权限
权限确定用户如何与内容(例如工作簿和数据源)进行交互。权限在权限对话框中或通过 REST API(链接在新窗口中打开) 设置。 在对话框的顶部,权限规则为组或用户配置能力。下方的权限网格显示用户的有效权限。
有几个相互关联的主题,讨论如何思考、设置和管理权限。主要主题是:
- 本主题涵盖基础知识、如何为项目和其他内容设置权限规则以及特定方案的权限注意事项。
- 权限能力和模板,其中详细介绍了用于生成权限规则的各种能力。
- 使用项目管理权限,其中介绍了使用项目来管理权限以及嵌套和锁定项目如何影响权限。
- 有效权限,其中介绍了如何评估权限规则以及如何确定最终权限。
- 权限、站点角色和许可证,其中介绍了权限如何与站点角色和许可证交互,以确定用户可以对站点执行哪些操作。
此外,如果 数据管理 已获许可,则外部资产的权限还有其他注意事项。有关详细信息,请参见管理外部资产的权限。
权限基础知识
项目和组
Tableau 站点使用项目来组织内容,使用组来组织用户。在权限规则为以下各项时,管理权限更加轻松:
- 在项目级别设置,而不是针对单个内容段设置。
- 针对组而不是个人而建立。
只能为用户、组、项目或已存在的资产建立权限。有关创建用户和组、创建项目和发布内容的详细信息,请参见管理用户和组、使用项目管理内容访问权限,以及发布数据源和工作簿(链接在新窗口中打开)。
能力和权限规则
权限由能力(即执行像查看内容、Web 編輯、下载数据源或删除内容这样的操作的能力)组成。权限规则建立允许或拒绝用户或组对资产使用的能力。
有关能力和权限规则模板的详细信息,请参见权限能力和模板。
注意:一般情况下,当讨论权限时,经常会看到“用户必须具有删除权限”之类的短语。在广泛的背景下,这很容易理解。但是,如果像本文中这样在技术级别使用权限时,更准确的说法是“删除能力”。在本主题中,我们将使用更精确的术语能力,但您应该知道,您可能会在其他地方看到权限。
许可证级别、站点角色和潜在的多个权限规则之间的相互作用是最终确定用户可以做什么或不可以做什么的因素。对于每个用户,这将成为他们的有效权限。有关详细信息,请参见有效权限。诸如通过浏览器创建新工作簿(Web 制作)或移动内容等某些任务可能需要对若干能力进行特定配置,而不是在单一能力中捕获。有关详细信息,请参见特定方案的权限设置。
设置权限
在项目级别、内容级别或从 Tableau Desktop 发布内容时,权限规则的设置方式不同。
注意:“项目权限”一词可以有两个含义。项目本身用于控制用户如何与项目进行交互的权限能力(查看和发布)。还有适用于其他内容类型的项目级别权限规则的概念。在本文中,“项目级别权限”是指适用于工作簿、数据源和项目权限对话框中配置的其他资产的权限规则。这与可针对特定工作簿、数据源等设置的“内容级别”权限规则形成对比。
对于管理员、项目所有者和项目主管
若要在项目级别设置权限,请执行以下操作:
- 导航到项目
- 打开“操作”菜单 (...),并单击“权限”。
权限对话框将打开。此对话框有两个主要区域:顶部的权限规则,以及下方的有效权限网格。每个内容类型都有一个选项卡。下图显示了“工作簿”选项卡。
在顶部选择一行后,有效权限网格中将填充内容。使用此选项来验证权限。悬停鼠标光标将提供有关为何针对该特定用户允许或拒绝该能力的原因。
- 若要修改现有权限规则,请为该内容类型选择相应的选项卡,然后单击某个能力。
- 若要创建规则,请单击“+添加组/用户规则”,并开始键入以搜索组或用户。对于每个选项卡,从下拉框中选择一个现有权限角色模板,或通过单击能力来创建自定义规则。
- 完成后,单击“保存”。
- 如果选择“无”模板,按钮将显示“删除规则”。
单击一次可将能力设置为“已允许”,单击两次将其设置为“已拒绝”,第三次单击将清除所选内容(“未指定”)。
设置所有内容类型的项目权限
请记住,项目的权限对话框包含每种内容类型的选项卡。您必须在项目级别为每种类型的内容设置权限,否则用户将被拒绝访问该内容类型。只有在明确允许的情况下,才会将能力授予用户。将能力保留为“未指定”将导致该能力被拒绝。
提示:每次在项目级别创建权限规则时,请确保查看所有内容类型选项卡。
配置资产权限设置
在项目级别设置的权限规则充当该项目及其包含的任何嵌套项目中保存的内容的默认值。这些项目级别的默认规则是是保持统一还是可以编辑取决于“资产权限”设置。可通过两种方式配置此设置:“已锁定”或“可自定义”。有关详细信息,请参见锁定资产权限。
适用于管理员、项目主管和内容所有者
如果项目“资产权限”为“可自定义”,则可以修改单独的资产的权限。以下信息与锁定项目中的资产无关。有关详细信息,请参见锁定资产权限。
提示:尽管可以对“可自定义”项目中的单独资产设置权限,但我们建议在项目级别管理权限。
设置资产权限
- 导航到资产(例如工作簿、数据源、或流程)
- 打开“操作”菜单 (...),并单击“权限”。
权限对话框将打开。此对话框有两个主要区域:顶部的权限规则,以及下方的有效权限网格。(请注意顶部缺少选项卡 — 资产级别权限对话框没有选项卡。)
在顶部选择一行后,有效权限网格中将填充内容。使用此选项来验证权限。将鼠标悬停在能力方块上可提供有关针对该特定用户允许或拒绝该能力的原因的信息。
- 若要修改现有权限规则,请单击某个能力。
- 若要创建规则,请单击“+添加组/用户规则”,并开始键入以搜索组或用户。从下拉列表中选择一个现有权限角色模板,或通过单击能力来创建自定义规则。
- 完成后,单击“保存”。
- 如果选择“无”模板,按钮将显示“删除规则”。
单击一次可将能力设置为“已允许”,单击两次将其设置为“已拒绝”,第三次单击将清除所选内容(“未指定”)。
设置视图权限
提示:尽管可以在工作簿内设置视图级别权限,但我们强烈建议在项目级别(或者,如有必要,在工作簿级别)管理权限。
如果在选中“将工作表显示为标签”时发布工作簿,该工作簿中的视图将继承为工作簿设置的所有权限。视图的权限对话框将是只读的。
在某些情况下,独立于包含视图的工作簿来指定视图权限可能很有价值。如果在未选中“将工作表显示为标签”(工作表标签已隐藏)时发布工作簿,则视图将从工作簿权限开始,但此后将是独立的,可以独立设置。请注意,这意味着如果为工作簿修改了权限规则,这些更改将不会应用于视图 — 每个视图的权限都需要单独管理。
有关详细信息,请参见显示或隐藏工作表标签。
对于内容发布者
如果项目“资产权限”为“可自定义”,则可以在从 Tableau Desktop 发布时针对单独资产设置权限。以下信息与锁定项目中的内容无关。有关详细信息,请参见锁定资产权限。
提示:尽管可以对“可自定义”项目中的单独资产设置权限,但我们建议在项目级别管理权限。
- 从发布对话框中,单击“权限”的“编辑”链接。
如果“编辑”链接不可用,则权限已锁定到项目,且不能被除项目所有者、项目主管或管理员外的任何用户修改。 - “添加/编辑权限”对话框显示任何现有权限规则。单击“添加”以添加权限规则,或者单击“编辑”以修改现有权限规则
- 从左侧窗格中选择组或用户。您可以展开组以查看其包含的用户。
- 使用右侧窗格顶部的选择器选择一个现有模板,或使用单选按钮来创建自定义规则。
- 完成后,单击“确定”并继续发布。
注意:从 Tableau Prep Builder 中发布流程时,无法设置权限。若要设置流程权限,请参阅适用于项目级别权限或内容级别权限的步骤。
清理“所有用户”组
默认情况下,所有用户都将添加到对内容具有基本权限的“所有用户”组中。若要在构建自己的权限规则时从头开始,我们建议您完全删除规则或编辑“所有用户”的规则以移除任何权限(将权限角色模板设置为“无”)。这将减少适用于任何给定用户的规则数量,使有效权限更容易理解,从而有助于防止将来出现任何不明确情况。
特定方案的权限设置
某些操作需要权限能力的组合,并可能需要站点角色的组合。下面是一些常见方案及其必要的权限配置
保存、发布和覆盖
在权限的上下文中,保存本质上是发布。因此,只能将“覆盖”和“保存副本”能力授予允许发布的站点角色(“管理员”、“Creator”或“Explorer(可发布)”)的用户。“Explorer ”或“Viewer(查看者)”站点角色不能进行发布、覆盖或保存副本操作。
- 项目的“发布”能力允许用户将内容发布到该项目。
- “覆盖”能力允许用户保存现有内容部分。通过保存内容,用户成为该内容的所有者。“覆盖”能力还允许用户编辑现有内容片段的次要方面,例如指标的描述或数据角色的同义词。以这种方式编辑现有内容不会更改内容的所有者。
- “保存副本”能力允许用户保存内容的新副本。这通常与 Web 制作结合完成,并意味着用户可以保存其所做的修改。
请务必注意,除非用户具有至少一个项目的“发布”能力,否则无法保存或另存为一段内容,因为所有内容都必须发布到项目中。如果在项目级别没有“发布”能力,则无法发布内容。
在 Web 编辑中,只会向内容所有者显示“文件”菜单中的“保存”选项。如果不是所有者的用户具有“覆盖”能力(允许他们保存内容),则他们必须使用“文件”>“另存为”,并将工作簿命名为完全相同的名称。这将出现一条警告提示,指出他们将要覆盖现有内容,并且能够这样做。相反,仅具有“保存副本”能力并尝试使用相同名称的用户将看到一条错误,指出他们没有覆盖现有内容的权限。
如果不是内容所有者的用户覆盖内容,他们将成为所有者,拥有需要的所有权限。原始所有者的内容访问权限随后由其作为用户(而不是所有者)的权限确定。
注意:“下载工作簿/保存副本”是适用于工作簿的联合能力。可以为 Explorer 授予此能力,但他们只能下载工作簿,无法保存为副本。为“Explorer(可发布)”、“Creator”或“管理员”站点角色授予该能力将为他们同时授予下载工作簿和保存副本的能力。
“Web 编辑”和“Web 制作”
Web 编辑和 Web 制作允许用户直接在浏览器中编辑或创建工作簿。
权限能力称为“Web 编辑”,站点设置称为“Web 制作”。此部分将任何基于 Web 的编辑或发布操作称为 Web 制作。
启用此功能需要满足若干要求。
- 站点设置:必须为整个 Tableau 站点启用 Web 制作。请参见设置站点的 Web 制作访问权限。如果未启用此设置,则没有用户能够通过浏览器创建工作簿或编辑现有工作簿,即使他们具有“Web 编辑”能力也是如此。
- 用户站点角色:用户必须具有适当的站点角色。
- “Viewer(查看者)”永远无法进行 Web 编辑。
- 可以为“Explorer”授予“Web 编辑”能力,但他们无法发布。本质上,他们可以使用 Web 编辑,动态地根据现有内容来回答更深入的问题,但无法保存所做的编辑。
- “Explorers(可发布)”或“站点管理员 Explorer”能够发布,但只能使用已发布到站点的数据。
- “Creator”、“站点管理员 Creator”和“服务器管理员”可以发布和创建数据源。
- 权限能力:用户必须具有基于所需功能的必要权限能力。
所需的权限能力设置
所需的功能 | 最低站点角色 | Web 编辑 | 下载/保存副本 | 覆盖(工作簿) | 发布(项目) | 连接(数据源) |
Web 制作(无法保存) | Explorer | 允许 | 拒绝 | 拒绝 | 可选 | 允许 |
Web 制作和另存为新内容 | Explorer(可发布) | 允许 | 允许 | 拒绝 | 允许 | 允许 |
Web 制作和保存(覆盖)内容 | Explorer(可发布) | 允许 | 允许 | 允许 | 允许 | 允许 |
使用新数据的 Web 制作和保存新内容 | Creator | 允许 | 可选 | 可选 | 允许 | 可选 |
已发布 Tableau 数据源的数据访问权限
发布到 Tableau 站点的数据源可以在 Tableau 环境内具有原生身份验证以及权限。
将数据源发布到 Tableau 站点时,发布者可以选择如何设置凭据以访问您发布的数据,这解决了数据源凭据的处理方式(例如要求用户登录到数据库,或输入其 Google 表格凭据)。这种身份验证由保存数据的任何技术控制,它可在发布数据源时嵌入,或者数据源发布者可以选择提示用户输入其数据源凭据。有关详细信息,请参见发布数据源。
在 Tableau 的上下文中,还有一些允许或拒绝用户查看(“查看”)和连接到已发布数据源(“连接”)的数据源能力。这些能力的设置与 Tableau 中的任何其他权限一样。
发布使用已发布数据源的工作簿时,作者可以针对使用工作簿的用户控制 Tableau 身份验证的行为方式。作者将工作簿对已发布数据源的访问权限设置为“嵌入密码”(使用作者的数据源“连接”访问权限或“提示用户”(使用查看工作簿的用户的“连接”访问权限),后者可能也需要数据源身份验证。
- 当工作簿设置为“嵌入密码”时,查看工作簿的任何人将看到基于作者的数据源访问权限的数据。
- 如果工作簿设置为“提示用户”,则会针对数据源检查 Tableau 控制的访问权限。使用工作簿的用户必须具有已发布数据源的“连接”能力才能查看数据。如果已发布数据源已设置为“提示用户”,则查看者还必须输入数据源本身的凭据。
工作簿的数据源身份验证 | 数据的数据源身份验证 | 如何为使用工作簿的用户评估数据访问权限 |
嵌入密码 | 嵌入密码 | 用户可查看数据,就好像他们是工作簿作者一样 |
嵌入密码 | 提示用户 | 用户可查看数据,就好像他们是工作簿作者一样。(提示作者是(而不是用户)进行数据源身份验证。) |
提示用户 | 嵌入密码 | 用户必须对已发布数据源具有自己的“连接”能力 |
提示用户 | 提示用户 | 用户必须对已发布数据源具有自己的“连接”能力,并且提示用户输入其基础数据凭据 |
请注意,这适用于使用工作簿,而不是 Web 编辑。若要进行 Web 编辑,用户必须具有自己的“连接”能力。
有关在发布 Tableau 内容(例如使用虚拟连接的数据源或工作簿)时嵌入密码的信息,请参见 Tableau Server 帮助中的虚拟连接(链接在新窗口中打开)。
移动内容
若要移动某项,请打开其“操作”菜单 (...),并单击“移动”。为该项选择新项目,然后单击“移动资产”。如果“移动”不可用,或者没有可用的目标项目,请验证是否满足适当的条件:
- 管理员始终可将资产和项目移动到任何位置。
- 项目主管和项目所有者可在其项目之间移动资产和嵌套项目。
- 请注意,非管理员无法移动项目以使其成为顶层项目
- 只有在以下三个要求均得到满足时,其他用户才能移动资产:
- “Creator”或“Explorer(可发布)”站点角色。
- 针对目标项目的发布权限(“查看”和“发布”能力)
- 内容的所有者,或者(对于工作簿和流程)拥有“移动”能力。
当移动数据库及其表时,用户必须具有数据库以及其表的“移动”能力。
有关在移动内容和项目时如何处理权限的信息,请参见移动项目和内容。
指标
旧版指标功能的停用
Tableau 的旧版指标功能在 Tableau Cloud 2024 年 2 月版和 Tableau Server 版本 2024.2 中已停用。2023 年 10 月,Tableau 停用了将旧版指标嵌入到 Tableau Cloud 和 Tableau Server 版本 2023.3 的功能。借助 Tableau Pulse,我们开发了一种改进的体验来跟踪指标和询问数据问题。有关详细信息,请参见使用 Tableau Pulse 创建指标以了解新体验,并参见创建指标并排查其问题(已停用)了解已停用的功能 。
指标是从已发布工作簿中的视图创建的。如果用户满足以下条件,则可以创建指标:
- 具有“Creator”或“Explorer(可发布)”站点角色
- 拥有项目的“发布”能力
- 拥有相关工作簿的“创建/刷新指标”能力
有关详细信息,请参见创建指标并排查其问题(已停用)以及针对指标进行设置。
注意:在 2021.3 之前,在视图上创建指标的能力由“下载完整数据”能力控制。
由于指标是独立的资产,因此请务必注意,指标的权限是通过从中创建指标的视图独立管理的。(这与数据驱动的通知和订阅不同,在这两者中,只有在用户具有视图本身的正确权限时才能查看通知或订阅的内容。)
尽管适用于指标的能力非常明确,但应仔细考虑“查看”能力。具有受限权限的工作簿可能是具有更多开放权限的指标的基础。为了保护敏感数据,您可能希望拒绝为特定工作簿创建指标。
指标从所有者的角度显示数据
创建指标时,视图将从您的角度显示数据。这意味着任何可以访问您的指标的用户都将看到显示给您的数据。如果基于您的凭据筛选视图中的数据,则您看到的数据可能与其他用户在访问同一视图时看到的不同。如果您担心暴露您的数据角度,请限制指标的“查看”能力。
“数据解释”功能
当“数据解释”功能可用时,用户可以在视图中选择一个标记,然后单击标记的工具提示菜单中的“运行数据解释”。必须启用设置组合才能使“数据解释”功能在编辑模式和查看模式下可用。
作者在编辑模式下运行“数据解释”功能或编辑“数据解释”功能设置的要求:
- 站点设置:将“‘数据解释’功能的可用性”设置为“启用”。默认情况下处于启用状态。
- 站点角色:Creator 或 Explorer(可发布)。
- 权限:将“运行数据解释”能力设置为“允许”。默认情况下未指定。如果您在 Tableau 版本 2022.2 或更高版本中打开使用此权限的工作簿(Tableau 版本 2022.1 或更低版本),则必须将“运行数据解释功能”能力重置为“允许”。
注意:Creator 或 Explorer(可发布)的“下载完整数据”能力控制他们是否在“极端值”解释中看到“查看完整数据”选项。Viewer(查看者)总是被拒绝“下载完整数据”能力。但是,当在“数据解释”功能设置中启用“极端值”解释类型时,所有用户都可以看到记录级别详细信息。
所有用户在查看模式下运行“数据解释”功能的要求:
- 站点设置:将“‘数据解释’功能的可用性”设置为“启用”。默认情况下处于启用状态。
- 站点角色:Creator、Explorer 或 Viewer(查看者)
- 权限:将“运行数据解释”能力设置为“允许”。默认情况下未指定。如果您在 Tableau 版本 2022.2 或更高版本中打开使用此权限的工作簿(Tableau 版本 2022.1 或更低版本),则需要将“运行数据解释功能”能力重置为“允许”。
显示或隐藏工作表标签
在已发布内容的上下文中,工作表标签(也称为选项卡式视图)是与 Tableau Desktop 中的工作表标签不同的概念。在 Tableau Desktop 中显示和隐藏工作表标签是指在制作环境中隐藏工作表。有关详细信息,请参见管理仪表板和故事中的工作表。
显示和隐藏已发布内容的工作表标签(打开或关闭选项卡式视图)是指在已发布工作簿中导航。显示工作表标签时,已发布的内容在每个视图的顶部都有导航工作表标签。
此设置还会影响权限的运行,可能具有安全影响(请参见注释)。
注意:没有工作簿或其包含的项目的“查看”能力的情况下,可以具有视图的“查看”能力。通常,如果用户缺少项目和工作簿的“查看”能力,则他们不会知道这些资产的存在。如果他们具有视图的“查看”能力,则当用户查看视图时,例如在导航痕迹中查看视图时,也许能够看到项目和工作簿名称。这是预期和接受的行为。
关闭选项卡式视图以允许独立视图权限
虽然一般不建议这样做,但有时独立于包含这些视图的工作簿设置视图权限可能很有用。为此,必须满足三个条件:
- 工作簿必须已发布 — 无法在发布期间设置视图权限。
- 工作簿必须在可自定义项目中。
- 工作簿不能将工作表显示为标签(必须隐藏选项卡视图)。
如果工作簿将工作表显示为标签,则所有视图将继承工作簿权限,并且对工作簿权限进行的任何更改将影响所有其视图。如果可自定义项目中的工作簿未显示选项卡式视图,则所有视图会在发布时假定工作簿权限,但对工作簿权限规则所做的任何后续更改都不会由视图继承。
如果更改已发布工作簿上显示为标签的工作表的配置,则也会影响权限模型。“显示标签”会覆盖任何现有视图级别权限,并恢复所有视图的工作簿级别权限。“隐藏标签”会断开工作簿与其视图之间的关系。
- 若要将工作表配置为已发布工作簿上的标签,请打开该工作簿的“操作”菜单 (...),并选择“选项卡式视图”。根据需要选择“显示标签”或“隐藏标签”。
- 若要在发布过程中将工作表配置为标签,请参阅将工作表显示为标签(链接在新窗口中打开)。
- 若要设置视图级别权限,请参见设置资产权限。
重要信息:在可自定义项目中,如果隐藏了导航工作表标签(也称为关闭了选项卡式视图),则不会应用对工作簿级别权限所做的任何修改。权限更改必须在单独的视图上进行。
集合
有关管理集合中的权限的信息,请参见集合。