Configurar projetos, grupos, conjuntos de grupos e permissões para o serviço de autoatendimento gerenciado

Publicar no Tableau Cloud e no Tableau Server é fácil. Para algumas organizações, pode ser fácil demais. Há valor em criar uma estrutura controlada antes de permitir que os Creators publiquem seu próprio conteúdo.

Para manter as coisas organizadas e garantir que as pessoas possam encontrar e acessar o conteúdo certo, pode ser útil configurar seu site para autoatendimento gerenciado. Isso significa ter diretrizes e configurações para garantir que o conteúdo seja organizado, detectável e seguro sem ter gargalos no processo de publicação.

Este artigo apresenta um caminho possível para você, como administrador do site, configurar seu site para autoatendimento gerenciado:

  1. Identificar os tipos de grupos e projetos necessários
  2. Criar grupos e conjuntos de grupos
  3. Remover as permissões que causarão ambiguidades e estabeleça padrões de permissão padrão
  4. Criar projetos
  5. Bloquear permissões de projeto

Observação: as informações fornecidas aqui são práticas adaptadas e simplificadas dos Visionários do Tableau e dos clientes que compartilharam as suas experiências.

Planejamento da sua estratégia

As permissões no Tableau consistem em regras aplicadas ao conteúdo (projetos, pastas de trabalho etc.) de um grupo ou usuário. Essas regras de permissão são criadas permitindo ou negando recursos específicos.

A interface de regras de permissão mostrando vários recursos permitidos e negados

Ter um plano abrangente para seus projetos, grupos e regras de permissão é útil se você estiver iniciando ou fazendo alterações. Os detalhes ficam a seu critério, mas há duas práticas importantes que recomendamos para todos os ambientes:

  • Gerencie permissões em projetos, não partes individuais de conteúdo.
  • Atribua permissões a grupos, não a usuários individuais.

Definir permissões no nível de usuário individual e nos ativos de conteúdo individuais complica rapidamente o gerenciamento.

Usar um modelo de permissões fechadas

Os modelos gerais para permissões são aberto ou fechado. Em um modelo aberto, os usuários recebem um alto nível de acesso e você explicitamente nega os recursos. Em um modelo fechado, os usuários normalmente recebem apenas o acesso necessário para realizarem suas tarefas. Esse é o modelo que os profissionais de segurança defendem. Os exemplos neste tópico seguem um modelo fechado.

Para obter mais informações sobre como as permissões do Tableau são avaliadas, consulte Permissões efetivas.

Identificar os tipos de projetos e grupos necessários

Projetar uma estrutura para acomodar conteúdo (em projetos) e categorias de usuários (como grupos) ou cateforias de grupos (em conjuntos de grupos) pode ser a parte mais desafiadora da configuração de um site, mas facilita muito o gerenciamento contínuo.

Projetos: os projetos funcionam tanto como uma unidade de gerenciamento de permissões quanto como uma estrutura organizacional e de navegação. Tente criar uma estrutura de projeto que equilibre como as pessoas esperam encontrar conteúdo e permita permissões lógicas.

Grupos ou conjuntos de grupos: antes de criar grupos, pode ser útil encontrar temas comuns sobre como as pessoas interagem com o conteúdo. Tente identificar padrões que você pode usar para grupos ou criar grupos ou conjuntos de grupos e evite permissões únicas para usuários individuais.

Exemplo 1: estrutura do projeto e do grupo

Por exemplo, vamos imaginar um ambiente onde há conteúdo de toda a empresa que todos devem poder acessar, bem como algum conteúdo de RH que precisa ser restrito.

Os projetos incluem:

  • Conferência Acme Corp. Isso incluirá fontes de dados e pastas de trabalho para vendas de ingressos, painéis para estratégia de conteúdo e planos de projeto para a conferência da empresa.
  • Sucesso do funcionário. Isso incluirá fontes de dados anônimas e pastas de trabalho para a pesquisa interna de funcionários
  • Recursos Humanos. Isso incluirá fontes de dados de RH e pastas de trabalho que devem estar disponíveis apenas para membros da equipe de RH.

Em seguida, os grupos devem corresponder ao que as pessoas precisam fazer:

  • Criadores de conteúdo principal. Este grupo é para usuários que podem publicar em projetos de nível superior e têm amplo acesso a fontes de dados, mas que não precisam mover ou gerenciar conteúdo.
  • Criadores de conteúdo de RH. Este grupo é para usuários que têm acesso a fontes de dados de RH e podem publicar no projeto de RH.
  • Usuários corporativos. Este grupo é para usuários que devem poder acessar o conteúdo criado pelos Core Content Creators, mas nem devem saber que o conteúdo de RH existe.
  • Usuários de RH. Este grupo é para usuários que devem poder acessar o conteúdo no projeto de RH, mas não têm direitos para criar ou publicar conteúdo.
  • Líderes do projeto principal. Este grupo é para usuários que devem receber o status de líder de projeto nos projetos que não são de RH.
Exemplo 2: estrutura de grupo e conjunto de grupos

A partir de Tableau Server 2024.2, você poderá usar conjuntos de grupos para controlar ainda mais os recursos concedidos (ou negados) aos usuários ativando permissões no nível do conjunto de grupos. Quando as permissões são definidas no nível do conjunto de grupos, os usuários devem pertencer a todos os grupos nos conjuntos de grupos a serem avaliados.

Observação: as regras de permissão definidas por grupo são avaliadas após as regras de usuário e grupo.

Por exemplo, suponha que você criou os grupos para corresponder às necessidades das pessoas no Exemplo 1 acima. Você pode criar o seguinte conjunto de grupos para bloquear ainda mais o acesso ao RH:

  • Líderes de RH. Este conjunto de grupos consiste em criadores de conteúdo de RH e líderes de projetos principais. Somente se os usuários neste conjunto de grupos pertencerem a ambos os grupos eles receberão o status de líder do projeto, a capacidade de acessar fontes de dados confidenciais de RH e de publicar no projeto de RH.

Considerar as funções de site

Lembre-se de que as permissões estão vinculadas ao conteúdo, não a grupos ou usuários. Isso significa que você não pode conceder permissões de Explorar a um grupo no vácuo. Em vez disso, o grupo pode receber permissões de Explorar para um projeto e seu conteúdo. As funções do site, no entanto, são fornecidas a usuários específicos e podem definir ou limitar as permissões que eles podem ter. Para obter mais informações sobre como licenças, funções de site e permissões se unem, consulte Permissões, funções de site e licenças.

Crie os grupos e conjuntos de grupos

Embora possa ser tentador criar os grupos e projetos assim que identificar o que precisa, é importante fazer as coisas em uma determinada ordem.

Projetos: os projetos não devem ser criados até que o projeto Padrão tenha sido configurado corretamente (veja a próxima seção). Isso ocorre porque os projetos de nível superior usam o projeto Padrão como modelo para suas regras de permissão.

Grupos: os grupos precisam ser criados antes que possam ser usados para criar regras de permissão. Os usuários ainda não precisam ser adicionados aos grupos, mas podem ser. Para obter mais informações sobre como criar grupos e adicionar usuários a eles, consulte Grupos e Adicionar usuários a um grupo.

Conjuntos de grupos: os grupos precisam ser criados antes que possam ser usados para criar regras de permissão. Os usuários ainda não precisam ser adicionados aos grupos, mas podem ser. Para obter mais informações, consulte Trabalhar com conjuntos de grupos.

Dica: criar vários grupos e projetos e definir as permissões manualmente pode ser entediante. Para automatizar esses processos, bem como torná-los reproduzíveis para atualizações futuras, realize essas tarefas usando os comandos REST API. Use os comandos tabcmd para tarefas como adicionar ou excluir um único projeto ou grupo e adicionar usuários, mas não para definir permissões.

Participação em vários grupos

É possível incluir os usuários nos grupos HR Content Creators e Usuários de RH no grupo Usuários corporativos. Isso facilitaria a atribuição de permissões para usuários de conteúdo principal versus usuários comerciais para a maioria do conteúdo. No entanto, nesse cenário, o grupo de usuários corporativos não pode ser negado nenhum recurso na pasta de recursos humanos sem negar os usuários de RH também. Em vez disso, o grupo de usuários corporativos teria que ser deixado como não especificado, e os grupos específicos de criadores de conteúdo de RH e usuários de RH receberiam seus recursos aplicáveis.

Isso ocorre porque as permissões do Tableau são restritivas. Se o grupo de Usuários Comerciais tiver determinados recursos negados, essa Negação substituirá a regra Permitir de outra permissão para usuários em ambos os grupos.

Impacto dos conjuntos de grupos

Se as permissões atribuídas estiverem habilitadas no nível do conjunto de grupos, as permissões para cada grupo no conjunto de grupos não deverão ser especificadas ou negadas para permitir o recurso.

Ao decidir como a inscrição no grupo deve ser atribuída, é importante entender como as regras de permissão são avaliadas. Para obter mais informações, consulte Permissões efetivas.

Remover as permissões que causarão ambiguidades e estabeleça padrões de permissão padrão

Cada site tem um grupo Todos os usuários e um projeto Padrão.

Grupo Todos os usuários: qualquer usuário adicionado ao site se torna membro do grupo Todos os usuários automaticamente. Para evitar qualquer confusão com as regras de permissão definidas em vários grupos, é melhor remover as permissões do grupo Todos os usuários.

Projeto padrão: o projeto Padrão funciona como um modelo para novos projetos no site. Todos os novos projetos de nível superior terão suas regras de permissão do projeto padrão. Estabelecer padrões de permissão de linha de base no projeto Padrão significa que você terá um ponto de partida previsível para novos projetos. (Observe que os projetos aninhados herdam as regras de permissão do projeto pai, não do projeto Padrão. )

Remova a regra de permissão para o grupo Todos os usuários no projeto padrão

  1. Selecione a guia Explorar para abrir o projeto de nível superior no site.
  2. No menu Padrão de Ação (…) do projeto, selecionePermissões.
  3. Perto do nome de grupo Todos os usuários, selecione , em seguida, selecione Excluir regra....

Isso permite que você estabeleça regras de permissão para os grupos sobre os quais você tem controle total, sem nenhuma permissão conflitante atribuída a Todos os usuários. Para obter mais informações sobre como várias regras são avaliadas para determinar permissões efetivas, consulte Permissões efetivas.

Criar regras de permissão

Agora você pode configurar os padrões básicos de permissão para o projeto padrão que todos os novos projetos de nível superior herdarão. Você pode optar por manter as regras de permissão do projeto padrão vazias e criar permissões para cada novo projeto de nível superior individualmente. No entanto, se houver regras de permissão que devam ser aplicadas à maioria dos projetos, pode ser útil defini-las no projeto Padrão.

Lembre-se de que a caixa de diálogo de permissões de um projeto contém guias para cada tipo de conteúdo. Você deve definir permissões para cada tipo de conteúdo no nível do projeto ou os usuários terão acesso negado a esse tipo de conteúdo. (Um recurso só é concedido a um usuário se ele tiver uma permissão expressa. Deixar um recurso como Não especificado resultará na sua rejeição. Para obter mais informações, consulte Permissões efetivas.)

Dica: sempre que você criar uma regra de permissão no nível do projeto, verifique todas as guias de tipo de conteúdo.

Criar regras de permissão conforme desejado:

  1. Clique em + Adicionar regra de grupo/usuário e comece a digitar para procurar um nome de grupo.
  2. Para cada guia, escolha um modelo existente no menu suspenso ou crie uma regra personalizada clicando nos recursos.
  3. Quando concluir, clique em Salvar.

Para obter mais informações sobre configuração de permissões, consulte Definir permissões.

Exemplo: permissões de nível de projeto para cada tipo de conteúdo

Para o nosso exemplo, a maioria dos projetos deve estar disponível para a maioria das pessoas. Para o projeto padrão, usaremos os modelos de regras de permissão para dar aos criadores de conteúdo principais direitos de publicação e a todos os outros a capacidade de interagir com pastas de trabalho e nada mais.

GrupoProjetosPastas de trabalhoFontes de dados(Outro conteúdo)
Criadores de conteúdo principalPublicarPublicarPublicarExibição
Criadores de conteúdo de RHExibiçãoExplorarExibiçãoNenhum
Usuários corporativos.ExibiçãoExplorarExibiçãoNenhum
Usuários de RH.ExibiçãoExplorarExibiçãoNenhum
Líderes do projeto principal.Definir como líder de projeton/an/an/a

Esse padrão segue um modelo fechado e limita as permissões ao uso básico da maioria do conteúdo para a maioria dos usuários. À medida que novos projetos de nível superior são criados, essas regras serão herdadas por padrão, mas as regras de permissão podem ser modificadas por projeto conforme necessário. Lembre-se que o projeto de Recursos Humanos deve ter essas permissões removidas e seu próprio padrão estabelecido.

Criar projetos e ajustar permissões

Depois que o projeto padrão for definido com seus modelos de permissões personalizados, você poderá criar o restante de seus projetos. Para cada projeto, você pode ajustar as permissões padrão, conforme adequado.

Para criar um projeto

  1. Selecione a guia Explorar para abrir o projeto de nível superior no site.
  2. Na lista suspensa Novo, selecione Projeto.
  3. Dê um nome ao projeto e, se desejar, descreva-o.

Pode ser útil estabelecer uma convenção de nomenclatura. Por exemplo, a estrutura básica pode ser <DepartmentPrefix><Team> - <ContentUse>; como DevOps - Monitoramento.

A descrição aparece quando você passa o mouse sobre uma miniatura do projeto e na página de Detalhes do projeto. Uma boa descrição pode ajudar os usuários a saber que estão no lugar certo.

  1. Ajuste as permissões conforme necessário.
    1. Abra o novo projeto.
    2. No menu Ação (...), selecione Permissões
    3. Modifique quaisquer regras de permissão, conforme desejado. Lembre-se de verificar todas as guias de conteúdo.

Bloquear permissões de conteúdo

Além das regras de permissão, os projetos têm uma configuração de permissão de conteúdo. Essa configuração pode ser realizada de duas maneiras, Bloqueada (recomendado) ou Personalizável.

Bloquear um projeto é uma forma de manter a consistência e garantir que todo o conteúdo do projeto tenha permissões uniformes (por tipo de conteúdo). Um projeto personalizável permite que usuários autorizados definam regras de permissão individuais em partes do conteúdo. Para obter mais informações, consulte Bloquear permissões de conteúdo.

Independentemente da configuração de permissão de conteúdo, as permissões são sempre impostas ao conteúdo.

Possível estruturas do projeto

Algumas organizações acham útil ter projetos que atendem a propósitos específicos. Aqui estão alguns exemplos de projetos e seus usos pretendidos. Observe que esses são modelos de exemplo e você deve sempre testar a configuração em seu ambiente.

Para obter informações sobre quais recursos estão incluídos nos modelos de regra de permissão de cada tipo de conteúdo, consulte Recursos de permissão.

Exemplos: configurações de permissão para fins específicos

Pastas de trabalho compartilhadas para colaboração aberta no servidor

Qualquer pessoa no departamento pode publicar no projeto de colaboração aberta, durante o desenvolvimento do conteúdo. Os colegas podem colaborar usando a edição na Web no servidor. Algumas pessoas chamam isso de área restrita, outras de “staging” e assim por diante. Neste projeto, você pode permitir a edição na Web, o salvamento, o download e assim por diante.

Aqui habilite a colaboração, além de habilitar pessoas sem o Tableau Desktop para colaborar e fornecer feedback.

GrupoProjetosPastas de trabalhoFontes de dados(Outro conteúdo)
Administradores de dadosPublicarPublicarPublicarTBD
AnalistasPublicarPublicarExplorarTBD
Usuários corporativos.PublicarPublicarExplorarTBD

Lembre-se de que alguns recursos do modelo Publicar (como Substituir) podem ser impedidos pela função de site de um usuário, mesmo que tenham esse recurso permitido.

Observação: "TBD" indica que essas regras de permissão não são facilmente determinadas pelo cenário e podem ser definidas, mas fazem sentido para um determinado ambiente.

Relatórios compartilhados que não podem ser editados

Este pode ser um projeto que pessoas cujo trabalho é criar pastas de trabalho e fontes de dados (os analistas e administradores de dados) podem publicar quando desejam disponibilizar o conteúdo a usuários corporativos para visualização, com a confiança de que o trabalho não poderá ser “emprestado” ou modificado.

Para esse tipo de projeto, negue todos os recursos que permitem a edição ou a remoção de dados do servidor para reuso. Você deve permitir recursos de exibição.

GrupoProjetosPastas de trabalhoFontes de dados(Outro conteúdo)
Administradores de dadosPublicarTBDPublicarTBD
AnalistasPublicarPublicarExibiçãoTBD
Usuários corporativos.ExibiçãoExibiçãoNenhumNenhum

Fontes de dados avaliadas para conexão de analistas

Aqui, os Administradores de dados publicariam as fontes de dados que atendem a todos os seus requisitos de dados e se tornam a “fonte de verdade” para a sua empresa. Os líderes neste projeto podem certificar essas fontes de dados, para que apareçam primeiro nos resultados de pesquisa e estejam incluídas em fontes de dados recomendadas.

Neste caso, é necessário permitir Analistas autorizados a conectar pastas de trabalho a fontes de dados neste projeto, mas não a baixar ou editá-las. Você deve negar o recurso de exibição para esse projeto ao grupo de Usuários corporativos, de modo que eles não possam nem mesmo visualizar o projeto.

GrupoProjetosPastas de trabalhoFontes de dados(Outro conteúdo)
Administradores de dadosPublicarTBDPublicarTBD
AnalistasExibiçãoNenhumExibiçãoNenhum
Usuários corporativos.NenhumNenhumNenhumNenhum

Conteúdo inativo

Outra possibilidade é segregar pastas de trabalho e fontes de dados não usadas por um período, conforme mostrado pelas exibições administrativas. É possível fornecer aos proprietários do conteúdo um prazo antes de o conteúdo ser removido do servidor.

A sua empresa escolhe se deseja fazer isso ou excluir diretamente dos projetos em andamento. Em um ambiente ativo, não tenha medo de escolher a remoção de conteúdo não usado.

GrupoProjetosPastas de trabalhoFontes de dados(Outro conteúdo)
Administradores de dadosNenhumNenhumNenhumNenhum
AnalistasExibiçãoExibiçãoTBDTBD
Usuários corporativos.NenhumNenhumNenhumNenhum

Fonte para modelos de pasta de trabalho

Este é um projeto no qual as pessoas podem baixar, mas não podem publicar ou salvar. É nele que os publicadores autorizados ou líderes de projeto disponibilizam modelos de pastas de trabalho. Os modelos com as fontes, cores, imagens e conexões de dados aprovadas pela sua empresa podem economizar o tempo dos autores e manter os relatórios com aparência consistente.

GrupoProjetosPastas de trabalhoFontes de dados(Outro conteúdo)
Autor autorizadoPublicarPublicarPublicarTBD
Administradores de dadosNenhumNenhumNenhumNenhum
AnalistasExibição

Modelo: explorar

Recurso: baixar pasta de trabalho/salvar uma cópia

ExibiçãoNenhum
Usuários corporativos.NenhumNenhumNenhumNenhum

Próximas etapas

Além de projetos, grupos e permissões, outros temas de governança de dados incluem:

Educação do usuário 

Ajuda todos os usuários do Tableau a se tornarem bons administradores de dados. As empresas mais bem-sucedidas no uso do Tableau criam grupos de usuários do Tableau, conduzem sessões de treinamento regulares e assim por diante.

Para uma abordagem comum de orientação dos usuários ao site, consulte Portais personalizados baseados em painel.

Para obter dicas de publicação e certificação de dados, consulte os tópicos a seguir:

Otimize a atividade de atualização e assinatura da extração

Se o Tableau Server é usado, crie políticas para as agendas de atualização e assinatura de extração para evitar que dominem os recursos do site. As apresentações do cliente na Conferência da Tableau pela Wells Fargo e Sprint abordam em detalhes esse assunto. Além disso, consulte os tópicos em Ajuste de desempenho.

Se você usa o Tableau Cloud, consulte os tópicos a seguir para se familiarizar com as maneiras de atualizar extrações:

Monitoramento

Use as exibições administrativas para prestar atenção no desempenho do site e no uso do conteúdo.

Exibições administrativas

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!