Configurer les projets, les groupes, les ensembles de groupes et les autorisations pour le libre-service géré

Il est facile de publier sur Tableau Cloud et Tableau Server. Pour certaines organisations, cela pourrait même être un peu trop facile. Il est utile de créer un cadre contrôlé avant de laisser les créateurs publier leur propre contenu.

Afin que les choses restent ordonnées et que les utilisateurs puissent trouver le contenu pertinent et y accéder, vous pouvez envisager de configurer votre site pour un libre-service géré. Pour cela, vous devez mettre en place des directives et des paramètres de manière à ce que le contenu soit organisé, détectable et sécurisé sans goulots d’étranglement dans le processus de publication.

Cet article présente un chemin possible vous permettant, en tant qu’administrateur de site, de configurer votre site en vue d’un libre-service géré :

  1. Identifier les types de groupes et de projets dont vous aurez besoin
  2. Créer des groupes et des ensembles de groupes
  3. Supprimer les autorisations qui entraîneront des ambiguïtés et établir des modèles d’autorisation par défaut
  4. Créer des projets
  5. Verrouiller les autorisations de projet

Remarque : les informations fournies ici sont une version adaptée et simplifiée des pratiques des membres du programme Visionary Tableau et des clients qui nous ont fait part de leur expérience.

Planifier votre stratégie

Les autorisations dans Tableau consistent en des règles appliquées au contenu (projets, classeurs, etc.) pour un groupe ou un utilisateur. Ces règles d’autorisation sont créées en autorisant ou en refusant des fonctionnalités spécifiques.

L’interface des règles d’autorisation montrant diverses fonctionnalités autorisées et refusées

Il est utile d’avoir un plan complet pour vos projets, groupes et règles d’autorisation, que vous commenciez de nouveaux projets ou que vous apportiez des modifications. C’est à vous de voir les détails, mais il existe deux pratiques importantes que nous recommandons pour tous les environnements :

  • Gérez les autorisations sur les projets, et non sur des éléments de contenu individuels.
  • Attribuez des autorisations à des groupes, et non à des utilisateurs individuels.

Définir des autorisations au niveau de chaque utilisateur ou de chaque ressource de contenu peut rapidement devenir ingérable.

Utiliser un modèle d’autorisations ouvert

Les modèles généraux de définition des autorisations sont ouvert ou fermé. Dans un modèle ouvert, les utilisateurs bénéficient d’un niveau d’accès plus élevé et vous refusez les fonctionnalités de façon explicite. Dans un modèle fermé, les utilisateurs obtiennent seulement l’accès nécessaire à leur travail. Il s’agit du modèle préconisé par les professionnels de la sécurité. Les exemples de cette rubrique suivent un modèle fermé.

Pour plus d’informations sur la manière dont les autorisations Tableau sont évaluées, consultez Autorisations effectives.

Identifier les types de projets et de groupes dont vous aurez besoin

La conception d’une structure permettant d’accueillir le contenu (dans les projets) et les catégories d’utilisateurs (en tant que groupes) ou de groupes (dans des ensembles de groupes) peut être la partie la plus difficile de la configuration d’un site, mais elle facilite considérablement la gestion continue.

Projets : les projets fonctionnent à la fois comme une unité de gestion des autorisations et comme un cadre organisationnel et de navigation. Essayez de créer une structure de projet qui équilibre la façon dont les gens s’attendent à trouver du contenu et permet des autorisations logiques.

Groupes et ensembles de groupes : avant de créer des groupes, il peut être utile de trouver des thèmes communs dans la façon dont les personnes interagissent avec le contenu. Essayez d’identifier des modèles que vous pouvez utiliser pour créer des groupes et des ensembles de groupes et évitez les autorisations uniques pour des utilisateurs individuels.

Exemple 1 : Structure de projets et de groupes

Par exemple, imaginons un environnement comportant un contenu à l’échelle de l’entreprise auquel tout le monde devrait pouvoir accéder, et un contenu RH soumis à restrictions.

Les projets incluent :

  • Conférence Acme Corp. Ce contenu inclut des sources de données et des classeurs pour la vente de billets, des tableaux de bord pour la stratégie de contenu et des plans de projet pour la conférence d’entreprise.
  • Réussite des employés. Ce contenu inclut des sources de données anonymisées et des classeurs pour l’enquête interne auprès des employés.
  • Ressources humaines. Ce contenu inclut les sources de données et les classeurs RH qui ne devraient être disponibles que pour les membres de l’équipe RH.

Ensuite, les groupes doivent correspondre à ce que les gens doivent faire :

  • Créateurs de contenu de base. Ce groupe est destiné aux utilisateurs qui peuvent publier sur des projets de niveau supérieur et avoir un large accès aux sources de données, mais qui n’ont pas besoin de pouvoir déplacer ou gérer le contenu.
  • Créateurs de contenu RH. Ce groupe est destiné aux utilisateurs qui ont accès aux sources de données RH et peuvent publier dans le projet RH.
  • Utilisateurs métier. Ce groupe est destiné aux utilisateurs qui devraient pouvoir accéder au contenu créé par les créateurs de contenu principal, mais ne devraient même pas être au courant de l’existence du contenu RH.
  • Utilisateurs RH. Ce groupe est destiné aux utilisateurs qui devraient pouvoir accéder au contenu du projet RH mais qui n’ont pas le droit de créer ou de publier du contenu.
  • Responsables de projet principaux. Ce groupe est destiné aux utilisateurs qui devraient avoir le statut de chef de projet sur les projets qui ne sont pas RH.
Exemple 2 : Structure de groupes et d’ensemble de groupes

Depuis Tableau Server 2024.2, vous pouvez utiliser les ensembles de groupes pour renforcer le contrôle sur les fonctionnalités accordées (ou refusées) aux utilisateurs en activant les autorisations au niveau de l’ensemble de groupes. Lorsque les autorisations sont définies au niveau de l’ensemble de groupes, les utilisateurs doivent appartenir à tous les groupes des ensembles de groupes à évaluer.

Remarque : les règles d’autorisation des ensembles de groupes sont évaluées après les règles d’utilisateur et de groupe.

Par exemple, supposons que vous ayez créé les groupes correspondant aux besoins des personnes de l’exemple 1 ci-dessus. Vous pouvez créer l’ensemble de groupes suivant pour verrouiller davantage l’accès aux RH :

  • Dirigeants RH. Cet ensemble de groupes est composé de créateurs de contenu RH et de chefs de projet principaux. Seuls les utilisateurs de cet ensemble de groupes appartenant aux deux groupes peuvent obtenir le statut de chef de projet et être autorisés à accéder à des sources de données RH sensibles et à publier dans le projet RH.

Prendre en compte les rôles sur le site

N’oubliez pas que les autorisations sont liées au contenu, et non aux groupes ou aux utilisateurs. Cela signifie que vous ne pouvez pas donner à un groupe des autorisations Explorer dans le vide. Au lieu de cela, le groupe peut recevoir des autorisations Explorer pour un projet et son contenu. Les rôles sur le site, cependant, sont attribués à des utilisateurs spécifiques et peuvent définir ou limiter les autorisations dont ils peuvent disposer. Pour plus d’informations sur le lien entre licences, rôles sur le site et autorisations, consultez Autorisations, rôles sur le site et licences.

Créer les groupes et les ensembles de groupes

Bien qu’il puisse être tentant de créer les groupes et les projets dès que vous identifiez ce dont vous avez besoin, il est important de faire les choses dans un certain ordre.

Projets : les projets ne doivent pas être créés tant que le projet par défaut n’a pas été correctement configuré (voir la section suivante). En effet, les projets de niveau supérieur utilisent le projet par défaut comme modèle pour leurs règles d’autorisation.

Groupes : les groupes doivent être créés avant de pouvoir être utilisés pour créer des règles d’autorisation. Les utilisateurs n’ont pas besoin d’être ajoutés aux groupes à ce stade, mais ils peuvent l’être. Pour plus d’informations sur la création de groupes et l’ajout d’utilisateurs à ceux-ci, consultez Groupes et Ajouter des utilisateurs à un groupe.

Ensembles de groupes : les groupes doivent être créés avant de pouvoir être utilisés pour créer des règles d’autorisation. Les utilisateurs n’ont pas besoin d’être ajoutés aux groupes à ce stade, mais ils peuvent l’être. Pour plus d’informations, consultez Utilisation des ensembles de groupes.

Conseil : la création manuelle de plusieurs groupes et projets et la définition des différentes autorisations peuvent être légèrement fastidieuses. Pour automatiser ces processus et pour pouvoir les reproduire dans les mises à jour à venir, vous pouvez effectuer ces tâches à l’aide des commandes API REST. Vous pouvez utiliser les commandes tabcmd pour des tâches telles que l’ajout ou la suppression d’un seul projet ou groupe, ou pour l’ajout d’utilisateurs, mais non pour la définition d’autorisations.

Appartenance à plusieurs groupes

Il est possible d’inclure les utilisateurs des groupes Créateurs de contenu RH et Utilisateurs HR dans le groupe Utilisateurs métier. Cela faciliterait l’attribution d’autorisations aux utilisateurs de contenu principal par rapport aux utilisateurs métier pour la majorité du contenu. Cependant, dans ce scénario, le groupe Utilisateurs métier ne pourrait se voir refuser aucune fonctionnalité dans le dossier Ressources humaines sans les refuser également aux utilisateurs RH. Au lieu de cela, le groupe d’utilisateurs métier devrait être laissé non spécifié, et les groupes spécifiques de créateurs de contenu RH et d’utilisateurs RH recevraient leurs fonctionnalités applicables.

En effet, les autorisations Tableau sont restrictives. Si le groupe Utilisateurs métier s’était vu refuser certaines fonctionnalités, ce refus remplacerait l’autorisation d’une autre règle d’autorisation pour les utilisateurs des deux groupes.

Impact des ensembles de groupes

Si les autorisations attribuées sont activées au niveau de l’ensemble de groupes, les autorisations pour chaque groupe de l’ensemble de groupes ne doivent pas être spécifiées ou refusées pour permettre cette fonctionnalité.

Lorsque vous décidez comment l’appartenance à un groupe doit être attribuée, il est important de comprendre comment les règles d’autorisation sont évaluées. Pour plus d’informations, consultez Autorisations effectives.

Supprimer les autorisations qui entraîneront des ambiguïtés et établir des modèles d’autorisation par défaut

Chaque site a un groupe Tous les utilisateurs et un projet Par défaut.

Groupe Tous les utilisateurs : tout utilisateur ajouté au site devient automatiquement membre du groupe Tous les utilisateurs. Pour éviter toute confusion avec les règles d’autorisation définies sur plusieurs groupes, il est préférable de supprimer les autorisations du groupe Tous les utilisateurs.

Projet par défaut : le projet par défaut sert de modèle pour les nouveaux projets sur ce site. Tous les nouveaux projets de niveau supérieur prendront leurs règles d’autorisation du projet par défaut. L’établissement de modèles d’autorisation de base sur le projet par défaut signifie que vous aurez un point de départ prévisible pour les nouveaux projets. (Notez que les projets imbriqués héritent des règles d’autorisation de leur projet parent, et non du projet par défaut. )

Supprimer la règle d’autorisation pour le groupe Tous les utilisateurs sur le projet par défaut

  1. Sélectionnez Explorer pour ouvrir les projets de niveau supérieur sur le site.
  2. Dans le menu Actions (…) du projet Par défaut, sélectionnez Autorisations.
  3. À côté du nom du groupe Tous les utilisateurs, sélectionnez , puis Supprimer la règle….

Cela vous permet d’établir des règles d’autorisation pour les groupes sur lesquels vous avez un contrôle total sans aucune autorisation conflictuelle attribuée à Tous les utilisateurs. Pour plus d’informations sur la manière dont plusieurs règles sont évaluées pour déterminer les autorisations effectives, consultez Autorisations effectives.

Créer des règles d’autorisation

Vous pouvez maintenant configurer les modèles d’autorisation de base pour le projet par défaut dont hériteront tous les nouveaux projets de niveau supérieur. Vous pouvez choisir de laisser vides les règles d’autorisation du projet par défaut et de créer des autorisations pour chaque nouveau projet de niveau supérieur individuellement. Par contre, si certaines règles d’autorisation doivent s’appliquer à la majorité des projets, il peut être utile de les définir sur le projet par défaut.

N’oubliez pas que la boîte de dialogue des autorisations d’un projet contient des onglets pour chaque type de contenu. Vous devez définir des autorisations pour chaque type de contenu au niveau du projet, sinon les utilisateurs se verront refuser l’accès à ce type de contenu. (Une fonctionnalité n’est accordée à un utilisateur que si elle lui est expressément autorisée. Si une fonctionnalité garde le statut Non spécifiée, elle sera refusée. Pour plus d’informations, consultez Autorisations effectives.)

Conseil : chaque fois que vous créez une règle d’autorisation au niveau du projet, assurez-vous de parcourir tous les onglets de type de contenu.

Créer des règles d’autorisation comme souhaité.

  1. Cliquez sur + Ajouter une règle de groupe/utilisateur et commencez la saisie pour rechercher un nom de groupe.
  2. Pour chaque onglet, choisissez un modèle existant dans la liste déroulante ou créez une règle personnalisée en cliquant sur les fonctionnalités.
  3. Lorsque vous avez terminé, cliquez sur Enregistrer.

Pour plus d’informations sur la configuration d’autorisations, consultez Gérer les autorisations.

Exemple : autorisations au niveau du projet pour chaque type de contenu

Pour notre exemple, la majorité des projets devraient être disponibles pour la plupart des gens. Pour le projet par défaut, nous utiliserons les modèles de règles d’autorisation pour donner aux principaux créateurs de contenu les droits de publication, et à tous les autres, la possibilité d’interagir principalement avec les classeurs.

GroupeProjetsClasseursSources de données(Autre contenu)
Créateurs de contenu de basePublierPublierPublierAfficher
Créateurs de contenu RHAfficherExplorerAfficherAucun
Utilisateurs métierAfficherExplorerAfficherAucun
Utilisateurs HRAfficherExplorerAfficherAucun
Responsables de projet principauxDésigner comme responsable de projetN/AN/AN/A

Ce modèle suit un modèle fermé et limite les autorisations à une utilisation de base de la plupart des contenus pour la plupart des utilisateurs. Au fur et à mesure que de nouveaux projets de niveau supérieur sont créés, ces règles seront héritées par défaut, mais les règles d’autorisation peuvent être modifiées par projet selon les besoins. N’oubliez pas que, pour le projet Ressources humaines, ces autorisations doivent être supprimées et son propre modèle doit être établi.

Créer des projets et ajuster les autorisations

Une fois le projet par défaut configuré avec votre modèle d’autorisations personnalisé, vous pouvez créer le reste de vos projets. Pour chaque projet, vous pouvez ajuster les autorisations par défaut si nécessaire.

Pour créer un projet

  1. Sélectionnez Explorer pour ouvrir les projets de niveau supérieur sur le site.
  2. Dans la liste déroulante Nouveau, sélectionnez Projet.
  3. Nommez le projet et, si vous le souhaitez, donnez-lui une description.

Il peut être utile d’établir une convention d’appellation. Par exemple, une structure de base peut être <DepartmentPrefix><Team> - <ContentUse>, par exemple DevOps - Surveillance.

La description s’affiche lorsque vous survolez une image miniature du projet et la page Détails du projet. Une description appropriée aider les utilisateurs à savoir qu’ils sont au bon endroit.

  1. Ajustez les autorisations si nécessaire.
    1. Ouvrez le nouveau projet.
    2. Dans le menu Actions (...), sélectionnez Autorisations
    3. Modifiez les règles d’autorisation comme vous le souhaitez. N’oubliez pas de vérifier tous les onglets de contenu.

Verrouiller les autorisations de contenu

En plus des règles d’autorisation, les projets ont un paramètre d’autorisation de contenu. Ce paramètre peut être configuré de deux façons, soit Verrouillé (recommandé), soit Personnalisable.

Le verrouillage d’un projet est un moyen de maintenir la cohérence et de garantir que tout le contenu du projet dispose d’autorisations uniformes (par type de contenu). Un projet personnalisable permet aux utilisateurs autorisés de définir des règles d’autorisation individuelles sur des éléments de contenu. Pour plus d’informations, consultez Verrouiller les autorisations de contenu.

Quel que soit le paramètre d’autorisation de contenu, les autorisations sont toujours appliquées au contenu.

Exemples de structure de projet

Certaines entreprises trouvent utile d’avoir des projets qui servent des objectifs spécifiques. Voici quelques exemples de projets et leurs utilisations prévues. Notez qu’il s’agit d’exemples de modèles et que vous devez toujours tester la configuration dans votre environnement.

Pour plus d’informations sur les fonctionnalités incluses dans les modèles de règle d’autorisation de chaque type de contenu, voir Fonctionnalités d’autorisation.

Exemples : paramètres d’autorisation à des fins spécifiques

Classeurs partagés pour collaboration ouverte sur le serveur

N’importe qui dans le département peut publier des éléments dans le projet en collaboration ouverte tant que le contenu est en cours de développement. Les collègues peuvent travailler ensemble via la modification Web sur le serveur. Certaines personnes appellent ceci un bac à sable, d’autres parlent d’espace intermédiaire... Dans ce projet, vous pouvez autoriser la modification sur le Web, l’enregistrement, le téléchargement, etc.

Ici, vous voulez non seulement permettre la collaboration, mais aussi permettre aux utilisateurs qui ne disposent pas de Tableau Desktop de contribuer et de fournir des commentaires.

GroupeProjetsClasseursSources de données(Autre contenu)
Gestionnaires de donnéesPublierPublierPublierTBD
AnalystesPublierPublierExplorerTBD
Utilisateurs métierPublierPublierExplorerTBD

N’oubliez pas que certaines fonctionnalités du modèle de publication (telles que Remplacer) peuvent être bloquées par le rôle sur le site d’un utilisateur, même s’il dispose de cette fonctionnalité.

Remarque : « TBD » indique que ces règles d’autorisation ne sont pas facilement déterminées par le scénario et peuvent être définies, mais elles font sens pour un environnement donné.

Rapports partagés qui ne peuvent pas être modifiés

Il peut s’agir d’un projet dans lequel les utilisateurs qui créent des classeurs et des sources de données (analystes et administrateurs de données) peuvent publier quand ils le souhaitent pour mettre du contenu à disposition des utilisateurs métier, en étant certains que leur travail ne peut pas être « emprunté » ni modifié.

Pour ce type de projet, vous pouvez refuser toutes les fonctionnalités qui permettent la modification ou la récupération des données sur le serveur pour les réutiliser. Vous pouvez autoriser les fonctionnalités d’affichage.

GroupeProjetsClasseursSources de données(Autre contenu)
Gestionnaires de donnéesPublierTBDPublierTBD
AnalystesPublierPublierAfficherTBD
Utilisateurs métierAfficherAfficherAucunAucun

Sources de données vérifiées pour les analystes

Il s’agit de l’emplacement dans lequel les administrateurs de données publient les sources de données qui correspondent à toutes vos exigences et qui deviennent une source fiable pour votre organisation. Les responsables de projet de ce projet peuvent certifier ces sources de données, afin qu’elles soient mieux classées dans les résultats de la recherche et soient reprises dans les sources de données recommandées.

Vous pouvez permettre aux analystes autorisés de connecter leurs classeurs aux sources de données de ce projet, mais pas de les télécharger ni de les modifier. Vous pouvez refuser des fonctionnalités d’affichage au groupe Utilisateurs métier pour que ces utilisateurs ne voient même pas ce projet.

GroupeProjetsClasseursSources de données(Autre contenu)
Gestionnaires de donnéesPublierTBDPublierTBD
AnalystesAfficherAucunAfficherAucun
Utilisateurs métierAucunAucunAucunAucun

Contenu inactif

Une autre solution est de séparer les classeurs et les sources de données que les vues administratives du site présentent comme n’ayant pas été utilisées pendant un certain temps. Vous pouvez indiquer aux propriétaires de contenu une durée limite au terme de laquelle ce contenu est supprimé du serveur.

Que vous le fassiez de cette manière ou que vous supprimiez le contenu directement dans les projets en cours est une décision à prendre au niveau de votre organisation. Dans un environnement actif, n’hésitez pas à supprimer le contenu qui n’est pas utilisé.

GroupeProjetsClasseursSources de données(Autre contenu)
Gestionnaires de donnéesAucunAucunAucunAucun
AnalystesAfficherAfficherTBDTBD
Utilisateurs métierAucunAucunAucunAucun

Source des modèles de classeurs

Ceci est un projet que les utilisateurs peuvent utiliser pour le téléchargement, mais pas pour la publication ni l’enregistrement. C’est l’emplacement dans lequel les publicateurs autorisés et les responsables de projet placent les modèles de classeurs. Les modèles qui contiennent les polices, les couleurs les images et même les connexions de données approuvées et qui intègrent ces éléments peuvent faire gagner beaucoup de temps aux auteurs et contribuent à donner une apparence cohérente à vos rapports.

GroupeProjetsClasseursSources de données(Autre contenu)
Auteur autoriséPublierPublierPublierTBD
Gestionnaires de donnéesAucunAucunAucunAucun
AnalystesAfficher

Modèle : Explorer

Fonctionnalité : Télécharger le classeur/Enregistrer une copie

AfficherAucun
Utilisateurs métierAucunAucunAucunAucun

Étapes suivantes

En plus des projets, des groupes et des autorisations, la gouvernance des données aborde les thèmes suivants :

Formation des utilisateurs 

Aidez tous vos utilisateurs Tableau à devenir d’excellents administrateurs de données. Les organisations les plus performantes dans leur utilisation de Tableau créent des groupes d’utilisateurs Tableau, organisent régulièrement des formations, etc.

Pour découvrir une approche commune à l’orientation des utilisateurs sur le site, consultez Portails personnalisés basés sur des tableaux de bord.

Pour découvrir des astuces sur la publication et la certification des données, consultez les sujets suivants :

Optimiser l’activité d’actualisation d’extrait et d’abonnement

Si vous utilisez Tableau Server, créez des stratégies pour l’actualisation des extraits et les programmations d’abonnement pour éviter qu’elles ne dominent les ressources du site. Les présentations de client TC de Wells Fargo et Sprint abordent ce sujet en détail. Consultez aussi les rubriques sous Réglage des performances.

Si vous utilisez Tableau Cloud, consultez les rubriques suivantes pour découvrir comment actualiser les extraits :

Surveillance

Utilisez les vues administratives pour garder un œil sur les performances du site et l’utilisation du contenu.

Vues administratives

Merci de vos commentaires !Avis correctement envoyé. Merci