為受管理的自助服務設定專案、群組、群組集與權限
發佈到 Tableau Cloud 和 Tableau Server 是件輕而易舉的事。對於某些組織來說,這可能有點太過於容易了。在讓建立者發佈自己的內容之前,有必要建立一個受控框架。
為讓內容保持整潔,並確保使用者可以找到和存取正確的內容,將您的網站設定為使用託管自助服務可能會很有用。這意味著要具有適當的準則和設定,以確保內容井然有序、易於發現和安全可用,而不會在發佈流程中遇到瓶頸。
若您作為網站管理員,需要將網站設定為使用託管自助服務,本文可為您提供可能的方法:
- 確定所需群組和專案的類型
- 建立群組與群組集
- 移除會導致不明確問題的權限,並建立預設權限模式
- 建立專案
- 鎖定專案權限
附註:此處提供的資訊改編和簡化自分享過其經驗的 Tableau Visionary 和客戶之做法。
規劃策略
Tableau 中的權限包括適用於群組或使用者內容(專案,工作簿等)的原則。這些權限原則是透過允許或拒絕特定功能來建置的。
無論您是開始著手新的內容,還是進行變更,為您的專案、群組和權限原則制定全面的計劃都會非常有用。具體細節由您決定,但我們建議為所有環境實作兩種重要的做法:
- 管理專案的權限,而不是單個內容的權限。
- 為群組指派權限,而不是單個使用者。
若在單個使用者層級上和對單個內容資產設定權限,將會很快變得難以管理。
使用封閉的權限模型
用於設定權限的一般模型包括開放模型或封閉模型。在開放模型中,使用者將獲得高層級的存取權限,並且您可顯式拒絕能力。在封閉模型中,使用者只能獲得他們完成工作所需的存取權限。這是安全專業人士提倡的模式。本主題中的範例遵循封閉模型。
有關如何評估 Tableau 權限的更多資訊,請參閱有效權限。
確定所需專案和群組的類型
設計一個結構以適應內容(在專案中)與使用者類別(作為群組)或者群組類別(在群組集中)是建立站台最具挑戰性的部分,但這可讓後續管理變得更加容易。
專案:專案既是管理權限的單位,又是組織和巡覽的框架。嘗試建立一個專案結構,以協調使用者期望找到內容的方式,同時允許邏輯權限。
群組或群組集:在建立群組之前,找到使用者如何與內容互動的常見主題可能會很有用。嘗試確定可用於建立群組或群組集的模式,並避免使用為單個使用者提供的一次性權限。
例如,讓我們想像一個環境,其中存在每個人都應該能夠存取的公司範圍內的內容,以及一些需要受到限制的人力資源內容。
專案包括:
- Acme 公司會議。這將包括用於門票銷售的資料來源和工作簿、內容策略儀表板以及公司會議的專案計劃。
- 員工成功。這將包括用於內部員工調查的匿名資料來源和工作簿
- 人力資源。這將包括人力資源資料來源和工作簿,應僅供人力資源團隊的成員使用。
然後,群組應對應使用者需要執行的動作:
- 核心內容建立者。此群組針對可以發佈到頂層專案並可以廣泛存取資料來源的使用者,但這些使用者不需要能夠移動或以其他方式管理內容。
- 人力資源內容 Creator。此群組針對可以存取人力資源資料來源並可以發佈到人力資源專案的使用者。
- 業務使用者。此群組針對應能夠存取核心內容建立者建立的內容的使用者,但這些使用者不應該知道存在人力資源內容。
- 人力資源使用者。此群組針對應能夠存取人力資源專案中內容的使用者,但這些使用者沒有建立或發佈內容的權限。
- 核心專案負責人。此群組針對應在非人力資源專案中被授予專案負責人身分的使用者。
從
附註:群組集權限規則在使用者和群組規則之後進行評估。
例如,假設您已建立群組滿足上面範例 1 中人們的需求。可以建立以下群組集進一步鎖定 HR 存取權限:
人力資源領導者。該群組由人力資源內容 Creator 和核心專案負責人組成。只有當此組集中的使用者同時屬於這兩個群組時,他們才能擁有專案負責人身分、存取敏感 HR 資料來源以及發佈到 HR 專案的能力。
考慮網站角色
請記住,權限與內容相關,而不是群組或使用者。這意味著您不能授予群組空洞的探索權限。更確切地說,可以授予群組針對專案及其內容的探索權限。但是,網站角色會授予給特定使用者,並可以定義或限制這些使用者可以擁有的權限。有關授權、網站角色和權限如何結合在一起的更多資訊,請參閱權限、網站角色和授權。
建立群組與群組集
雖然在確定所需的內容後可能會忍不住建立群組和專案,但請務必按照一定的順序進行操作。
專案:專案應在正確設定預設專案之後建立(請參閱下一節)。這是因為頂層專案使用預設專案作為其權限原則的範本。
群組:需要先建立群組,然後才能用於建置權限原則。不需要將使用者新增到群組中,但是可以新增使用者。
群組集:需要先建立群組,然後才能用於建置權限原則。不需要將使用者新增到群組中,但是可以新增使用者。有關詳情,請參閱使用群組集。
提示:手動建立多個群組和專案並設定權限可能有點乏味。為自動執行這些流程,並且可以為將來的更新重複執行,可以使用 REST API 命令執行這些工作。對於新增或刪除單個專案或群組以及新增使用者等工作,可以使用 tabcmd 命令,但無法用於設定權限。
多個群組中的成員資格
可以在業務使用者群組中包括人力資源內容建立者和人力資源使用者群組中的使用者。這樣可以輕鬆地將大多數內容的權限指派給核心內容使用者和業務使用者。但是,在這種情況下,若不拒絕人力資源使用者,就無法拒絕業務使用者群組在人力資源目錄中的任何功能。相反,業務使用者群組必須保持未指定狀態,並且特定的人力資源內容建立者和人力資源使用者群組將被授予其適用的功能。
這是因為 Tableau 權限具有限制性。若業務使用者群組被拒絕某些功能,則「拒絕」將覆寫針對兩個群組中使用者的「允許」另一個權限原則。
群組集的影響
如果在群組集層級啟用指派的權限,則不得指定或拒絕群組集中每個群組的權限以允許該功能。
在決定應如何指派群組成員資格時,重要的是要瞭解如何評估權限原則。有關詳情,請參閱有效權限。
移除會導致不明確問題的權限,並建立預設權限模式
每個網站都有所有使用者群組和預設專案。
所有使用者群組:新增到網站的任何使用者將自動成為所有使用者群組的成員。為避免與在多個群組上設定的權限原則混淆,最好從所有使用者群組中移除權限。
預設專案:預設專案會作為網站中新專案的範本運作。所有新的頂層專案將從預設專案中取得其權限原則。在預設專案上建立基準權限模式意味著您將具有對新專案進行預測的起點。(請注意,巢狀專案繼承其父專案的權限原則,而不是預設專案。)
移除預設專案上所有使用者群組的權限原則
- 選取探索以查看網站上的頂層專案。
- 在預設專案的動作(…) 功能表上,選取權限。
- 在所有使用者群組名稱旁邊,選取 …,然後選取刪除原則…。
這可讓您為您具有完全控制權的群組建立權限原則,而無需指派給所有使用者的任何相互衝突的權限。有關如何評估多個原則以確定有效權限的更多資訊,請參閱有效權限。
建立權限規則
現在,可以為所有新的頂層專案將繼承的預設專案設定基本的權限模式。可以選擇將預設專案的權限原則留空,並為每個新的頂層專案分別建立權限。但是,若有任何適用於大多數專案的權限原則,則在預設專案上設定這些原則會有所幫助。
請記住,專案的權限對話方塊包含每種內容類型的索引標籤。必須在專案層級為每種內容類型設定權限,否則使用者將被拒絕存取該內容類型。(只有在明確允許的情況下,才會將功能授予使用者。狀態為「未指定」的功能會導致拒絕。有關詳情,請參閱有效權限。)
提示:每次在專案層級建立權限原則時,請確保瀏覽所有內容類型索引標籤。
根據需要建立權限原則:
- 按一下 + 新增群組/使用者原則,然後開始輸入以搜尋群組名稱。
- 對於每個索引標籤,從下拉式清單中選擇現有的範本,或按一下功能以建立自訂規則。
- 完成後,按一下「儲存」。
有關設定權限的更多資訊,請參閱設定權限。
建立專案並調整權限
使用自訂權限範本設定預設專案後,可以建立其餘專案。對於每個專案,您可以根據情況調整預設權限。
建立專案
- 選取探索以查看網站上的頂層專案。
- 從新建下拉式功能表中,選取專案。
- 命名專案,若需要,請提供說明。
建立命名慣例可能很有用。例如,基本結構可以為 <DepartmentPrefix><Team> - <ContentUse>;例如 DevOps - 監視。
將游標暫留在專案縮圖和專案詳細資訊頁面上時,會顯示說明。好的說明可以幫助使用者知道他們處於正確的位置。
- 根據需要調整權限。
- 開啟新專案。
- 在「動作」功能表(...) 中,選取權限
- 根據需要修改任何權限原則。請務必檢查所有內容索引標籤。
鎖定內容權限
除了權限原則外,專案還具有內容權限設定。可以透過兩種方式對此進行設定:「鎖定」(建議)或「可自訂」。
鎖定專案是維持一致性並確保專案中的所有內容(根據每個內容類型)具有統一權限的一種方式。可自訂的專案允許獲授權使用者在各個內容上設定單獨的權限原則。有關詳情,請參閱鎖定內容權限。
無論內容權限設定如何,會始終在內容上強制執行權限。
可能的專案結構
一些組織發現,擁有服務於特定目的的專案很有用。以下是一些範例專案及其預期用途。請注意,這些為範例範本,您應始終在環境中測試設定。
有關每個內容類型的權限原則範本中包含哪些功能的資訊,請參閱權限功能。
伺服器上針對開放式協作共用的工作簿
部門中的任何人都可在其內容仍在開發時將內容發佈到開放式協作專案。同事可以在伺服器上使用 Web 編輯進行協作。有些人將此方式稱為沙箱,有些人稱之為暫存,諸如此類。在此專案上,您可以允許 Web 編輯、儲存、下載等操作。
在這裡,您不僅想要啟用協作,而且還想使沒有 Tableau Desktop 的人員能夠做出貢獻並提供回饋。
群組 | 專案 | 工作簿 | 資料來源 | (其他內容) |
資料負責人 | 發佈 | 發佈 | 發佈 | 待定 |
分析人員 | 發佈 | 發佈 | 探索 | 待定 |
業務使用者 | 發佈 | 發佈 | 探索 | 待定 |
請記住,發佈範本中的某些功能(例如覆寫)可能會被使用者的網站角色阻止,即使這些使用者被允許使用該功能。
附註:「TBD」表示這些權限原則不由情境輕易決定,但可以針對指定的環境進行設定。
無法編輯的共用報表
當建立活頁簿和資料來源的人員(分析人員和資料專員)想要將內容提供給業務使用者進行檢視,並確保其內容不會被 [借用] 或修改時,他們可以將內容發佈到此專案。
對於這種類型的專案,您要拒絕所有允許編輯或將資料脫離伺服器重新使用的能力。您將允許檢視功能。
群組 | 專案 | 工作簿 | 資料來源 | (其他內容) |
資料負責人 | 發佈 | 待定 | 發佈 | 待定 |
分析人員 | 發佈 | 發佈 | 檢視 | 待定 |
業務使用者 | 檢視 | 檢視 | 無 | 無 |
供分析人員連線的審核資料來源
資料專員將在其中發佈滿足您的所有資料要求並成為組織「信任來源」的資料來源。此專案的專案主管可對這些資料來源進行認證,使它們在搜尋結果中的排名較高,並包括在推薦的資料來源中。
可允許獲授權分析人員將其工作簿連線到此專案中的資料來源,但不能下載或編輯。您將拒絕此專案的「業務使用者」群組的檢視功能,因此這些使用者甚至看不到此專案。
群組 | 專案 | 工作簿 | 資料來源 | (其他內容) |
資料負責人 | 發佈 | 待定 | 發佈 | 待定 |
分析人員 | 檢視 | 無 | 檢視 | 無 |
業務使用者 | 無 | 無 | 無 | 無 |
非活動內容
另一種可行方法是隔離網站管理員的檢視一段時間未使用的工作簿和資料來源。您可以為內容所有人指定一個時限,超過該時限之後,其內容將被從伺服器中移除。
您是執行此操作還是直接從工作專案中刪除取決於您的組織。在活動環境中,不要害怕去有意移除未使用的內容。
群組 | 專案 | 工作簿 | 資料來源 | (其他內容) |
資料負責人 | 無 | 無 | 無 | 無 |
分析人員 | 檢視 | 檢視 | 待定 | 待定 |
業務使用者 | 無 | 無 | 無 | 無 |
工作簿範本的來源
使用者可從此專案中進行下載,但不能發佈或儲存到此專案。在這個專案中,授權發行者或專案主管會提供範本工作簿。內建群組織已批准的字型、色彩、影像甚至資料連線的範本可以為作者節省大量時間,並使報表的外觀保持一致。
群組 | 專案 | 工作簿 | 資料來源 | (其他內容) |
授權作者 | 發佈 | 發佈 | 發佈 | 待定 |
資料負責人 | 無 | 無 | 無 | 無 |
分析人員 | 檢視 | 範本:探索 + 功能:下載工作簿/儲存複本 | 檢視 | 無 |
業務使用者 | 無 | 無 | 無 | 無 |
後續步驟
除了專案、群組和權限外,其他資料監管主題包括:
使用者訓練
幫助所有 Tableau 使用者成為出色的資料專員。最成功的 Tableau 組織都會建立 Tableau 使用者組、定期組織訓練課程,諸如此類。
請參閱基於儀表板的自訂入口網站,瞭解一種使使用者面向網站的常見方法。
有關發佈和資料認證技巧,請參閱以下主題:
準備發佈工作簿(連結在新視窗開啟)(Tableau 說明連結)
發行資料來源的最佳做法(連結在新視窗開啟)(Tableau 說明連結)
優化擷取重新整理和訂閱活動
如果您使用 Tableau Server,請為擷取重新整理和訂閱排程建立原則,避免它們獨佔網站的資源。Wells Fargo 和 Sprint 編寫的 TC 客戶示範文稿詳細闡述了此主題。此外,請參閱效能調整下的主題。
如果您使用 Tableau Cloud,請參閱下面的主題,熟悉使用者重新整理擷取的可能方式:
監視
使用管理檢視來監視網站的效能和內容使用。