为托管自助服务配置项目、组、组集和权限

发布到 Tableau Cloud 和 Tableau Server 非常简单。对于某些组织来说,这可能有点容易了。在让创作者发布自己的内容之前创建一个受控框架是有价值的。

为了保持整洁并确保人们可以找到并访问正确的内容,针对托管自助服务配置您的站点可能会很有用。这意味着要有适当的指导原则和设置,以确保内容是有组织的、可发现的和安全的,并且在发布过程中没有瓶颈。

作为站点管理员,本文为您提供了一种为托管自助服务设置站点的可能途径:

  1. 确定您需要的组和项目的类型
  2. 创建组和组集
  3. 删除会导致歧义的权限并建立默认权限模式
  4. 创建项目
  5. 锁定项目权限

注意:此处提供的信息改编和简化自 Tableau 传道大使及分享其经验的客户的实践。

规划您的策略

Tableau 中的权限由应用于组或用户的内容(项目、工作簿等)的规则组成。这些权限规则是通过允许或拒绝特定功能来构建的。

显示允许和拒绝的各种功能的权限规则界面

无论您是开始新项目还是进行更改,为您的项目、组和权限规则制定一个全面的计划都非常有用。详细信息由您决定,但我们建议针对所有环境使用两种重要做法:

  • 管理项目(而不是单段内容)的权限,。
  • 为组分配权限,而不是为单个用户分配权限。

如果在单独的用户级别和对单独的内容资产设置权限,将会很快变得难于管理。

使用封闭权限模型

用于设置权限的一般模型包括开放模型或封闭模型。在开放模型中,用户将获得高级别的访问权限,并且您可显式拒绝能力。在封闭模型中,用户只能获得他们完成工作所需的访问权限。这是安全专业人士提倡的模式。本主题中的示例采用封闭模型。

有关如何评估 Tableau 权限的详细信息,请参见有效权限

确定您需要的项目和组的类型

设计一个结构来容纳内容(在项目中)和用户类别(作为组)或组类别(在组集中)可能是设置站点中最具挑战性的部分,但它使持续管理变得更加容易。

项目:项目既可以作为管理权限的单元,也可以作为组织和导航框架。尝试创建一个项目结构,在人们期望找到内容的方式和允许逻辑许可之间取得平衡。

组或组集:在创建组之前,找到人们如何与内容交互的共同主题会很有用。尝试确定可用于创建组或组集的模式,并避免单个用户的一次性权限。

示例 1:项目和组结构

例如,让我们想象一个环境,其中存在每个人都应该能够访问的公司范围的内容,以及需要限制的一些 HR 内容。

项目包括:

  • Acme Corp Conference。此项目将包括用于门票销售的数据源和工作簿、用于内容策略的仪表板,以及用于公司会议的项目计划。
  • Employee Success。此项目将包括用于内部员工调查的匿名数据源和工作簿
  • Human Resources。此项目将包括 HR 数据源和工作簿,这些数据源和工作簿应该仅供 HR 团队成员使用。

然后,组应与人们需要做的事情匹配:

  • Core Content Creators。此组适用于可以发布到顶级项目并具有对数据源的广泛访问权限,但不需要能够移动或以其他方式管理内容的用户。
  • HR Content Creators。此组适用于有权访问 HR 数据源并可以发布到 HR 项目的用户。
  • 业务用户。此组适用于应该能够访问由 Core Content Creators 创建的内容,但甚至不应该知道 HR 内容存在的用户。
  • HR Users。此组适用于应该能够访问 HR 项目中的内容但无权创建或发布内容的用户。
  • Core Project Leaders。此组适用于在非 HR 项目中应获得项目负责人身份的用户。
示例 2:组和组集结构

2024 年 6 月 (Tableau 2024.2) 开始,您可以使用组集通过在组集级别启用权限来进一步控制授予(或拒绝授予)用户的能力。当在组集级别设置权限时,用户必须属于要评估的组集内的所有组。

注意:组集权限规则在用户和组规则之后进行评估。

例如,假设您已创建组来满足上述示例 1 中用户的需求。您可以创建以下组集来进一步锁定 HR 访问权限:

  • HR Leaders。该组集由 HR Content Creators 和 Core Project Leaders 组成。只有当该组集中的用户属于这两个组时,他们才会被赋予项目负责人身份、访问敏感 HR 数据源的能力以及向 HR 项目发布信息的能力。

考虑站点角色

记住,权限与内容相关,而不是与组或用户相关。这意味着您不能在隔绝的环境中授予组探索权限。相反,可以为该组授予项目及其内容的探索权限。但是,站点角色会被授予特定用户,并且可以定义或限制他们可以拥有的权限。有关许可证、站点角色和权限如何结合在一起的详细信息,请参见权限、站点角色和许可证

创建组和组集

虽然一旦确定需要什么就创建组和项目可能很诱人,但按特定顺序完成操作很重要。

项目:在正确配置默认项目之前不应创建项目(请参见下一部分)。这是因为顶级项目使用“默认”项目作为其权限规则的模板。

:需要创建组才能用于构建权限规则。无需将用户添加到组中,但可以这样做。有关创建组的详细信息,请参见创建组并向其中添加用户

组集:需要创建组才能用于构建权限规则。无需将用户添加到组中,但可以这样做。有关详细信息,请参见使用组集

提示:动创建多个组和项目并设置权限的过程可能有点冗长乏味。为了自动执行这些过程,并且可以为将来的更新重复执行,您可以使用 REST API 命令执行这些任务。您可以为诸如添加或删除单个项目或组以及添加用户等任务使用 tabcmd 命令,但不能为设置权限使用该命令。

多个组中的成员资格

可以在 Business Users 组中包括 HR Content Creators 和 HR Users 组中的用户。这样可以轻松地将大多数内容的权限分配给 Core Content Users,而不是 和 Business Users。但是,在这种情况下,如果不拒绝 HR 用户,就无法拒绝 Business Users 组在 Human Resources 文件夹中的任何能力。相反,Business Users 组必须保持未指定状态,并且特定的 HR Content Creators 和 HR Users 组将被赋予其适用的能力。

这是因为 Tableau 权限具有限制性。如果 Business Users 被拒绝某些能力,则“拒绝”将覆盖两个组中用户的“允许另一个权限”规则。

组集的影响

如果在组集级别启用了分配的权限,则不得指定组集中的每个组的权限,也不能拒绝允许该能力。

在决定如何分配组成员身份时,了解如何评估权限规则非常重要。有关详细信息,请参见有效权限

删除会导致歧义的权限并建立默认权限模式

每个站点都有一个“所有用户”组和一个“默认”项目。

“所有用户”组:添加到站点的任何用户将自动成为“所有用户”组的成员。为避免与在多个组上设置的权限规则混淆,最好从“所有用户”组中移除权限。

“默认”项目:“默认”项目充当站点中新项目的模板。所有新的顶级项目都将采用“默认”项目的权限规则。在“默认”项目上建立基线权限模式意味着您将对新项目有一个可预测的起点。(请注意,嵌套项目从其父项目(而不是“默认”项目)继承权限规则。)

移除“默认”项目上“所有用户”组的权限规则

  1. 选择“浏览”以查看站点上的顶级项目。
  2. “默认”项目的“操作”(...) 菜单上,选择“权限”
  3. “所有用户”组名称的旁边,选择“...”,然后选择“删除规则…”

这使您可以为您完全控制的组建立权限规则,而不会为“所有用户”分配任何冲突的权限。有关如何评估多个规则以确定有效权限的详细信息,请参见有效权限

创建权限规则

现在您可以为所有新的顶级项目将继承的“默认”项目设置基本权限模式。您可以选择将“默认”项目的权限规则保留为空,并为每个新的顶级项目单独构建权限。但是,如果有任何权限规则应该应用于大多数项目,则将它们设置在“默认”项目上会很有帮助。

请记住,项目的权限对话框包含每种内容类型的选项卡。您必须在项目级别为每种类型的内容设置权限,否则用户将被拒绝访问该内容类型。(只有在明确允许的情况下,才会将能力授予用户。将能力保留为“未指定”将导致该能力被拒绝。有关详细信息,请参见有效权限。)

提示:每次在项目级别创建权限规则时,请确保查看所有内容类型选项卡。

根据需要创建权限规则:

  1. 单击“+添加组/用户规则”并开始键入以搜索组名称。
  2. 对于每个选项卡,从下拉列表中选择一个现有权限角色模板,或通过单击能力来创建自定义规则。
  3. 完成后,单击“保存”。

有关设置权限的详细信息,请参见设置权限

示例:每种内容类型的项目级别权限

对于我们的示例,大多数项目应该可供大多数人使用。对于默认项目,我们将使用权限规则模板为核心内容创建者授予发布权限,并为其他所有人授予与工作簿交互的能力,仅此而已。

项目工作簿数据源(其他内容)
Core Content Creators发布发布发布视图
HR Content Creators视图浏览视图
Business Users视图浏览视图
HR Users视图浏览视图
Core Project Leaders设置为项目主管不适用不适用不适用

此模式采用封闭模型,并限制大多数用户对大多数内容的基本使用权限。当创建新的顶级项目时,这些规则将默认继承,但可以根据需要修改每个项目的权限规则。请记住,Human Resources 项目应该移除这些权限并建立自己的模式。

创建项目并调整权限

使用自定义权限模板设置了“默认”项目后,您可以创建其余的项目。对于每个项目,您可以根据情况调整默认权限。

创建一个项目

  1. 选择“浏览”以查看站点上的顶级项目。
  2. “新建”下拉列表中,选择“项目”
  3. 为项目命名,如果需要,为其提供描述。

建立命名约定可能很有用。例如,基本结构可以是 <部门前缀><团队> - <内容用途>;例如“开发运营 - 监控”。

当您将光标悬停在项目缩略图上和“项目详细信息”页面上时,将显示描述。一个好的描述可以帮助用户知道他们在正确的地方。

  1. 根据需要调整权限
    1. 打开新项目。
    2. 从“操作”菜单 (...) 中,选择“权限”
    3. 根据需要修改任何权限规则。记得检查所有内容选项卡

锁定内容权限

除了权限规则,项目还有内容权限设置。可通过两种方式配置此设置:“已锁定”(推荐)或“可自定义”

锁定项目是一种保持一致性并确保项目中的所有内容(按内容类型)具有统一权限的方法。可定制的项目允许授权用户为内容片段设置单独的权限规则。有关详细信息,请参见锁定内容权限

无论内容权限设置如何,都始终会对内容实施权限。

可能的项目结构

一些组织发现拥有服务于特定用途的项目很有用。以下是一些示例项目及其预期用途。请注意,这些是示例模板,您应该始终在您的环境中测试配置。

有关每种内容类型的权限规则模板包含哪些能力的信息,请参见权限能力

示例:针对特定用途的权限设置

服务器上针对开放式协作共享的工作簿

部门中的任何人都可在其内容仍在开发时将内容发布到开放式协作项目。同事可以在服务器上使用 Web 编辑进行协作。有些人将此方式称为沙盒,有些人称之为暂存,诸如此类。在此项目上,您可以允许 Web 编辑、保存、下载等操作。

在这里,您不仅想要启用协作,而且还想使没有 Tableau Desktop 的人员能够做出贡献并提供反馈。

项目工作簿数据源(其他内容)
Data Stewards发布发布发布待定
Analysts发布发布浏览待定
Business Users发布发布浏览待定

请记住,“发布”模板中的某些能力(例如“覆盖”)可能会被用户的站点角色阻止,即使他们被允许具有该能力。

注意:“TBD”表示这些权限规则不容易由场景确定,但是可以根据给定的环境进行设置。

无法编辑的共享报表

当创建工作簿和数据源的人员(分析人员和数据专员)想要将内容提供给业务用户进行查看,并确保其内容不会被“借用”或修改时,他们可以将内容发布到此项目。

对于这种类型的项目,您将要拒绝所有允许编辑或将数据脱离服务器重用的能力。您将允许查看能力。

项目工作簿数据源(其他内容)
Data Stewards发布待定发布待定
Analysts发布发布视图待定
Business Users视图视图

供分析人员连接的审核数据源

数据专员将在其中发布满足您的所有数据要求并成为组织“信任来源”的数据源。此项目的项目主管可对这些数据源进行认证,使它们在搜索结果中的排名较高,并包括在推荐的数据源中。

您将允许授权分析人员将其工作簿连接到此项目中的数据源,但不能下载或编辑这些数据源。您将对此项目的“业务用户”组拒绝查看能力,因此这些用户甚至看不到此项目。

项目工作簿数据源(其他内容)
Data Stewards发布待定发布待定
Analysts视图视图
Business Users

非活动内容

另一种可行方法是隔离站点管理员的视图一段时间未使用的工作簿和数据源。您可以为内容所有者指定一个时限,超过该时限之后,其内容将被从服务器中移除。

您是执行此操作还是直接从工作项目中删除取决于您的组织。在活动环境中,不要害怕去有意移除未使用的内容。

项目工作簿数据源(其他内容)
Data Stewards
Analysts视图视图待定待定
Business Users

工作簿模板的来源

用户可从此项目中进行下载,但不能发布或保存到此项目。在这个项目中,授权发布者或项目主管会提供模板工作簿。内置组织已批准的字体、颜色、图像甚至数据连接的模板可以为作者节省大量时间,并使报表的外观保持一致。

项目工作簿数据源(其他内容)
Authorized Author发布发布发布待定
Data Stewards
Analysts视图

模板:探索

能力:下载工作簿/保存副本

视图
Business Users

后续步骤

除了项目、组和权限外,其他数据监管主题包括:

用户培训 

帮助所有 Tableau 用户成为出色的数据专员。最成功的 Tableau 组织都会创建 Tableau 用户组、定期组织培训课程,诸如此类。

请参见基于仪表板的自定义门户,了解一种使用户面向站点的常见方法。

有关发布和数据认证技巧,请参见以下主题:

优化数据提取刷新和订阅活动

如果您使用 Tableau Server,请为数据提取刷新和订阅计划创建策略,避免它们独占站点的资源。Wells Fargo 和 Sprint 编写的 TC 客户演示文稿详细阐述了此主题。此外,请参见性能调整下的主题。

如果您使用 Tableau Cloud,请参见下面的主题,熟悉用户刷新数据提取的可能方式:

监视

使用管理视图来监视站点的性能和内容使用。

管理视图

感谢您的反馈!您的反馈已成功提交。谢谢!