权限

权限确定用户如何与内容(例如工作簿和数据源)进行交互。权限在权限对话框中或通过 REST API(Link opens in a new window) 设置。 在对话框的顶部,权限规则为组或用户配置能力。下方的权限网格显示用户的有效权限。

Project permissions dialog showing the workbook tab

有几个相互关联的主题,讨论如何思考、设置和管理权限。主要主题是:

  • 本主题涵盖基础知识、如何为项目和其他内容设置权限规则以及特定方案的权限注意事项。
  • 权限能力和模板,其中详细介绍了用于生成权限规则的各种能力。
  • 使用项目管理权限,其中介绍了使用项目来管理权限以及嵌套和锁定项目如何影响权限。
  • 有效权限,其中介绍了如何评估权限规则以及如何确定最终权限。
  • 权限、站点角色和许可证,其中介绍了权限如何与站点角色和许可证交互,以确定用户可以对站点执行哪些操作。

此外,如果存在数据管理加载项,则外部资产的权限还有其他注意事项。有关详细信息,请参见管理外部资产的权限

权限基础知识

项目和组

Tableau 站点使用项目来组织内容,使用来组织用户。在权限规则为以下各项时,管理权限更加轻松:

  • 在项目级别设置,而不是针对单个内容段设置。
  • 针对组而不是个人而建立。

只能为用户、组、项目或已存在的内容建立权限。有关创建用户和组、创建项目和发布内容的详细信息,请参见管理用户和组使用项目管理内容访问权限,以及发布数据源和工作簿(Link opens in a new window)

能力和权限规则 

权限由能力(即执行像查看内容、Web 編輯、下载数据源或删除内容这样的操作的能力)组成。权限规则建立允许或拒绝用户或组对一段内容使用的能力。

注意:一般情况下,当讨论权限时,经常会看到“用户必须具有删除权限”之类的短语。在广泛的背景下,这很容易理解。但是,如果像本文中这样在技术级别使用权限时,更准确的说法是“删除能力”。在本主题中,我们将使用更精确的术语能力,但您应该知道,您可能会在其他地方看到权限

The permission dialog showing several permission rules with some capabilities allowed, denied, or left unspecified

许可证级别、站点角色和潜在的多个权限规则之间的相互作用是最终确定用户可以做什么或不可以做什么的因素。对于每个用户,这将成为他们的有效权限。有关详细信息,请参见有效权限

诸如通过浏览器创建新工作簿(Web 制作)或移动内容等某些任务可能需要对若干能力进行特定配置,而不是在单一能力中捕获。有关详细信息,请参见特定方案的权限设置

设置权限

在项目级别、内容级别或从 Tableau Desktop 发布内容时,权限规则的设置方式不同。

注意:“项目权限”一词可以有两个含义。项目本身用于控制用户如何与项目进行交互的权限能力(查看和发布)。还有适用于其他内容类型的项目级别权限规则的概念。在本文中,“项目级别权限”是指适用于工作簿、数据源和项目权限对话框中配置的其他内容的权限规则。这与可针对特定工作簿、数据源等设置的“内容级别”权限规则形成对比。

对于管理员、项目所有者和项目主管

若要在项目级别设置权限,请执行以下操作:

  1. 导航到项目
  2. 打开“操作”菜单 (...),并单击“权限”。权限对话框将打开。
  3. 此对话框有两个主要区域:顶部的权限规则,以及下方的有效权限网格。每种内容类型(项目、工作簿、数据源、流程、数据角色、指标)都有一个选项卡。下图显示了“工作簿”选项卡。

    Project permissions dialog showing the workbook tab

    在顶部选择一行后,有效权限网格中将填充内容。使用此选项来验证权限。悬停鼠标光标将提供有关为何针对该特定用户允许或拒绝该能力的原因。

  4. 若要修改现有权限规则,请为该内容类型选择相应的选项卡,然后单击某个能力。
  5. 若要创建新规则,请单击“+添加组/用户规则”,并开始键入以搜索组或用户。对于每个选项卡,从下拉框中选择一个现有权限角色模板,或通过单击能力来创建自定义规则。
  6. 单击一次可将能力设置为“已允许”,单击两次将其设置为“已拒绝”,第三次单击将清除所选内容(“未指定”)。

  7. 完成后,单击“保存”

提示:在项目级别设置的权限规则充当该项目及其包含的任何嵌套项目中保存的内容的默认值。这些项目级别的默认规则是强制执行还是仅作为初步规则,取决于“内容权限”设置。可通过两种方式配置此设置:“已锁定”“可自定义”。有关详细信息,请参见锁定内容权限

适用于管理员、项目主管和内容所有者

如果项目内容权限可自定义,则可以修改单独的内容部分的权限。以下信息与锁定项目中的内容无关。有关详细信息,请参见锁定内容权限

提示:尽管可以对可自定义项目中的单个内容设置权限,但我们建议在项目级别管理权限。

设置内容权限

  1. 导航到内容(工作簿、数据源、流程、数据角色)
  2. 打开“操作”菜单 (...),并单击“权限”。权限对话框将打开。
  3. 此对话框有两个主要区域:顶部的权限规则,以及下方的有效权限网格。(请注意顶部缺少选项卡 — 内容级别权限对话框没有选项卡。)

    Workbook-level permissions dialog showing permission rules and effective permissions

    在顶部选择一行后,有效权限网格中将填充内容。使用此选项来验证权限。将鼠标悬停在能力方块上可提供有关针对该特定用户允许或拒绝该能力的原因的信息。

  4. 若要修改现有权限规则,请单击某个能力。
  5. 若要创建新规则,请单击“+添加组/用户规则”,并开始键入以搜索组或用户。从下拉列表中选择一个现有权限角色模板,或通过单击能力来创建自定义规则。
  6. 单击一次可将能力设置为“已允许”,单击两次将其设置为“已拒绝”,第三次单击将清除所选内容(“未指定”)。

  7. 完成后,单击“保存”

设置视图权限

提示:尽管可以在工作簿内设置视图级别权限,但我们强烈建议在项目或工作簿级别管理权限。

如果在选中“将工作表显示为标签”时发布工作簿,该工作簿中的视图将继承为工作簿设置的所有权限。视图的权限对话框将是只读的。

在某些情况下,独立于包含视图的工作簿来指定视图权限可能很有价值。如果在未选中“将工作表显示为标签”时发布工作簿,则视图将从工作簿权限开始,但此后将是独立的,可以独立设置。请注意,这意味着如果为工作簿修改了权限规则,这些更改将不会应用于视图 — 每个视图的权限都需要单独管理。

有关详细信息,请参见显示或隐藏工作表标签

对于内容发布者

如果项目内容权限是可自定义的,则可以在从 Tableau Desktop 发布时针对单个内容设置权限。以下信息与锁定项目中的内容无关。有关详细信息,请参见锁定内容权限

提示:尽管可以对可自定义项目中的单个内容设置权限,但我们建议在项目级别管理权限。

  1. 从发布对话框中,单击“权限”的“编辑”链接。
    如果“编辑”链接不可用,则权限已锁定到项目,且不能被除项目所有者、项目主管或管理员外的任何用户修改。
  2. “添加/编辑权限”对话框显示任何现有权限规则。单击“添加”以添加新权限规则,或者单击“编辑”以修改现有权限规则
    1. 从左侧窗格中选择组或用户。您可以展开组以查看其包含的用户。
    2. 使用右侧窗格顶部的选择器选择一个现有模板,或使用单选按钮来创建自定义规则。

    Add/Edit Permissions dialog seen when publishing from Tableau Desktop

    请注意,无法从发布对话框中检查有效权限。

  3. 完成后,单击“确定”并继续发布。

注意:Tableau Prep Builder 中发布流程时,无法设置权限。若要设置流程权限,请参阅适用于项目级别权限或内容级别权限的步骤。

提示:默认情况下,所有用户都将添加到对内容具有基本权限的“所有用户”组中。若要在构建自己的权限规则时从头开始,我们建议您完全删除规则或编辑“所有用户”的规则以移除任何权限(将权限角色模板设置为“无”)。这将减少适用于任何给定用户的规则数量,使有效权限更容易理解,从而有助于防止将来出现任何不明确情况。

特定方案的权限设置

某些操作需要权限能力的组合,并可能需要站点角色的组合。下面是一些常见方案及其必要的权限配置

保存、发布和覆盖

在权限的上下文中,保存本质上是发布。因此,只能将“覆盖”“保存副本”能力授予允许发布的站点角色(“管理员”、“Creator”或“Explorer(可发布)”)的用户。“Explorer ”或“Viewer(查看者)”站点角色不能进行发布、覆盖或保存副本操作。

(在版本 2020.1 之前,“发布”和“覆盖”能力称为“保存”,“下载工作簿/保存副本”能力称为“下载工作簿/另存为”。)

  • 项目的“发布”能力允许用户将内容发布到该项目。
  • “覆盖”能力允许用户保存现有内容部分;他们将成为所有者。
  • “保存副本”能力允许用户保存内容的新副本。这通常与 Web 制作结合完成,并意味着用户可以保存其所做的修改。

请务必注意,除非用户具有至少一个项目的“发布”能力,否则无法保存或另存为一段内容,因为所有内容都必须发布到项目中。如果在项目级别没有“发布”能力,则无法发布内容。

在 Web 编辑中,只会向内容所有者显示“文件”菜单中的“保存”选项。如果不是所有者的用户具有“覆盖”能力(允许他们保存内容),则他们必须使用“文件”>“另存为”,并将工作簿命名为完全相同的名称。这将出现一条警告提示,指出他们将要覆盖现有内容,并且能够这样做。相反,仅具有“保存副本”能力并尝试使用相同名称的用户将看到一条错误,指出他们没有覆盖现有内容的权限。

如果不是内容所有者的用户覆盖内容,他们将成为所有者,拥有需要的所有权限。原始所有者的内容访问权限随后由其作为用户(而不是所有者)的权限确定。

注意: “下载工作簿/保存副本”是适用于工作簿的联合能力。可以为 Explorer 授予此能力,但他们只能下载工作簿,无法保存为副本。为“Explorer(可发布)”、“Creator”或“管理员”站点角色授予该能力将为他们同时授予下载工作簿保存副本的能力。

“Web 编辑”和“Web 制作”

Web 编辑和 Web 制作是指用户直接在浏览器中编辑或创建工作簿的一般能力。权限能力称为“Web 编辑”,站点设置称为“Web 制作”。此部分将任何基于 Web 的编辑或发布操作称为 Web 制作

启用此功能需要满足若干要求。

  • 用户站点角色:用户必须具有适当的站点角色。
    • “Viewer(查看者)”永远无法进行 Web 编辑。
    • 可以为“Explorer”授予“Web 编辑”能力,但他们无法发布。本质上,他们可以使用 Web 编辑,动态地根据现有内容来回答更深入的问题,但无法保存所做的编辑。
    • “Explorers(可发布)”或“站点管理员 Explorer”能够发布,但只能使用已发布到站点的数据。
    • “Creator”、“站点管理员 Creator”和“服务器管理员”可以发布和创建新数据源。
  • 权限能力:用户必须具有基于所需功能的必要权限能力。

所需的权限能力设置

所需的功能 最低站点角色 Web 编辑 下载/保存副本 覆盖(工作簿) 发布(项目) 连接(数据源)
Web 制作(无法保存) Explorer 允许 拒绝 拒绝 可选 允许
Web 制作和另存为新内容 Explorer(可发布) 允许 允许 拒绝 允许 允许
Web 制作和保存(覆盖)内容 Explorer(可发布) 允许 允许 允许 允许 允许
使用新数据的 Web 制作和保存新内容 Creator 允许 可选 可选 允许 可选

“可选”表示所需功能中未涉及此能力

已发布 Tableau 数据源的数据访问权限

发布到 Tableau 站点的数据源可以在 Tableau 环境内具有原生身份验证以及权限。

将数据源发布到 Tableau 站点时,发布者可以选择如何设置凭据以访问您发布的数据,这解决了数据源凭据的处理方式(例如要求用户登录到数据库,或输入其 Google Sheets 凭据)。这种身份验证由保存数据的任何技术控制,它可在发布数据源时嵌入,或者数据源发布者可以选择提示用户输入其数据源凭据。有关详细信息,请参见发布数据源

在 Tableau 的上下文中,还有一些允许或拒绝用户查看(“查看”)和连接到已发布数据源(“连接”)的数据源能力。这些能力的设置与 Tableau 中的任何其他权限一样。

发布使用已发布数据源的工作簿时,作者可以针对使用工作簿的用户控制 Tableau 身份验证的行为方式。作者将工作簿对已发布数据源的访问权限设置为“嵌入密码”(使用作者的数据源“连接”访问权限或“提示用户”(使用查看工作簿的用户的“连接”访问权限),后者可能也需要数据源身份验证。

  • 当工作簿设置为“嵌入密码”时,查看工作簿的任何人将看到基于作者的数据源访问权限的数据。
  • 如果工作簿设置为“提示用户”,则会针对数据源检查 Tableau 控制的访问权限。使用工作簿的用户必须具有已发布数据源的“连接”能力才能查看数据。如果已发布数据源已设置为“提示用户”,则查看者还必须输入数据源本身的凭据。
工作簿的数据源身份验证 数据的数据源身份验证 如何为使用工作簿的用户评估数据访问权限
嵌入密码 嵌入密码 用户可查看数据,就好像他们是工作簿作者一样
嵌入密码 提示用户 用户可查看数据,就好像他们是工作簿作者一样。(提示作者是(而不是用户)进行数据源身份验证。)
提示用户 嵌入密码 用户必须对已发布数据源具有自己的“连接”能力
提示用户 提示用户 用户必须对已发布数据源具有自己的“连接”能力,并且提示用户输入其基础数据凭据

请注意,这适用于使用工作簿,而不是 Web 编辑。若要进行 Web 编辑,用户必须具有自己的“连接”能力。

移动内容

若要移动某项,请打开其“操作”菜单 (...),并单击“移动”。为该项选择新项目,然后单击“移动内容”。如果“移动”不可用,或者没有可用的目标项目,请验证是否满足适当的条件:

  • 管理员始终可将内容和项目移动到任何位置。
  • 项目主管和项目所有者可在其项目之间移动内容和嵌套项目。
    • 请注意,非管理员无法移动项目以使其成为顶层项目
  • 只有在以下三个要求均得到满足时,其他用户才能移动内容:
    • “Creator”或“Explorer(可发布)”站点角色。
    • 针对目标项目的发布权限(“查看”“发布”能力)
    • 内容的所有者,或者(对于工作簿和流程)拥有“移动”能力。

移动项目时,其内容的权限可能会更改。

  • 项目主管或项目所有者始终会获得移入其项目中的各项的权限。
  • 将项目移动到已锁定(包括嵌套)项目中时,将对已移动项目及其所有内容和嵌套项目强制实施已锁定项目的权限模板。请注意,如果用户在锁定的项目中没有正确的权限,那么他们将无法再次移动该项目。
  • 当项目移动到未锁定的项目(可自定义)中时,将为已移动项目及其内容保留现有权限。 如果仅(从更高级别的项目中)隐式授予项目主管身份,则会移除该身份,但会保留任何显式设置的项目主管身份。

指标

指标是从已发布工作簿中的视图创建的。如果用户满足以下条件,则可以创建指标:

  • 具有“Creator”或“Explorer(可发布)”站点角色
  • 拥有项目的“发布”能力
  • 拥有相关视图或工作簿的“下载完整数据”能力

有关详细信息,请参见创建指标并排查其问题以及针对指标进行设置

指标权限

由于指标是独立的内容,因此请务必注意,指标的权限是通过从中创建指标的视图独立管理的。(这与数据驱动的通知和订阅不同,在这两者中,只有在用户具有视图本身的正确权限时才能查看通知或订阅的内容。)

尽管适用于指标的能力非常明确,但应仔细考虑“查看”能力。具有受限权限的工作簿可能是具有更多开放权限的指标的基础。为了保护敏感数据,您可能希望防止为特定工作簿创建指标。

防止创建指标

不能直接在每个工作簿级别(仅限每个站点)禁用创建指标的能力,但权限可以控制指标和工作簿之间的访问。

为了阻止特定工作簿的指标,请在工作簿上拒绝“下载完整数据”能力。

为了确保无法更改此功能,请在项目级别为项目中的所有工作簿拒绝“下载完整数据”,并为项目锁定内容权限。

显示或隐藏工作表标签

在已发布内容的上下文中,工作表标签(也称为选项卡式视图)是与 Tableau Desktop 中的工作表标签不同的概念。在 Tableau Desktop 中显示和隐藏工作表标签是指在制作环境中隐藏工作表。有关详细信息,请参见管理仪表板和故事中的工作表

显示和隐藏已发布内容的工作表标签(打开或关闭选项卡式视图)是指在已发布工作簿中导航。显示工作表标签时,已发布的内容在每个视图的顶部都有导航工作表标签。

comparison of view navigation with tabbed views on and off

此设置还会影响权限的运行,可能具有安全影响(请参见注释)。

注意:没有工作簿或其包含的项目的“查看”能力的情况下,可以具有视图的“查看”能力。通常,如果用户缺少项目和工作簿的“查看”能力,则他们不会知道这些资产的存在。如果他们具有视图的“查看”能力,则当用户查看视图时,例如在导航痕迹中查看视图时,也许能够看到项目和工作簿名称。这是预期和接受的行为。

关闭选项卡式视图以允许独立视图权限

虽然一般不建议这样做,但有时独立于包含这些视图的工作簿设置视图权限可能很有用。为此,必须满足三个条件:

  1. 工作簿必须已发布 — 无法在发布期间设置视图权限。
  2. 工作簿必须在可自定义项目中。
  3. 工作簿不能将工作表显示为标签(必须隐藏选项卡视图)。

如果工作簿将工作表显示为标签,则所有视图将继承工作簿权限,并且对工作簿权限进行的任何更改将影响所有其视图。如果可自定义项目中的工作簿未显示选项卡式视图,则所有视图会在发布时假定工作簿权限,但对工作簿权限规则所做的任何后续更改都不会由视图继承。

如果更改已发布工作簿上显示为标签的工作表的配置,则也会影响权限模型。“显示标签”将覆盖任何现有视图级别权限,并恢复所有视图的工作簿级别权限。“隐藏标签”将断开工作簿与其视图之间的关系。

  • 若要将工作表配置为已发布工作簿上的标签,请打开该工作簿的“操作”菜单 (...),并选择“选项卡式视图”。根据需要选择“显示标签”或“隐藏标签”。
  • 若要在发布过程中将工作表配置为标签,请参阅将工作表显示为标签(Link opens in a new window)
  • 若要设置视图级别权限,请参见设置内容权限

重要信息:在可自定义项目中,如果隐藏了导航工作表标签(也称为关闭了选项卡式视图),则不会应用对工作簿级别权限所做的任何修改。权限更改必须在单独的视图上进行。

此部分中的其他文章

感谢您的反馈! 提交反馈时出错。请重试。