plattformansätze erfassen diese Änderungshistorie nicht von selbst; sie muss sich aus der Art und Weise ergeben, wie Änderungen vorgenommen werden. Wenn jede Änderung an der Zugriffstabelle mit dem Ausführenden, dem Zeitstempel, den Vorher-/Nachher-Werten und der Identität des Erstellers aufgezeichnet wird, wird die Rekonstruktion des Zugriffs zum Stichtag zu einer Abfrage statt zu einer Rekonstruktion - das ist der Unterschied zwischen einem Audit, das sich von selbst beantwortet, und einem, dessen Abschluss ein Quartal dauert.

NextTables, Databricks

avatar

Apostolos Kouzoukos

Apostolos ist seit 2022 als Data Engineering Consultant für die NextLytics AG tätig. Er verfügt über Erfahrung in Forschungsprojekten zu Deep-Learning-Methoden und deren Anwendungen im Fintech-Bereich sowie über einen Hintergrund in der Backend-Entwicklung. In seiner Freizeit spielt er gerne Gitarre und hält sich mit den neuesten Nachrichten aus den Bereichen Technologie und Wirtschaft auf dem Laufenden.

Sie haben eine Frage zum Blog?
Fragen Sie Apostolos Kouzoukos

Gender Hinweis Aufgrund der besseren Lesbarkeit wird im Text das generische Maskulinum verwendet. Gemeint sind jedoch immer alle Menschen.
Row Level Security für PowerBI auf Databricks: durchsetzen & pflegen
14:33

Blog - NextLytics AG 

Welcome to our blog. In this section we regularly report on news and background information on topics such as SAP Business Intelligence (BI), SAP Dashboarding with Lumira Designer or SAP Analytics Cloud, Machine Learning with SAP BW, Data Science and Planning with SAP Business Planning and Consolidation (BPC), SAP Integrated Planning (IP) and SAC Planning and much more.

Informieren Sie mich über Neuigkeiten

Verwandte Beiträge

Letzte Beiträge