Governance ist (auch) im BI Umfeld ein wichtiges Thema: Dieser Artikel führt kurz ins Thema ein und beschreibt, welche Möglichkeiten Microsoft Power BI heute bezüglich Governance bietet. Dieser Blogpost ist klar als Teil 1 einer Fortsetzungsgeschichte zu verstehen, wir erwarten in den nächsten Wochen ausführlichere Informationen von Seiten Microsoft. Also: A good start, more to come…
Was ist Self-Service BI?
Im BI-Umfeld hat sich in den letzten Jahren der Begriff „Self-Service BI“ etabliert. Gemeint ist damit, dass eine IT-Umgebung bereitgestellt wird, auf welcher der Fachanwender unabhängig von der IT-Abteilung Analysen und Reports zusammenstellen kann. Dazu können vom Fach verschiedene BI-Tools (bring-your-own-device) wie z.B. Power BI verwendet werden. Es soll dem Fach ein agiles Vorgehen ermöglicht werden, damit zeitnahe Auswertungen erstellt und interpretiert werden können.
Während sich die Fachanwender viele Freiheiten wünschen, ist es ein berechtigtes Interesse des Gesamtunternehmens und insbesondere der IT, dass gewisse technologische Standards betreffend Infrastruktur und IT-Sicherheit eingehalten werden. Das bedeutet kein Freibrief für das Fach, vielmehr werden die Kompetenzen zwischen Fach und IT klar aufgeteilt.
Die IT ist für die Bereitstellung der Infrastruktur und integrer Daten verantwortlich. Das beinhaltet Infrastruktur und Security unterhalten, Datenmodelle konzipieren, Schnittstellen betreiben und neue Systeme anbinden.
Das Fach erstellt Berichte und Dashboards selbstständig. Es macht diese Arbeiten jedoch innerhalb der vorgegebenen Schranken. Es sollen Schattendatenbanken, welche heute in vielen Unternehmen in den Fachabteilungen bestehen, vermieden werden.
Damit das Konzept von Self-Service BI sowohl beim Fach wie auch bei der IT akzeptiert wird, werden Regeln aufgestellt.
Was beinhaltet eine Self-Service BI Governance?
Da es keinen deutschen Begriff für Governance (vom franz. Gouvernance) gibt, umschreiben wir es hier mit Lenkungsform. Die Prinzipien der Governance beinhalten:
- Rechenschaftspflicht
- Verantwortlichkeiten
- Transparenz
- Fairness
Für Self-Service BI müssen unter anderem folgende Themengebiete berücksichtig werden:
- Rollen und Verantwortlichkeiten
- Zugriffe, Authentifizierungen und Autorisierungen
- Definition der Datenzugriffssteuerung und –überwachung
- Verfügbarkeit der Services
- Backup und Recovery
- Automation von Services und Prozessen
Welche Möglichkeiten bietet hier Microsoft Power BI?
Standardmässig werden erstellte Dashboards im persönlichen Workspace des Anwenders angelegt. Ein Dashboard kann für andere Anwender freigegeben werden. Während man zur Freigabe eines Dashboards eine Pro Lizenz braucht, kann das freigegebene Dashboard auch mit der free Edition genutzt werden.
Power BI Pro bietet im Bereich der Berechtigungen die Möglichkeit, Gruppen anzulegen. Es können somit z.B. Gruppen für die einzelnen Departemente mit allen Mitarbeitern erstellt werden. In diesen Gruppen erstellte Reports sind für alle Mitglieder einer Gruppe verfügbar. Ein Anwender kann gleichzeitig Mitglied mehrerer Gruppen sein.
Da jeder Anwender Gruppen erstellen und andere User zu diesen Gruppen einladen kann, kann es wichtig sein, dass diese Gruppen zentral erstellt und gepflegt werden. Aus diesem Grund bietet Power BI eine Funktion, die Gruppenerstellung zentral zu verwalten und das Recht dazu den einzelnen Anwender zu entziehen.
Die Anbindung von on-premises Datenbanken an Power BI kann zentral von der IT mit Hilfe des Enterprise Gateways erstellt und gepflegt werden. Somit stehen dem Fach die gewünschten Sourcen zentral verwaltet zur Verfügung und können mit den entsprechenden Rechten verwendet werden.
Freigeben von Power BI Dashboards
In Power BI bestehen unterschiedliche Varianten, wie ein erstelltes Dashboard freigegeben wird. Alle Kollegen welche ein Dashboard ansehen wollen, müssen für Power BI registriert sein.
- Ein Dashboard kann für andere Mitarbeiter freigegeben werden.
- Ein Dashboard kann in einer Gruppe erstellt und für andere Mitarbeiter ausserhalb der Gruppe freigegeben werden.
- Ein Inhaltspaket kann erstellt und für die gesamte Firma veröffentlicht werden.
- Eine Momentaufnahme einer Kachel kann aus einer mobilen Power BI-App freigegeben werden.
Freigeben eines Dashboards bedeutet, dass andere Mitarbeiter das Dashboard anzeigen und mit ihm interagieren können. Sie können es jedoch nicht bearbeiten und auch keine eigene Kopie davon erstellen. Alle Mitarbeiter können die gleichen Daten sehen.
Ein in einer Gruppe erstelltes Dashboard kann von allen Mitgliedern dieser Gruppe sowohl angezeigt, wie auch bearbeitet werden. Es haben alle Mitglieder dieser Gruppe die gleichen Rechte am Dashboard wie der Ersteller. Um Mitglied einer Gruppe zu werden, braucht es eine Power BI Pro Lizenz. Ein in einer Gruppe erstelltes Dashboard kann für andere Mitarbeiter ausserhalb der Gruppe freigegeben werden, wobei die gleichen Einschränkungen wie bei einem anderen freigegebenen Dashboard gelten.
Eine weitere Variante besteht darin, ein Inhaltspaket zu erstellen und anschliessend zu veröffentlichen. In einem Inhaltspaket können Dashboards und Berichte zusammengefasst werden. Die Zugriffsrechte auf die einzelnen Bestandteile des Pakets wie z.B. Berichte und Dashboards sind für alle Mitglieder der Gruppe identisch. Mit Ausnahme, wenn es sich bei der Datenquelle um eine SSAS-Datenquelle handelt. In diesem Fall werden die Berechtigungen für den einzelnen Anwender von der SSAS-Datenquelle geerbt. Es ist also nicht möglich, dass ein User mehr Daten einsehen kann, als dass er auf der Datenquelle sehen könnte.
Verändert der Ersteller des Inhaltspakets ein Dashboard, so werden diese Änderungen für alle Nutzer des Inhaltspakets sichtbar, solange diese keine persönlichen Veränderungen vorgenommen haben. In diesem Fall wäre eine Kopie des Originals erstellt worden und die Änderungen könnten nicht automatisch übernommen werden.
Wird das Inhaltspaket vom Ersteller gelöscht, so ist es auch für die anderen Anwender nicht mehr verfügbar. Hat ein User eine Kopie des Pakets erstellt, so werden alle nicht veränderten Bereiche ebenfalls entfernt. Das dazugehörende Dataset ist ebenfalls nicht mehr verfügbar.
Bei einem freigegebenen Dashboard kann der Ersteller die Freigabe für einen User wieder entziehen. Eine weitere Option besteht darin, dass der Ersteller verhindert, dass das Dashboard weiter freigegeben wird.
Aktuell können Benutzer nur über eine SSAS-Datenquelle unterschiedliche Zugriffsrechte auf die Daten einer Auswertung erhalten. Bei einer SSAS-Datenquelle werden die jeweiligen User-Rechte von Power BI an die Datenquelle übermittelt und die entsprechenden Daten an Power BI geliefert.
Bei anderen Datenquellen besteht in einem einzelnen Report nicht die Möglichkeit, dass gewisse Anwender nur eingeschränkt Daten betrachten können.
Die Schwierigkeit mit Self-Service BI wird auch in Zukunft sein, den Wildwuchs von Schattendatenbanken und Excel-Höllen in den Fachabteilungen zu verhindern.
Dieser Beitrag ist der erste Teil zum Thema Governance. PowerBI wird von Microsoft laufend weiterentwickelt und wir dürfen gespannt sein, was in den nächsten Wochen und Monaten möglich sein wird. Sobald sich im Zusammenhang mit den Userrechten Neuigkeiten ergeben, werden wir dazu wieder schreiben.