400 998 0226设置权限和所有权
- 版本 :2022.1 及更高版本
权限确定用户如何与内容(例如工作簿和数据源)进行交互。权限在权限对话框中或通过 REST API(链接在新窗口中打开) 设置。 在对话框的顶部,权限规则为组或用户配置能力。
权限确定用户如何与内容(例如工作簿和数据源)进行交互。权限在权限对话框中或通过 REST API 设置。 在对话框的顶部,权限规则为组或用户配置能力。下方的权限网格显示用户的有效权限。
有几个相互关联的主题,讨论如何思考、设置和管理权限。主要主题是:
本主题涵盖基础知识、如何为项目和其他内容设置权限规则以及特定方案的权限注意事项。
权限能力和模板,其中详细介绍了用于生成权限规则的各种能力。
使用项目管理权限,其中介绍了使用项目来管理权限以及嵌套和锁定项目如何影响权限。
有效权限,其中介绍了如何评估权限规则以及如何确定最终权限。
权限、站点角色和许可证,其中介绍了权限如何与站点角色和许可证交互,以确定用户可以对站点执行哪些操作。
此外,如果存在数据管理加载项,则外部资产的权限还有其他注意事项。有关详细信息,请参见管理外部资产的权限。
权限基础知识
项目和组
Tableau 站点使用项目来组织内容,使用组来组织用户。在权限规则为以下各项时,管理权限更加轻松:
在项目级别设置,而不是针对单个内容段设置。
针对组而不是个人而建立。
只能为用户、组、项目或已存在的内容建立权限。有关创建用户和组、创建项目和发布内容的详细信息,请参见管理用户和组、使用项目管理内容访问权限,以及发布数据源和工作簿。
能力和权限规则
权限由能力(即执行像查看内容、Web 編輯、下载数据源或删除内容这样的操作的能力)组成。权限规则建立允许或拒绝用户或组对一段内容使用的能力。
注意:一般情况下,当讨论权限时,经常会看到“用户必须具有删除权限”之类的短语。在广泛的背景下,这很容易理解。但是,如果像本文中这样在技术级别使用权限时,更准确的说法是“删除能力”。在本主题中,我们将使用更精确的术语能力,但您应该知道,您可能会在其他地方看到权限。
许可证级别、站点角色和潜在的多个权限规则之间的相互作用是最终确定用户可以做什么或不可以做什么的因素。对于每个用户,这将成为他们的有效权限。有关详细信息,请参见有效权限。
诸如通过浏览器创建新工作簿(Web 制作)或移动内容等某些任务可能需要对若干能力进行特定配置,而不是在单一能力中捕获。有关详细信息,请参见特定方案的权限设置。
设置权限
在项目级别、内容级别或从 Tableau Desktop 发布内容时,权限规则的设置方式不同。
注意:“项目权限”一词可以有两个含义。项目本身用于控制用户如何与项目进行交互的权限能力(查看和发布)。还有适用于其他内容类型的项目级别权限规则的概念。在本文中,“项目级别权限”是指适用于工作簿、数据源和项目权限对话框中配置的其他内容的权限规则。这与可针对特定工作簿、数据源等设置的“内容级别”权限规则形成对比。
对于管理员、项目所有者和项目主管
若要在项目级别设置权限,请执行以下操作:
导航到项目
打开“操作”菜单 (...),并单击“权限”。
权限对话框将打开。此对话框有两个主要区域:顶部的权限规则,以及下方的有效权限网格。每个内容类型都有一个选项卡。下图显示了“工作簿”选项卡。
在顶部选择一行后,有效权限网格中将填充内容。使用此选项来验证权限。悬停鼠标光标将提供有关为何针对该特定用户允许或拒绝该能力的原因。
若要修改现有权限规则,请为该内容类型选择相应的选项卡,然后单击某个能力。
若要创建新规则,请单击“+添加组/用户规则”,并开始键入以搜索组或用户。对于每个选项卡,从下拉框中选择一个现有权限角色模板,或通过单击能力来创建自定义规则。
完成后,单击“保存”。
单击一次可将能力设置为“已允许”,单击两次将其设置为“已拒绝”,第三次单击将清除所选内容(“未指定”)。
提示:在项目级别设置的权限规则充当该项目及其包含的任何嵌套项目中保存的内容的默认值。这些项目级别的默认规则是强制执行还是仅作为初步规则,取决于“内容权限”设置。可通过两种方式配置此设置:“已锁定”或“可自定义”。有关详细信息,请参见锁定内容权限。
提示:默认情况下,所有用户都将添加到对内容具有基本权限的“所有用户”组中。若要在构建自己的权限规则时从头开始,我们建议您完全删除规则或编辑“所有用户”的规则以移除任何权限(将权限角色模板设置为“无”)。这将减少适用于任何给定用户的规则数量,使有效权限更容易理解,从而有助于防止将来出现任何不明确情况。
特定方案的权限设置
某些操作需要权限能力的组合,并可能需要站点角色的组合。下面是一些常见方案及其必要的权限配置
保存、发布和覆盖
在权限的上下文中,保存本质上是发布。因此,只能将“覆盖”和“保存副本”能力授予允许发布的站点角色(“管理员”、“Creator”或“Explorer(可发布)”)的用户。“Explorer ”或“Viewer(查看者)”站点角色不能进行发布、覆盖或保存副本操作。
(在版本 2020.1 之前,“发布”和“覆盖”能力称为“保存”,“下载工作簿/保存副本”能力称为“下载工作簿/另存为”。)
项目的“发布”能力允许用户将内容发布到该项目。
“覆盖”能力允许用户保存现有内容部分。通过保存内容,用户成为该内容的所有者。“覆盖”能力还允许用户编辑现有内容片段的次要方面,例如指标的描述或数据角色的同义词。以这种方式编辑现有内容不会更改内容的所有者。
“保存副本”能力允许用户保存内容的新副本。这通常与 Web 制作结合完成,并意味着用户可以保存其所做的修改。
请务必注意,除非用户具有至少一个项目的“发布”能力,否则无法保存或另存为一段内容,因为所有内容都必须发布到项目中。如果在项目级别没有“发布”能力,则无法发布内容。
在 Web 编辑中,只会向内容所有者显示“文件”菜单中的“保存”选项。如果不是所有者的用户具有“覆盖”能力(允许他们保存内容),则他们必须使用“文件”>“另存为”,并将工作簿命名为完全相同的名称。这将出现一条警告提示,指出他们将要覆盖现有内容,并且能够这样做。相反,仅具有“保存副本”能力并尝试使用相同名称的用户将看到一条错误,指出他们没有覆盖现有内容的权限。
如果不是内容所有者的用户覆盖内容,他们将成为所有者,拥有需要的所有权限。原始所有者的内容访问权限随后由其作为用户(而不是所有者)的权限确定。
注意: “下载工作簿/保存副本”是适用于工作簿的联合能力。可以为 Explorer 授予此能力,但他们只能下载工作簿,无法保存为副本。为“Explorer(可发布)”、“Creator”或“管理员”站点角色授予该能力将为他们同时授予下载工作簿和保存副本的能力。
“Web 编辑”和“Web 制作”
Web 编辑和 Web 制作允许用户直接在浏览器中编辑或创建工作簿。从版本 2020.4 开始,Tableau Prep Builder 支持流程的 Web 制作。
权限能力称为“Web 编辑”,站点设置称为“Web 制作”。此部分将任何基于 Web 的编辑或发布操作称为 Web 制作。
启用此功能需要满足若干要求。
用户站点角色:用户必须具有适当的站点角色。
“Viewer(查看者)”永远无法进行 Web 编辑。
可以为“Explorer”授予“Web 编辑”能力,但他们无法发布。本质上,他们可以使用 Web 编辑,动态地根据现有内容来回答更深入的问题,但无法保存所做的编辑。
“Explorers(可发布)”或“站点管理员 Explorer”能够发布,但只能使用已发布到站点的数据。
“Creator”、“站点管理员 Creator”和“服务器管理员”可以发布和创建新数据源。
权限能力:用户必须具有基于所需功能的必要权限能力。
所需的权限能力设置
| 所需的功能 | 最低站点角色 |  Web 编辑 |  下载/保存副本 |  覆盖(工作簿) | 发布(项目) |  连接(数据源) |
| Web 制作(无法保存) | Explorer |  允许 |  拒绝 | 拒绝 | 可选 | 允许 |
| Web 制作和另存为新内容 | Explorer(可发布) | 允许 | 允许 | 拒绝 | 允许 | 允许 |
| Web 制作和保存(覆盖)内容 | Explorer(可发布) | 允许 | 允许 | 允许 | 允许 | 允许 |
| 使用新数据的 Web 制作和保存新内容 | Creator | 允许 | 可选 | 可选 | 允许 | 可选 |
“可选”表示所需功能中未涉及此能力
已发布 Tableau 数据源的数据访问权限
发布到 Tableau 站点的数据源可以在 Tableau 环境内具有原生身份验证以及权限。
将数据源发布到 Tableau 站点时,发布者可以选择如何设置凭据以访问您发布的数据,这解决了数据源凭据的处理方式(例如要求用户登录到数据库,或输入其 Google Sheets 凭据)。这种身份验证由保存数据的任何技术控制,它可在发布数据源时嵌入,或者数据源发布者可以选择提示用户输入其数据源凭据。有关详细信息,请参见发布数据源。
在 Tableau 的上下文中,还有一些允许或拒绝用户查看(“查看”)和连接到已发布数据源(“连接”)的数据源能力。这些能力的设置与 Tableau 中的任何其他权限一样。
发布使用已发布数据源的工作簿时,作者可以针对使用工作簿的用户控制 Tableau 身份验证的行为方式。作者将工作簿对已发布数据源的访问权限设置为“嵌入密码”(使用作者的数据源“连接”访问权限或“提示用户”(使用查看工作簿的用户的“连接”访问权限),后者可能也需要数据源身份验证。
当工作簿设置为“嵌入密码”时,查看工作簿的任何人将看到基于作者的数据源访问权限的数据。
如果工作簿设置为“提示用户”,则会针对数据源检查 Tableau 控制的访问权限。使用工作簿的用户必须具有已发布数据源的“连接”能力才能查看数据。如果已发布数据源已设置为“提示用户”,则查看者还必须输入数据源本身的凭据。
| 工作簿的数据源身份验证 | 数据的数据源身份验证 | 如何为使用工作簿的用户评估数据访问权限 |
| 嵌入密码 | 嵌入密码 | 用户可查看数据,就好像他们是工作簿作者一样 |
| 嵌入密码 | 提示用户 | 用户可查看数据,就好像他们是工作簿作者一样。(提示作者是(而不是用户)进行数据源身份验证。) |
| 提示用户 | 嵌入密码 | 用户必须对已发布数据源具有自己的“连接”能力 |
| 提示用户 | 提示用户 | 用户必须对已发布数据源具有自己的“连接”能力,并且提示用户输入其基础数据凭据 |
请注意,这适用于使用工作簿,而不是 Web 编辑。若要进行 Web 编辑,用户必须具有自己的“连接”能力。
移动内容
若要移动某项,请打开其“操作”菜单 (...),并单击“移动”。为该项选择新项目,然后单击“移动内容”。如果“移动”不可用,或者没有可用的目标项目,请验证是否满足适当的条件:
管理员始终可将内容和项目移动到任何位置。
项目主管和项目所有者可在其项目之间移动内容和嵌套项目。
请注意,非管理员无法移动项目以使其成为顶层项目
只有在以下三个要求均得到满足时,其他用户才能移动内容:
“Creator”或“Explorer(可发布)”站点角色。
针对目标项目的发布权限(“查看”和“发布”能力)
内容的所有者,或者(对于工作簿和流程)拥有“移动”能力。
移动项目时,其内容的权限可能会更改。
项目主管或项目所有者始终会获得移入其项目中的各项的权限。
将项目移动到已锁定(包括嵌套)项目中时,将对已移动项目及其所有内容和嵌套项目强制实施已锁定项目的权限模板。请注意,如果用户在锁定的项目中没有正确的权限,那么他们将无法再次移动该项目。
当项目移动到未锁定的项目(可自定义)中时,将为已移动项目及其内容保留现有权限。 如果仅(从更高级别的项目中)隐式授予项目主管身份,则会移除该身份,但会保留任何显式设置的项目主管身份。
指标
指标是从已发布工作簿中的视图创建的。如果用户满足以下条件,则可以创建指标:
具有“Creator”或“Explorer(可发布)”站点角色
拥有项目的“发布”能力
拥有相关工作簿的“创建/刷新指标”能力
有关详细信息,请参见创建指标并排查其问题以及针对指标进行设置。
注意:在 2021.3 之前,在视图上创建指标的能力由“下载完整数据”能力控制。
由于指标是独立的内容,因此请务必注意,指标的权限是通过从中创建指标的视图独立管理的。(这与数据驱动的通知和订阅不同,在这两者中,只有在用户具有视图本身的正确权限时才能查看通知或订阅的内容。)
尽管适用于指标的能力非常明确,但应仔细考虑“查看”能力。具有受限权限的工作簿可能是具有更多开放权限的指标的基础。为了保护敏感数据,您可能希望拒绝为特定工作簿创建指标。
指标从所有者的角度显示数据
创建指标时,视图将从您的角度显示数据。这意味着任何可以访问您的指标的用户都将看到显示给您的数据。如果基于您的凭据筛选视图中的数据,则您看到的数据可能与其他用户在访问同一视图时看到的不同。如果您担心暴露您的数据角度,请限制指标的“查看”能力。
显示或隐藏工作表标签
在已发布内容的上下文中,工作表标签(也称为选项卡式视图)是与 Tableau Desktop 中的工作表标签不同的概念。在 Tableau Desktop 中显示和隐藏工作表标签是指在制作环境中隐藏工作表。有关详细信息,请参见管理仪表板和故事中的工作表。
显示和隐藏已发布内容的工作表标签(打开或关闭选项卡式视图)是指在已发布工作簿中导航。显示工作表标签时,已发布的内容在每个视图的顶部都有导航工作表标签。
此设置还会影响权限的运行,可能具有安全影响(请参见注释)。
注意:没有工作簿或其包含的项目的“查看”能力的情况下,可以具有视图的“查看”能力。通常,如果用户缺少项目和工作簿的“查看”能力,则他们不会知道这些资产的存在。如果他们具有视图的“查看”能力,则当用户查看视图时,例如在导航痕迹中查看视图时,也许能够看到项目和工作簿名称。这是预期和接受的行为。
关闭选项卡式视图以允许独立视图权限
虽然一般不建议这样做,但有时独立于包含这些视图的工作簿设置视图权限可能很有用。为此,必须满足三个条件:
工作簿必须已发布 — 无法在发布期间设置视图权限。
工作簿必须在可自定义项目中。
工作簿不能将工作表显示为标签(必须隐藏选项卡视图)。
如果工作簿将工作表显示为标签,则所有视图将继承工作簿权限,并且对工作簿权限进行的任何更改将影响所有其视图。如果可自定义项目中的工作簿未显示选项卡式视图,则所有视图会在发布时假定工作簿权限,但对工作簿权限规则所做的任何后续更改都不会由视图继承。
如果更改已发布工作簿上显示为标签的工作表的配置,则也会影响权限模型。“显示标签”将覆盖任何现有视图级别权限,并恢复所有视图的工作簿级别权限。“隐藏标签”将断开工作簿与其视图之间的关系。
若要将工作表配置为已发布工作簿上的标签,请打开该工作簿的“操作”菜单 (...),并选择“选项卡式视图”。根据需要选择“显示标签”或“隐藏标签”。
若要在发布过程中将工作表配置为标签,请参阅将工作表显示为标签。
若要设置视图级别权限,请参见设置内容权限。
重要信息:在可自定义项目中,如果隐藏了导航工作表标签(也称为关闭了选项卡式视图),则不会应用对工作簿级别权限所做的任何修改。权限更改必须在单独的视图上进行。
集合
与包含内容的项目不同,可以将集合视为指向内容的链接列表。项目权限可以由项目中的内容继承,但集合的权限对添加到集合中的内容没有影响。这意味着不同的用户可能会在集合中看到不同数量的项,具体取决于他们有权查看哪些项。为了确保用户可以查看集合中的所有项,请分别调整这些项的权限。
如果您是管理员或集合所有者,则可以通过使用权限对话框或在共享集合时授予访问权限来更改集合的权限。有关详细信息,请参见管理集合权限。
私有集合
创建集合时,默认情况下它是私有的。私有集合会出现在所有者的“我的集合”页面上,但不会出现在站点上所有集合的列表中。私有集合只是没有添加权限规则的集合。与其他类型的内容不同,集合默认没有添加“所有用户”组。当您向集合添加权限规则时,它不再被标记为私有。若要将集合恢复为私有状态,请移除权限规则。
私有集合可由集合所有者和管理员查看,其站点角色赋予他们查看所有集合的有效权限。
“数据解释”功能
当“数据解释”功能可用时,用户可以在视图中选择一个标记,然后单击标记的工具提示菜单中的“运行数据解释”。必须启用设置组合才能使“数据解释”功能在编辑模式和查看模式下可用。
作者在编辑模式下运行“数据解释”功能或编辑“数据解释”功能设置的要求:
站点设置:将“‘数据解释’功能的可用性”设置为“启用”。默认情况下处于启用状态。
站点角色:Creator 或 Explorer(可发布)。
权限:将“运行数据解释”能力设置为“允许”。默认情况下为“允许”。
注意:Creator 或 Explorer(可发布)的“下载完整数据”能力控制他们是否在“极端值”解释中看到“查看完整数据”选项。Viewer(查看者)总是被拒绝“下载完整数据”能力。但是,当在“数据解释”功能设置中启用“极端值”解释类型时,所有用户都可以看到记录级别详细信息。
所有用户在查看模式下运行“数据解释”功能的要求:
站点设置:将“‘数据解释’功能的可用性”设置为“启用”。默认情况下处于启用状态。
站点角色:Creator、Explorer 或 Viewer(查看者)
权限:将“运行数据解释”能力设置为“允许”。默认情况下为“允许”。
工作簿设置:在“数据解释设置”对话框中选择“允许在线查看时在此工作簿中使用‘数据解释’功能”。默认情况下未允许。
若要允许所有用户(包括“Viewer(查看者)”站点角色)在查看模式下运行“数据解释”功能,工作簿作者必须在“数据解释设置”对话框中选择“允许在线查看时在此工作簿中使用‘数据解释’功能”。有关详细信息,请参见控制对“数据解释”功能的访问。