Berechtigungen in den DATENBRÜCKE Auswertungen: Wer sieht welche Daten?
Erklärung der rollenbasierten Sicherheit auf Mandantenebene
👉 RLS in der DATENBRÜCKE: Wer sieht welche Daten?
Die DATENBRÜCKE stellt sicher, dass jeder Benutzer ausschließlich die für ihn freigegebenen Daten sieht.
Dies erfolgt über Row Level Security (RLS) auf zwei Ebenen:
- Mandanten
- Kostenstellen (optional)
Alle weiteren Einschränkungen – etwa das Ausblenden kompletter Berichtsmodule oder Funktionen – werden nicht über RLS, sondern über Admin- und Team-Einstellungen gesteuert.
Was wird durch RLS geschützt?
RLS wirkt ausschließlich auf Datenzeilen und betrifft:
1. Mandanten
Benutzer sehen nur die Mandanten, die ihnen im jeweiligen Team zugeordnet wurden.
2. Kostenstellen (optional)
Wenn Kostenstellen-RLS aktiviert ist, sehen Benutzer ausschließlich die für sie freigegebenen Kostenstellen.
Worauf wirkt diese RLS?
RLS greift automatisch in folgenden Bereichen:
- Eingebettete Power BI Berichte in der DATENBRÜCKE
- SQL-Datenbanktabellen, sofern ein RLS-Benutzerprofil verwendet wird
- Planungs- und Plan-Ist-Auswertungen, gefiltert nach Mandant und Kostenstelle
RLS wirkt immer automatisch – der Benutzer muss nichts aktivieren oder konfigurieren.
Worauf wirkt RLS
nicht
?
Wichtig für Benutzer und Admins:
- RLS beschränkt keine Planversionen
- RLS beschränkt keine Varianten
- RLS beschränkt nicht die BWA-Struktur
- RLS beschränkt keine Berichtseiten innerhalb von Power BI
- RLS beschränkt keine Funktionsrechte im UI (z. B. Planung sichtbar / unsichtbar)
Diese Aspekte werden separat über die Admin-Konfiguration gesteuert.
Administrierbare Berichtsmodule (nicht RLS-basiert)
Admins können zusätzlich einzelne Berichtsmodule pro Benutzer oder Team deaktivieren, z. B.:
- Bank & Liquidität
- Kundenübersichten
- Lieferantenauswertungen
Diese Steuerung erfolgt über Team- und Benutzerrechte, nicht über RLS.
Beispiel:
Ein Benutzer darf Mandant A sehen, hat aber kein Recht auf das Bankmodul →
das Bankmenü ist ausgeblendet, obwohl RLS den Mandanten grundsätzlich erlaubt.
So funktioniert RLS in Power BI Embedded
Für jeden angemeldeten Benutzer läuft folgender Prozess:
- Die DATENBRÜCKE übergibt Mandanten- und Kostenstellenberechtigungen an Power BI.
- Power BI filtert automatisch alle Datenzeilen, die nicht zu diesen Berechtigungen passen.
- Falls ein Bericht nicht RLS-geschützt ist, greift trotzdem die Sichtbarkeitssteuerung über Team-Rollen.
Damit ist sichergestellt, dass jeder Benutzer nur die für ihn bestimmten Daten sieht.
Beispiele
Beispiel 1: Mitarbeiter Buchhaltung
- Mandant A freigeschaltet
- Kostenstellen 100–199 freigeschaltet
Ergebnis:
- sieht nur Mandant A
- sieht nur Kostenstellen 100–199
- sieht keine Bank-/Liquiditätsberichte, wenn das Modul deaktiviert wurde
Beispiel 2: Geschäftsführung
- alle Mandanten
- alle Kostenstellen
Ergebnis:
- sieht alle Daten in allen Berichten
- vorausgesetzt, es wurde kein Modul deaktiviert
Beispiel 3: Teamleiter Vertrieb
- Mandant A und Mandant B
- Kostenstelle 100 (Vertrieb)
Ergebnis:
- sieht Vertriebsdaten in zwei Mandanten
- sieht keine anderen Kostenstellen
Was passiert, wenn ein Bericht nicht RLS-geschützt ist?
Einige Berichte (z. B. technische Übersichten oder reine BWA-Strukturansichten) sind nicht zwingend RLS-basiert.
Sie können jedoch über Team- und Benutzerrechte ausgeblendet werden.
Beispiel:
Ein Benutzer sieht den Menüpunkt „Liquidität“ nicht, obwohl RLS Mandant A zulassen würde –
weil das Modul per Berechtigung deaktiviert ist.
Häufige Fragen (FAQ)
Warum sehe ich manche Berichtsmodule nicht?
→ Diese wurden durch einen Admin deaktiviert (nicht durch RLS).
Warum sehe ich bestimmte Kostenstellen nicht?
→ Diese wurden Ihnen nicht freigegeben.
Warum sehe ich keine Planwerte?
→ Die Planungsfunktion wurde für Sie deaktiviert, nicht wegen RLS.
Warum erscheinen manche Visuals leer?
→ RLS filtert Mandanten oder Kostenstellen vollständig heraus.
Gilt RLS auch in Excel?
→ Nein. Excel-Zugriffe über SQL basieren auf SQL-Benutzerrollen, nicht auf RLS.