Autorizzazioni effettive
Una regola di autorizzazione stabilisce chi è interessato dalla regola (un insieme di gruppi, un gruppo o un utente) e quali Funzionalità sono consentite, negate o non specificate. Anche se sembra semplice stabilire una regola di autorizzazione, potrebbe non essere chiaro stabilire se un utente dispone di una funzionalità a causa dell’appartenenza a gruppi multipli e dell’interazione dei ruoli del sito e della proprietà con le regole di autorizzazione.
Più fattori sono valutati in un ordine specifico, ottenendo autorizzazioni effettive su una parte del contenuto.
Suggerimento: per aiutare a rendere la configurazione il più semplice possibile, è consigliabile (1) impostare le regole di autorizzazione per i gruppi anziché per gli utenti, (2) gestire le autorizzazioni bloccate a livello di progetto anziché impostare le autorizzazioni sui singoli contenuti e (3) eliminare la regola di autorizzazione del gruppo Tutti gli utenti o impostare tutte le funzionalità su Nessuno.
Una funzionalità è consentita per un utente se e solo se le seguenti tre condizioni sono soddisfatte:
- La funzionalità rientra nell’ambito del ruolo del sito.
- L’utente dispone della funzionalità:
- in base a uno specifico scenario utente (ad esempio, essere il proprietario del contenuto o un responsabile di progetto oppure avere un ruolo di amministratore del sito)
Oppure - perché ha ottenuto la funzionalità come utente
Oppure - perché appartiene a un gruppo a cui è stata concessa la funzionalità e nessuna regola nega la funzionalità come utente o membro di un altro gruppo.
- in base a uno specifico scenario utente (ad esempio, essere il proprietario del contenuto o un responsabile di progetto oppure avere un ruolo di amministratore del sito)
- Non ci sono impostazioni di autorizzazioni contrastanti a un altro livello di contenuto che ha la precedenza.
Qualsiasi altra situazione nega all’utente la funzionalità.
Il passaggio del mouse su una funzionalità mostra informazioni che illustrano l’effettiva autorizzazione. Di seguito sono riportati alcuni esempi comuni dei motivi per cui le autorizzazioni effettive, ovvero le azioni che l’utente può eseguire o meno, possono risultare diverse da quanto stabilito da una determinata regola di autorizzazione:
- Un utente potrebbe disporre di una funzionalità che gli viene negata in una regola di autorizzazione perché il ruolo del sito lo include (amministratori).
- Un utente potrebbe disporre di una funzionalità che gli viene negata in una regola di autorizzazione perché il suo scenario utente lo permette (perché proprietario del contenuto oppure proprietario o responsabile di progetto).
- Un utente potrebbe non disporre di una funzionalità che gli è consentita in una regola di autorizzazione perché il ruolo del sito non lo permette.
- Un utente potrebbe non disporre di una funzionalità che gli è consentita in una regola di autorizzazione in quanto un gruppo in conflitto o una regola utente lo ha negato.
- Un utente potrebbe non disporre di una funzionalità che gli è consentita in una regola di autorizzazione a un livello di contenuto (come una cartella di lavoro) perché un altro livello di contenuto lo nega (come una vista).
Valutare le regole di autorizzazione
Le autorizzazioni in Tableau sono restrittive. A meno che non venga concessa una funzionalità a un utente, gli viene negata l’autorizzazione. La seguente logica valuta se una funzionalità è consentita o negata per un individuo:
- Ruolo del sito: se un ruolo del sito non consente una funzionalità, l’utente viene negato. Se il ruolo dell’utente nel sito lo consente, vengono valutati specifici scenari utente.
- Ad esempio, un ruolo del sito Viewer non può eseguire la modifica Web. Vedi Funzionalità generali consentite per tutti i ruoli del sito per maggiori informazioni sulle operazioni eseguibili da ciascun ruolo del sito.
- Scenari utente specifici:
- Se l’utente è un amministratore dispone di tutte le funzionalità su tutti i contenuti.
- Se l’utente è proprietario di un progetto o responsabile di progetto, dispone di tutte le funzionalità su tutti i contenuti dei suoi progetti.
- Se l’utente è il proprietario del contenuto, dispone di tutte le funzionalità* sul suo contenuto.
- Se questi scenari non si applicano all’utente, vengono valutate le regole utente.
* Eccezione: i proprietari dei contenuti non dispongono della funzionalità Imposta autorizzazioni nei progetti in cui le autorizzazioni sono bloccate. Solo gli amministratori, i proprietari del progetto e i responsabili di progetto possono impostare le regole di autorizzazione nei progetti bloccati.
- Regole utente: se all’utente viene negata una funzionalità, questa viene negata. Se è consentita una funzionalità, è consentita. Se una funzionalità non è specificata, vengono valutate le regole di gruppo.
- Regole di gruppo: se l’utente è membro di un qualsiasi gruppo a cui è stata negata una funzionalità, questa viene negata. Se l’utente è membro di un gruppo a cui è consentita una funzionalità (e non di uno qualsiasi dei gruppi a cui viene negata tale funzionalità), questa viene consentita.
- Vale a dire, se un utente è membro di due gruppi, e a uno è consentita una funzionalità mentre all’altro viene negata, la negazione ha la precedenza per quell’utente e tale funzionalità viene negata.
- Regole dell’insieme di gruppi: se un utente è membro di un gruppo in un insieme di gruppi, una funzionalità verrà negata a qualsiasi gruppo incluso nell’insieme di gruppi a cui è negata la funzionalità.
- Se non si applica nessuna delle condizioni di cui sopra, all’utente viene negata tale funzionalità. In pratica, ciò significa che le funzionalità lasciate come non specificate saranno negate.
Un’autorizzazione definitiva ed effettiva di Consentito si verifica quindi in tre circostanze:
- Consentito dal ruolo del sito (Amministratore del server, Creator amministratore sito, Explorer amministratore sito)
- Consentito perché l’utente è il proprietario del contenuto, il proprietario del progetto o il responsabile di progetto
- Consentito da una regola di gruppo, di insieme di gruppi o utente (e non negato da una regola di precedenza superiore)
Negato avviene in tre circostanze:
- Negato dal ruolo del sito
- Negato da una regola (e non consentito da una regola di precedenza superiore)
- Non concesso da nessuna regola
Valutare le autorizzazioni impostate a livelli multipli
Se Autorizzazioni risorse è impostato su Personalizzabile, è possibile configurare le regole di autorizzazione in più posizioni. Esistono regole specifiche che determinano quali autorizzazioni vengono applicate ai contenuti.
- Se sono presenti progetti nidificati, le autorizzazioni impostate a livello figlio hanno la precedenza sulle autorizzazioni fissate a livello padre.
- Le modifiche apportate alle autorizzazioni a livello di progetto non vengono applicate ai contenuti esistenti.
- Se sono presenti autorizzazioni impostate sui contenuti (cartella di lavoro, origine dati o flusso) durante o dopo la pubblicazione, queste hanno la precedenza sulle regole impostate a livello di progetto.
- Se una cartella di lavoro non mostra le schede dei fogli di spostamento, le modifiche apportate alle autorizzazioni a livello di cartella di lavoro non verranno ereditate dalle viste e le modifiche alle autorizzazioni devono essere apportate nella vista.
- Configurando la cartella di lavoro in modo che mostri le schede dei fogli di spostamento, le autorizzazioni esistenti a livello di vista verranno sovrascritte e sincronizzate con le autorizzazioni a livello di cartella di lavoro. Consulta Mostrare o nascondere le schede dei fogli.
Autorizzazioni per le viste
In una cartella di lavoro non contenuta in un progetto bloccato e che non visualizza i fogli come schede per la navigazione, le viste (fogli, dashboard e storie) ereditano le autorizzazioni della cartella di lavoro alla pubblicazione, ma tutte le modifiche alle regole di autorizzazione devono essere apportate nelle singole viste. Le funzionalità Vista sono le stesse di quelle delle cartelle di lavoro, ad eccezione di Sovrascrivi, Scarica cartella di lavoro/Salva una copia e Sposta, che sono disponibili solo a livello di cartella di lavoro.
È consigliabile mostrare le schede dei fogli di navigazione quando possibile, in modo che le viste continuino a ereditare le autorizzazioni dalla cartella di lavoro. Per maggiori informazioni, consulta Mostrare o nascondere le schede dei fogli.
Autorizzazioni effettive e accesso su richiesta
Quando l’accesso su richiesta è abilitato per un gruppo, vedrai un avviso inline. L’accesso su richiesta indica che, quando le autorizzazioni per i contenuti di Tableau dipendono dal gruppo, potrebbero esistere utenti di cui non è stato effettuato il provisioning nel sito che possono accedere al contenuto. Gli utenti che potrebbero accedere al contenuto non sono sottoposti a provisioning nel sito e non dispongono di autorizzazioni effettive. Di conseguenza, questi utenti non sono elencati nell’area Autorizzazioni effettive. Per ulteriori informazioni, consulta Accesso su richiesta tramite app connesse con trust diretto(Il collegamento viene aperto in una nuova finestra) o Accesso su richiesta tramite app connesse con trust OAuth 2.0(Il collegamento viene aperto in una nuova finestra).