Configurar proyectos, grupos y permisos para el autoservicio administrado
Publicar en Tableau Cloud y Tableau Server es fácil. Para algunas organizaciones, puede ser demasiado fácil. Es valioso crear un marco controlado antes de permitir que los creadores publiquen su propio contenido.
Para mantener las cosas ordenadas y asegurarse de que las personas puedan encontrar el contenido correcto y acceder a él, puede ser útil configurar su sitio para el autoservicio administrado. Esto significa contar con pautas y configuraciones para garantizar que el contenido esté organizado, detectable y seguro sin cuellos de botella en el proceso de publicación.
Este artículo presenta una ruta posible para que usted, como administrador del sitio, configure su sitio para el autoservicio administrado:
- Identifique los tipos de grupos y proyectos que necesitará
- Crear grupos
- Elimine los permisos que causarán ambigüedades y establezca patrones de permisos predeterminados
- Crear proyectos
- Bloquear los permisos de proyecto
Nota: La información que se describe aquí se ha adaptado y simplificado de las prácticas de expertos de Tableau que han compartido sus experiencias.
Planificar su estrategia
Los permisos en Tableau consisten en reglas que se aplican al contenido (proyectos, libros de trabajo, etc.) para un grupo o usuario. Estas reglas de permisos se construyen permitiendo o denegando capacidades específicas.
Tener un plan integral para sus proyectos, grupos y reglas de permisos es útil ya sea que esté comenzando de nuevo o realizando cambios. Los detalles dependen de usted, pero hay dos prácticas importantes que recomendamos para todos los entornos:
- Administre permisos en proyectos, no piezas individuales de contenido.
- Asigne permisos para grupos, no para usuarios individuales.
Establecer permisos a nivel de un usuario específico y en recursos de contenido concretos se vuelve inmanejable muy rápidamente.
Usar un modelo de permisos cerrado
Los modelos generales para establecer permisos son abiertos o cerrados. En un modelo abierto, los usuarios obtienen un nivel de acceso elevado y se deniegan funcionalidades de forma explícita. En un modelo cerrado, los usuarios solo obtienen el acceso imprescindible para llevar a cabo su trabajo. Este es el modelo que defienden los profesionales de la seguridad. Los ejemplos de este tema siguen un modelo cerrado.
Para obtener más información sobre cómo se evalúan los permisos de Tableau, consulte Permisos efectivos.
Identificar los tipos de proyectos y grupos que necesitará
Diseñar una estructura para acomodar contenido (en proyectos) y categorías de usuarios (como grupos) puede ser la parte más complicada de configurar un sitio, pero hace que la administración continua sea mucho más fácil.
Proyectos: los proyectos funcionan como una unidad para administrar permisos y como un marco organizativo y de navegación. Trate de crear una estructura de proyecto que equilibre la forma en que las personas esperan encontrar contenido y permita la concesión de permisos lógicos.
Grupos: antes de crear grupos, puede ser útil encontrar temas comunes en la forma en que las personas interactúan con el contenido. Intente identificar patrones que pueda usar para crear grupos y evite permisos únicos para usuarios individuales.
Por ejemplo, imaginemos un entorno donde hay contenido de toda la empresa al que todos deberían poder acceder, así como algún contenido de recursos humanos que debe restringirse.
Los proyectos incluyen:
- Conferencia de Acme Corp. Esto incluirá fuentes de datos y libros de trabajo para la venta de entradas, dashboards para la estrategia de contenido y planes de proyectos para la conferencia de la empresa.
- Éxito de los empleados. Esto incluirá fuentes de datos anónimas y libros de trabajo para la encuesta interna de empleados.
- Recursos Humanos. Esto incluirá fuentes de datos de Recursos Humanos y libros de trabajo que solo deberían estar disponibles para los miembros del equipo de recursos humanos.
Luego, los grupos deben coincidir con lo que las personas deben hacer:
- Creadores de contenido principales. Este grupo es para usuarios que pueden publicar en proyectos de alto nivel y tienen amplio acceso a fuentes de datos, pero que no necesitan poder mover o administrar contenido.
- Creadores de contenido de Recursos Humanos. Este grupo es para usuarios que tienen acceso a fuentes de datos de Recursos Humanos y pueden publicar en el proyecto de Recursos Humanos.
- Usuarios corporativos. Este grupo es para usuarios que deberían poder acceder al contenido creado por Creadores de contenido principales, pero que ni siquiera deberían saber que existe el contenido de Recursos Humanos.
- Usuarios de RR. HH. Este grupo es para usuarios que deberían poder acceder al contenido del proyecto de Recursos Humanos pero que no tienen derechos para crear o publicar contenido.
- Líderes de proyectos principales. Este grupo es para usuarios a los que se les debe otorgar el estado de líder de proyecto en los proyectos que no son de Recursos Humanos.
Considerar los roles en el sitio
Recuerde que los permisos están vinculados al contenido, no a los grupos ni a los usuarios. Esto significa que no puede otorgar a un grupo permisos de exploración en un vacío. Más bien, el grupo puede recibir permisos de exploración para un proyecto y su contenido. Sin embargo, los roles en el sitio se otorgan a usuarios específicos y pueden definir o limitar los permisos que pueden tener. Para obtener más información sobre cómo se vinculan las licencias, los roles en el sitio y los permisos, consulte Permisos, roles en el sitio y licencias.
Crear los grupos
Si bien puede ser tentador crear grupos y proyectos tan pronto como identifique lo que necesita, es importante hacer las cosas en un orden determinado.
Proyectos: los proyectos no deben crearse hasta después de que el proyecto predeterminado se haya configurado correctamente (consulte la siguiente sección). Esto se debe a que los proyectos de nivel superior utilizan el proyecto predeterminado como plantilla para sus reglas de permisos.
Grupos: los grupos deben crearse antes de que puedan usarse para crear reglas de permisos. No es necesario agregar usuarios a los grupos todavía, pero pueden hacerlo. Para obtener más información sobre la creación de grupos, consulte Administrar usuarios mediante grupos.
Para obtener más información sobre cómo añadir usuarios a grupos, consulte Añadir usuarios a un grupo.
Consejo: Crear varios grupos y proyectos y establecer permisos manualmente puede ser un proceso pesado. Para automatizar estos procesos, así como para poder repetirlos en actualizaciones futuras, puede llevar a cabo estas tareas mediante comandos de la API de REST. Puede usar comandos tabcmd para tareas como añadir o eliminar un único proyecto o grupo y añadir usuarios, pero no para establecer permisos.
Membresía en múltiples grupos
Es posible incluir a los usuarios en los grupos Creadores de contenido de Recursos Humanos y Usuarios de Recursos Humanos en el grupo Usuarios corporativos. Esto facilitaría la asignación de permisos a los usuarios de contenido principal frente a los usuarios comerciales para la mayoría del contenido. Sin embargo, en ese escenario, al grupo de Usuarios corporativos no se le podría negar ninguna capacidad en la carpeta de Recursos Humanos sin negar también a los usuarios de Recursos Humanos. En su lugar, el grupo de Usuarios corporativos tendría que dejarse sin especificar, y los grupos específicos de Creadores de contenido de Recursos Humanos y Usuarios de Recursos Humanos tendrían sus capacidades correspondientes.
Esto se debe a que los permisos de Tableau son restrictivos. Si al grupo de Usuarios corporativos se le negaron ciertas capacidades, la denegación anularía los permisos de otra regla de permiso para los usuarios de ambos grupos.
Al decidir cómo se debe asignar la pertenencia a un grupo, es importante comprender cómo se evalúan las reglas de permisos. Para obtener más información consulte Permisos efectivos.
Elimine los permisos que causarán ambigüedades y establezca patrones de permisos predeterminados
Cada sitio tiene un grupo Todos los usuarios y un proyecto Predeterminado.
Grupo Todos los usuarios: Los usuarios que se añaden al sitio se convierten automáticamente en miembros del grupo Todos los usuarios. Para evitar confusiones con las reglas de permisos establecidas en varios grupos, es mejor eliminar los permisos del grupo Todos los usuarios.
Proyecto predeterminado: El proyecto Predeterminado sirve como plantilla para los nuevos proyectos del sitio. Todos los nuevos proyectos de nivel superior tomarán sus reglas de permisos del proyecto predeterminado. Establecer patrones de permisos de referencia en el proyecto predeterminado significa que tendrá un punto de partida predecible para nuevos proyectos. (Tenga en cuenta que los proyectos anidados heredan las reglas de permisos de su proyecto principal, no del proyecto predeterminado. )
Eliminar la regla de permiso para el grupo Todos los usuarios en el proyecto predeterminado
- Seleccione Explorar para ver los proyectos de nivel superior en el sitio.
- En el menú Acciones (…) del proyecto Predeterminado, seleccione Permisos.
- Junto al nombre de grupo Todos los usuarios, seleccione ... y elija Eliminar regla...
Esto le permite establecer reglas de permisos para los grupos sobre los que tiene control total sin ningún conflicto de permisos asignados a Todos los usuarios. Para obtener más información sobre cómo se evalúan varias reglas para determinar los permisos efectivos, consulte Permisos efectivos.
Crear reglas de permisos
Ahora puede configurar los patrones de permisos básicos para el proyecto predeterminado que heredarán todos los proyectos nuevos de nivel superior. Puede optar por mantener vacías las reglas de permisos del proyecto predeterminado y crear permisos para cada nuevo proyecto de nivel superior individualmente. Sin embargo, si hay reglas de permisos que deberían aplicarse a la mayoría de los proyectos, puede ser útil establecerlas en el proyecto Predeterminado.
Recuerde que el cuadro de diálogo de permisos de un proyecto contiene pestañas para cada tipo de contenido. Debe establecer permisos para cada tipo de contenido a nivel de proyecto o se negará a los usuarios el acceso a ese tipo de contenido. (Una capacidad solo se concede a un usuario si se le permite expresamente. Dejar una capacidad como Sin especificar hará que se deniege. Para obtener más información consulte Permisos efectivos).
Sugerencia: Cada vez que cree una regla de permisos a nivel de proyecto, asegúrese de revisar todas las pestañas de tipo de contenido.
Crear reglas de permisos como desee:
- Haga clic en + Añadir regla de grupo/usuario y empiece a escribir para buscar un nombre de grupo.
- En cada pestaña, seleccione una plantilla del cuadro desplegable o haga clic en las capacidades para crear una regla personalizada.
- Cuando haya terminado, haga clic en Guardar.
Para obtener información relacionada con la configuración de permisos, consulte Establecer permisos.
Para nuestro ejemplo, la mayoría de los proyectos deberían estar disponibles para la mayoría de las personas. Para el proyecto predeterminado, usaremos las plantillas de reglas de permisos para otorgar a los creadores de contenido principales los derechos de publicación y a todos los demás la capacidad de interactuar con los libros de trabajo y no mucho más.
| Grupo | Proyectos | Libros de trabajo | Fuentes de datos | (Otro contenido) |
| Creadores de contenido principales | Publicación | Publicación | Publicación | Vista |
| Creadores de contenido de Recursos Humanos | Vista | Explorar | Vista | Ninguno |
| Usuarios corporativos | Vista | Explorar | Vista | Ninguno |
| Usuarios de RR. HH. | Vista | Explorar | Vista | Ninguno |
| Líderes de proyectos principales | Establecer como líder de proyecto | n/d | n/d | n/d |
Este patrón sigue un modelo cerrado y limita los permisos al uso básico para la mayoría del contenido para la mayoría de los usuarios. A medida que se crean nuevos proyectos de nivel superior, estas reglas son las que se heredarán de forma predeterminada, pero las reglas de permisos se pueden modificar por proyecto según sea necesario. Recuerde que al proyecto de Recursos Humanos se le deben quitar estos permisos y establecer su propio patrón.
Crear proyectos y ajustar los permisos
Una vez que el proyecto Predeterminado esté establecido con las plantillas de permisos personalizadas, puede crear el resto de sus proyectos. Puede ajustar los permisos predeterminados de cada proyecto según corresponda.
Para crear un proyecto
- Seleccione Explorar para ver los proyectos de nivel superior en el sitio.
- En el menú desplegable Nuevo, seleccione Proyecto.
- Asigne un nombre al proyecto y, si lo desea, incluya una descripción.
Puede ser útil establecer una convención de nomenclatura. Por ejemplo, la estructura básica podría ser <PrefijoDepartamento><Equipo> - <UsoContenido> (como Ops - Producción).
La descripción aparece cuando se desplaza sobre la miniatura de un proyecto y en la página de detalles del proyecto. Una buena descripción puede ayudar a los usuarios a saber que están en el lugar correcto.
- Ajuste los permisos según sea necesario.
- Abra el nuevo proyecto.
- En el menú Acciones (...), seleccione Permisos.
- Modifique las reglas de permisos que desee. Recuerde revisar todas las pestañas de contenido.
Bloquear los permisos de contenido
Además de las reglas de permisos, los proyectos tienen una configuración de permisos de contenido. En esta configuración se pueden establecer dos opciones: Bloqueado (recomendado) o Personalizable.
Bloquear un proyecto es una forma de mantener la coherencia y garantizar que todo el contenido del proyecto tenga permisos uniformes (por tipo de contenido). Un proyecto personalizable permite a los usuarios autorizados establecer reglas de permisos individuales en piezas de contenido. Para obtener más información consulte Bloquear los permisos de contenido.
Independientemente de la configuración de permisos de contenido, los permisos siempre se aplican al contenido.
Posibles estructuras de proyecto
Algunas organizaciones encuentran útil tener proyectos que sirvan para propósitos específicos. Aquí hay algunos proyectos de ejemplo y sus usos previstos. Tenga en cuenta que estas son plantillas de ejemplo y siempre debe probar la configuración en su entorno.
Para obtener información sobre las capacidades que se incluyen con las plantillas de reglas de permisos de cada tipo de contenido, consulte Capacidades de permisos.
Libros de trabajo compartidos para la colaboración abierta en el servidor
Cualquier persona del departamento puede publicar en el proyecto de colaboración abierta mientras el contenido esté en desarrollo, mientras que los colegas pueden colaborar mediante la edición web en el servidor. Algunos lo denominan "entorno aislado"; otros, "estadificación", etc. En este proyecto puede permitir la edición web, el guardado, las descargas, etc.
Aquí no solo quiere habilitar la colaboración, sino también permitir que personas que no tengan Tableau Desktop puedan contribuir y proporcionar comentarios.
| Grupo | Proyectos | Libros de trabajo | Fuentes de datos | (Otro contenido) |
| Auxiliares de datos | Publicación | Publicación | Publicación | Por determinar |
| Analistas | Publicación | Publicación | Explorar | Por determinar |
| Usuarios corporativos | Publicación | Publicación | Explorar | Por determinar |
Recuerde que el rol en el sitio de un usuario puede impedir algunas capacidades en la plantilla de publicación (como Sobrescribir), incluso si se les permite esa capacidad.
Nota: "TBD" indica que estas reglas de permisos no se determinan fácilmente por el escenario y se pueden configurar, sin embargo, tienen sentido para un entorno determinado.
Informes compartidos que no se pueden editar
Se podría tratar de un proyecto en el que los usuarios que crean libros de trabajo y fuentes de datos (analistas y auxiliares de datos) pudieran publicar en el caso de que quisieran que los usuarios corporativos pudieran ver el contenido, con la seguridad de que su trabajo no se pueda modificar ni "tomar prestado".
En este tipo de proyecto denegaría todas las funcionalidades que permitan la edición o la obtención de datos del servidor para su reutilización. Permitiría el uso de capacidades de visualización.
| Grupo | Proyectos | Libros de trabajo | Fuentes de datos | (Otro contenido) |
| Auxiliares de datos | Publicación | Por determinar | Publicación | Por determinar |
| Analistas | Publicación | Publicación | Vista | Por determinar |
| Usuarios corporativos | Vista | Vista | Ninguno | Ninguno |
Fuentes de datos revisadas para que los analistas se conecten a ellas
Aquí es donde los auxiliares de datos publicarían las fuentes de datos que cumplan todos sus requisitos de datos y se convertirían en fuente de información para su organización. Los líderes de proyecto de este proyecto pueden certificar estas fuentes de datos, de modo que en los resultados de búsqueda aparezcan con mejor clasificación y se incluyan en las fuentes de datos recomendadas.
Permitiría que los analistas autorizados conectaran sus libros de trabajo a las fuentes de datos de este proyecto, pero no que las descargaran o editaran. Denegaría la capacidad Ver al grupo Usuarios corporativos, por lo que estos usuarios ni siquiera verían este proyecto.
| Grupo | Proyectos | Libros de trabajo | Fuentes de datos | (Otro contenido) |
| Auxiliares de datos | Publicación | Por determinar | Publicación | Por determinar |
| Analistas | Vista | Ninguno | Vista | Ninguno |
| Usuarios corporativos | Ninguno | Ninguno | Ninguno | Ninguno |
Contenido inactivo
Otra posibilidad pasa por separar los libros de trabajo y las fuentes de datos que las vistas administrativas del sitio muestran como no usados durante un período determinado. Podría conceder un límite de tiempo a los propietarios del contenido antes de que el contenido se elimine del servidor.
Optar por esta opción o eliminar el contenido directamente de los proyectos de trabajo es una decisión de su organización. En un entorno activo, que no le preocupe eliminar a propósito contenido que no se utiliza.
| Grupo | Proyectos | Libros de trabajo | Fuentes de datos | (Otro contenido) |
| Auxiliares de datos | Ninguno | Ninguno | Ninguno | Ninguno |
| Analistas | Vista | Vista | Por determinar | Por determinar |
| Usuarios corporativos | Ninguno | Ninguno | Ninguno | Ninguno |
Fuente para las plantillas de libros de trabajo
Es un proyecto en el que los usuarios pueden efectuar descargas, pero no pueden publicar ni guardar en él. En este proyecto, los líderes de proyecto o publicadores autorizados proporcionan plantillas de libros de trabajo. Las plantillas que tienen las fuentes, los colores, las imágenes e incluso las conexiones de datos incorporados que ha aprobado su organización pueden ahorrar mucho tiempo a los autores. Además, permiten que los informes tengan un aspecto coherente.
| Grupo | Proyectos | Libros de trabajo | Fuentes de datos | (Otro contenido) |
| Autor autorizado | Publicación | Publicación | Publicación | Por determinar |
| Auxiliares de datos | Ninguno | Ninguno | Ninguno | Ninguno |
| Analistas | Vista | Plantilla: Explorar + Capacidad: Descargar libro de trabajo/guardar una copia | Vista | Ninguno |
| Usuarios corporativos | Ninguno | Ninguno | Ninguno | Ninguno |
Pasos siguientes
Además de los proyectos, los grupos y los permisos, hay otros temas relacionados con la administración de datos que comprenden lo siguiente:
Formación de usuarios
Ayude a todos sus usuarios de Tableau a ser buenos auxiliares de datos. La mayoría de las organizaciones de Tableau de éxito crean grupos de usuarios de Tableau, tienen sesiones periódicas de capacitación, etc.
Para ver un enfoque común para orientar a los usuarios al sitio, consulte Portales personalizados basados en dashboard.
Consulte los siguientes temas para ver consejos de publicación y certificación de datos:
Utilizar certificación para permitir a los usuarios encontrar datos de confianza
Preparar la publicación de un libro de trabajo(El enlace se abre en una ventana nueva) (enlaces a la ayuda de Tableau)
Prácticas recomendadas de las fuentes de datos publicadas(El enlace se abre en una ventana nueva) (enlaces a la ayuda de Tableau)
Optimizar la actividad de actualización de extractos y de suscripción
Si utiliza Tableau Server, cree directivas para los programas de actualización de extractos y de suscripción para que no acaparen los recursos del sitio. Las presentaciones de cliente de TC a cargo de Wells Fargo y Sprint tratan este asunto al detalle. Consulte también los temas de Ajuste del rendimiento.
Si utiliza Tableau Cloud, consulte los siguientes temas para familiarizarse con los modos disponibles para actualizar extracciones:
Supervisión
Utilice las vistas administrativas para vigilar el rendimiento del sitio y el uso del contenido.