Tableau 的管控
此内容是T ableau Blueprint 的一部分,这是一个成熟度框架,允许您放大并改进组织使用数据来推动影响的方式。若要开始您的旅程,请参加我们的评估(链接在新窗口中打开)。
管控是 Tableau 中的一个关键步骤,它可以在保持数据安全性和完整性的同时,推动分析的使用量和采用率。您必须定义标准、流程和政策,以便通过现代分析工作流安全地管理数据和内容。同样重要的是,您还必须让工作流中的每个人都理解并遵守这些标准、流程和政策,以便用户能够放心地将相关分析用于制定数据驱动型决策。
要定义组织的 Tableau 管控模型,您应该使用 Tableau Blueprint Planner 研究下图概述的数据和内容治理领域。
Tableau 中的数据管控
在现代分析工作流中,数据管控的目的是确保组织中的人员能够在需要时获取正确的数据。它可以建立问责机制,并帮助(而不是限制)各种技能水平的用户访问安全和可信的内容。
数据源管理
数据源管理包括与组织内数据的选择和分发相关的过程。Tableau 可以连接到您的企业数据平台,并利用您已经应用于这些系统的管控机制。在自助环境中,内容创作者和数据管家能够连接到各种数据源,构建和发布数据源、工作簿和其他内容。如果没有这些流程,重复的数据源将无序激增,给用户带来困惑,增加出错的可能性,并消耗系统资源。
Tableau 的混合数据架构提供两种模式来与数据交互,即使用实时查询或使用内存中数据提取。只需要为您的用例选择正确选项,您就能在两者之间轻松切换。在实时查询和数据提取用例中,用户都可以连接到现有的数据仓库表、视图和存储过程,无需额外工作即可利用这些资源。
如果您已经投资了快速数据库,需要最新数据,或使用初始 SQL,则实时查询比较适合您。如果您的数据库或网络对于交互式查询而言太慢,或者您需要减轻事务数据库的负载,或需要脱机数据访问,那么内存中数据提取比较适合您。
Tableau 2020.2 推出了对新的多表逻辑层和关系的支持,用户使用的数据无需来自 Tableau 数据源中的同一个非规范化平面表。现在,他们可以使用灵活并且能感知 LOD 的表间关系来构建多表数据源,无需再根据预期的数据问题指定联接类型。有了多表支持,Tableau 数据源现在可以直接表示常见的企业数据模型,例如星型架构和雪花架构,以及更复杂的多事实模型。单个数据源支持多个详细级别,因此能够使用更少的数据源来表示相同的数据。关系比数据库联接更灵活,并且可以支持新出现的用例,从而减少需要通过构建新数据模型来回答新问题的情况。在设计良好的架构中使用关系可以减少创建数据模型所需的时间,以及回答业务问题所需的数据源数量。有关详细信息,请参见本部分后面的“元数据管理”以及“Tableau 数据模型”。
将工作簿发布到 Tableau Server 或 Tableau Cloud 时,作者可以选择发布数据源或将其嵌入工作簿中。这项决定将取决于您定义的数据源管理流程。使用 Tableau 平台内置组件 Tableau Data Server,您可以通过已发布数据源共享和重用数据模型,确保用户以安全的方式访问数据,以及管理和整合数据提取。此外,已发布数据源还让持有 Tableau Creator 和 Explorer 许可证的用户能够访问 Tableau 中安全和可信的数据,以进行 Web 制作和“数据问答”。有关详细信息,请参见发布数据源的最佳做法、在 Web 上编辑视图以及针对“数据问答”优化数据。
Tableau Catalog 具有更多数据发现功能,可以将所有内容(包括工作簿、数据源和流程)编入索引,让制作者能够搜索工作簿和已发布数据源中的字段、列、数据库和表。有关详细信息,请参见 Data Management。
启用 Tableau Catalog 后,内容创建者可以通过选择“数据源”、“数据库和文件”或“表和对象”来搜索数据,以此确定数据是否已经存在于 Tableau Server 和 Tableau Cloud 中,从而减少数据源重复。
此外,在发布到 Tableau Server 或 Tableau Cloud 的视图上,数据详细信息标签可以为使用者提供所用数据的相关信息。详细信息包括关于工作簿的信息(名称、作者、修改日期)、视图中使用的数据源,以及使用中的字段的列表。
对于创建新的已发布数据源的数据管家,以下工作流显示了影响数据源管理的两个主要决策点 - 实时连接或数据提取,以及嵌入式或共享数据模型。这并不意味着正式的建模过程总是必须在分析开始之前执行。
要发现关键数据源并确定其优先级,请使用 Tableau Blueprint Planner 中的Tableau 数据和分析调查及Tableau 用例和数据源标签。
数据源管理的关键考量因素
- 部门或团队的主要数据源是哪些?
- 谁是数据管家或数据所有者?
- 您将实时连接还是提取数据?
- 数据源应该嵌入还是发布?
- 数据集是否存在变体?如果存在变体,是否可以将这些变体整合为一个权威的数据源?
- 如果整合了多个数据源,整合后的单一数据源是否会因为尝试同时处理过多用例而影响性能或利用率?
- 数据源需要回答哪些业务问题?
- 已发布数据源使用怎样的命名规则?
数据质量
数据质量是衡量数据是否适合在给定上下文中(在这里是进行业务决策)实现其用途的指标。数据的质量取决于准确性、完整性、可靠性、相关性和新鲜度等因素。您可能已经建立了在从源系统摄取数据的过程中确保数据质量的相关流程,上游流程中更正的问题越多,分析时需要进行的更正操作就越少。您应该在使用之前的所有环节确保数据质量保持一致。
规划期是评估现有上游数据质量检查机制的好时机,因为在自助模式下,数据会将向更大的用户群体提供。此外,Tableau Prep Builder 和 Tableau Desktop 是检测数据质量问题的出色工具。您应该制定向 IT 团队或数据管家报告数据质量问题的流程,让数据质量在建立数据信心和数据信任感的过程中发挥基础作用。
您应该借助 Tableau Data Management 和 Tableau Catalog,与您的用户沟通各种数据问题,以便提高可见性和对数据的信任感。出现问题时,您可以为某项数据资产设置警告消息,让该数据资产的使用者知道特定的问题。例如,您应该让用户知道这些数据已经两周没有刷新,或者某个数据源已被弃用。可以为每项数据资产(例如数据源、数据库、流或表)设置一个数据质量警告。有关详细信息,请参见设置数据质量警告,包括以下类型:警告、已弃用、陈旧数据和维护中。
请注意,您可以使用 REST API 设置数据质量警告。有关详细信息,请参见 Tableau REST API 帮助中的添加数据质量警告。
数据质量的关键考量因素
- 现有的哪些流程可以确保准确性、完整性、可靠性和相关性?
- 您是否制定了核对清单以使该流程投入运行?
- 在数据成为可信的共享数据之前,谁需要检查这些数据?
- 您的流程是否能够适应业务用户,业务用户是否能够与数据所有者合作来报告问题?
扩充和准备
扩充和准备包括一系列过程,目标是增强、改进或准备原始数据以进行分析。通常,单个数据源无法回答用户可能提出的所有问题。从不同来源添加数据可以提供有价值的上下文信息。从各种来源获取原始数据时,您可能已经在通过 ETL 流程来清理、合并、聚合和存储数据。通过命令行界面和 API,Tableau 可以和您现有的流程集成。
对于自助式数据准备,应使用 Tableau Prep Builder 和 Tableau Prep Conductor 来按计划合并多个数据源并自动执行。Tableau Prep 可以为 Tableau Server 或 Tableau Cloud 提供多种输出类型,包括 CSV、Hyper 和 TDE(版本 2024.2 及更低版本)或已发布数据源。从 2020.3 开始,Tableau Prep 输出包括数据库表,其中流的结果可以保存到关系数据库的表中。这意味着可以在同一个位置集中存储和管理在 Tableau Prep Builder 中准备好的数据,让整个组织都可以利用这些数据。Tableau Prep Builder 包含在 Tableau Creator 许可证中,而 Tableau Prep Conductor 是 Tableau Data Management 的一部分。从数据准备到编录、搜索和管控,Tableau Data Management 可以帮助您更好地管理分析环境中的数据,确保可信的最新数据可始终用于决策制定。
Tableau Prep Builder 可以在每个步骤中提供直观、智能、直接的反馈,帮助用户为不同的数据源构建原型并准备好分析所需的数据。一旦定义并验证完步骤,就应该将流程发布到 Tableau Server 和 Tableau Cloud,在这两个平台上,Prep Conductor 将执行该流程并按照指定的时间表输出已发布数据源。自动化可创建一致的流程、减少易于出错的手动步骤、跟踪成功/失败并节省时间。用户将对输出内容充满信心,因为他们可以在 Tableau Server 或 Tableau Cloud 上查看这些步骤。
Tableau Prep 流程
Tableau Server 或 Tableau Cloud 中的 Tableau Prep 流程
数据扩充的关键考量因素
- 数据扩充和准备将是集中式还是自助式?
- 数据扩充和准备由哪些组织角色来执行?
- 应该使用哪些 ETL 工具和流程来自动执行扩充和/或准备?
- 可以将哪些数据源合并起来提供有价值的上下文信息?
- 要合并的数据源有多复杂?
- 用户是否可以使用 Tableau Prep Builder 和/或 Tableau Desktop 来合并数据集?
- DBA 是否已建立标准化的联接或混合字段,来让用户能够扩充和准备数据集?
- 您将如何实现自助式数据准备?
数据安全
数据安全在每个企业中都至关重要。Tableau 允许客户在其现有数据安全实施基础上进行构建。IT 管理员可以灵活地通过数据库身份验证(在数据库内),通过权限(在 Tableau 内),或通过混合使用这两种方法来实现安全性。无论用户是从 Web、移动设备,还是通过 Tableau Desktop 和 Tableau Prep Builder 来访问已发布视图中的数据,安全举措都会得到实施。客户通常喜欢混合方法,因为它可以灵活地处理各种用例。首先建立安全性分类体系,以定义组织中存在的不同类型的数据和敏感级别。
利用数据库安全措施时,务必注意,所选的数据库身份验证方法至关重要。这种级别的身份验证与 Tableau Server 或 Tableau Cloud 身份验证是分开进行的(即,用户登录 Tableau Server 或 Tableau Cloud 时尚未登录数据库)。这意味着,Tableau Server 和 Tableau Cloud 用户还需要拥有凭据(他们自己的用户名/密码或服务帐户用户名/密码)才能连接到数据库,以便应用数据库级安全性。为了进一步保护您的数据,Tableau 仅需要对数据库的读取访问凭据,这可以防止发布者意外更改基础数据。但在一些情况下,最好让数据库用户获得创建临时表的权限。这既有利于性能,也有利于安全性,因为临时数据存储在仪表板中,而不是 Tableau 中。对于 Tableau Cloud,您需要在数据源的连接信息中嵌入使用自动刷新功能所需的凭据。对于 Google 和 Salesforce.com 数据源,您可以通过 OAuth 2.0 访问令牌的形式嵌入凭据。
静态数据提取加密是一项数据安全功能,您可以使用这项功能对存储在 Tableau Server 中的 .hyper 数据提取进行加密。Tableau Server 管理员可以对其站点上的所有数据提取强制执行加密,或者允许用户指定对与特定发布的工作簿或数据源关联的所有数据提取进行加密。有关详细信息,请参见“静态数据提取加密”。
如果您的组织要部署静态数据提取加密,则可以选择将 Tableau Server 配置为使用 AWS 作为 KMS 进行数据提取加密。要启用 AWS KMS 或 Azure KMS,您必须分别在 AWS 或 Azure 中部署 Tableau Server,并获得 Advanced Management for Tableau Server 许可。在使用 AWS 的情况下,Tableau Server 使用 AWS KMS 客户主密钥 (CMK) 生成 AWS 数据密钥。Tableau Server 使用 AWS 数据密钥作为所有已加密数据提取的根主密钥。在使用 Azure 的情况下,Tableau Server 使用 Azure Key Vault 加密所有加密数据提取的根主密钥 (RMK)。但是,即使配置了 AWS KMS 或 Azure KMS 集成,本机 Java 密钥存储和本地 KMS 仍然会用于在 Tableau Server 上安全存储密文。AWS KMS 或 Azure KMS 仅用于对加密数据提取的根主密钥进行加密。有关详细信息,请参见密钥管理系统。
对于 Tableau Cloud,默认情况下所有数据都是静态加密的。但使用 Advanced Management for Tableau Cloud,您可以通过利用客户管理的加密密钥来更好地控制密钥轮换和审核。借助“客户管理的加密密钥”功能,您可以使用客户管理的特定于站点的密钥来对站点的数据提取进行加密,从而获得额外的安全性。Salesforce Key Management System (KMS) 实例为在站点上启用加密的任何人存储特定于站点的默认加密密钥。加密过程遵循密钥层次结构。首先,Tableau Cloud 对数据提取进行加密。接下来,Tableau Cloud KMS 会检查其密钥缓存以查找合适的数据密钥。如果未找到密钥,则由 KMS GenerateDataKey API 使用与该密钥关联的密钥策略授予的权限生成一个密钥。AWS KMS 使用 CMK 生成数据密钥并将明文副本和加密副本返回给 Tableau Cloud。Tableau Cloud 使用数据密钥的明文副本来加密数据,并将密钥的加密副本与加密数据一起存储。
您可以通过在 Tableau Server 和 Tableau Cloud 的数据源上设置用户筛选器,来限制哪些用户可以看到哪些数据。这使您可以更好地根据用户的 Tableau Server 登录帐户,控制其在已发布视图中可以看到哪些数据。使用此技术,区域经理可以查看其区域的数据,但不能查看其他区域经理的数据。借助这些数据安全方法,您就可以通过发布单个视图或仪表板,为 Tableau Server 或 Tableau Cloud 上的众多用户提供安全的个性化数据和分析。有关详细信息,请参见数据安全和在数据行级别限制访问权限。如果行级安全性对您的分析用例至关重要,那么借助 Tableau Data Management,您可以利用虚拟连接和数据策略来大规模实施用户筛选。有关详细信息,请参见虚拟连接和数据策略。
数据安全的关键考量因素
- 您如何根据敏感程度对不同类型的数据进行分级?
- 需要数据的人如何请求访问数据?
- 您是使用服务帐户,还是通过数据库安全机制来连接数据?
- 怎样根据敏感度分级正确保护数据?
- 您的数据安全体系是否满足法律、合规和监管要求?
元数据管理
作为数据源管理的延伸,元数据管理包括一系列政策和过程,它们可以确保信息能够在整个组织内访问、共享、分析和维护。元数据使用业务用户可以理解的常用语言来描述数据,类似于传统 BI 平台中的语义层。经过整理的数据源隐藏了组织的现代数据架构的复杂性,不管数据来自什么样的数据存储和表,字段的含义都会一目了然。
Tableau 采用了一个简单、精美但功能强大的元数据系统,在为用户提供灵活性的同时,还支持企业元数据管理。使用 Data Server,可将 Tableau 数据模型嵌入到工作簿中,也可将其作为已发布数据源进行集中管理。在连接到数据并创建 Tableau 数据模型(将成为 Tableau Server 或 Tableau Cloud 上的已发布数据源)后,从用户视角检视该模型,可以看到当它们具有格式良好的起点,并根据其能够回答的业务问题进行筛选和大小调整后,分析将会变得多么容易。关于已发布数据源的更多信息,请访问 Tableau 数据模型、已发布数据源最佳做法和通过 Tableau Data Server 实现受管控的数据访问。
下图显示了 Tableau 数据模型中各种元素的位置:
从 2020.2 开始,数据源包括连接、连接属性以及数据模型内的物理和逻辑层。连接时,Tableau 自动将字段表示为维度或度量。另外,数据模型存储计算、别名和格式。物理层包括由联接、并集和/或自定义 SQL 定义的物理表。每一个组由一个或多个物理表组成,定义一个逻辑表,该逻辑表与关系一起驻留在逻辑层中。
关系成为一种新的数据建模方式,比使用联接更加灵活。关系基于公用字段描述了两个表之间的联系,但是它不会像联接那样将表组合在一起。与使用联接相比,关系有多个优势。
- 您无需配置表之间的联接类型。您只需要选择字段来定义关系。
- 关系使用联接,但它们是自动的。关系推迟了联接类型的选择,使您可以在分析时根据上下文进行选择。
- Tableau 根据工作表中使用字段的当前上下文,使用关系自动在分析期间生成正确的聚合和适当的联接。
- 支持在单个数据源中使用位于不同详细级别的多个表,因此表示相同数据所需的数据源更少。
- 不匹配的度量值不会被删除(不会意外丢失数据)。
- Tableau 将仅针对与当前视图相关的数据生成查询。
在 VizQL 模型的运行时,系统将根据可视化的维度和度量动态构建多个查询,并应用筛选器、聚合和表计算。Tableau 使用单独的逻辑表的上下文信息,来确定要应用哪些联接来提供正确的聚合。这使单个用户能够设计数据源,而无需了解、计划或以其他方式说明其他用户使用数据源执行分析的所有变体。Tableau Catalog 发现 Tableau 上的所有内容(包括工作簿、数据源、工作表和流程)并将其编入索引。
可以直接访问数据源的数据管家或作者应将数据源原型化为 Tableau 工作簿中的嵌入式数据源,然后在 Tableau 中创建已发布数据源以共享经过整理的 Tableau 数据模型,如下方的直接访问工作流所示:
如果作者没有直接访问数据源的权限,他们将依靠 DBA 或数据管家来提供 Tableau 工作簿中嵌入的原型数据源。在查看并确认其中包含所需的数据后,站点管理员或项目主管将在 Tableau 中创建一个已发布数据源来共享 Tableau 数据模型,如下方的受限访问工作流所示:
元数据检查清单列出了整理已发布数据源时的最佳做法。建立基于此清单的数据标准后,业务用户将能够通过易于使用和理解的界面,以受管控的方式对数据进行自助访问。在 Tableau 中创建数据提取或发布数据源之前,请根据以下清单对 Tableau 数据模型进行检查:
- 验证数据模型
- 能够方便地对分析进行筛选并调整其规模
- 使用标准的用户友好型命名约定
- 为“数据问答”添加字段名称同义词和自定义建议
- 创建分层结构(钻取路径)
- 设置数据类型
- 应用格式(日期、数字)
- 设置财年开始始日期(如果适用)
- 添加新计算
- 移除重复或测试计算
- 输入字段描述作为注释
- 聚合至最高级别
- 隐藏未使用的字段
从 2019.3 开始,Data Management 中的 Tableau Catalog 能够发现 Tableau 上的所有内容(包括工作簿、数据源、工作表和流程)并将其编入索引。索引用于收集有关元数据、架构和内容世系的信息。然后,Tableau Catalog 根据元数据找出 Tableau Server 或 Tableau Cloud 站点上的内容所使用的所有数据库、文件和表。知道数据来自何处对于建立数据信任感至关重要,而知道还有哪些人在使用这些数据意味着您可以分析更改数据对环境的影响。Tableau Catalog 中的世系功能会同时将内部和外部内容编入索引。有关详细信息,请参见为影响分析使用世系。
使用世系功能,您可以在世系图的末端追索出内容所有者。所有者列表包括被指定为工作簿、数据源或流程所有者的任何人,以及被指定为世系图中的数据库联系人或表联系人的任何人。如果要进行更改,您可以向所有者发送电子邮件,使其知道更改造成的影响。有关详细信息,请参见使用电子邮件联系所有者。
元数据管理的关键考量因素
- 整理数据源的流程是怎样的?
- 数据源的大小是否适合手头的分析?
- 贵组织为命名规则和字段格式建立了怎样的组织标准?
- Tableau 数据模型是否满足所有整理标准,包括用户友好的命名规则?
- 是否已定义、发布元数据检查清单并将其整合到验证、提升和认证流程中?
监视和管理
监视是自助模型的关键组成部分,因为它使 IT 和管理员可以了解数据的使用方式,并能对使用情况、性能、数据连接和刷新失败等进行主动响应。根据贵公司的数据库标准,IT 部门将结合使用工具和作业计划程序来提取和监视原始数据以及 Server 运行状况。
就像业务用户会利用数据做出更明智的决策一样,管理员同样也可以就他们的 Tableau 部署做出数据驱动型决策。借助 Tableau Server 的默认管理视图和自定义管理视图,Tableau Server 管理员和站点管理员将使用默认管理视图来监视数据提取刷新状态、数据源利用率以及订阅和通知的送达情况。自定义管理视图是基于 Tableau Server 的存储库数据创建的。在 Tableau Cloud 中,站点管理员可以使用默认管理视图访问“监视网站活动”,并且可以使用“在线管理见解”创建自定义视图。有关详细信息,请参见 Tableau 监视和 Tableau 用户参与度和采用率的测量
监视和管理的关键考量因素
- 是否有规定何时需要进行数据提取刷新的时间表?
- 如何从源系统监视原始数据获取?作业是否成功完成?
- 是否有重复的数据源?
- 数据提取刷新计划在何时运行?数据提取在服务器上运行多长时间了?刷新是成功还是失败了?
- 数据提取刷新发生后,是否有可用的订阅计划?
- 数据源是否正在使用中?是谁在使用?这与预期的受众规模相比如何?
- 通过怎样的流程来移除陈旧的已发布数据源?
数据管控摘要
在控制与敏捷性之间取得平衡至关重要。尽管建立了严格的管控政策,希望提高分析速度的用户还是经常会将敏感的数据和分析保存在本地。在自助环境中,数据管控的作用是允许访问数据,使用户能够在确保安全措施得到执行的情况下获得所需的答案。每个组织有不同的要求,但您可以根据下表了解自助数据访问管控的理想状态:
领域 | IT 管理员/ | 内容作者 |
---|---|---|
数据源管理 | 提供对数据源的访问权限并遵守组织数据策略、政策和流程。 | 定义、管理和更新用于分析的数据模型。 |
数据质量 | 定义数据验证流程,让用户在决策过程中信任数据的准确性。 | 制定并公开应用于已发布数据模型的数据清理规则。 |
扩充和准备 | 建立适用于多种数据源的 ETL 流程,以进行分析前的数据准备。 | 制定并公开应用于已发布数据模型的扩充和准备规则。 |
数据安全 | 定义已发布数据模型的安全性参数和访问控制。 | 遵守企业数据安全策略和外部法规。 |
元数据管理 | 为组织定义元数据管理政策和流程。 | 为用户定义、更新并公开字段级别的元数据。 |
监视和管理 | 监视和审查使用情况,以确保遵守规则和正确使用数据资产。 | 监视和跟踪集中管理的数据模型的各种使用指标。 |
Tableau 中的内容管控
在分析的使用量不断增加的情况下,越来越多的重大业务决策将成为数据驱动型决策。因此,我们不仅会看到内容量的增加,还会看到技能水平参差不齐的大量用户使用这些内容来进行协作和发现重要见解。因为越来越多的人每天都会使用数据,务必确保 Tableau 内容受到保护和管控,获得信任,以及经过整理,让人们能够放心地发现、使用和创建内容。如果没有内容管控,用户将越来越难以从不相关、陈旧或重复的工作簿和数据源中找到所需的内容。
内容管控涉及保持内容的相关性和新鲜度的流程,例如确定何时停用未获得预期流量的内容,或确定为什么没人使用一个重要的仪表板来进行决策。确保组织的内容管控政策得到遵守是内容作者的核心责任之一。
本部分为 IT 管理员和业务用户提供了 Tableau 内容管控功能所基于的一些核心概念,并提供相关指导信息,让他们能够了解如何应用这些概念来管理在蓬勃发展的现代分析平台中创建的内容。
内容管理
定义一致的内容组织结构有助于管理员管理内容,并使用户更容易发现内容。Tableau Server 和 Tableau Cloud 有足够的灵活性,使您能够根据特定的管控要求来构建环境和管理内容。在站点结构的设计方面考虑周全,将有助于您大规模实现真正的自助式分析,并确保以负责任的方式使用数据,从而让您的用户能够发现并共享真知灼见。
项目
要想进行共享和协作,用户需要在 Tableau Server 或 Tableau Cloud 中创建一个项目并向该项目中发布内容。项目是用于组织和保护内容的默认容器,里面包含工作簿、数据源、流程、指标及其他嵌套项目。这就形成了一种可扩展的结构,便于管理对发布到 Tableau 的内容所进行的访问。
组织是有层次的,因此您管控自己内容的方式也应如此。项目和嵌套项目的运行机制很像文件系统中的文件夹,它提供了一种层次结构,用于将相关的数据和内容与反映企业结构的用户、组及对应权限汇集到一起。只有管理员可以创建顶级项目,不过可以轻松地将嵌套项目委派给项目所有者或项目主管,以满足他们的具体需要。常用的内容管理方法包括基于组织进行管理(按部门/团队)、基于职能进行管理(按主题)或混合式管理(同时基于组织和职能进行管理)。在规划内容结构时,跨职能 Tableau 团队应为项目以及将有权访问项目的组确立统一的命名规范。
例如,在初始的 Tableau Server 部署实例中,销售、营销和 IT 部门都会加入进来。此时,将需要按照组织结构为每个部门创建顶级项目。这三个部门中的用户恰好也是跨职能数字化转型团队的成员。由于数字化转型内容涉及到多个部门的用户,因此还需要另外创建一个名为“数字化转型”的项目。这三个部门各自的用户都将加入到一个有权访问该项目的组中。用户和组只能看到他们有权访问的项目,因此您作为管理员所看到的项目再多,也不用担心。
沙盒项目和经过认证的项目
为了支持自助服务,应使用沙盒项目和生产项目。沙盒项目包含临时或未经认证的内容,生产项目则包含经过验证和认证的内容。用户应了解这两种项目类型在用途上的区别。所有有权访问沙盒项目的内容作者都可以自由地探索数据、制作内容和执行临时分析。生产项目中经过验证和认证的内容意味着用户对这类内容建立了高度的信任和信心,可以将其用于数据驱动型决策。
只有一小部分用户可以向生产项目发布内容,他们会验证、提升和认证要发布到该位置的内容。这些内容管理任务应委派给担任项目所有者和项目主管角色的用户。有关详细信息,请参见“项目级管理”(Tableau Server | Tableau Cloud)。本主题后面的部分将会介绍这两种角色以及内容验证、提升和认证的过程。
下面的示意图通过“销售部门数据源”项目显示了销售部门的项目层次结构,该项目中包含了多个部门级数据源。销售部门的项目中嵌套的各个项目分别对应着各个销售地区。与每个地区内的用户对应的组分别有权访问相应地区的嵌套项目。各个地区创建的内容将与该地区内的嵌套项目存放在一起,嵌套项目将用于根据需要来组织和保护这些内容。从您的组织结构着手来绘制 Tableau 内容结构图是恰当的做法,这是因为各个部门很可能已经有与其工作职能相对应的安全机制、数据和应用程序访问权限。
再举一个例子来说明部门与其下属各团队的关系:营销部门下需要有相应的分支来存放共享的资源(例如部门级生产内容和数据源),但也要为组锁定特定的资源,比如数字化组就需要有自己的生产项目和沙盒项目。营销部门的项目层次结构如下所示。
应使用锁定的项目和组在项目级别管理权限,以便强制对内容进行受管控的访问并简化管理工作。虽然可以使用锁定的项目在内容级别管理权限,但这样做的话,内容很快就会变得十分庞杂,从而难以管理。锁定的项目可以保护数据的安全,同时还可以在您需要时实现跨项目协作。有关详细信息,请参见“使用项目管理内容访问权限”(Windows | Linux)。
随着在 2020.1 版本中推出锁定的嵌套项目,项目可以在项目层次结构中的任意级别锁定,不论其父级是否已使用其他权限锁定。Tableau Server 和站点管理员以及 Tableau Cloud 站点管理员可以将内容管理职责委派给更熟悉工作内容的项目所有者或项目主管,从而更有效地管理内容和权限。项目所有者或项目主管将在层次结构中的任意级别,通过可满足其特定组需求的权限模型来使用锁定的嵌套项目。
选中应用于嵌套项目即可将各个嵌套项目独立锁定。
集合
2021.2 中引入的集合功能为内容提供了一个虚拟容器。您可以将集合视为您在 Spotify 上看到的播放列表,它让您能够整理要与他人分享的内容组合。此功能与收藏夹不同,收藏夹无法与他人共享。
集合易于上手,并且适用于任何 Tableau 用户站点角色。
您可以将大多数内容类型(例如工作簿、视图、指标、数据源等)从单个站点的任何位置添加到集合中,无论其项目位于何处。您可以使用这种灵活的方式来帮助新团队成员入门,支持您的工作流,以及在无需移动或复制现有内容项的情况下共享相关内容。内容权限政策依然会强制执行,因此只有相关的用户才能查看和访问集合中的内容。
您可以通过多种方法在组织的内容管理框架中使用集合功能。继续上面的示例,假设您的组织有多个项目(销售和营销)。您希望让用户能够轻松地从这些项目中找到相关内容,因此您创建了一个集合。现在,团队可以轻松地从同一个位置围绕一个主题构建一个完整的视图。
个人沙盒
如果要在 Tableau Server 或 Tableau Cloud 上为所有个人提供一个能够安全保存其工作内容的位置,您应该创建个人沙盒并设置相应的权限,以便限制内容所有者,使其仅能查看自己的内容。个人沙盒可以用于临时分析或正在进行中的分析,并能够隐藏尚未准备好大范围发布的内容。准备就绪后,用户可以将其内容移到部门沙盒中,以执行验证、提升和认证流程。为所有用户提供个人沙盒可以减少需要保护和管理的项目数量,从而降低管理开销。在创建了名为“个人沙盒”的项目后,应将“所有用户”对该项目的权限设为“发布”,对工作簿的权限设为无,对数据源的权限设为无,对流程的权限设为无,对指标的权限也设为无 (Tableau Cloud 的旧指标功能已于 2024 年 2 月停用,并将在 Tableau Server 版本 2024.2 中停用。有关详细信息,请参见创建指标并排查其问题(已停用)。)。
仅在项目级别设置的仅限发布商具备的权限
由于个人沙盒内容都在同一个位置,管理员可以监视内容的查看频率、建议所有者何时应删除陈旧内容,以及了解谁对个人沙盒的利用最充分。内容所有者始终可以看到自己拥有的内容,即使在这些内容被发布到他们没有工作簿和数据源查看权限的项目中时也是如此。下一部分将对授权进行更加详细的讲解。
站点
Tableau Server 和 Tableau Cloud 均支持使用站点建立多租户机制。在 Tableau Server 中,您可以创建多个站点,以便建立一种安全界限来隔离同一 Tableau Server 部署实例上的特定用户、组、数据和内容。一个站点的用户无法访问另一个站点,也看不到另一个站点的存在。得益于这种严格的界限,当特意需要防止用户协作时,或者当内容在所有开发阶段都要保持独立时,使用站点的效果就很好。
例如,下图显示的就是两个 Tableau Server 站点。在此例中,站点 1 中的唯一用户无权访问站点 2,包括其中的数据和内容。对站点 1 和站点 2 都有访问权限的用户一次只能登录一个站点。如果这两个站点的用户都需要某些内容,则需要在每个站点中都保存这些内容,或者创建一个新站点来为这些用户存放共享的内容,这就大大增加了需要监视、测量和维护的管理开销。在 Tableau Cloud 中,您的 Tableau 实例是一个站点。
站点会形成硬性界限(见上图)
Tableau Server 中的站点可能起初看起来是一种细分数据源、工作簿和用户的实用构造,但其形成的安全界限却导致无法协作和提升内容,而大多数组织都需要协作和提升内容才能大规模实现真正的自助服务。因此,如果您不使用委派了内容管理职责的单个站点,而是选择使用多个站点,那么应该慎重考虑这样做所带来的影响。当您创建新站点时,需要在新实例中重新创建相关的数据源,从这一点就可以看出站点间存在的这种硬性界限。
只有在您需要将一组独特用户及其内容与所有其他 Tableau 用户及内容分开管理时,才应创建新站点,因为内容不能跨界限共享,这是有意为之的。如需详细了解什么情况下适合使用站点并查看相关示例,请参阅“站点概述”(Windows | Linux)。
内容管理的关键考量因素
- 工作簿和数据源是否会在整个公司共享?
- 是否会使用网站来隔离敏感内容或部门?
- 项目会使用组织(部门/团队)方法、职能(主题)方法,还是混合方法?
- 是否已设置沙盒和生产项目来支持临时内容和已验证内容?
- 是否使用内容命名约定?
- 作者是否会使用不同的筛选器来发布同一工作簿的多个副本?
- 内容是否带有描述、标签并符合可视化风格?
- 您是否有预期的加载时间和异常处理程序?
- 员工离开公司后,通过怎样的流程来重新分配内容所有权?
授权
当用户尝试登录到 Tableau 时,身份验证将验证用户的身份。任何人都必须先在 Tableau Server 的身份存储中被表示为一个用户后,才能访问 Tableau Server (Windows | Linux)。Tableau Cloud 身份验证支持通过 Tableau、Google 和 SAML 来验证用户身份。授权是指在用户通过身份验证后,确定用户可以在 Tableau Server 和 Tableau Cloud 上以何种方式访问哪些内容。授权包括:
- 允许用户对 Tableau Server 和 Tableau Cloud 上托管的内容(包括站点、项目、工作簿、视图、数据源和流程)执行哪些操作。
- 允许用户执行哪些任务来管理 Tableau Server 和 Tableau Cloud,例如配置 Server 和站点设置,运行命令行工具,创建站点以及其他任务。
这些操作的授权由 Tableau Server 和 Tableau Cloud 管理,并由用户的许可证类型、站点角色以及与特定实体(例如工作簿和数据源)关联的权限共同决定。Tableau 基于角色的许可证具有内置的隐式管控机制,这是由其包含的功能决定的。要详细了解每种许可证的具体功能,请参阅 Tableau 的团队和组织许可证。
将用户添加到 Tableau Server 或 Tableau Cloud 上的站点时,无论该用户使用什么类型的许可证,您必须为其设置站点角色。站点角色代表了一个用户可在站点上享有的最大访问权限级别。
拥有 Tableau Creator 许可证的用户可以访问 Tableau Server 或 Tableau Cloud、Tableau Desktop、Tableau Prep Builder 和 Tableau Mobile。以下站点角色使用 Tableau Creator 许可证:
站点角色 | 描述 |
---|---|
服务器管理员 | 仅在 Tableau Server 上可用;不适用于 Tableau Cloud。 配置 Tableau Server、Server 上所有站点、用户和组,以及所有内容资产(例如项目、包括连接信息在内的数据源、工作簿和流程)的设置。 从浏览器、Tableau Desktop 或 Tableau Prep Builder 连接到 Tableau 已发布数据源或外部数据;创建和发布新的数据源和流程;制作和发布工作簿。 |
站点管理员 Creator | 不受限制地访问上述内容(但在站点级别)。在浏览器、Tableau Desktop 或 Tableau Prep Builder 中连接到 Tableau 或外部数据;创建新的数据源;构建和发布内容。 在 Tableau Server 上,Server 管理员可以确定是否允许站点管理员管理用户以及分配站点角色和站点成员身份。默认情况下,在 Tableau Server 上,允许站点管理员具有这些能力,并且始终在 Tableau Cloud 上允许站点管理员具有这些能力。 这是 Tableau Cloud 的最高级别访问权限。站点管理员有权访问站点的配置设置。 |
Creator | 连接到数据以制作新的数据源和仪表板,这些数据源和仪表板在 Tableau Server 和 Tableau Cloud 上发布和共享。数据管家(DBA 或数据分析师)负责发布数据源。Creator 根据组织和/或监管义务,整合企业元数据管理所需的流程定义、策略、准则和业务知识。
|
持有 Tableau Explorer 许可证的用户可以访问 Tableau Server 或 Tableau Cloud 以及 Tableau Mobile。以下站点角色使用 Tableau Explorer 许可证:
站点角色 | 描述 |
---|---|
站点管理员 Explorer | 与站点管理员 Creator 相同的站点和用户配置访问权限,但无法从 Web 编辑环境连接到外部数据。 连接到 Tableau 已发布数据源以创建新工作簿以及编辑和保存现有工作簿。 |
Explorer(可发布) | 从浏览器发布新内容,浏览已发布的视图并与之交互,使用所有交互功能。在 Web 编辑环境中,可以编辑和保存现有工作簿,还可以保存从嵌入工作簿中的数据连接中获得的新的独立数据源,但不能连接到外部数据或创建新的数据源。 |
Explorer | 浏览已发布的视图并与之进行交互。可以订阅内容,创建数据驱动型通知,连接到 Tableau 已发布数据源并在 Web 制作环境中打开工作簿以进行临时查询,但无法保存其工作内容。
|
持有 Tableau Viewer 许可证的用户可以访问 Tableau Server 或 Tableau Cloud 以及 Tableau Mobile。
站点角色 | 描述 |
---|---|
Viewer(查看者) | 查看筛选器和内容并与之交互。Viewer 还可以接收由业务事件触发的通知。 |
已添加到 Tableau Server 或 Tableau Cloud 但没有许可证的用户为未许可用户。
站点角色 | 描述 |
---|---|
未许可 | 未许可用户不能登录 Tableau Server 或 Tableau Cloud。
|
站点角色和内容权限共同决定了哪些用户可以发布内容,与内容交互,仅能查看已发布内容,以及谁可以管理站点的用户和站点本身。项目团队应共同定义内容权限模型。Tableau Server 和/或站点管理员将为组分配权限规则并将其锁定到项目。已锁定的项目会对容器中的所有内容(包括嵌套项目)强制执行权限规则。有关详细信息,请参见设置项目默认权限和锁定项目。
Tableau 针对项目、工作簿和数据源设有默认权限规则,您也可以为这些内容类型自定义权限规则。
权限规则模板 | 描述 |
---|---|
项目主管 | 与适当的站点角色结合使用,允许用户或组完全访问项目、其子项目以及发布到该项目层次结构中的内容。
|
编辑者 | 允许用户或组连接到项目中的数据源或工作簿,以及为其编辑、下载、删除和设置权限。
他们还可以发布数据源,并且只要是自己发布的数据源的所有者,他们就可以更新连接信息和数据提取刷新计划。该权限涉及在他们访问时连接到数据源的视图。
|
发布者 | 允许用户或组将工作簿和数据源发布到项目。
|
连接者 | 允许用户或组连接到项目中的数据源。
|
Viewer(查看者) | 允许用户或组查看项目中的工作簿和视图。
|
无 | 将权限规则的所有功能设置为“未指定”。
|
已拒绝 | 将权限规则的所有功能设置为“已拒绝”。 |
自定义权限可让权限更加细化,包括访问或下载数据源,用户与已发布内容的交互方式等。借助 Tableau 的直观界面,可轻松地将用户关联到职能部门群组,为群组分配权限,并查看人员对内容的访问权限。有关详细信息,请参见在单个内容资源上设置权限。如果存在 Data Management,则外部资产的权限还有其他注意事项。有关详细信息,请参见管理外部资产的权限。
您应该在 Server 上本地创建群组,或从 Active Directory/LDAP 导入群组,并按照设定的计划进行同步 (Windows | Linux)。同步计划由 Tableau Server 管理员或 Tableau Cloud 站点管理员设置。为了简化维护,请在项目级别为群组分配权限,如下所示。对于 Tableau Cloud,您可以借助 SCIM 通过外部身份提供程序在 Tableau Cloud 中自动执行用户配置和组同步,并使用 REST API 以编程方式添加或删除用户或组成员。
有关详细信息,请参见快速开始:权限,为托管自助服务配置项目、组和权限和权限参考。
授权的关键考量因素
- Active Directory/LDAP 或 SCIM 组同步的最小站点角色是什么?
- 您是否已将默认项目中“所有用户”组的所有权限设置为“无”?
- 是否需要为“所有用户”群组设置任何明确限制(拒绝访问权限),以使该限制传播到每个用户帐户?
- 您是否为每个项目创建了与一组制作和查看功能相对应的群组?
- 您是否已通过查看某些用户的有效权限来测试您的权限模型?
- 您是否已通过在父项目上锁定权限,来维护整个项目分层结构的安全?
- 是否为已发布数据源建立了服务帐户用户名/密码?
内容验证
内容认证是一系列活动的最终结果,而内容验证是这一系列活动中的第一步。与数据管控中的数据质量领域类似,内容验证包含用于验证内容是否准确、完整、可靠、相关并包含最新信息的各种流程。
验证内容的第一个角色应该是内容的作者。作者也应该征求目标受众的反馈。反馈征求流程可以在非正式反馈小组中完成,也可以通过共享工作簿链接来完成。数据管家也应在确保正确性方面发挥作用,并对要作为发布和验证的潜在候选对象的嵌入式数据源进行审查。如果数据源嵌入在工作簿中,数据管家应考虑是否应该将该数据源作为发布和验证的潜在候选对象。除数据和计算的正确性外,内容验证还应包括由“站点管理员”或“项目主管”站点角色实施的针对品牌、布局、格式、性能、筛选器、仪表板操作和边缘案例行为的审查。
内容验证的关键考量因素
- 谁参与验证过程?
- 该工作簿是否准确、完整、可靠、相关且包含最新信息?
- 新内容是否会取代现有内容?
- 基础数据和计算是否正确?
- 工作簿是否能反映企业品牌?
- 工作簿是否具有符合逻辑的布局?
- 所有轴和数字的格式是否正确?
- 仪表板是否在可接受的时间内加载?
- 筛选器和仪表板动作是否对目标视图起作用?
- 仪表板在边缘案例行为(筛选至全部、无、一个值等)中是否仍然有用?
内容提升
内容验证完成后,使用内容提升流程将工作簿发布到可信的项目位置,或为已发布数据源添加认证标志。下面显示了一个工作簿工作流示例。
工作簿工作流
内容作者将连接到数据,创建新的仪表板,然后发布到沙盒项目。站点管理员或项目主管将验证和审批内容。获得批准的内容将发布到生产项目中。包含在 Tableau Advanced Management 许可证中的 Content Migration Tool 提供了一种在 Tableau Server 项目之间提升或迁移内容的简便方法。您可以在不同 Tableau Server 安装上的项目之间(例如,在具有适当许可的 Tableau Server 开发实例和具有适当许可的产品安装之间),或在单个 Tableau Server 安装上的项目之间执行此操作。Content Migration Tool 的用户界面将引导您完成构建“迁移计划”的必要步骤,您可以对该计划进行一次性使用,也可以将其作为模板在多次迁移中使用。如需详细了解用例,请访问 Content Migration Tool 用例。
如果 IT 要求规定了必须有三个单独许可的环境(开发、QA 和生产),请不要在现代分析平台上复制传统的瀑布式开发周期。用户可能更喜欢通过 QA 环境来避开严格的政策或将内容传送到生产环境时可能出现的延迟,因此您应该使用基于 Tableau 的 REST API 的自定义工作流脚本来自动执行将内容迁移到生产服务器的流程,从而实现良好的平衡。
内容提升的关键考量因素
- 谁参与提升流程?
- 内容提升角色是否可以根据检查清单来确定评估标准?
- 您是否按项目清楚地界定了认证内容和临时内容?
- 流程是否具有足够的敏捷性来支持迭代和创新?
- 您是否有相应的流程来处理直接和受限数据源和工作簿?
内容认证
内容经过验证和提升后,当获得生产项目权限的站点管理员、项目主管或发布者(内容作者或数据管家)将工作簿或数据源提升到指定位置时,其状态将变为“可信”和“已认证”。认证过程让内容使用者可以发现内容,还可以减少重复工作簿和数据源的扩散,从而使数据管家能够在 Tableau 中更有效地管控整个企业的数据。
使用“内容验证的关键考量因素”部分建立的基线要求作为认证标准。内容作者应该对认证流程从头到尾的运作方式有清楚的了解,内容使用者应该了解已认证内容在生产项目中的发布位置(由内容管理标准定义)。
数据源认证使数据管家能够在 Tableau 部署中,将特定数据源提升为可信任且已就绪的数据源。已认证数据源在 Tableau Server 和 Tableau Cloud 搜索结果和我们的智能数据源推荐算法中将获得优先对待,使其可被发现并且易于重复使用。
已认证数据源
内容认证的关键考量因素
- 谁负责指定认证内容?
- 是否满足了获得认证状态的所有条件?
- 所有字段是否完整填写:关于、认证注释、标签?
内容利用率
内容利用率是一项度量,可以反映数据是否被有效地用于业务决策,但我们无法通过“到视图的流量”来全面了解情况。内容利用率的测量有助于了解用户的行为(谁在创建和使用内容,以及仪表板和数据源的质量和相关性),从而让您的部署能够大规模运行并不断改进。如果某些内容无人使用,您将能够找出这些内容并采取适当的后续步骤。
Tableau Server 管理员和 Tableau Cloud 站点管理员应使用默认管理视图来监视宏观使用模式。对于更具体的要求,可以创建自定义管理视图。对于 Tableau Server,可以使用 Tableau Server 存储库数据创建这种视图。在 Tableau Cloud 中,站点管理员可以使用默认管理视图访问“监视网站活动”,并且可以使用“在线管理见解”创建自定义视图。站点管理员应测量并审计其站点内的已发布内容(包括已认证内容和临时内容)的使用情况。例如,如果临时内容利用率显著高于已认证内容利用率,则提升流程可能过于严格,或者对于业务需求来说时间太长。
站点管理员应根据 Tableau Blueprint Planner 的Tableau 用例和数据源标签中记录的预期受众规模,来审查内容使用情况。每个内容作者也应该通过将鼠标悬停在工作簿的缩略图上或从菜单中选择“谁看过此视图”,在迷你图工具提示中查看其内容的利用率。有关详细信息,请参见 Tableau 用户参与度和采用率的测量。
内容利用率的关键考量因素
- 每个视图各获得多少流量?
- 陈旧内容的定义是什么?陈旧内容多久清除一次?
- 间接使用量(通知和订阅)有多大?
- 订阅的内容是否及时交付了?
- 实际受众规模是否符合预期?
- 内容是否呈现出某种周度、月度、季度趋势?
- 用户群体的登录频率是多少或者自上次登录以来已经过了多少天?
- 工作簿和数据源的大小分布情况如何?
内容管控摘要
下表定义了在蓬勃发展的现代分析部署中提升和管控内容的理想状态:
领域 | IT 管理员/BI 专业人员 | 内容作者 |
---|---|---|
内容管理 | 创建和维护已发布内容的存储和组织环境。
| 确保内容与其站点或项目相关。 |
安全保护与权限 | 确保分析内容的安全并根据内容类型、敏感度、业务需求等因素为用户分配相应的权限级别。
| 遵守组织安全和权限政策。 |
内容验证 | 定义验证内容是否正确的流程。 | 通过访问平台功能,帮助验证用户生成的分析内容并确认其准确性。
|
内容提升 | 定义内容提升流程。 | 将经过验证的分析内容提升到管控流程确定的集中式可信环境中。
|
内容认证 | 定义内容认证流程。 | 对内容进行可信认证,并界定可信内容,使其与同一环境中的非可信内容区分开来。
|
内容利用率 | 衡量组织内所有业务部门的整体使用模式。 | 衡量和审查已发布内容的使用情况,跟踪非可信内容的使用情况。
|