权限

权限确定用户如何与内容(例如工作簿和数据源)进行交互。权限在权限对话框中或通过 REST API(Link opens in a new window) 设置。 在对话框的顶部,权限规则为组或用户配置能力。下方的权限网格显示用户的有效权限。

Project permissions dialog showing the workbook tab

如果存在数据管理加载项,则外部资产的权限还有其他注意事项。有关详细信息,请参见管理外部资产的权限

权限基础知识

项目和组

Tableau 站点使用项目来组织内容,使用来组织用户。在权限规则为以下各项时,管理权限更加轻松:

  • 在项目级别设置,而不是针对单个内容段设置。
  • 针对组而不是个人而建立。

只能为用户、组、项目或已存在的内容建立权限。有关创建用户和组、创建项目和发布内容的详细信息,请参见管理用户和组使用项目管理内容访问权限,以及发布数据源和工作簿(Link opens in a new window)

能力和权限规则 

权限由能力(即执行像查看内容、Web 編輯、下载数据源或删除内容这样的操作的能力)组成。权限规则建立允许或拒绝用户或组对一段内容使用的能力。

注意:一般情况下,当讨论权限时,经常会看到“用户必须具有删除权限”之类的短语。在广泛的背景下,这很容易理解。但是,如果像本文中这样在技术级别使用权限时,更准确的说法是“删除能力”。在本主题中,我们将使用更精确的术语能力,但您应该知道,您可能会在其他地方看到权限

许可证级别、站点角色和潜在的多个权限规则之间的相互作用是最终确定用户可以做什么或不可以做什么的因素。对于每个用户,这将成为他们的有效权限。有关详细信息,请参见有效权限

诸如通过浏览器创建新工作簿(Web 制作)或移动内容等某些任务可能需要对若干能力进行特定配置,而不是在单一能力中捕获。有关详细信息,请参见特定方案的权限设置

设置权限

有关如何在项目级别、内容级别或在从 Tableau Desktop 发布内容时设置权限规则的详细信息,请浏览下面的选项卡。

注意:“项目权限”一词可以有两个含义。项目本身用于控制用户如何与项目进行交互的权限能力(查看和发布)。还有适用于其他内容类型的项目级别权限规则的概念。在本文中,“项目级别权限”是指适用于工作簿、数据源和项目权限对话框中配置的其他内容的权限规则。这与可针对特定工作簿、数据源等设置的“内容级别”权限规则形成对比。

对于管理员、项目所有者和项目主管

若要在项目级别设置权限,请执行以下操作:

  1. 导航到项目
  2. 打开“操作”菜单 (...),并单击“权限”。权限对话框将打开。
  3. 此对话框有两个主要区域:顶部的权限规则,以及下方的有效权限网格。每种内容类型(项目、工作簿、数据源、流程、数据角色)都有一个选项卡。下图显示了“工作簿”选项卡。

    Project permissions dialog showing the workbook tab

    在顶部选择一行后,有效权限网格中将填充内容。使用此选项来验证权限。悬停鼠标光标将提供有关为何针对该特定用户允许或拒绝该能力的原因。

  4. 若要修改现有权限规则,请为该内容类型选择相应的选项卡,然后单击某个能力。
  5. 若要创建新规则,请单击“+添加组/用户规则”,并开始键入以搜索组或用户。对于每个选项卡,从下拉框中选择一个现有权限角色模板,或通过单击能力来创建自定义规则。
  6. 单击一次可将能力设置为“已允许”,单击两次将其设置为“已拒绝”,第三次单击将清除所选内容(“未指定”)。

  7. 完成后,单击“保存”

提示:在项目级别设置的权限规则充当该项目及其包含的任何嵌套项目中保存的内容的默认值。这些项目级别的默认规则是强制执行还是仅作为初步规则,取决于“内容权限”设置。可通过两种方式配置此设置:“已锁定”“可自定义”。有关详细信息,请参见锁定内容权限

适用于管理员、项目主管和内容所有者

如果项目内容权限可自定义,则可以修改单独的内容部分的权限。以下信息与锁定项目中的内容无关。有关详细信息,请参见锁定内容权限

提示:尽管可以对可自定义项目中的单个内容设置权限,但我们建议在项目级别管理权限。

设置内容权限

  1. 导航到内容(工作簿、数据源、流程、数据角色)
  2. 打开“操作”菜单 (...),并单击“权限”。权限对话框将打开。
  3. 此对话框有两个主要区域:顶部的权限规则,以及下方的有效权限网格。(请注意顶部缺少选项卡 — 内容级别权限对话框没有选项卡。)

    在顶部选择一行后,有效权限网格中将填充内容。使用此选项来验证权限。将鼠标悬停在能力方块上可提供有关针对该特定用户允许或拒绝该能力的原因的信息。

  4. 若要修改现有权限规则,请单击某个能力。
  5. 若要创建新规则,请单击“+添加组/用户规则”,并开始键入以搜索组或用户。从下拉列表中选择一个现有权限角色模板,或通过单击能力来创建自定义规则。
  6. 单击一次可将能力设置为“已允许”,单击两次将其设置为“已拒绝”,第三次单击将清除所选内容(“未指定”)。

  7. 完成后,单击“保存”

设置视图权限

提示:尽管可以在工作簿内设置视图级别权限,但我们强烈建议在项目或工作簿级别管理权限。

如果在选中“将工作表显示为标签”时发布工作簿,该工作簿中的视图将继承为工作簿设置的所有权限。视图的权限对话框将是只读的。

在某些情况下,独立于包含视图的工作簿来指定视图权限可能很有价值。如果在未选中“将工作表显示为标签”时发布工作簿,则视图将从工作簿权限开始,但此后将是独立的,可以独立设置。请注意,这意味着如果为工作簿修改了权限规则,这些更改将不会应用于视图 — 每个视图的权限都需要单独管理。

有关详细信息,请参见显示或隐藏工作表标签

对于内容发布者

如果项目内容权限是可自定义的,则可以在从 Tableau Desktop 发布时针对单个内容设置权限。以下信息与锁定项目中的内容无关。有关详细信息,请参见锁定内容权限

提示:尽管可以对可自定义项目中的单个内容设置权限,但我们建议在项目级别管理权限。

  1. 从发布对话框中,单击“权限”的“编辑”链接。
    如果“编辑”链接不可用,则权限已锁定到项目,且不能被除项目所有者、项目主管或管理员外的任何用户修改。
  2. “添加/编辑权限”对话框显示任何现有权限规则。单击“添加”以添加新权限规则,或者单击“编辑”以修改现有权限规则
    1. 从左侧窗格中选择组或用户。您可以展开组以查看其包含的用户。
    2. 使用右侧窗格顶部的选择器选择一个现有模板,或使用单选按钮来创建自定义规则。

    请注意,无法从发布对话框中检查有效权限。

  3. 完成后,单击“确定”并继续发布。

注意:Tableau Prep Builder 中发布流程时,无法设置权限。若要设置流程权限,请参阅适用于项目级别权限或内容级别权限的步骤。

提示:默认情况下,所有用户都将添加到对内容具有基本权限的“所有用户”组中。若要在构建自己的权限规则时从头开始,我们建议您完全删除规则或编辑“所有用户”的规则以移除任何权限(将权限角色模板设置为“无”)。这将减少适用于任何给定用户的规则数量,使有效权限更容易理解,从而有助于防止将来出现任何不明确情况。

权限能力

权限由能力(即对一部分内容执行给定操作的能力,例如查看、筛选、下载或删除)组成。对话框的“权限规则”区域中的每一行是一条权限规则。权限规则是该行中组或用户的每个能力(已允许、已拒绝或未指定)的设置。权限规则具有可用的模板,使快速分配能力变得更加容易。也可以复制和粘贴权限规则。

注意:在项目的权限对话框中,每个内容类型(项目、工作簿、数据源,以及数据角色和流程(如果您有 数据管理加载项))都有选项卡。添加权限规则时,所有内容类型中所有能力的默认值为“未指定”。若要允许或拒绝每种内容类型的功能,必须依次转到每个选项卡。在特定内容的权限对话框中,没有选项卡,并且权限规则仅适用于该内容。

模板

模板将通常根据常见用户方案分配在一起的能力集(“查看”“浏览”“发布”“管理”)分组。分配模板会将其包含的能力设置为“已允许”,并将其余能力保留为“未指定”。模板是累积的,因此“浏览”模板包括“查看”模板中的所有能力加上其他能力。所有内容还具有“无”(将所有能力设置为未指定)和“已拒绝”(将所有能力设置为已拒绝)模板。

模板是一个起点,可以在应用模板后进行调整。也可以在完全不使用模板的情况下授予或拒绝能力。在这两种情况下,模板列随后都将显示“自定义”

复制和粘贴权限

如果需要将权限规则分配给多个组或用户,则可以将权限规则从一个规则复制并粘贴到另一个规则。不能在包含“项目主管”状态的规则中复制或粘贴。

  1. 打开要从中复制的现有规则的操作菜单 (...) ,然后选择“复制权限”。仅当规则未处于编辑模式时,此选项才可用。
  2. 选择要在其上粘贴的现有规则。您也可以通过单击“+添加组/用户规则”并选择组或用户来创建新规则。
  3. 打开“操作”菜单 (...),然后选择“粘贴权限”

能力

浏览下面的选项卡,了解有关每种内容类型的能力的详细信息:

项目只有两个能力和两个模板。在 2020.1 之前,“项目主管”被视为权限能力,而不是设置。有关项目主管以及如何在 2020.1 及更高版本中分配他们的详细信息,请参见项目管理

“查看”模板

“查看”允许用户查看项目。如果没有授予用户“查看”能力,则他们将看不到项目。授予项目的“查看”能力并不意味着用户可以看到项目中的任何内容,而只是意味着项目本身存在。

“发布”模板

“发布”允许用户通过 Tableau DesktopTableau Prep Builder 将内容发布到项目。通过 Web 制作将内容移到项目中或将内容保存到项目也需要“发布”能力。在 2020.1 之前,此能力称为“保存”。

“查看”模板

“查看”允许用户查看工作簿或视图。如果没有授予用户“查看”能力,则他们将看不到工作簿。

“筛选器”允许用户与视图中的筛选器(包括“只保留”和“排除”筛选器)交互。缺少此能力的用户将不会在视图中看到筛选器控件。

“查看注释”允许用户查看与工作簿中的视图关联的注释。

“添加注释”允许用户为工作簿中的视图添加注释。

“下载图像/PDF”允许用户以 PNG、PDF 或 PowerPoint 格式下载每个视图。

“下载摘要数据”允许用户查看视图或他们选择的标记中的聚合数据,并(以 CSV 格式)下载该数据。

“浏览”模板

“共享自定义”允许用户将对视图进行的自定义(例如筛选器和选择内容)保存为自定义视图。对于具有 Explorer 或以上站点角色的用户,他们可以共享这些自定义项,从而使其显示为其他用户的选项。有关详细信息,请参见“使用自定义视图”(Link opens in a new window)

“下载完整数据”允许用户查看视图或他们选择的标记中的基础数据,并(以 CSV 格式)下载该数据。

“Web 编辑”允许用户在基于浏览器的制作环境中编辑视图。

“发布”模板

“下载工作簿/保存副本”允许用户(以 TWBX 格式)下载打包工作簿。允许用户从 Web 编辑界面中将副本保存(发布)为新工作簿。在 2020.1 之前,此能力称为“下载工作簿/另存为”。

“覆盖”允许用户覆盖(保存)服务器上的内容资产。在 2020.1 之前,此能力称为“保存”。

  • 允许时,用户可以在 Web 制作过程中重新发布工作簿、数据源或流程,或者保存工作簿,从而成为所有者并获得所有权限。随后,就像任何其他用户一样,原始所有者对工作簿的访问权限由其权限确定。

“管理”模板

“移动”允许用户在项目之间移动工作簿。有关详细信息,请参见移动内容

“删除”允许用户删除工作簿。

“设置权限”允许用户为工作簿创建权限规则。

注意:在配置为不显示导航工作表标签的工作簿中,视图(工作表、仪表板、故事)在发布时会继承工作簿权限,但必须对单独的视图进行任何权限规则更改。“查看”能力与适用于工作簿的那些能力相同,但“覆盖”“下载工作簿/保存副本”“移动”除外,这些能力仅在工作簿级别可用。

建议尽可能显示导航工作表标签,以便视图继续从工作簿继承其权限。有关详细信息,请参见显示或隐藏工作表标签

“查看”模板

“查看”允许用户查看服务器上的数据源

连接”允许用户在 Tableau Desktop、Tableau Prep Builder、“数据问答”(Ask Data) 功能或 Web 编辑中连接到数据源。

  • 如果工作簿作者将其凭据嵌入已发布工作簿中发布的数据源,则本质上是嵌入了他们的“连接”能力。因此,用户将能够查看工作簿中的数据,而不管他们自己对于该数据源的“连接”能力如何。如果工作簿作者未将其凭据嵌入发布的数据源,则用户需要自己的数据源“连接”能力才能使用工作簿。有关详细信息,请参见已发布 Tableau 数据源的数据访问权限
  • 用户必须具有数据源的“连接”能力才能使用“数据问答”(Ask Data) 功能。 有关详细信息,请参见为站点和数据源启用“数据问答”(Ask Data) 功能(Link opens in a new window)

“浏览”模板

“下载数据源”允许用户(以 TDSX 格式)从服务器下载数据源

  • 必须在本地使用多维数据集数据源,如 Microsoft Analysis Services 或 Oracle Essbase 连接的那些数据源。若要将发布的数据源下载到 Tableau Desktop,用户必须具有“下载”能力。有关详细信息,请参见多维数据集数据源

“发布”模板

“覆盖”允许用户将数据源发布到服务器并覆盖服务器上的数据源。在 2020.1 之前,此能力称为“保存”。

“管理”模板

“删除”允许用户删除数据源

“设置权限”允许用户为数据源创建和编辑权限规则

  “查看”模板 “浏览”模板 “发布”模板 “管理”模板
流程 “查看”允许用户查看流程。 “下载流程”允许用户(以 TFLX 格式)下载流程。

“运行”允许用户运行流程。

“覆盖”*允许用户发布流程和覆盖已发布流程。

“移动”允许用户在项目之间移动内容。有关详细信息,请参见移动内容

“删除”允许用户删除内容。

“设置权限”允许用户为内容创建权限规则。

 

数据角色 “查看”允许用户查看数据角色。 不适用 “覆盖”*允许用户发布数据角色和覆盖已发布数据源。
指标 “查看”允许用户查看指标。 不适用 “覆盖”*允许用户发布指标和覆盖已发布指标。

*在 2020.1 之前,“覆盖”能力功能称为“保存”。

权限管理

使用项目可以通过使用嵌套项目层次结构、从某些用户或组中隐藏项目、授权项目主管和锁定权限等功能来简化权限管理。

提示:在项目级别设置权限的方式非常重要,特别是对于“默认”项目。创建新的顶层项目时,它将从“默认”项目继承其(适用于所有内容类型的)默认权限规则。在另一个项目内以嵌套方式创建新项目时,子项目将从父项目继承其默认权限规则。

项目管理

项目是用于组织内容和管理内容访问权限的容器。通过为非管理员授予管理项目的特权,将能在项目级别处理某些内容管理任务。

项目主管:项目可能有项目主管,即已设置为“项目主管”的用户。此设置自动为用户授予其针对该项目及其中的所有内容的最大能力(取决于用户的站点角色)。具有“Explorer(可发布)”及更高站点角色的项目主管将因此拥有所有能力。项目主管本质上是项目的本地管理员,无法访问站点或服务器设置。

分层结构:只有管理员才能创建顶层项目。项目所有者和项目主管可在其项目内创建嵌套项目。项目所有者和主管对项目及其内容以及其中包含的任何嵌套项目拥有完全管理访问权限。在分层结构中,系统将为项目主管隐式授予对所有子内容的项目主管访问权限。若要移除项目主管访问权限,您必须在分层结构中显式分配了角色的级别进行移除。

所有权:一个项目可以有多个项目主管,但每个项目只有一个所有者。默认情况下,项目所有者是创建项目的用户。(现有所有者或管理员,而不是项目主管)可将项目的所有者更改为具有“Explorer(可发布)”或“Creator”站点角色或管理员站点角色的任何用户。无论是否锁定了项目权限,都可以更改项目所有权。请注意,这是指项目所有权。内容所有权可以由项目所有者、项目主管和管理员更改。

删除:内容只能存在于项目内。只有管理员才能创建和删除顶层项目,但项目主管可以创建或删除嵌套项目。删除项目还会删除它们包含的所有内容和嵌套项目。若要删除某个项目而不丢失其内容,请首先将内容转移到另一个项目。删除项目操作无法撤消。

如需深入了解项目管理,请参见使用项目管理内容访问权限添加项目并将内容移至其中

设置项目主管

项目主管是对特定项目或项目分层结构类似管理员的访问权限的用户。在 2020.1 之前,“项目主管”是一种能力,可以像任何其他能力一样设置为已允许、已拒绝或未指定。从 2020.1 开始,项目主管现在通过操作菜单分配,并充当设置而不是能力。

将项目主管身份分配给组或用户

  1. 打开相应项目的权限对话框。
  2. 选择现有权限规则,或单击“+添加组/用户规则”并选择所需的组或用户。
  3. 打开该权限规则的操作菜单 (...),并选择“设置项目主管...”

注意:如果操作菜单包含启用“设置项目主管”的选项,则需要在将组或用户设置为项目主管之前选择此选项。 仅当该组或用户被拒绝“项目主管”能力能(在 2020.1 之前)时,才会显示此选项。在将他们设置为项目主管之前,需要移除该已拒绝能力。

使用权限规则将组或用户建立为项目主管后,模板和能力将不再可编辑,因为对于项目主管所有能力均为已允许。如果在包含嵌套项目的项目上建立了项目主管,他们将在所有嵌套项目及其内容上具有已继承项目主管身份。

项目主管身份始终在整个项目分层结构中向下应用,并且只能从设置它所在的级别中移除。若要移除项目主管身份,请按照上述步骤操作,但从操作菜单中选择“作为项目主管移除”。将组或用户作为项目主管移除后,该权限规则的所有能力将设置为“未指定”。这可能意味着,如果没有其他权限规则授予他们对内容的权限,则将删除他们对该项目的访问权限和能力。要保留用户或组对项目及其内容的访问权限,他们需要像任何其他组或用户一样设置能力。

锁定内容权限

在项目级别设置的权限规则充当该项目及其包含的任何嵌套项目中保存的内容的默认值。这些项目级别的默认规则是强制执行还是仅作为初步规则,取决于“内容权限”设置。可通过两种方式配置此设置:“已锁定”(推荐)或“可自定义”。锁定项目将移除内容所有者修改其内容的权限规则的能力。锁定权限可应用于嵌套项目,也可以仅应用于父项目本身。

  • 将内容权限锁定(包括嵌套项目)后,将为项目及所有嵌套项目中的所有内容强制实施在项目级别设置的权限规则。(这是 2020.1 之前用于锁定项目的默认行为。)
  • 当内容权限已锁定(不包括嵌套项目)时,将在项目级别为项目中的内容强制实施权限规则,但可将嵌套项目独立配置为具有自己的已锁定或可自定义形式的权限规则。 (这是自 2020.1 起用于锁定项目的新行为。)
  • 当内容权限为可自定义时,默认情况下,在项目级别设置的权限规则将应用于项目中的所有内容。但是,可以在发布期间或发布后针对单独的内容部分修改权限规则。(在 2020.1 之前,这被称为“由所有者管理”

注意:无论权限规则是已锁定还是可自定义,都始终会应用内容权限。已锁定可自定义仅指项目中的内容如何继承项目级别权限,以及谁可以更改这些权限。即使在具有可自定义权限的项目中,也只有特定用户可以修改权限(内容或项目所有者、项目主管、管理员或具有“设置权限”能力的用户)。

在已锁定项目中:

  • 每个内容类型的项目权限规则将应用于所有内容。
  • 只有管理员、项目所有者和项目主管才能修改权限。
  • 内容所有者会丢失“设置权限”能力,但保留对其内容的所有其他能力。
  • 项目中的所有内容的权限都是可预测的。

在可自定义项目中:

  • 将内容发布到项目中或者创建嵌套项目时,默认情况下会应用项目权限规则,但可以在发布期间或创建内容之后修改权限。
  • 具有“设置权限”能力的任何用户可以修改该内容的权限规则。
  • 项目所有者对其内容拥有所有能力。
  • 项目中不同内容的权限可能不同。

设置内容权限(锁定项目)

新的顶层项目会从“默认”项目继承所有初始权限,但不继承内容权限设置,后者设置为“可自定义”。如果需要,可以将此项更改为“已锁定”

若要配置内容权限,请执行以下操作:

  1. 您必须以管理员、项目所有者或项目主管身份登录到站点
  2. 打开某个项目的权限对话框
  3. 单击左上角的内容权限“编辑”链接,并在“内容权限”对话框中选择所需的选项

注意:如果在上面的步骤 3 中左上角未显示“编辑”链接,则您可能位于 (a) 锁定项目中的嵌套项目或内部部分的权限对话框中,在这种情况下,该链接应会引导您进入管理项目功能;(b) 可自定义项目中的内容部分的权限对话框中,该对话框不显示任何内容;或者 (c) 视图的权限对话框中,该对话框指明视图权限如何绑定到工作簿。有关视图和工作簿权限的相互作用的详细信息,请参见显示或隐藏工作表标签

更改内容权限

更改项目的内容权限设置时,结果取决于新设置。必须在管理项目级别对已锁定分层结构中的权限规则进行更改。

更改自 更改为 结果
已锁定(包括嵌套项目) 已锁定

不修改现有权限规则。

任何嵌套项目变为可自定义。

可自定义

不修改现有权限规则,尽管这些规则可自定义。

任何嵌套项目变为可自定义。

已锁定 已锁定(包括嵌套项目)

覆盖所有嵌套项目及其内容的现有自定义权限规则。此操作无法撤消。

可自定义

不修改现有权限规则,尽管这些规则可自定义。

任何嵌套项目都保留其内容权限设置和权限规则。

可自定义 已锁定(包括嵌套项目) 覆盖项目以及所有嵌套项目及其内容中内容的现有自定义权限规则。此操作无法撤消。
已锁定

覆盖项目中内容的现有自定义权限规则。此操作无法撤消。

任何嵌套项目都保留其权限规则并保持可自定义。

移动项目和内容

当项目移动到另一个项目时,将保留所移动项目的权限设置,除非目标项目的范围已限定为包括嵌套项目。

  • 如果目标项目设置为“已锁定”(包括嵌套项目),则所移动项目的权限将被覆盖。
  • 如果目标项目设置为“已锁定”(不包括嵌套项目),则不会覆盖所移动项目的权限。已移动项目是否已锁定或可自定义是从其原始设置中保留的。
  • 如果目标项目设置为可自定义,则所移动项目的权限不会被覆盖,但它们现在可编辑。
    • 如果所移动的项目以前嵌套在已锁定(包括嵌套项目)的父项目下,那么在移动时,项目将接受已锁定(包括嵌套项目)设置,并成为它所包含的任何项目的管理项目。注意:如果移动项目使其成为顶层项目,结果也相同。

有效权限

权限规则确定受影响的人员(组或用户),以及他们的哪些能力的状态为“已允许”“已拒绝”“未指定”。尽管简单地设置一个权限规则并将其作为全部似乎很简单,但是由于用户属于多个组以及站点角色和所有权与权限规则之间的相互作用,用户是否具有该功能可能并不清楚。

系统按特定顺序对多个因素进行评估,从而生成针对一部分内容的有效权限

提示:为了让事情尽可能简单,我们建议 (1) 为组而不是用户设置权限规则,(2) 管理锁定在项目级别的权限而不是为单个内容设置权限,以及 (3) 删除“所有用户”组的权限规则或将所有能力设置为“无”。

将鼠标光标悬停在能力上会显示一个说明有效权限的工具提示。下面是一些常见的例子,说明为何有效权限(用户实际上可执行或无法执行什么操作)看起来可能与给定权限规则规定的权限不同:

  • 用户可能具有在权限规则中被拒绝的能力,原因是其站点角色包括该能力(管理员)。
  • 用户可能具有在权限规则中被拒绝的能力,原因是他们的用户方案允许该能力(因为他们拥有内容,或者是项目所有者或主管)。
  • 用户可能缺少在权限规则中被允许的能力,原因是其站点角色不允许该能力。
  • 用户可能缺少在权限规则中被允许的能力,原因是存在冲突的组或用户规则拒绝了该能力。
  • 用户可能缺少在权限规则中的某一内容级别(例如工作簿)允许的能力,原因是另一个内容级别(例如视图)拒绝了该能力。

仅当以下三个条件全部得到满足时,才会为用户允许某项能力:

  • 该能力在其站点角色的范围内。
  • 他们拥有该能力:
    • 基于特定用户方案(例如是内容所有者或项目主管,或者他们是管理员站点角色),
      或者
    • 他们已被允许作为用户使用该能力,
      或者
    • 因为他们都位于已允许使用该能力的组中,并且没有规则拒绝他们作为用户或其他组的成员使用该能力。
  • 在另一个优先的内容级别没有冲突的权限设置。

任何其他情况拒绝用户使用该能力。

评估权限规则

Tableau 中的权限是限制性的。除非将能力授予用户,否则将拒绝用户的权限。以下逻辑评估某项能力对于某个人是允许还是拒绝:

  1. 站点角色:如果站点角色不允许某项能力,则会拒绝用户。如果用户的站点角色允许该能力,则会评估特定用户方案。
  2. 特定用户方案: 
    • 如果用户是管理员,则他们对所有内容具有所有能力。
    • 如果用户是项目所有者或项目主管,则他们对其项目中的所有内容具有所有能力。
    • 如果用户是内容所有者,则他们对自己的内容具有所有能力。
    • 如果这些方案不适用于用户,则评估用户规则。

    *例外情况:在权限已锁定的项目中,内容所有者将没有“设置权限”能力。只有管理员、项目所有者和项目主管才能在锁定的项目中设置权限规则。

  3. 用户规则:如果拒绝用户使用某项能力,则拒绝该能力。如果允许用户使用某项能力,则允许该能力。如果能力为未指定,则评估组规则。
  4. 组规则:如果拒绝任何组中的用户使用某项能力,则拒绝该能力。如果用户在允许某项能力的组中(并且不在拒绝该能力的任何组中),则允许该能力。
    • 也就是说,如果用户是两个组中的成员,其中一个组被允许拥有某项能力,另一个组被拒绝拥有同一能力,则拒绝行为对于该用户为优先行为,并且用户会被拒绝。
  5. 如果以上条件都不适用,则拒绝用户拥有该能力。实际上,这意味着保留为未指定的能力将导致被拒绝。

因此,在三种情况下会出现“已允许”最终有效权限:

  • 被站点角色(服务器管理员、站点管理员 Creator、站点管理员 Explorer)允许
  • 由于用户是内容所有者、项目所有者或项目主管而被允许
  • 被组或用户规则允许(并且未被更高优先级的规则拒绝)

在三种情况下会出现“已拒绝”

  • 被站点角色拒绝
  • 被规则拒绝(并且未被更高优先级的规则允许)
  • 未由任何规则授予

评估在多个级别设置的权限

如果项目内容权限可自定义,则可以在多个地方配置权限规则。有一些用于确定对内容应用什么权限的特定规则。

  • 如果存在嵌套项目,则在子级别设置的权限优先于在父级别设置的权限。
  • 不会为现有内容强制实施在项目级别权对权限进行的更改。
  • 如果在发布期间或发布后对内容(工作簿、数据源或流程)设置了权限,则这些权限优先于在项目级别设置的规则。
  • 如果工作簿未显示工作表标签,则对项目级别权限所做的任何更改将不会由视图继承,并且任何权限更改必须在视图上完成。
  • 将工作簿配置为显示导航工作表标签将覆盖现有视图级别权限,并将其与工作簿级别权限同步。请参见显示或隐藏工作表标签

此图显示了能力在内容的多个级别中的评估方式。

权限、站点角色和许可证

向 Tableau Server 中添加用户需要许可证(或者可将他们以未许可方式添加,但未许可的用户无法登录或与内容交互)。对于用户所属的每个站点,他们确切地拥有一个受其许可证所限的站点角色。用户对站点上的内容具有权限,受其站点角色所允许的能力限制。许可证和站点角色适用于用户。权限能力适用于内容。

系统在 Tableau Server 或 Tableau Online 站点上创建许可证时,会将其分配给用户。用户以 CreatorExplorer Viewer(查看者)身份获得授权。

  • 许可证级别是根据用户在该服务器上可以拥有的最大站点角色来使用的。
    • “服务器管理员”、“站点管理员 Creator”和“Creator”站点角色使用 Creator 许可证。
    • “站点管理员 Explorer”、“Explorer(可发布)”和“Explorer”站点角色至少使用 Explorer 许可证。
    • “Viewer(查看者)”站点角色至少使用 Viewer(查看者)许可证。
    • 未许可的用户可以存在于服务器上,但他们无法登录。
  • 对于 Tableau Server,一名用户只消耗每个服务器的一个许可证,即使他们是多个站点的成员。如果用户是多个站点的成员,则该用户需要的许可证级别由其最高站点角色确定。(举例来说,如果某名用户在一个站点上拥有“Creator”站点角色,在另外两个站点上拥有“Viewer(查看者)”站点角色,则他们消耗 Creator 许可证。)

将针对用户是其成员的每个站点为用户分配站点角色

  • 站点角色确定用户在该站点中可拥有的最大能力。(例如,具有“Viewer(查看者)”站点角色的用户永远无法下载数据源,即使针对特定数据源为其显式授予了该能力也是如此。)
  • 站点角色并不会固有地在本身中授予任何能力和授予本身的任何能力 — 管理员站点角色除外。管理员始终具有适用于其许可证级别的所有能力。

权限由像保存到项目、对工作簿进行 Web 編輯、连接到数据源等这样的能力构成。它们针对特定的一部分内容(项目、数据源、工作簿、视图或流程)应用于组或用户。

  • 系统不会在隔绝的环境中将权限能力授予组或用户,而是在内容上下文中授予。对于不同的内容资产,用户可能具有不同的能力。
  • 系统根据用户的站点角色与该用户或其所属的任何组的权限规则的相互作用对权限进行评估。
  • 诸如 Web 制作等某些操作可能需要能力的组合。
站点角色及其最大能力

以下各表指明了提供给每个站点角色的能力。具有某个站点角色的用户可能有其他方式来执行某项操作。例如,尽管无法为 Viewer(查看者)授予“共享自定义”能力,但他们可通过复制 URL 来共享视图。有关每个站点角色可执行的操作的详细信息,请参见允许每个站点角色所具有的一般能力

项目

能力 Creator Explorer(可发布) Explorer Viewer(查看者)
查看
发布

工作簿

能力 Creator Explorer(可发布) Explorer Viewer(查看者)
查看
筛选器
查看注释
添加注释
下载图像/PDF
下载摘要数据
共享自定义
下载完整数据
Web 编辑
下载工作簿/保存副本
覆盖
移动 *
删除
设置权限

数据源

能力 Creator Explorer(可发布) Explorer Viewer(查看者)
查看
连接
下载数据源
覆盖
删除
设置权限

数据角色

请注意,数据角色是 数据管理加载项 的一部分。.

能力 Creator Explorer(可发布) Explorer Viewer(查看者)
查看
覆盖
移动 *
删除
设置权限

流程

请注意,流程是 数据管理加载项 的一部分。

能力 Creator Explorer(可发布) Explorer Viewer(查看者)
查看
下载流程
运行流程
覆盖
移动 *
删除
设置权限

指标

能力 Creator Explorer(可发布) Explorer Viewer(查看者)
查看
覆盖
移动 *
删除
设置权限

 

*尽管可为“Explorer”角色授予 “移动” 能力,但他们无法具有项目的 “发布” 能力,因此没有地方让他们移动内容。因此,对于“Explorer”站点角色, “移动” 能力应被视为无法实现。

特定方案的权限设置

某些操作需要权限能力的组合,并可能需要站点角色的组合。下面是一些常见方案及其必要的权限配置

保存、发布和覆盖

在权限的上下文中,保存本质上是发布。因此,只能将“覆盖”“保存副本”能力授予允许发布的站点角色(“管理员”、“Creator”或“Explorer(可发布)”)的用户。“Explorer ”或“Viewer(查看者)”站点角色不能进行发布、覆盖或保存副本操作。

(在版本 2020.1 之前,“发布”和“覆盖”能力称为“保存”,“下载工作簿/保存副本”能力称为“下载工作簿/另存为”。)

  • 项目的“发布”能力允许用户将内容发布到该项目。
  • “覆盖”能力允许用户保存现有内容部分;他们将成为所有者。
  • “保存副本”能力允许用户保存内容的新副本。这通常与 Web 制作结合完成,并意味着用户可以保存其所做的修改。

请务必注意,除非用户具有至少一个项目的“发布”能力,否则无法保存或另存为一段内容,因为所有内容都必须发布到项目中。如果在项目级别没有“发布”能力,则无法发布内容。

在 Web 编辑中,只会向内容所有者显示“文件”菜单中的“保存”选项。如果不是所有者的用户具有“覆盖”能力(允许他们保存内容),则他们必须使用“文件”>“另存为”,并将工作簿命名为完全相同的名称。这将出现一条警告提示,指出他们将要覆盖现有内容,并且能够这样做。相反,仅具有“保存副本”能力并尝试使用相同名称的用户将看到一条错误,指出他们没有覆盖现有内容的权限。

如果不是内容所有者的用户覆盖内容,他们将成为所有者,拥有需要的所有权限。原始所有者的内容访问权限随后由其作为用户(而不是所有者)的权限确定。

注意: “下载工作簿/保存副本”是适用于工作簿的联合能力。可以为 Explorer 授予此能力,但他们只能下载工作簿,无法保存为副本。为“Explorer(可发布)”、“Creator”或“管理员”站点角色授予该能力将为他们同时授予下载工作簿保存副本的能力。

“Web 编辑”和“Web 制作”

Web 编辑和 Web 制作是指用户直接在浏览器中编辑或创建工作簿的一般能力。权限能力称为“Web 编辑”,站点设置称为“Web 制作”。此部分将任何基于 Web 的编辑或发布操作称为 Web 制作

启用此功能需要满足若干要求。

  • 站点设置:必须为整个 Tableau 站点启用 Web 制作。请参见设置站点的 Web 制作访问权限(Link opens in a new window)。如果未启用此设置,则没有用户能够通过浏览器创建新工作簿或编辑现有工作簿,即使他们具有“Web 编辑”能力也是如此
  • 用户站点角色:用户必须具有适当的站点角色。
    • “Viewer(查看者)”永远无法进行 Web 编辑。
    • 可以为“Explorer”授予“Web 编辑”能力,但他们无法发布。本质上,他们可以使用 Web 编辑,动态地根据现有内容来回答更深入的问题,但无法保存所做的编辑。
    • “Explorers(可发布)”或“站点管理员 Explorer”能够发布,但只能使用已发布到站点的数据。
    • “Creator”、“站点管理员 Creator”和“服务器管理员”可以发布和创建新数据源。
  • 权限能力:用户必须具有基于所需功能的必要权限能力。请参见设置对内容的 Web 编辑、保存和下载访问权限

所需的权限能力设置

所需的功能 最低站点角色 Web 编辑 下载/保存副本 覆盖(工作簿) 发布(项目) 连接(数据源)
Web 制作(无法保存) Explorer 允许 拒绝 拒绝 可选 允许
Web 制作和另存为新内容 Explorer(可发布) 允许 允许 拒绝 允许 允许
Web 制作和保存(覆盖)内容 Explorer(可发布) 允许 允许 允许 允许 允许
使用新数据的 Web 制作和保存新内容 Creator 允许 可选 可选 允许 可选

“可选”表示所需功能中未涉及此能力

已发布 Tableau 数据源的数据访问权限

发布到 Tableau 站点的数据源可以在 Tableau 环境内具有原生身份验证以及权限。

将数据源发布到 Tableau 站点时,发布者可以选择如何设置凭据以访问您发布的数据(Link opens in a new window),这解决了数据源凭据的处理方式(例如要求用户登录到数据库,或输入其 Google Sheets 凭据)。这种身份验证由保存数据的任何技术控制,它可在发布数据源时嵌入,或者数据源发布者可以选择提示用户输入其数据源凭据。有关详细信息,请参见发布数据源(Link opens in a new window)

在 Tableau 的上下文中,还有一些允许或拒绝用户查看(“查看”)和连接到已发布数据源(“连接”)的数据源能力。这些能力的设置与 Tableau 中的任何其他权限一样。

发布使用已发布数据源的工作簿时,作者可以针对使用工作簿的用户控制 Tableau 身份验证的行为方式。作者将工作簿对已发布数据源的访问权限设置为“嵌入密码”(使用作者的数据源“连接”访问权限或“提示用户”(使用查看工作簿的用户的“连接”访问权限),后者可能也需要数据源身份验证。

  • 当工作簿设置为“嵌入密码”时,查看工作簿的任何人将看到基于作者的数据源访问权限的数据。
  • 如果工作簿设置为“提示用户”,则会针对数据源检查 Tableau 控制的访问权限。使用工作簿的用户必须具有已发布数据源的“连接”能力才能查看数据。如果已发布数据源已设置为“提示用户”,则查看者还必须输入数据源本身的凭据。
工作簿的数据源身份验证 数据的数据源身份验证 如何为使用工作簿的用户评估数据访问权限
嵌入密码 嵌入密码 用户可查看数据,就好像他们是工作簿作者一样
嵌入密码 提示用户 用户可查看数据,就好像他们是工作簿作者一样。(提示作者是(而不是用户)进行数据源身份验证。)
提示用户 嵌入密码 用户必须对已发布数据源具有自己的“连接”能力
提示用户 提示用户 用户必须对已发布数据源具有自己的“连接”能力,并且提示用户输入其基础数据凭据

请注意,这适用于使用工作簿,而不是 Web 编辑。若要进行 Web 编辑,用户必须具有自己的“连接”能力。

移动内容

若要移动某项,请打开其“操作”菜单 (...),并单击“移动”。为该项选择新项目,然后单击“移动内容”。如果“移动”不可用,或者没有可用的目标项目,请验证是否满足适当的条件:

  • 管理员始终可将内容和项目移动到任何位置。
  • 项目主管和项目所有者可在其项目之间移动内容和嵌套项目。
    • 请注意,非管理员无法移动项目以使其成为顶层项目
  • 只有在以下三个要求均得到满足时,其他用户才能移动内容:
    • “Creator”或“Explorer(可发布)”站点角色。
    • 针对目标项目的发布权限(“查看”“发布”能力)
    • 内容的所有者,或者(对于工作簿和流程)拥有“移动”能力。

移动项目时,其内容的权限可能会更改。

  • 项目主管或项目所有者始终会获得移入其项目中的各项的权限。
  • 将项目移动到已锁定(包括嵌套)项目中时,将对已移动项目及其所有内容和嵌套项目强制实施已锁定项目的权限模板。请注意,如果用户在锁定的项目中没有正确的权限,那么他们将无法再次移动该项目。
  • 当项目移动到未锁定的项目(可自定义)中时,将为已移动项目及其内容保留现有权限。 如果仅(从更高级别的项目中)隐式授予项目主管身份,则会移除该身份,但会保留任何显式设置的项目主管身份。

指标

指标是从已发布工作簿中的视图创建的。如果用户满足以下条件,则可以创建指标:

  • 具有“Creator”或“Explorer(可发布)”站点角色
  • 拥有项目的“发布”能力
  • 拥有相关视图或工作簿的“下载完整数据”能力

有关详细信息,请参见创建指标并排查其问题以及针对指标进行设置

指标权限

由于指标是独立的内容,因此请务必注意,指标的权限是通过从中创建指标的视图独立管理的。(这与数据驱动的通知和订阅不同,在这两者中,只有在用户具有视图本身的正确权限时才能查看通知或订阅的内容。)

尽管适用于指标的能力非常明确,但应仔细考虑“查看”能力。具有受限权限的工作簿可能是具有更多开放权限的指标的基础。为了保护敏感数据,您可能希望防止为特定工作簿创建指标。

防止创建指标

不能直接在每个工作簿级别(仅限每个站点)禁用创建指标的能力,但权限可以控制指标和工作簿之间的访问。

为了阻止特定工作簿的指标,请在工作簿上拒绝“下载完整数据”能力。

为了确保无法更改此功能,请在项目级别为项目中的所有工作簿拒绝“下载完整数据”,并为项目锁定内容权限。

显示或隐藏工作表标签

虽然一般不建议这样做,但有时独立于包含这些视图的工作簿设置视图权限可能很有用。为此,必须满足两个条件。(1) 必须将工作簿发布到未锁定的项目,并且 (2) 工作簿无法将工作表显示为标签。

注意:在已发布内容的上下文中,工作表标签是与 Tableau Desktop 中的工作表标签不同的概念。在 Tableau Desktop 中显示和隐藏工作表标签是指实际隐藏工作表本身。显示和隐藏已发布内容的工作表标签与工作簿中的导航相关。显示工作表标签时,已发布的内容在每个视图的顶部都有导航工作表标签。

如果工作簿将工作表显示为标签,则所有视图将继承工作簿权限,并且对工作簿权限进行的任何更改将影响所有其视图。如果在未将工作表显示为标签的情况下发布工作簿,则所有视图会在发布时接受工作簿权限,但视图将不会继承工作簿权限规则的任何后续更改。只能针对已发布的视图设置视图级别权限,而不能在发布过程中设置。

如果更改已发布工作簿上显示为标签的工作表的配置,则也会影响权限模型。“显示标签”将覆盖任何现有视图级别权限,并恢复所有视图的工作簿级别权限。“隐藏标签”将断开工作簿与其视图之间的关系。

  • 若要将工作表配置为已发布工作簿上的标签,请打开该工作簿的“操作”菜单 (...),并选择“选项卡式视图”。根据需要选择“显示标签”或“隐藏标签”。
  • 若要在发布过程中将工作表配置为标签,请参阅将工作表显示为标签(Link opens in a new window)
  • 若要设置视图级别权限,请参见设置内容权限

请记住,在未锁定的项目中,如果隐藏了导航工作表标签,则不会应用对工作簿级别权限所做的任何修改。

在没有工作簿或其包含的项目的“查看”能力的情况下,可以具有视图的“查看”能力。在这些情况下,用户在查看视图时,例如在导航痕迹中查看视图时,也许能够看到项目和工作簿名称。这是预期和接受的行为。

此部分中的其他文章

感谢您的反馈! 提交反馈时出错。请重试,或向我们发送消息