有効なパーミッション
パーミッション ルールでは、影響を受けるユーザー (グループ セット、グループまたはユーザー) と、そのユーザーによる使用が許可または拒否されている、あるいは、指定されていない機能を設定します。パーミッション ルールを単純に設定してそれを全体に適用するのは簡単なことのように思われますが、メンバーシップが複数グループに含まれていることや、サイト ロールおよび所有権がパーミッション ルールと相互に作用しているため、ユーザーが機能を使用できるかどうかが明確でない場合があります。
複数の要因は特定の順序で評価され、コンテンツに対する有効なパーミッションが付与されます。
ヒント: できるだけ簡単な状態に保てるよう、(1) ユーザーではなくグループに対してパーミッション ルールを設定すること、(2) 個々のコンテンツに対してパーミッションを設定するのではなく、プロジェクト レベルでロックされているパーミッションを管理すること、(3) [すべてのユーザー] グループのパーミッション ルールを削除するか、すべての機能を [なし] に設定することをお勧めします。
次の 3 つの条件がすべて満たされた場合にのみ、ユーザーに対して機能が許可されます。
- その機能がサイト ロールの範囲内に含まれている。
- ユーザーはその機能を持っている:
- 特定のユーザー シナリオに基づく (コンテンツ所有者やプロジェクト リーダーである、または管理者サイト ロールであるなど)、
または - ユーザーとして機能が許可されている、
または - 機能を許可されているグループに含まれており、ユーザーまたは別のグループのメンバーとして機能を拒否するルールがない。
- 特定のユーザー シナリオに基づく (コンテンツ所有者やプロジェクト リーダーである、または管理者サイト ロールであるなど)、
- 優先度の高い別のコンテンツ レベルに競合するパーミッション設定がない。
他の状況ではユーザーで機能が拒否されます。
機能にカーソルを合わせると、有効なパーミッションを説明するツールヒントが表示されます。有効なパーミッション (実際に何を実行でき、何を実行できないか) が、指定したパーミッション ルールの記載とは異なって表示される場合がある理由について、いくつかの例を示します。
- ユーザーの機能が、サイト ロールに含まれているが (管理者)、パーミッション ルールで拒否されている可能性がある。
- ユーザーの機能が、ユーザー シナリオで許可されているが (コンテンツ所有者である、またはプロジェクト所有者やリーダーであるため)、パーミッション ルールで拒否されている可能性がある。
- ユーザーの機能が、パーミッション ルールで許可されているが、サイト ロールで許可されていない可能性がある。
- ユーザーの機能が、パーミッション ルールで許可されているが、競合するグループまたはユーザーのルールにより拒否されている可能性がある。
- ユーザーの機能が、あるレベルのコンテンツ (ワークブックなど) のパーミッション ルールで許可されているが、別のレベルのコンテンツ (ビューなど) により拒否されている可能性がある。
パーミッション ルールの評価
Tableau のパーミッションはより制限的です。ユーザーに機能が付与されない限り、パーミッションは拒否されます。次のロジックでは、個々のユーザーで機能が許可されるか拒否されるかを評価します。
- サイト ロール: サイト ロールで機能が許可されない場合、ユーザーは拒否されます。ユーザーのサイト ロールで機能が許可されている場合は、特定のユーザー シナリオが評価されます。
- たとえば、Viewer サイト ロールでは Web 編集はできません。各サイト ロールで実行可能な内容の詳細については、「各サイト ロールで許可されている一般的な機能」を参照してください。
- 特定のユーザー シナリオ:
- ユーザーが管理者の場合、すべてのコンテンツに対してすべての機能を持っています。
- ユーザーがプロジェクト所有者またはプロジェクト リーダーの場合、プロジェクトに含まれるすべてのコンテンツに対してすべての機能を持っています。
- ユーザーがコンテンツ所有者の場合、それらのコンテンツに対してすべての機能*を持っています。
- これらのシナリオがユーザーに適用されない場合、ユーザー ルールが評価されます。
*例外: コンテンツ所有者は、パーミッションがロックされているプロジェクトでは [パーミッションの設定] 機能を持っていません。管理者、プロジェクト所有者、プロジェクト リーダーのみがロックされたプロジェクトでパーミッション ルールを設定できます。
- ユーザー ルール: ユーザーが機能を拒否されている場合は拒否されます。機能が許可されている場合は許可されます。機能が指定されていない場合は、グループ ルールが評価されます。
- グループ ルール: ユーザーが機能を拒否されているグループのいずれかに含まれている場合は拒否されます。ユーザーが機能を許可されているグループに所属している場合 (かつ、その機能が拒否されているグループに所属していない場合) は許可されます。
- つまり、ユーザーが 2 つのグループに所属しており、一方では機能が許可され、他方では同じ機能が拒否されている場合、拒否が優先されるため、そのユーザーは拒否されます。
- グループ セット ルール: ユーザーがグループ セット内のグループのメンバーである場合、グループ セット内のいずれかのグループで機能が拒否されると、そのユーザーは拒否されます。
- 上記の条件がいずれも適用されない場合は、ユーザーはその機能を拒否されます。つまり実際には、指定されていない機能は拒否されます。
このため、次の 3 つの状況では、最終的に有効なパーミッションが許可になります。
- サイト ロール (サーバー管理者、サイト管理者 Creator、サイト管理者 Explorer) により許可される
- ユーザーがコンテンツ所有者、プロジェクト所有者、またはプロジェクト リーダーであるため許可される
- グループ ルール、グループ セット ルール、またはユーザー ルールにより許可される (かつ、優先度の高いルールにより拒否されない)
次の 3 つの状況では、拒否になります。
- サイト ロールにより拒否される
- ルールにより拒否される (かつ、優先度の高いルールにより許可されない)
- いずれのルールによっても付与されない
複数レベルで設定されたパーミッションの評価
アセット パーミッションがカスタマイズ可能に設定されている場合、複数の場所でパーミッション ルールを構成することができます。どのパーミッションをコンテンツに適用するかを決める特定のルールがあります。
- ネストされたプロジェクトがある場合、子レベルで設定されたパーミッションは、親レベルで設定されたパーミッションよりも優先されます。
- パーミッションの変更をプロジェクト レベルで行っても、既存のコンテンツには適用されません。
- パブリッシュ中またはパブリッシュ後にコンテンツ (ワークブック、データ ソース、またはフロー) に設定されたパーミッションがある場合は、これがプロジェクト レベルで設定されたルールより優先されます。
- ワークブックにナビゲーション シート タブが表示されない場合、ワークブックレベルのパーミッションに対する変更はビューによって継承されず、パーミッションの変更はビューで行う必要があります。
- ナビゲーション シート タブを表示するようにワークブックを構成すると、既存のビューレベルのパーミッションを上書きし、それらをワークブックレベルのパーミッションと同期します。シート タブの表示または非表示を参照してください。
ビューに対するパーミッション
ワークブックがロックされているプロジェクトに含まれておらず、かつ、ワークブックにシートがナビゲーションのタブとして表示されていない場合、ワークブックのパーミッションはパブリッシュ時にビュー (シート、ダッシュボード、ストーリー) に継承されますが、パーミッション ルールの変更は個々のビューで行う必要があります。ビュー機能はワークブックでの機能と同じですが、例外として、[上書き]、[ワークブックのダウンロード/コピーの保存]、[移動] の機能はワークブック レベルでのみ利用できます。
できる限りナビゲーション シート タブを表示して、ワークブックのパーミッションがビューに引き続き継承されるようすることをお勧めします。詳細については、シート タブの表示または非表示を参照してください。