Tableau Server正在被越来越多企业用来作为大规模自助式分析的平台,它可以推动企业实现从过去IT主导的传统BI分析,向现代自助式分析平台转变,让人们能够轻松提出和解决自己的问题,轻松与团队成员共享数据洞察,并确保用于决策的数据准确无误、可信而安全。
在这个宏大的使命中,权限是Server部署和安全管控最为重要的一部分。在此,我们结合官方说明和实施经验,分享高效部署的方法和权限评估的关键知识。
1,权限管控的角色
Tableau server构建的自助分析平台有多个管理员角色,有传统的IT身份角色,也有业务主管角色,多个角色各司其职又相互交叉,构成了整个权限管控的角色矩阵。最为关键的管理角色有:
- 服务器管理员,负责顶层的管控策略和基础设施的部署,包括软件、驱动安装配置,并负责升级、监控、维护和安全监督,最接近传统的BI和数据工程师角色;
- 站点管理员,负责Server站点和项目,包括用户、权限和数据源认证管理等。站点管理员是从传统IT人员向业务分析师过渡的中间角色,属于新旧的中间地带,它一方面兼顾系统的管理和部署,另一方面又承担了业务端的工作。
- 项目主管,应该算是Server中非常特殊的角色,这个角色的群体往往不是传统的管理员,但是由于对业务和数据的专长,而被赋予了内容管理者的权限,相当于是业务型BI在各自辖区的负责人,是自助式业务分析系统的典型代表。他们几乎摆脱了IT人员的专业依赖,通过主动的参与,让大数据分析灵活地成为自身业务的一部分
除了这三个偏向管理的角色,其他的角色可以按照权限的大小分为主要的几类:
- 专业分析师,负责创建和发布数据报表,包括了数据工程师DBA和业务型分析师;重要的是从数据仓库到认证数据源,为更多的业务分析人员提供分析基础;
- 业务分析师,他们可以连接到Server自助分析平台的数据源并创建自己的仪表盘,从而发现数据洞见,立即整合到业务工作中;
- 业务查看着,在分析师的报表中寻找自己的业务线索,可以与数据报表交互,并接收数据通知。
上述管理角色和分析角色两个大类,构成了自助式分析的人员架构。
2、权限管控的基本框架
从宏观的角度看,用户到内容的访问级别由三个要素确定:站点角色允许的最大能力、Tableau对用户及组的权限规则的评估、用户是否拥有该内容。
1.1 站点角色roles
向站点添加用户时,您必须对用户应用站点角色。这是您应用于用户(而不是内容)以影响权限的唯一设置。站点角色确定用户在站点上是可以发布内容、与内容进行交互还是只能查看发布的内容。同时,站点角色决定了用户的最高权限。一个Viewer角色的用户,是如何如何不能发布内容的。
能赋予的站点角色及其能力组合,可以查看以下图例。
1.2 权限规则和模板rules
可以通过权限规则分配内容访问权限。这些规则描述了您希望用户或组能够对一组内容执行的功能。每项能力的设置有三种选项:允许、拒绝和未指定。它们的使用规则简单而言是:
- 拒绝优先于允许;
- 如果没有其他级别的许可,未指定会被默认拒绝。
- Denied takes precedence over Allowed.
- Unspecified results in Denied if no other permissions are specified.
Tableau 提供了一组常见权限角色(如编辑者、项目主管等等)模板,相当于提前预设的能力组合。
具体的评估顺序,可以看一下第三部分。
1.3 所有权 owner
内容所有者始终拥有所发布的内容的完全访问权限,包括设置该内容的权限。在项目级别,可以通过项目权限锁定保持受控状态。
另外,管理员和项目主管可以更改所有权或设置项目默认值。
3、权限评估的顺序
在官方的手册中,分析了系统评估权限的十个步骤,如果按照上面的分类,则可以表示为如下图例。
在能力判断的环节,tableau server也有一个默认的评估设定,即:
用户权限优先于群组权限评估。
User permissions trump group permissions
3、权限评估的注意事项
官方推荐的权限管理的两条重要规则是:仅给群组赋予权限、仅在项目级别管理权限。
Make sure it incorporates two important practices:
- manage permissions only for groups, and
- set permissions only at the project level.
提前修改“默认项目”的权限,确保新的项目正确的继承了默认项目的权限。
官方帮助文档:
Server系列
Jan 27, 2019 create
Jan 31, 2019