Effektive Berechtigungen
Eine Berechtigungsregel legt fest, wer davon betroffen ist (eine Gruppe, ein Gruppensatz oder ein Benutzer) und auf welche Funktionen dieser Personenkreis was für einen Zugriff haben soll: Zulässig, Verweigert oder Keine Angabe. Während es einfach zu sein scheint, eine Berechtigungsregel festzulegen und dies als Ganzes zu betrachten, kann es unklar sein, ob ein Benutzer über eine Funktion verfügt, da er mehreren Gruppen angehört und das Zusammenspiel von Site-spezifischen Rollen und Besitzrechten mit Berechtigungsregeln besteht.
Mehrere Faktoren werden in einer bestimmten Reihenfolge ausgewertet, was zu effektiven Berechtigungen für Inhalte führt.
Tipp: Um die Dinge so einfach wie möglich zu halten, wird empfohlen, (1) Berechtigungsregeln für Gruppen anstelle von Benutzern festzulegen, (2) Berechtigungen zu verwalten, die auf Projektebene gesperrt sind, anstatt Berechtigungen für einzelne Inhalte festzulegen, und (3) die Berechtigungsregel der Gruppe "Alle Benutzer" zu löschen oder alle Funktionen auf "Keine" festzulegen.
Eine Funktion ist für einen Benutzer nur zulässig, wenn die folgenden drei Bedingungen alle erfüllt sind:
- Die Funktion liegt im Rahmen ihrer Site-spezifischen Rolle
- Sie verfügen über diese Funktion:
- basierend auf einem bestimmten Benutzerszenario (z. B. wenn sie Inhaltsbesitzer, Projektleiter sind oder über eine Administrator-Site-spezifische Rolle verfügen)
OR - da ihnen die Funktion gewährt wurde, als Benutzer zu fungieren,
OR - da sie sich beide in einer Gruppe befinden, der die Funktion gewährt wurde, und keine Regeln ihnen die Funktion als Benutzer oder Mitglied einer anderen Gruppe verweigern
- basierend auf einem bestimmten Benutzerszenario (z. B. wenn sie Inhaltsbesitzer, Projektleiter sind oder über eine Administrator-Site-spezifische Rolle verfügen)
- Es gibt keine widersprüchlichen Berechtigungseinstellungen auf einer anderen Inhaltsebene, welche Vorrang hat.
Jede andere Situation verweigert dem Benutzer die Funktion.
Wenn Sie mit der Maus über eine Funktion fahren, wird eine Quickinfo angezeigt, welche die effektive Berechtigung erklärt. Im Folgenden finden Sie einige allgemeine Beispiele, warum effektive Berechtigungen – was der Benutzer tatsächlich tun kann und was nicht – möglicherweise anders aussehen als in einer bestimmten Berechtigungsregel angegeben:
- Ein Benutzer verfügt möglicherweise über eine Funktion, die ihm in einer Berechtigungsregel verweigert wird, da diese in seiner Site-spezifischen Rolle enthalten ist (Administratoren).
- Ein Benutzer verfügt möglicherweise über eine Funktion, die in einer Berechtigungsregel verweigert wird, weil das Benutzerszenario dies zulässt (weil es sich um den Inhaltsbesitzer, den Projektbesitzer oder -leiter handelt).
- Einem Benutzer fehlt möglicherweise eine Funktion, die in einer Berechtigungsregel aber gestattet wird, da ihre Site-spezifische Rolle dies nun zulässt.
- Einem Benutzer fehlt möglicherweise eine Funktion, die in einer Berechtigungsregel gestattet wird, weil eine widersprüchliche Gruppe oder Benutzerregel dies abgelehnt hat.
- Einem Benutzer fehlt möglicherweise eine Funktion, die in einer Berechtigungsregel auf einer Inhaltsebene (z. B. einer Arbeitsmappe) gestattet wird, weil eine andere Inhaltsebene dies abgelehnt hat (z. B. eine Ansicht).
Berechtigungsregeln auswerten
Die Berechtigungen in Tableau sind restriktiv. Sofern einem Benutzer keine Funktion erteilt wird, wird ihm die Berechtigung verweigert. Die folgende Logik bewertet, ob eine Funktion für eine Person erlaubt oder verweigert wird:
- Site-spezifische Rolle: Wenn eine Site-spezifische Rolle eine Funktion nicht zulässt, wird der Benutzer abgelehnt. Wenn die Site-spezifische Rolle des Benutzers die Funktion zulässt, werden spezifische Benutzerszenarien ausgewertet.
- Beispielsweise kann die Site-spezifische Rolle "Betrachter" keine Webbearbeitungen durchführen. Für weitere Informationen darüber, was jede Site-spezifische Rolle leisten kann, siehe Allgemeine Funktionen, die für jede Site-spezifische Rolle zulässig sind.
- Spezifische Benutzerszenarien:
- Wenn der Benutzer ein Administrator ist, verfügt er über alle Funktionen für alle Inhalte.
- Wenn der Benutzer ein Projekteigentümer oder Projektleiter ist, verfügt er über alle Funktionen für alle Inhalte in seinen Projekten.
- Wenn der Benutzer der Inhaltseigentümer ist, verfügt er über alle Funktionen* auf seinem Inhalt.
- Wenn diese Szenarien nicht für den Benutzer gelten, werden Benutzerregeln ausgewertet.
* Ausnahme: Inhaltsbesitzer verfügen in Projekten, in denen Berechtigungen gesperrt sind, nicht über die Funktion Berechtigungen festlegen. Nur Administratoren, Projektbesitzer und Projektleiter können Berechtigungsregeln in gesperrten Projekten festlegen.
- Benutzerregeln: Wenn dem Benutzer eine Funktion verweigert wird, wird sie verweigert. Wenn ihnen eine Funktion erlaubt ist, ist sie erlaubt. Wenn eine Funktion nicht spezifiziert ist, werden Gruppenregeln ausgewertet.
- Gruppenregeln: Wenn sich der Benutzer in einer Gruppe befindet, der eine Funktion verweigert wird, wird diese verweigert. Befindet sich der Benutzer in einer Gruppe, für die eine Funktion erlaubt ist (und nicht in einer Gruppe, für die diese Funktion verweigert wurde), ist dies zulässig.
- Das heißt, wenn ein Benutzer Mitglied in zwei Gruppen ist und einer Gruppe eine Funktion gewährt und einer andere Gruppe die gleiche Funktion verweigert wird, hat die Verweigerung für diesen Benutzer Vorrang, und er wird abgelehnt.
- Gruppensatzregeln: Wenn ein Benutzer Mitglied einer Gruppe in einem Gruppensatz ist, wird allen Gruppen in dem Gruppensatz, dem eine Funktion verweigert wird, diese verweigert.
- Wenn keine der oben genannten Bedingungen zutrifft, wird dem Benutzer diese Funktion verweigert. In der Tat bedeutet dies, dass nicht spezifizierte Funktionen dazu führen, dass sie verweigert werden.
Eine endgültig wirksame Berechtigung von Erlaubt erfolgt daher unter drei Umständen:
- Erlaubt nach Site-spezifischer Rolle (Serveradministrator, Site-Administrator-Creator, Site-Administrator-Explorer)
- Erlaubt, da der Benutzer der Inhaltseigentümer, Projekteigentümer oder Projektleiter ist
- Erlaubt durch eine Gruppen-, Gruppensatz- oder Benutzerregel (und nicht von einer höherrangigen Regel verweigert)
Verweigert tritt unter drei Umständen auf:
- Verweigert aufgrund der Site-spezifischen Rolle
- Verweigert aufgrund einer Regel (und nicht erlaubt durch eine Regel mit höherer Priorität)
- Wird von keiner Regel gewährt
Bewerten Sie Berechtigungen, die auf mehreren Ebenen festgelegt wurden
Wenn Asset-Berechtigungen auf angepasst eingestellt sind, ist es möglich, Berechtigungsregeln an mehreren Stellen zu konfigurieren. Es gibt bestimmte Regeln, die bestimmen, welche Berechtigungen auf den Inhalt angewendet werden.
- Wenn verschachtelte Projekte vorhanden sind, haben die auf der untergeordneten Ebene festgelegten Berechtigungen Vorrang vor den auf der übergeordneten Ebene festgelegten Berechtigungen.
- Änderungen an Berechtigungen auf Projektebene werden nicht für vorhandene Inhalte erzwungen.
- Wenn während oder nach der Veröffentlichung Berechtigungen für den Inhalt (Arbeitsmappe, Datenquelle oder Schema) festgelegt sind, haben diese Vorrang vor Regeln auf Projektebene.
- Wenn in einer Arbeitsmappe keine Navigationsblattregisterkarten angezeigt werden, werden Änderungen an den Berechtigungen auf Arbeitsmappenebene nicht von den Ansichten geerbt, und alle Änderungen an Berechtigungen müssen in der Ansicht vorgenommen werden.
- Durch Konfigurieren der Arbeitsmappe zum Anzeigen von Navigationsblattregisterkarten werden vorhandene Berechtigungen auf Ansichtsebene überschrieben und mit den Berechtigungen auf Arbeitsmappenebene synchronisiert. Siehe Anzeigen und Ausblenden von Blattregisterkarten.
Berechtigungen für Ansichten
In einer Arbeitsmappe, die sich nicht in einem gesperrten Projekt befindet und die Blätter nicht als Registerkarten zur Navigation anzeigt, erben Ansichten (Blätter, Dashboards, Storys) die Arbeitsmappenberechtigungen bei der Veröffentlichung, aber alle Änderungen an Berechtigungsregeln müssen für einzelne Ansichten vorgenommen werden. Die Ansichtsfunktionen sind die gleichen wie bei Arbeitsmappen, mit Ausnahme von Überschreiben, Arbeitsmappe herunterladen/Kopie speichern und Verschieben. Diese sind nur auf Arbeitsmappenebene verfügbar.
Es empfiehlt sich, nach Möglichkeit Navigationsblattregisterkarten anzuzeigen, damit Ansichten weiterhin ihre Berechtigungen von der Arbeitsmappe erben. Weitere Informationen finden Sie unter Anzeigen und Ausblenden von Blattregisterkarten.
Effektive Berechtigungen und On-Demand-Zugriff
Wenn On-Demand-Zugriff für eine Gruppe aktiviert ist, wird eine Inline-Benachrichtigung angezeigt. On-Demand-Zugriff zeigt an, dass, wenn Berechtigungen für Tableau-Inhalte von der Gruppe abhängig sind, es möglicherweise Benutzer gibt, die in der Site nicht bereitgestellt sind und die trotzdem auf den Inhalt zugreifen können. Benutzer, die möglicherweise auf den Inhalt zugreifen, sind auf der Site nicht bereitgestellt und verfügen über keine effektiven Berechtigungen. Daher werden diese Benutzer auch nicht im Bereich "Effektive Berechtigungen" aufgeführt. Weitere Informationen finden Sie unter On-Demand-Zugriff über verbundene Apps mit direkter Vertrauenswürdigkeit(Link wird in neuem Fenster geöffnet) oder On-Demand-Zugriff über verbundene Apps mit OAuth 2.0-Vertrauen(Link wird in neuem Fenster geöffnet).