Configurer des projets, des groupes, des ensembles de groupes et des autorisations pour le libre-service géré
La publication sur Tableau Cloud et Tableau Server est simple. Pour certaines organisations, cela peut être beaucoup trop simple. Il conviendrait de créer une structure contrôlée avant de laisser les utilisateurs Creator publier leur propre contenu.
Pour simplifier les choses et faire en sorte que le contenu approprié est facilement accessible, il serait peut-être bon de configurer votre site pour le libre-service géré. Pour cela, il convient de mettre en place des directives et des réglages pour que le contenu soit organisé, consultable et sécurisé sans qu’il y ait des risques de blocage dans le processus de publication.
Cet article vous présente la possibilité, en tant qu’administrateur de site, de configurer votre site pour le libre-service géré :
- Identifier les types de groupes et de projets dont vous aurez besoin
- Créer des groupes et des ensembles de groupes
- Supprimer les autorisations qui génèrent des ambiguïtés et établir des modèles d’autorisation par défaut
- Créer des projets
- Verrouiller les autorisations de projet
Remarque : L’information fournie ici est une version adaptée et simplifiée de celles des Visionnaires Tableau et des clients qui nous ont fait part de leur expérience.
Planification de votre stratégie
Les autorisations dans Tableau définissent les règles appliquées au contenu (projets, classeurs, etc.) pour un groupe ou un utilisateur. Ces règles d’autorisation sont créées en autorisant ou en refusant des fonctionnalités spécifiques.
Il est utile d’avoir un plan détaillé pour vos projets, groupes et règles d’autorisation, que ce soit pour un nouveau projet ou pour des modifications. Les détails dépendent de vous, mais nous vous recommandons deux pratiques importantes pour tous les environnements :
- Gérez les autorisations sur des projets, et non sur chaque élément de contenu.
- Attribuez des autorisations à des groupes, et non à chaque utilisateur.
La définition d’autorisations au niveau de chaque utilisateur ou de chaque ressource de contenu peut rapidement rendre la situation difficile à gérer.
Utiliser un modèle d’autorisations fermé
Les modèles généraux de définition des autorisations sont ouvert ou fermé. Dans un modèle ouvert, les utilisateurs bénéficient d’un niveau d’accès plus élevé et vous refusez les fonctionnalités de façon explicite. Dans un modèle fermé, les utilisateurs obtiennent seulement l’accès nécessaire à leur travail. C’est le modèle que préconise les professionnels de la sécurité. Les exemples de cette rubrique s’inspirent d’un modèle fermé.
Pour plus d’informations sur la manière d’évaluer les autorisations Tableau, consultez la section Autorisations effectives.
Identifier les types de projets et de groupes dont vous aurez besoin
La conception d’une structure pour accueillir le contenu (dans les projets) et les catégories d’utilisateurs (en tant que groupes) ou les catégories de groupes (en tant qu’ensembles de groupes) peut être la partie la plus difficile de la configuration d’un site, mais elle facilite grandement la gestion courante.
Projets : les projets fonctionnent à la fois comme une unité de gestion des autorisations et comme un cadre d’organisation et de navigation. Essayez de créer une structure de projet qui équilibre la façon dont les gens s’attendent à trouver du contenu et qui permette une autorisation logique.
Groupes ou ensembles de groupes : Avant de créer des groupes, il peut être utile de trouver des thèmes communs dans la façon dont les gens interagissent avec le contenu. Essayez d’identifier les tendances que vous pouvez utiliser pour créer des groupes ou des ensembles de groupes et évitez d’attribuer à chaque utilisateur des autorisations ponctuelles.
Imaginons, par exemple, un environnement où il existe un contenu à l’échelle de l’entreprise auquel tout le monde devrait pouvoir accéder, ainsi qu’un contenu pour les RH qui doit être restreint.
Les projets incluent :
- Conférence d’entreprise Acme. Il s’agit notamment de sources de données et de classeurs pour la vente de billets, de tableaux de bord pour la stratégie de contenu et de plans de projet pour la conférence d’entreprise.
- Réussite des employés. Il s’agit notamment de sources de données et de classeurs anonymes pour le sondage interne auprès des employés
- Ressources humaines. Il s’agit notamment des sources de données et des classeurs pour les RH qui ne doivent être accessibles qu’aux membres de l’équipe RH.
Ensuite, les groupes doivent correspondre à ce que les gens ont besoin de faire :
- Créateurs de contenu de base. Ce groupe est destiné aux utilisateurs qui peuvent publier dans des projets de niveau supérieur et ont un large accès aux sources de données, mais qui n’ont pas besoin de pouvoir déplacer ou gérer le contenu.
- Créateurs de contenu pour les RH. Ce groupe est destiné aux utilisateurs qui ont accès aux sources de données des RH et peuvent publier dans le projet RH.
- Utilisateurs métier. Ce groupe est destiné aux utilisateurs qui doivent pouvoir accéder au contenu créé par les créateurs de contenu de base, mais qui ne doivent même pas savoir qu’il existe un contenu pour les RH.
- Utilisateurs RH. Ce groupe est destiné aux utilisateurs qui doivent pouvoir accéder au contenu du projet RH mais qui n’ont pas le droit de créer ou de publier du contenu.
- Principaux chefs de projet. Ce groupe est destiné aux utilisateurs qui doivent recevoir le statut de chef de projet pour les projets qui ne relèvent pas des RH.
Depuis
Remarque : Les règles d’autorisation des ensembles de groupes sont évaluées après les règles d’utilisateur et de groupe.
Par exemple, supposons que vous ayez créé les groupes pour correspondre aux besoins des personnes de l’exemple 1 ci-dessus. Vous pouvez créer l’ensemble de groupes suivant pour verrouiller davantage l’accès aux RH :
Dirigeants RH. Cet ensemble de groupes est composé de créateurs de contenu RH et de chefs de projet principaux. Seuls les utilisateurs de cet ensemble de groupes qui appartiennent aux deux groupes reçoivent le statut de chef de projet et la possibilité d’accéder à des sources de données RH sensibles et de publier dans le projet RH.
Étudier les rôles sur le site
N’oubliez pas que les autorisations sont liées au contenu, et non aux groupes ou aux utilisateurs. L’attribution des autorisations Explorer à un groupe ne doit donc pas se faire dans le vide. Au contraire, le groupe peut recevoir des autorisations Explorer pour un projet et son contenu. Les rôles sur le site, en revanche, sont attribués à des utilisateurs spécifiques et peuvent définir ou limiter les autorisations dont ils disposent. Pour plus d’informations sur la manière dont les licences, les rôles sur le site et les autorisations sont liés, consultez la section Autorisations, rôles sur le site et licences.
Créer les groupes et les ensembles de groupes
S’il peut être tentant de créer les groupes et les projets dès que vous identifiez ce dont vous avez besoin, il est important de faire les choses dans un ordre précis.
Projets : les projets ne doivent pas être créés tant que le projet par défaut n’a pas été correctement configuré (voir la section suivante). En effet, les projets de niveau supérieur utilisent le projet par défaut comme modèle pour leurs règles d’autorisation.
Groupes : les groupes doivent être créés avant de pouvoir être utilisés pour élaborer des règles d’autorisation. Les utilisateurs n’ont pas encore besoin d’être ajoutés aux groupes, mais ils peuvent l’être.
Ensembles de groupes : les groupes doivent être créés avant de pouvoir être utilisés pour élaborer des règles d’autorisation. Les utilisateurs n’ont pas encore besoin d’être ajoutés aux groupes, mais ils peuvent l’être. Pour plus d’informations, consultez Utiliser des ensembles de groupes.
Conseil : La création manuelle de plusieurs groupes et projets et la définition des différentes autorisations peuvent être légèrement fastidieuses. Pour automatiser ces processus et les reproduire dans les mises à jour à venir, vous pouvez effectuer ces tâches à l’aide des commandes API REST. Vous pouvez utiliser les commandes tabcmd pour des tâches telles que l’ajout ou la suppression d’un seul projet ou groupe, ou pour l’ajout d’utilisateurs, mais non pour la définition d’autorisations.
Appartenance à plusieurs groupes
Il est possible d’inclure les utilisateurs des groupes Créateurs de contenu pour les RH et Utilisateurs RH dans le groupe Utilisateurs métier. Il serait ainsi plus facile d’attribuer des autorisations aux utilisateurs de contenu de base plutôt qu’aux utilisateurs métiers pour la majorité du contenu. Cependant, dans ce scénario, le groupe Utilisateurs métier ne pouvait se voir refuser aucune fonctionnalité dans le dossier Ressources humaines sans refuser également les utilisateurs RH. Au lieu de cela, si aucune précision n’est apportée au groupe Utilisateurs métier, des groupes spécifiques tels que Créateurs de contenu pour les RH et Utilisateurs RH se verraient attribuer les fonctionnalités concernées.
En effet, les autorisations Tableau sont restrictives. Si le groupe Utilisateurs métier se voyait refuser certaines fonctionnalités, ce refus remplacerait l’autorisation d’une autre règle d’autorisation pour les utilisateurs des deux groupes.
Impact des ensembles de groupes
Si les autorisations attribuées sont activées au niveau de l’ensemble de groupes, les autorisations pour chaque groupe de l’ensemble de groupes ne doivent pas être spécifiées ou refusées pour permettre cette fonctionnalité.
Pour décider du mode d’attribution de l’appartenance à un groupe, il est important de comprendre comment les règles d’autorisation sont évaluées. Pour plus d’informations, consultez la section Autorisations effectives.
Supprimer les autorisations qui génèrent des ambiguïtés et établir des modèles d’autorisation par défaut
Chaque site a un groupe Tous les utilisateurs et un projet Par défaut.
Groupe Tous les utilisateurs : Tout utilisateur ajouté au site devient automatiquement membre du groupe Tous les utilisateurs. Pour éviter toute confusion avec les règles d’autorisation définies sur plusieurs groupes, il est préférable de supprimer les autorisations du groupe Tous les utilisateurs.
Projet par défaut : Le projet par défaut fonctionne comme un modèle pour les nouveaux projets du site. Tous les nouveaux projets de niveau supérieur prendront leurs règles d’autorisation du projet par défaut. L’établissement de modèles d’autorisation de base sur le projet par défaut signifie que vous aurez un point de départ prévisible pour les nouveaux projets. (Notez que les projets imbriqués héritent des règles d’autorisation de leur projet parent, et non du projet par défaut. )
Supprimer la règle d’autorisation pour le groupe Tous les utilisateurs sur le projet par défaut
- Sélectionnez Explorer pour ouvrir les projets de niveau supérieur sur le site.
- Dans le menu Action Par défaut (...) du projet, sélectionnez Autorisations.
- À côté du nom de groupe Tous les utilisateurs, sélectionnez …, puis sélectionnez Supprimer règle….
Vous pouvez ainsi établir des règles d’autorisation pour les groupes que vous contrôlez intégralement sans attribuer des autorisations contradictoires au groupe Tous les utilisateurs. Pour plus d’informations sur la manière d’évaluer plusieurs règles pour déterminer les autorisations effectives, consultez la section Autorisations effectives.
Créer des règles d’autorisation
Vous pouvez maintenant configurer les modèles d’autorisation de base pour le projet par défaut dont hériteront tous les nouveaux projets de niveau supérieur. Vous pouvez choisir de ne rien saisir dans le champ des règles d’autorisation du projet par défaut et de créer des autorisations individuelles pour chaque nouveau projet de niveau supérieur. Cependant, s’il existe des règles d’autorisation qui doivent s’appliquer à la majorité des projets, il peut être utile de les définir sur le projet par défaut.
N’oubliez pas que la boîte de dialogue des autorisations d’un projet contient des onglets pour chaque type de contenu. Vous devez définir des autorisations pour chaque type de contenu au niveau du projet, sinon les utilisateurs se verront refuser l’accès à ce type de contenu. (Une fonctionnalité n’est accordée à un utilisateur que si elle lui est expressément autorisée. Si une fonctionnalité garde le statut Non spécifiée, elle sera refusée. Pour plus d’informations, consultez la section Autorisations effectives.)
Conseil : Chaque fois que vous créez une règle d’autorisation au niveau du projet, assurez-vous de parcourir tous les onglets de type de contenu.
Créez des règles d’autorisation comme vous le souhaitez :
- Cliquez sur + Ajouter une règle de groupe/utilisateur et commencez la saisie pour rechercher un nom de groupe.
- Pour chaque onglet, choisissez un modèle existant dans la liste déroulante ou créez une règle personnalisée en cliquant sur les fonctionnalités.
- Lorsque vous avez terminé, cliquez sur Enregistrer.
Pour plus d’informations sur les autorisations, consultez la section Définir les autorisations.
Dans notre exemple, la majorité des projets devraient être accessibles à la plupart des gens. Pour le projet par défaut, nous utiliserons les modèles de règles d’autorisation pour donner aux principaux créateurs de contenu des droits de publication et à tous les autres la possibilité d’interagir avec les classeurs et rien d’autre.
Groupe | Projets | Classeurs | Sources de données | (Autre contenu) |
Créateurs de contenu de base | Publier | Publier | Publier | Vue |
Créateurs de contenu pour les RH | Vue | Explorer | Vue | Aucun |
Utilisateurs métier | Vue | Explorer | Vue | Aucun |
Utilisateurs HR | Vue | Explorer | Vue | Aucun |
Principaux chefs de projet | Définir en tant que chef de projet | S.O. | S.O. | S.O. |
Cette tendance s’inspire d’un modèle fermé et limite les autorisations à une utilisation de base pour la plupart des contenus et la majorité des utilisateurs. Lorsque de nouveaux projets de niveau supérieur sont créés, ces règles sont héritées par défaut, mais les règles d’autorisation peuvent être modifiées par projet selon les besoins. Retenez que ces autorisations doivent être supprimées pour le projet Ressources humaines et que sa propre tendance doit être établie.
Créer des projets et ajuster les autorisations
Une fois le projet par défaut configuré avec vos modèles d’autorisations personnalisés, vous pouvez créer le reste de vos projets. Pour chaque projet, vous pouvez ajuster les autorisations par défaut si nécessaire.
Pour créer un projet
- Sélectionnez Explorer pour ouvrir les projets de niveau supérieur sur le site.
- Dans la liste déroulante Nouveau, sélectionnez Projet.
- Nommez le projet et, si vous le souhaitez, donnez-lui une description.
Il peut être utile d’établir une convention de nommage. Par exemple, une structure de base peut être <PréfixeDépartement><Équipe> - <UsageContenu>, par exemple Opérations de développement - Surveillance.
La description apparaît lorsque vous survolez une vignette de projet et sur la page Détails du projet. Une bonne description peut aider les utilisateurs à savoir qu’ils sont au bon endroit.
- Ajustez les autorisations si nécessaire.
- Ouvrez le nouveau projet.
- Dans le menu Action (...), sélectionnez Autorisations
- Modifiez les règles d’autorisation comme vous le souhaitez. N’oubliez pas de vérifier tous les onglets de contenu.
Verrouiller les autorisations de contenu
En plus des règles d’autorisation, les projets disposent d’un paramètre d’autorisation de contenu. Ce paramètre peut être configuré de deux façons, soit Verrouillé (recommandé), soit Personnalisable.
Le verrouillage d’un projet est un moyen de maintenir la cohérence et de garantir que tout le contenu du projet dispose d’autorisations uniformes (par type de contenu). Un projet personnalisable permet aux utilisateurs autorisés de définir des règles d’autorisation individuelles sur des éléments de contenu. Pour plus d’informations, consultez Verrouiller les autorisations de contenu.
Quel que soit le paramètre d’autorisation du contenu, les autorisations sont toujours appliquées au contenu.
Structures possibles de projet
Certaines organisations trouvent utile d’avoir des projets utilisables à des fins particulières. Voici quelques exemples de projets et leurs utilisations prévues. Notez qu’il s’agit de modèles d’exemple et que vous devez toujours tester la configuration dans votre environnement.
Pour plus d’informations sur les fonctionnalités incluses dans les modèles de règle d’autorisation de chaque type de contenu, consultez la section Fonctionnalités d’autorisation.
Classeurs partagés pour collaboration ouverte sur le serveur
N’importe qui dans le département peut publier des éléments dans le projet en collaboration ouverte tant que le contenu est en cours de développement. Les collègues peuvent travailler ensemble par le biais de l’édition Web sur le serveur. Certaines personnes appellent ceci un bac à sable, d’autres parlent d’espace intermédiaire... Dans ce projet, vous pouvez autoriser l’édition Web, l’enregistrement, le téléchargement, etc.
Ici, vous voulez non seulement permettre la collaboration, mais aussi permettre aux utilisateurs qui ne disposent pas de Tableau Desktop de contribuer et de fournir des commentaires.
Groupe | Projets | Classeurs | Sources de données | (Autre contenu) |
Gestionnaires de données | Publier | Publier | Publier | À déterminer |
Analystes | Publier | Publier | Explorer | À déterminer |
Utilisateurs métier | Publier | Publier | Explorer | À déterminer |
Retenez que certaines fonctionnalités du modèle Publier (telles que Remplacer) peuvent être bloquées par le rôle sur le site d’un utilisateur, même si celui-ci est autorisé à utiliser cette fonctionnalité.
Remarque : « À déterminer » indique que ces règles d’autorisation ne sont pas simples à déterminer pour le scénario et peuvent être définies de la manière la plus logique possible pour un environnement donné.
Rapports partagés qui ne peuvent pas être modifiés
Il peut s’agir d’un projet dans lequel les utilisateurs qui créent des classeurs et des sources de données (analystes et administrateurs de données) peuvent publier quand ils le souhaitent pour mettre du contenu à disposition des utilisateurs métier, en étant certains que leur travail ne peut pas être « emprunté » ni modifié.
Pour ce type de projet, vous pouvez refuser toutes les fonctionnalités qui permettent la modification ou la récupération des données sur le serveur pour les réutiliser. Vous pouvez autoriser les fonctionnalités d’affichage.
Groupe | Projets | Classeurs | Sources de données | (Autre contenu) |
Gestionnaires de données | Publier | À déterminer | Publier | À déterminer |
Analystes | Publier | Publier | Vue | À déterminer |
Utilisateurs métier | Vue | Vue | Aucun | Aucun |
Sources de données vérifiées pour les analystes
Il s’agit de l’emplacement dans lequel les administrateurs de données publient les sources de données qui correspondent à toutes vos exigences et qui deviennent une source fiable pour votre organisation. Les responsables de projet de ce projet peuvent certifier ces sources de données, afin qu’elles soient mieux classées dans les résultats de la recherche et soient reprises dans les sources de données recommandées.
Vous pouvez autoriser les analystes autorisés à connecter leurs classeurs aux sources de données de ce projet, mais pas à les télécharger ni à les modifier. Vous pouvez refuser des fonctionnalités d’affichage au groupe Utilisateurs métier pour que ces utilisateurs ne voient même pas ce projet.
Groupe | Projets | Classeurs | Sources de données | (Autre contenu) |
Gestionnaires de données | Publier | À déterminer | Publier | À déterminer |
Analystes | Vue | Aucun | Vue | Aucun |
Utilisateurs métier | Aucun | Aucun | Aucun | Aucun |
Contenu inactif
Une autre solution est de séparer les classeurs et les sources de données que les vues administratives du site présentent comme n’ayant pas été utilisées pendant un certain temps. Vous pouvez indiquer aux propriétaires de contenu une durée limite au terme de laquelle ce contenu est supprimé du serveur.
Que vous le fassiez de cette manière ou que vous supprimiez le contenu directement dans les projets en cours est une décision à prendre au niveau de votre organisation. Dans un environnement actif, n’hésitez pas à supprimer le contenu qui n’est pas utilisé.
Groupe | Projets | Classeurs | Sources de données | (Autre contenu) |
Gestionnaires de données | Aucun | Aucun | Aucun | Aucun |
Analystes | Vue | Vue | À déterminer | À déterminer |
Utilisateurs métier | Aucun | Aucun | Aucun | Aucun |
Source des modèles de classeurs
Ceci est un projet que les utilisateurs peuvent utiliser pour le téléchargement, mais pas pour la publication ni l’enregistrement. C’est l’emplacement dans lequel les publicateurs autorisés et les responsables de projet placent les modèles de classeurs. Les modèles qui contiennent les polices, les couleurs, les images et même les connexions de données approuvées et qui intègrent ces éléments peuvent faire gagner beaucoup de temps aux auteurs et contribuent à donner une apparence cohérente à vos rapports.
Groupe | Projets | Classeurs | Sources de données | (Autre contenu) |
Auteur autorisé | Publier | Publier | Publier | À déterminer |
Gestionnaires de données | Aucun | Aucun | Aucun | Aucun |
Analystes | Vue | Modèle : Explorer + Fonctionnalité : Télécharger le classeur/Enregistrer une copie | Vue | Aucun |
Utilisateurs métier | Aucun | Aucun | Aucun | Aucun |
Étapes suivantes
En plus des projets, des groupes et des autorisations, la gouvernance des données aborde les thèmes suivants :
Formation des utilisateurs
Aidez tous vos utilisateurs Tableau à devenir d’excellents administrateurs de données. Les organisations les plus performantes dans leur utilisation de Tableau créent des groupes d’utilisateurs Tableau, organisent régulièrement des formations, etc.
Pour découvrir une approche commune à l’orientation des utilisateurs sur le site, consultez Portails personnalisés basés sur des tableaux de bord.
Pour découvrir des astuces sur la publication et la certification des données, consultez les sujets suivants :
Utiliser la certification pour aider les utilisateurs à trouver des données fiables
Préparer la publication d’un classeur(Le lien s’ouvre dans une nouvelle fenêtre) (liens vers l’aide de Tableau)
Meilleures pratiques pour les sources de données publiées(Le lien s’ouvre dans une nouvelle fenêtre) (liens vers l’aide de Tableau)
Optimiser l’activité d’actualisation d’extrait et d’abonnement
Si vous utilisez Tableau Server, créez des stratégies pour l’actualisation d’extrait et les programmations d’abonnement pour éviter qu’elles ne dominent les ressources du site. Les présentations de client TC de Wells Fargo et Sprint abordent ce sujet en détail. Consultez aussi les rubriques sous Réglage des performances.
Si vous utilisez Tableau Cloud, consultez les rubriques suivantes pour découvrir comment actualiser les extraits :
Surveillance
Utilisez les vues administratives pour garder un œil sur les performances du site et l’utilisation du contenu.