管理外部资产的权限
Tableau Cloud 和 Tableau Server 提供用于访问和管理已发布内容的空间。如果 Tableau Cloud 或 Tableau Server 是使用 数据管理 许可的,则您可以访问 Tableau Catalog。Tableau Catalog 在整个站点中增加了一个互补空间以及一组功能,用于跟踪发布到站点的内容所使用的外部资产的元数据及世系。
Tableau Catalog 会建立内容和资产的索引
Catalog 会发现、跟踪和存储发布到 Tableau Cloud 或 Tableau Server 的内容中的元数据。
Catalog 会为以下各项的元数据建立索引:
Tableau 内容:工作簿、数据源、流程、项目、指标、虚拟连接、虚拟连接表、用户和站点。(Tableau Cloud 的旧指标功能已于 2024 年 2 月停用,并将在 Tableau Server 版本 2024.2 中停用。有关详细信息,请参见创建指标并排查其问题(已停用)。)
外部资产:与 Tableau 内容关联的数据库和表。
Catalog 将来自 Tableau 环境外部的任何数据的元数据分类为外部资产。来自 Tableau 环境外部的数据以多种不同的格式存储,例如数据库服务器或本地 .json 文件。
Catalog 仅跟踪外部数据的元数据,不会跟踪任何形式的基础数据(原始或聚合)。
Catalog 元数据包括以下各项:
世系信息或者各项之间的关系。例如,“Sales”(销售额)表与 Superstore 数据源和 Superstore Sample 工作簿都有关系。
- 架构信息。一些示例包括:
- 表名称、列名和列类型。例如,表 A 包含列 A、B 和 C,其类型为 INT、VARCHAR 和 VARCHARINT。
- 数据库名称和服务器位置。例如,Database_1 是位于 http://example.net 的 SQL Server 数据库。
- 数据源名称,以及该数据源包含的字段的名称和类型。例如,Superstore 数据源包含字段 AA、BB 和 CC。字段 CC 是同时引用字段 AA 和字段 BB 的计算字段。
用户存储、添加或管理的信息。例如,项目说明、认证、用户联系人、数据质量警告等。
Tableau Catalog 的工作方式
Tableau Catalog 对发布到 Tableau Cloud 或 Tableau Server 的所有内容进行索引,以跟踪世系和架构元数据。例如,元数据来自工作簿、打包工作簿、数据源,以及 Tableau Server 或 Tableau Cloud 存储库。
作为索引过程的一部分,还会对发布的内容使用的外部资产(数据库、表和其他对象)的世系和架构元数据进行索引。
注意:除了通过 Tableau Cloud 或 Tableau Servern 访问 Catalog 外,还可以通过 Tableau 元数据 API 和 Tableau Server REST API 访问编入索引的元数据。有关 Tableau 元数据 API 或 REST API 中的元数据方法的详细信息,请分别参见 Tableau 元数据 API(链接在新窗口中打开) 以及 Tableau Server REST API 中的元数据方法。
元数据权限
权限控制允许谁查看和管理外部资产,以及将通过世系显示什么元数据。
注意:如果 Tableau Cloud 或 Tableau Server 不是使用 数据管理 获得许可的,则默认情况只有管理员才能通过 Tableau 元数据 API 查看数据库和表元数据。可以将此默认值更改为使用“派生权限”,如下所述。
访问元数据
用于通过 Catalog(或元数据 API)访问元数据的权限与用于通过 Tableau Cloud 或 Tableau Server 访问内容的权限工作方式类似,对于可能会通过世系和针对外部资产授予的能力公开的敏感数据有一些额外的注意事项。
Tableau 内容的权限
Catalog 采用现有 Tableau 内容上已有的查看和管理能力来控制您可查看和管理的 Tableau 内容相关元数据。有关这些能力的更多常规信息,请参见权限。
使用派生权限的外部资产权限
如果 Tableau Cloud 或 Tableau Server 是使用 数据管理 获得许可的,则在以下情形下,Catalog 将默认使用派生权限为您自动授予对外部资产的相关能力:
对于“查看”能力:
如果您是工作簿、数据源或流程的所有者,则可以查看该工作簿、数据源或流程直接使用的数据库和表元数据。 请参见有关世系的其他注意事项。
如果您是项目所有者或项目主管,则可以查看发布到您的项目的内容所使用的所有数据库和表元数据。
嵌入式文件使用源内容(例如工作簿、数据源或流程)的权限,而不是外部资产(数据库或表)的派生权限。举例来说,如果您可以看到带有嵌入式文件的工作簿,则可以看到该工作簿使用的嵌入式文件及其元数据。
对于“覆盖”和“设置权限”能力:
如果您是流程的所有者,则可以编辑和管理流程输出使用的数据库和表元数据的权限。
注意:对于流程,只有在流程已使用当前所有者身份至少成功运行一次后,上述功能才适用。
检查权限
作为管理员或者已被授予为资产权限设置能力的用户,您可通过执行以下步骤来验证谁具有派生权限。
- 登录到 Tableau Cloud 或 Tableau Server。
从左侧的导航窗格中,单击“外部资产”。
从下拉菜单中,选择“数据库和文件”或“表和对象”。
注意:本地文件(比如 .json 或 .csv 文件)在“数据库”下分组为外部资产。选中要修改其权限的数据库或表旁边的复选框,然后选择“操作”>“权限”。
在“权限”对话框中,单击“+添加组/用户规则”并开始键入以搜索组或用户。
通过单击权限规则中的组名称或用户名来验证权限,在下面查看有效的权限。
外部资产上派生权限的优先顺序
如果为 Tableau Cloud 站点或 Tableau Server 配置了派生权限,则每个用户对外部资产的访问级别取决于关联的 Tableau 内容以及 Tableau 为其内容使用的规则优先顺序。
Tableau 将按以下规则执行,并且只有在当前规则的评估结果为“已拒绝”时,才会继续评估下一条规则。如果任何规则的评估结果为“已允许”,则该能力将得到允许,并且 Tableau 将停止评估。此规则列表基于权限。
对于“查看”能力:
- 管理角色
- 许可证
- 项目主管(Tableau 内容)
- 项目所有者(Tableau 内容)
- 内容所有者(Tableau 内容)
- 派生权限(仅适用于外部资产和“查看”能力)
- 管理角色
- 许可证
- 项目主管(外部资产)
- 项目所有者(外部资产)
- 内容所有者(外部资产)
- 显式权限
对于“覆盖”和“设置权限”能力:
- 管理角色
- 许可证
- 项目主管(Tableau 内容)
- 项目所有者(Tableau 内容)
- 内容所有者(Tableau 内容)
- 显式权限(Tableau 内容)
- 派生权限(对于流程输出,仅适用于外部资产以及“覆盖”和“设置权限”能力)
- 管理角色
- 许可证
- 项目主管(外部资产)
- 项目所有者(外部资产)
- 内容所有者(外部资产)
作为管理员,您可以为站点关闭派生权限默认设置,以便手动授予对数据库和表的显式权限。
- 以管理员身份登录到 Tableau Cloud 或 Tableau Server。
- 从左侧的导航窗格中,单击“设置”。
- 在“常规”选项卡上的“自动访问数据库和表相关元数据”下,清除“为授权用户自动授予对数据库和表相关元数据的访问权限”复选框。
注意:即使未选中该复选框,用户可通过派生权限查看的数据库和表数据质量警告对于这些用户仍然可见。
对个别外部资产设置权限
为了向其他用户授予查看、编辑(覆盖)和管理外部资产的权限,站点管理员可以针对个别数据库或表为用户或组明确授予这些能力。
从 Tableau Server 2022.3 和 Tableau Cloud 2022 年 9 月版开始,您可以在项目中组织外部资产。如权限主题中所述,外部资产的权限继承的工作方式与 Tableau 内容的工作方式相同,并且可以简化权限管理。
下表显示了可为外部资产设置的能力:
能力 | 描述 | 模板 |
---|---|---|
查看 | 查看数据库或表资产。 | 视图 |
覆盖 | 添加或编辑数据库或表资产的数据质量警告和说明。在版本 2020.1 之前,“覆盖”能力称为“保存”。 | 发布 |
移动 | 移动数据库或表资产。 | 管理 |
设置权限 | 为数据库或表资产授予或拒绝权限。 | 管理 |
对数据库或表设置权限
若要对数据库或表设置权限,请使用以下过程。
- 以管理员或已被授予“设置权限”能力的用户身份登录到 Tableau Cloud 或 Tableau Server。
查找数据库或表。如果您知道数据库或表的当前位置,可以通过“浏览”e(从 Tableau Server 2022.3 和 Tableau Cloud 2022 年 9 月开始)来完成此操作,或者通过“外部资产”来查看所有数据库、表和文件的列表。
浏览 - 从左侧导航窗格中,单击“浏览”并找到数据库或表所在的项目。
外部资产 - 从左侧导航窗格中,单击“外部资产”。从下拉菜单中,选择“数据库和文件”或“表和对象”(注意:本地文件,如 .json 或者 .csv 文件在“数据库”下被分组为外部资产。)
选中要修改其权限的数据库或表旁边的复选框,然后选择“操作”>“权限”。
在“权限”对话框中,单击“+添加组/用户规则”并开始键入以搜索组或用户。
选择一个权限角色模板以为组或用户应用初始能力集,然后单击“保存”。可用模板包括:“查看”、“发布”、“管理”、“无”和“已拒绝”。
若要进一步自定义规则,请单击规则中的一个能力,将其设置为“已允许”或“已拒绝”,或将其保留为“未指定”。完成后单击“保存”。
为其他用户或组配置所需的任何其他规则。
通过单击权限规则中的组名称或用户名来验证权限,在下面查看有效的权限。
在某些情况下,外部资产不在项目中:
- Catalog 在外部资产默认项目(Tableau Cloud 2022 年 12 月版/Server 2023.1)存在之前发现的外部资产将不会位于项目中,除非它们从那时起被移到一个项目中。
- 在外部资产默认项目(Tableau Cloud 2022 年 12 月版/Server 2023.1)存在之前已删除其项目的外部资产将不会位于项目中,除非它们从那时起被移到一个项目中。
- 在 Tableau Server 2022.1 及更低版本中,外部资产根本无法移到项目中。
如果外部资产不在项目中,则外部资产的权限与 Tableau Server 2022.1 和 Tableau Cloud 2022 年 6 月版及更早版本中的权限一样。也就是说,数据库和表权限是独立于项目中的内容来控制的,并且表权限可以通过数据库权限来管理。当以这种方式在数据库级别设置权限时,这些权限可以作为该数据库中任何新发现和索引的子表的模板。此外,还可以锁定数据库权限,以便子表始终使用在数据库级别设置的权限。
注意:如果数据库在项目中,则不能锁定(或解锁)该数据库的权限。
若要锁定(或解锁)数据库权限,请使用以下过程:
- 以管理员或已被授予“设置权限”能力的用户身份登录到 Tableau Cloud 或 Tableau Server。
从左侧的导航窗格中,单击“外部资产”。默认情况下,“外部资产”页面显示数据库和文件的列表。
选中要锁定其权限的数据库旁边的复选框,选择“操作”>“权限”,然后单击表权限“编辑”链接。
在“数据库中的表权限”对话框中,选择“已锁定”,然后单击“保存”。
若要解锁权限,请再次单击“编辑”,然后选择“自定义”。
访问世系信息
Catalog(和元数据 API)可以在 Tableau Cloud 或 Tableau Server 上的 Tableau 内容和外部资产之间公开关系和依赖项元数据(也称为世系)。世系显示三项主要内容:
- 项目如何直接或间接地彼此相关
- 这些项目中有多少彼此相关
- 使用适当的权限,显示有关世系中的项目的敏感数据
在某些情况下,世系可能包含敏感数据,例如数据质量警告消息、内容或资产名称,或者相关的项目和元数据。
默认情况下,完整的世系信息将为所有用户显示, 同时针对没有适当“查看”能力的特定用户屏蔽其敏感数据。屏蔽敏感数据的概念称为模糊处理。
模糊处理允许世系中的所有元数据可见,同时针对没有适当“查看”能力的特定用户屏蔽敏感数据。此默认值支持依赖于完整影响分析的工作流。
如果对组织而言,对世系中的敏感数据进行模糊处理并不足够,则可以筛选世系的某些部分,包括其敏感数据。
通过筛选,可以针对没有敏感数据的适当“查看”能力的特定用户忽略世系(以及世系相关区域,比如数据详细信息)的某些部分。由于筛选会忽略了世系的某些部分,因此它会阻止依赖于完整影响分析的工作流。
若要更改敏感数据的处理方式,请执行以下操作:
- 以管理员身份登录到 Tableau Cloud 或 Tableau Server。
- 从左侧的导航窗格中,单击“设置”。
- 在“常规”选项卡上的“敏感世系信息”下,选择最适合于针对 Tableau Cloud 站点或 Tableau Server 上的所有用户处理世系信息的单选按钮。
如果您有相关资产的“查看”能力,您将能看到什么资产和内容何时彼此相关,以及它们的敏感元数据。
例如,您可以看到 1) 相关上游数据库和表的名称、数据质量警告和总数,以及 2) 所评估资产的下游工作簿的世系内的(可见和隐藏)工作表总数。
如果您没有相关资产的“查看”能力,您始终可以看到资产何时彼此相关。
例如,您可以查看 1) 相关的上游数据库和表是否存在于世系中,以及 2) 与您所评估的资产相关的数据库总数或表总数。
但是,如果您没有这些资产的查看能力,则无法查看与之关联的元数据。当元数据由于权限受限而被阻止时,或者资产位于个人空间中时,您将看到“需要权限”。
如果您没有相关资产的“查看”能力,您始终可以看到这些资产是否已获得认证。
但是,如果您没有“查看”能力,就看不到与认证相关的敏感信息,比如相关数据库和表的名称。当元数据由于权限受限而被阻止时,或者资产位于个人空间中时,您将看到“需要权限”。
有关世系的详细信息,请参见为影响分析使用世系。
有关可通过世系数据发现的标记的其他注释
除了 Tableau 内容之外,还可以对外部资产进行标记。尽管标记始终可见,但通过世系数据看到的标记项可能会被模糊处理(默认操作)或筛选,如本主题前面所述。
当标记项被模糊处理时:
如果您具有标记项的“查看”能力功能,则可以看到标记项和相关标记项,以及所有元数据。
如果您没有标记项的“查看”能力:
您可以查看标记项和相关标记项的类型,但看不到有关这些项的敏感元数据。例如,假设您使用标记筛选器来查看带“值得注意”标记的项。尽管您可以看到标有“值得注意”的数据库项,但您看不到已标记数据库的名称。
您可以查看有多少相关的标记项。例如,假设您对“值得注意”执行标记查询。查询返回五个标记数据库。
筛选标记项时,您看到的标记项和相关标记项仅限于您对其具有“查看”能力的项。
有关标记的详细信息,请参见 Tableau 用户帮助中的标记项(链接在新窗口中打开)。
资产结果和内容结果之间的潜在不匹配
当 Catalog 显示世系信息时,它会提供有关 Tableau 内容和外部资产的信息。Catalog 世系始终显示关联项目的真正计数或结果。但是,在站点的其他区域,您可能会看到较少的项目。这可能是因为您的“查看”能力导致的。在 Catalog 之外,您只能看到您的权限允许的内容。
例如,假设您正在查看 Superstore 数据源。Superstore 数据源的世系显示该数据源连接到多个上游基础表,以及多少下游工作簿依赖于该数据源。但是,因为您可能没有查看所有下游工作簿的权限,所以 Catalog 世系中相关工作簿的数量(实际总数)可能大于“连接的工作簿”选项卡中工作簿的数量(您有权查看的数量)。
之所以您可能会看到资产计数与内容计数不匹配,可能还有其他与权限无关的原因。有关详细信息,请参见为影响分析使用世系。
谁可以执行此操作
以下信息总结了可以执行本主题中描述的任务的用户类型。
数据管理 | 能力 | 要求 |
---|---|---|
已许可 | 查看资产及其元数据 | 无 |
编辑资产及其元数据 | 无 | |
更改资产及其元数据的权限 | 无 | |
授予用户查看资产及其元数据的能力 | 默认值:启用“派生权限”时,用户可以查看他们拥有的内容的外部资产相关元数据,或者发布到他们作为项目主管或项目所有者的项目的内容相关元数据。 临时:您可以配置对指定外部资产的显式“查看”权限。 | |
授予用户编辑资产及其元数据的能力 | 您可以配置对指定外部资产的显式“写入”或“覆盖”权限(如果由于用户是流程所有者而未自动授予)。 | |
授予用户更改资产及其元数据的权限的能力 | 您可以配置对指定外部资产的显式“编辑”或“设置权限”权限(如果由于用户是流程所有者而未自动授予)。 | |
未许可 | 查看所有资产及其元数据 | 仅适用于元数据 API |
编辑资产及其元数据 | 需要 数据管理 | |
更改资产及其元数据的权限 | 需要 数据管理 | |
授予用户查看资产及其元数据的能力 | 仅适用于元数据 API: 您可以按上述方式启用派生权限。如果“派生权限”已启用,用户可以查看他们拥有的内容的外部资产相关元数据,或者发布到他们作为项目主管或项目所有者的项目的内容相关元数据。 | |
授予用户编辑资产及其元数据的能力 | 需要 数据管理 | |
授予用户更改资产及其元数据的权限的能力 | 需要 数据管理 |
数据管理 | 能力 | 要求 |
---|---|---|
已许可 | 查看资产及其元数据 | 默认值:当 Tableau Cloud 站点管理员或 Tableau Server 管理员启用“派生权限”后,您可以查看自己拥有的内容的外部资产相关元数据,或者发布到您作为项目主管或项目所有者的项目的内容相关元数据。 临时:您可以查看您已被授予其显式“查看”权限的外部资产的相关元数据。 |
编辑资产及其元数据 | 您可以编辑您已被授予显式“写入”或“覆盖”权限的外部资产的相关元数据(如果由于用户是流程所有者而未自动授予)。 | |
更改资产及其元数据的权限 | 您可以更改您已被授予显式“编辑”或“设置权限”权限的外部资产的权限(如果由于用户是流程所有者而未自动授予)。 | |
授予其他用户查看资产及其元数据的权限 | 您可以更改您已被授予显式“编辑”或“设置权限”权限的外部资产的权限(如果由于用户是流程所有者而未自动授予)。 | |
未许可 | 查看资产及其元数据 | 仅适用于元数据 API: 如果 Tableau Cloud 站点管理员或 Tableau Server 管理员启用了“派生权限”,您可以查看自己拥有的内容的外部资产相关元数据,或者发布到您作为项目主管或项目所有者的项目的内容相关元数据。 |
编辑资产及其元数据 |
需要 数据管理 | |
更改资产及其元数据的权限 | ||
授予其他用户查看资产及其元数据的权限 |