マネージド セルフサービスのためのプロジェクト、グループ、グループ セット、パーミッションの設定
Tableau Cloud と Tableau Server へのパブリッシュは簡単です。組織によっては、少し簡単すぎるくらいの作業です。有用な方法として、作成者が独自のコンテンツをパブリッシュできるようになる前に、制御されたフレームワークを作成します。
コンテンツを整理して、ユーザーが適切なコンテンツを見つけてアクセスできるようにするには、マネージド セルフサービスのサイトを構成すると便利です。つまり、コンテンツが整理され、検出可能で、安全であることを保証するためのガイドラインと設定を用意することで、パブリッシュ プロセスのボトルネックを解消することができます。
この記事では、、サイト管理者がマネージド セルフサービスのサイトを設定するために活用できる手法を示します。
- 必要なグループとプロジェクトのタイプを特定する
- グループとグループ セットを作成する
- あいまいな点が残るパーミッションを削除し、既定のパーミッション パターンを確立する
- プロジェクトの作成
- プロジェクト パーミッションをロックする
注: ここで提供する情報は、Tableau Visionaries および自身の経験を共有してくれた顧客のプラクティスを基に変更を加え、簡略化しています。
展開を計画する
Tableau のパーミッションは、グループまたはユーザーのコンテンツ (プロジェクトやワークブックなど) に適用されるルールで構成されます。これらのパーミッション ルールは、特定の機能を許可または拒否することによって作成されます。
プロジェクト、グループ、パーミッション ルールの包括的な計画を立てることは、新規に開始する場合でも変更を加える場合でも役立ちます。詳細は自分で決められますが、すべての環境で推奨されている 2 つの重要なプラクティスがあります。
- 個々のコンテンツではなく、プロジェクトでパーミッションを管理します。
- 個々のユーザーではなく、グループにパーミッションを割り当てます。
個々のユーザー レベルおよび各コンテンツ資産に対してパーミッションを設定していると、すぐに管理不可能になります。
クローズド パーミッション モデルを使用する
パーミッション設定の一般的なモデルはオープンまたはクローズです。オープン モデルでは、ユーザーは高レベルなアクセス権を取得し、管理者は明示的に権限を拒否します。クローズド モデルでは、ユーザーは自分たちのジョブを実行するために必要なアクセス権のみを取得します。これは、セキュリティの専門家が提唱するモデルです。このトピックの例は、クローズド モデルに準じています。
Tableau パーミッションの評価方法の詳細については、「有効なパーミッション」を参照してください。
必要なプロジェクトとグループのタイプを特定する
コンテンツ (プロジェクト) とユーザーのカテゴリ (グループ)、またはグループのカテゴリ (グループ セット) を収容する構造を設計することは、サイトを立ち上げる上で最も難しい部分ですが、この設計により継続的な管理がはるかに簡単になります。
プロジェクト: プロジェクトは、パーミッションを管理するためのユニットとしても、組織的およびナビゲーション的なフレームワークとしても機能します。ユーザーが期待するコンテンツの検索方法と論理的なパーミッション付与のバランスがとれているプロジェクト構造を作成します。
グループまたはグループ セット: グループを作成する前に、ユーザーがコンテンツをどのように操作するかについて、共通のテーマを見つけると役に立ちます。グループまたはグループ セットの作成に使用できるパターンを特定し、個々のユーザーに対する 1 回限りのパーミッションは避けます。
たとえば、すべての人がアクセスできる会社全体のコンテンツと、制限を設ける必要があるいくつかの HR コンテンツがある環境を考えてみましょう。
プロジェクトには以下が含まれます。
- Acme Corp 会議。チケット販売のデータ ソースとワークブック、コンテンツ戦略のダッシュボード、社内会議のプロジェクト計画が含まれます。
- 従業員の業績。従業員の内部調査に関する匿名化されたデータ ソースとワークブックが含まれます。
- 人事。HR チームのメンバーのみが利用できる HR データ ソースとワークブックが含まれます。
各グループは従業員が行うべき内容と一致している必要があります。
- コア コンテンツ作成者。このグループは、上位レベルのプロジェクトにパブリッシュでき、データ ソースに幅広くアクセスできるが、コンテンツを移動したり管理したりする必要がないユーザーを対象としています。
- 人事コンテンツ作成者。このグループは、HR データ ソースにアクセスでき、HR プロジェクトにパブリッシュできるユーザーを対象としています。
- ビジネス ユーザー。このグループは、コア コンテンツ作成者によって作成されたコンテンツにアクセスできる必要があるが、HR コンテンツが存在することさえ知らないユーザーを対象としています。
- 人事ユーザー。このグループは、HR プロジェクトのコンテンツにアクセスする必要があるが、コンテンツを作成またはパブリッシュする権限を持っていないユーザーを対象としています。
- コア プロジェクト リーダー。このグループは、HR ではないプロジェクトでプロジェクト リーダーのステータスが付与される必要があるユーザーを対象としています。
注: グループ セットのパーミッション ルールは、ユーザー ルールとグループ ルールの後に評価されます。
たとえば、上記の例 1 でユーザーのニーズに合わせてグループを作成したとします。次のグループ セットを作成すると、人事アクセスをさらに制限できます。
人事リーダー。このグループ セットは、人事コンテンツ作成者とコア プロジェクト リーダーで構成されます。このグループ セットのユーザーが両方のグループに属している場合にのみ、プロジェクト リーダーのステータス、機密性の高い人事データ ソースへのアクセス権、および人事プロジェクトへのパブリッシュの権限が付与されます。
サイト ロールを考慮する
パーミッションは、グループやユーザーではなく、コンテンツに関連付けられていることに注意してください。グループに [探索] パーミッションを単独で付与することはできません。グループに付与できるのは、プロジェクトとそのコンテンツの [探索] パーミッションです。ただし、サイト ロールが特定のユーザーに付与されると、ユーザーが持つことができるパーミッションが定義または制限される場合があります。ライセンス、サイト ロール、パーミッションを関連付ける方法の詳細については、「パーミッション、サイト ロール、ライセンス」を参照してください。
グループとグループ セットを作成する
必要な情報を特定したらすぐにグループやプロジェクトを作成したくなるかもしれませんが、特定の順序で作成することが重要です。
プロジェクト: プロジェクトは、[既定] プロジェクトを適切に構成してから作成してください (次のセクションを参照)。これは、最上位のプロジェクトが [既定] プロジェクトをパーミッション ルールのテンプレートとして使用するためです。
グループ: グループを作成してから、パーミッション ルールを作成する必要があります。ユーザーはまだグループに追加する必要はありませんが、追加することはできます。
グループ セット: パーミッション ルールの作成に使用するには、まず、グループを作成する必要があります。ユーザーはまだグループに追加する必要はありませんが、追加することはできます。詳細については、「グループ セットの操作」を参照してください。
ヒント: 複数のグループとプロジェクトを作成して、パーミッションを手動で設定するのは、面倒な作業です。これらのプロセスを自動化し、将来のアップデートで繰り返し実行できるようにするために、これらのタスクを REST API コマンドを使用して実行できます。tabcmd コマンドは、単一のプロジェクトやグループの追加や削除、ユーザーの追加などのタスクに使用できますが、パーミッションの設定には使用できません。
複数のグループのメンバーシップ
[HR コンテンツ作成者] グループと [HR ユーザー] グループのユーザーを [ビジネス ユーザー] グループに含めることができます。これにより、大半のコンテンツのパーミッションを、コア コンテンツ ユーザーとビジネス ユーザーに簡単に割り当てることができます。ただし、そのシナリオでは、[ビジネス ユーザー] グループが人事フォルダーの機能を拒否されると、HR ユーザーも拒否されることになります。代わりに、[ビジネス ユーザー] グループは未指定のままにしておく必要があります。これにより、特定の [HR コンテンツ作成者] グループと [HR ユーザー] グループに適切な機能が付与されます。
これは、Tableau パーミッションに制限が設けられているためです。[ビジネス ユーザー] グループが特定の機能を拒否された場合、その拒否によって、両方のグループのユーザーに対して許可されている別のパーミッション ルールが上書きされてしまいます。
グループ セットの影響
割り当てられたパーミッションがグループ セットのレベルで有効になっている場合、機能を許可するには、グループ セット内のすべてのグループに対して、パーミッションが指定されていたり、拒否されていたりしてはなりません。
グループ メンバーシップの割り当て方法を決定する際は、パーミッション ルールの評価方法を理解することが重要です。詳細については、「有効なパーミッション」を参照してください。
あいまいな点が残るパーミッションを削除し、既定のパーミッション パターンを確立する
すべてのサイトには、[すべてのユーザー] グループと [既定] プロジェクトがあります。
[すべてのユーザー] グループ: サイトに追加されたすべてのユーザーは自動的に [すべてのユーザー] グループのメンバーになります。複数のグループに設定されたパーミッション ルールとの混同を避けるために、[すべてのユーザー] グループからパーミッションを削除することをお勧めします。
[既定] プロジェクト: [既定] プロジェクトは、サイト内の新しいプロジェクトのテンプレートとして機能します。すべての新しい最上位レベル プロジェクトは、[既定] プロジェクトからパーミッション ルールを取得します。[既定] プロジェクトでベースラインのパーミッション パターンを確立すると、新しいプロジェクトの予測可能な開始点になります(ネストされたプロジェクトは、[既定] プロジェクトではなく、親プロジェクトからパーミッション ルールを継承することに注意してください)。
[既定] プロジェクトで [すべてのユーザー] グループのパーミッション ルールを削除します。
- [探索] を選択し、サイトで最上位レベル プロジェクトを表示します。
- [既定] プロジェクトの [アクション] (…) メニューで、[パーミッション] を選択します。
- [すべてのユーザー] グループ名の横にある […] を選択し、[Delete Rule… (ルールを削除…)] を選択します。
これにより、すべてのユーザーに競合するパーミッションを割り当てることなく、完全に制御できるグループに対してパーミッション ルールを確立できます。複数のルールを評価して、有効なパーミッションを決定する方法の詳細については、「有効なパーミッション」を参照してください。
パーミッション ルールを作成する
すべての新しい最上位レベル プロジェクトが継承する [既定] プロジェクトの基本的なパーミッション パターンを設定できるようになりました。[既定] プロジェクトのパーミッション ルールを空のままにして、新しい最上位レベル プロジェクトごとにパーミッションを個別に作成することもできます。ただし、大半のプロジェクトに適用する必要のあるパーミッション ルールがある場合は、[既定] プロジェクトでそれらのルールを設定すると便利です。
プロジェクトのパーミッション ダイアログには、コンテンツのタイプごとにタブが含まれています。プロジェクト レベルでコンテンツのタイプごとにパーミッションを設定する必要があります。設定しない場合、ユーザーはそのコンテンツ タイプへのアクセスを拒否されます(ユーザーに明示的に許可されている場合にのみ、機能が付与されます。機能を [未指定] にすると、その機能は拒否されます。詳細については、「有効なパーミッション」を参照してください)。
ヒント: プロジェクト レベルでパーミッション ルールを作成するたびに、すべてのコンテンツ タイプ タブを確認してください。
必要に応じて、パーミッション ルールを作成します。
- [+ グループ/ユーザー ルールの追加] をクリックし、入力を開始してグループ名を検索します。
- 各タブで、ドロップダウンから既存のテンプレートを選択するか、または、機能をクリックし、カスタム ルールを作成します。
- 完了したら、[保存] をクリックします。
パーミッションの設定の詳細については、「パーミッションの設定」を参照してください。
この例では、ほとんどのユーザーがプロジェクトの大部分を利用できるようにする必要があります。[既定] プロジェクトでは、パーミッション ルール テンプレートを使用して、コア コンテンツ作成者にパブリッシュ権限を付与し、他のすべてのユーザーにはワークブックを操作する権限のみを付与します。
| グループ | プロジェクト | ワークブック | データ ソース | (その他のコンテンツ) |
| コア コンテンツ作成者 | パブリッシュ | パブリッシュ | パブリッシュ | ビュー |
| HR コンテンツ作成者 | ビュー | 探索 | ビュー | なし |
| ビジネス ユーザー | ビュー | 探索 | ビュー | なし |
| HR ユーザー | ビュー | 探索 | ビュー | なし |
| コア プロジェクト リーダー | プロジェクト リーダーとして設定 | N/A | N/A | N/A |
このパターンはクローズド モデルに従い、ほとんどのユーザーに対して、大半のコンテンツの基本的なパーミッションのみを使用するよう制限を設けます。新しい最上位レベル プロジェクトが作成されると、これらのルールは既定で継承されますが、パーミッション ルールは必要に応じてプロジェクトごとに変更できます。[人事] プロジェクトでは、これらのパーミッションを削除し、独自のパターンを確立する必要があることに注意してください。
プロジェクトを作成し、パーミッションを調整する
[既定] プロジェクトをカスタム パーミッション テンプレートを使用して設定したら、残りのロジェクトを作成できます。各プロジェクトで、必要に応じて既定のパーミッションを調整できます。
プロジェクトを作成するには、次の手順を実行します。
- [探索] を選択し、サイトで最上位レベル プロジェクトを表示します。
- [新規] ドロップダウンから、[プロジェクト] を選択します。
- プロジェクトに名前を付け、必要に応じて説明を追加します。
命名規則を設定すると便利です。たとえば、基本的な構造を <DepartmentPrefix><Team> - <ContentUse> (例: DevOps - モニタリング) という形式にできます。
プロジェクトのサムネイルと [プロジェクト詳細] ページにカーソルを合わせると、説明が表示されます。適切な説明があることで、操作が正しいことをユーザーに知らせることができます。
- 必要に応じてパーミッションを調整します。
- 新しいプロジェクトを開きます。
- [アクション] メニュー (...) から、[パーミッション] を選択します。
- 必要に応じて、パーミッション ルールを変更します。すべてのコンテンツ タブを確認することを忘れないでください。
コンテンツ パーミッションをロックする
パーミッション ルールに加えて、プロジェクトにはコンテンツ パーミッションの設定があります。この設定は、[ロック] (推奨) または [カスタマイズ可能] の 2 つの方法のいずれかで構成できます。
プロジェクトをロックすることで、一貫性が維持され、プロジェクト内のすべてのコンテンツに (コンテンツ タイプごとに) 統一されたパーミッションが設定されます。カスタマイズ可能なプロジェクトでは、権限を持つユーザーがコンテンツに個別のパーミッション ルールを設定できます。詳細については、「コンテンツ パーミッションをロックする」を参照してください。
コンテンツ パーミッションの設定に関係なく、パーミッションは常にコンテンツに適用されます。
可能なプロジェクト構造
組織によっては、特定の目的に応じたプロジェクトを作成すると便利な場合があります。以下にプロジェクトの例とその使用目的を示します。これらはサンプル テンプレートであるため、必ずお使いの環境で構成をテストしてください。
各コンテンツ タイプのパーミッション ルール テンプレートに含まれる機能については、パーミッションの機能を参照してください。
サーバー上で自由にコラボレーションできる共有されたワークブック
同じ部門にいる誰もが公開されたコラボレーション プロジェクトにパブリッシュできます。コンテンツは開発中の段階です。同僚はサーバーの Web 編集機能を使用してコラボレーションできます。この機能は Sandbox と呼ばれたり、ステージングと呼ばれたりします。このプロジェクトでは、Web の編集、保存、ダウンロードなどを実行できます。
共同で作業できるだけでなく、Tableau Desktop を持っていないユーザーでもフィードバックが寄せられるようになります。
| グループ | プロジェクト | ワークブック | データ ソース | (その他のコンテンツ) |
| データ案内人 | パブリッシュ | パブリッシュ | パブリッシュ | TBD |
| アナリスト | パブリッシュ | パブリッシュ | 探索 | TBD |
| ビジネス ユーザー | パブリッシュ | パブリッシュ | 探索 | TBD |
パブリッシュ テンプレートの一部の機能 (上書きなど) は、その機能が許可されている場合でも、ユーザーのサイト ロールによって制限される可能性があることに注意してください。
注: 「TBD」は、これらのパーミッション ルールがこのシナリオでは簡単に判断できないことを示しますが、特定の環境に適している場合は設定できます。
編集不可能な共有レポート
これは、ワークブックおよびデータ ソースを作成するユーザー (アナリストおよびデータ案内人) が、「真似」されたり修正されたりすることがないと確信できるコンテンツをビジネス ユーザーに対して閲覧できるようにする場合にパブリッシュできるプロジェクトです。
このタイプのプロジェクトでは、サーバーのデータを再利用するために編集または取得できる機能をすべて拒否します。許可するのは機能の閲覧です。
| グループ | プロジェクト | ワークブック | データ ソース | (その他のコンテンツ) |
| データ案内人 | パブリッシュ | TBD | パブリッシュ | TBD |
| アナリスト | パブリッシュ | パブリッシュ | ビュー | TBD |
| ビジネス ユーザー | ビュー | ビュー | なし | なし |
アナリストが接続する吟味されたデータ ソース
これは、すべてのデータ要件を満たし、組織にとって「信頼できるソース」となるデータ ソースをデータ案内人がパブリッシュする場所になります。このプロジェクトのプロジェクト リーダーは、これらのデータ ソースを承認して検索結果の高ランクに位置付けたり、お勧めのデータ ソースに含めたりできます。
認可されたアナリストがワークブックをこのプロジェクトのデータ ソースに接続することは許可しますが、ダウンロードや編集はできないようにします。[ビジネス ユーザー] グループへのビュー機能を拒否するため、このグループのユーザーはこのプロジェクトを表示することもできません。
| グループ | プロジェクト | ワークブック | データ ソース | (その他のコンテンツ) |
| データ案内人 | パブリッシュ | TBD | パブリッシュ | TBD |
| アナリスト | ビュー | なし | ビュー | なし |
| ビジネス ユーザー | なし | なし | なし | なし |
非アクティブなコンテンツ
サイトの管理ビューが一定期間表示されていないワークブックおよびデータ ソースを隔離することもできです。コンテンツをサーバーから削除する前にコンテンツ所有者に時間制限を与えます。
これを行うか、ワーキング プロジェクトから直接削除してしまうかは、組織で決定します。アクティブな環境にある場合は、使用されていないコンテンツが削除される心配はありません。
| グループ | プロジェクト | ワークブック | データ ソース | (その他のコンテンツ) |
| データ案内人 | なし | なし | なし | なし |
| アナリスト | ビュー | ビュー | TBD | TBD |
| ビジネス ユーザー | なし | なし | なし | なし |
ワークブック テンプレートのソース
これは、ユーザーがダウンロードできるがパブリッシュや保存はできないプロジェクトです。認可されたパブリッシャーまたはプロジェクト リーダーによってワークブックのテンプレートが利用できるようになります。組織で許可されたフォント、色、画像、および内蔵されたデータ接続を使用したテンプレートによって、作成者は大幅な時間短縮を実現し、レポートのスタイルに一貫性を持たせることができます。
| グループ | プロジェクト | ワークブック | データ ソース | (その他のコンテンツ) |
| 認可された作成者 | パブリッシュ | パブリッシュ | パブリッシュ | TBD |
| データ案内人 | なし | なし | なし | なし |
| アナリスト | ビュー | テンプレート: 探索 + 機能: ワークブックのダウンロード/コピーの保存 | ビュー | なし |
| ビジネス ユーザー | なし | なし | なし | なし |
次のステップ
プロジェクト、グループ、パーミッションに加え、その他のデータ管理のテーマとして次の内容があります。
ユーザーの教育
すべての Tableau ユーザーが優れたデータ案内人になれるようにします。最も成功を収めている Tableau 組織では、Tableau のユーザー グループを作成して定期的にトレーニング セッションなどを開催しています。
ユーザーがサイトを正しく理解できるようになるための一般的な手法については、ダッシュボード ベースのカスタム ポータルを参照してください。
パブリッシュおよびデータ認証のヒントについては、以下のトピックを参照してください。
ワークブックのパブリッシュの準備(新しいウィンドウでリンクが開く) (Tableau ヘルプ)
パブリッシュされたデータ ソースのベスト プラクティス(新しいウィンドウでリンクが開く) (Tableau ヘルプ)
抽出の更新およびサブスクリプションのアクティビティの最適化
Tableau Server を使用している場合は、抽出の更新およびサブスクリプション スケジュールに関するポリシーを作成して、サイトのリソースに影響を与えないようにします。Wells Fargo および Sprint による TC カスタマーのプレゼンテーションで、これらの課題について詳しく取り上げています。また、「パフォーマンス調整」のトピックも参照してください。
Tableau Cloud を使用する場合は、次のトピックを参照して抽出の更新を実行する方法についてよく理解しておいてください。
監視
管理ビューを使用して、サイトのパフォーマンスおよびコンテンツの使用を監視します。