使用集合权限

设置具有权限的集合,以帮助人们组织和共享与他们相关的工作。

集合可以使问题、仪表盘和模型井井有条且易于查找。将集合视为存储我们工作的文件夹会很有帮助。集合权限允许人群组访问

  • 查看或编辑集合中保存的问题、仪表盘或模型。
  • 编辑集合详情,例如集合的名称或保存位置。

在本教程中,我们将为一个名为“Canoes”和“Sailboats”的团队公司创建集合,并设置集合权限,以便

  • 公司中的每个人都可以查看(但不能编辑)保存在公司顶层集合中的工作(在 Metabase 中,它被称为我们的分析——您可以将其视为根目录或父文件夹)。
  • Canoes 团队的成员将能够在 Canoes 集合中保存、查看和编辑团队成员之间共享的工作。Sailboats 团队的成员将能够访问他们自己的 Sailboats 集合。
  • Canoes 团队将获得对 Sailboats 集合中保存的工作的只读访问权限。Sailboats 团队将获得对 Canoes 集合的只读访问权限。

审查默认集合权限

在一个全新的 Metabase 中

  1. 点击齿轮图标并选择管理员设置 > 权限 > 集合
  2. 点击我们的分析以进入根集合的权限页面。

我们的分析权限页面中,您会发现默认组“管理员”和“所有用户”的集合访问权限设置为管理

“所有用户”包括添加到您的 Metabase 中的每个人,而管理权限允许组查看和编辑集合。因此,Metabase 的默认集合权限将允许 Boats 的每个人查看和编辑保存在我们的分析中的工作。

配置“我们的分析”权限

我们将撤销对我们的分析的访问权限,因为 Metabase 授予的是某人所属所有组中最宽松的访问级别。

您无法将人员从“所有用户”组中移除,因此如果您授予“所有用户”对我们的分析管理权限,那么无论您将人员放入任何其他组,这都将是使用您 Metabase 的每个人的最宽松设置。

  1. 前往管理员设置 > 权限 > 集合 > 我们的分析
  2. 点击所有用户行和集合访问列的下拉菜单。
  3. 选择无访问权限。开启同时更改子集合,以便这些权限应用于我们的分析下嵌套的所有子集合。

Revoking All Users access to the Our analytics collection and its sub-collections.

创建新组和新集合

接下来,我们将创建与 Canoes 和 Sailboats 团队相匹配的组。前往管理员设置 > 人员 > > 创建组,并将该组命名为“Canoes”。

要创建新集合,我们将前往 Metabase 主页并点击+ 新建 > 集合。我们将创建两个以我们新组命名的集合,并将这些集合都保存在我们的分析中。

设置集合权限

我们将首先设置 Canoes 集合的权限,以便

  • Canoes 组可以查看和编辑保存在 Canoes 集合中的问题、仪表盘和模型。
  • Canoes 组可以移动、重命名或归档 Canoes 集合。
  • Sailboats 组只能查看保存在 Canoes 集合中的工作。

您可以导航回管理员设置并转到每个集合的权限页面,或者直接从 Metabase 主页设置权限。

  1. 点击侧边栏中的 Canoes 集合。
  2. 点击锁定图标以打开集合权限模态窗口。
  3. Canoes行和集合访问列的下拉菜单中选择管理
  4. Sailboats行和集合访问列的下拉菜单中选择查看
  5. 点击保存

Granting different permissions to the Canoes collection.

要设置 Sailboats 集合的权限,以便 Sailboats 组具有管理访问权限,而 Canoes 组只有只读访问权限

  1. 点击侧边栏中的 Sailboats 集合。
  2. 点击锁定图标以打开集合权限模态窗口。
  3. Sailboats行和集合访问列的下拉菜单中选择管理
  4. Canoes行和集合访问列的下拉菜单中选择查看
  5. 点击保存

集合权限如何与数据权限交互

集合权限 数据权限
查看保存在给定集合中的问题、仪表盘或模型的结果 查看和查询问题、仪表盘或模型使用的基础表。

假设我们的 Canoes 组有两组权限

  • 对 Canoes 集合的管理权限;
  • Orders 表的可查看数据权限;

如果 Canoes 集合包含一个使用 Orders 表创建的问题,以下是您可以期望每种权限允许 Canoes 组执行的操作

管理 Canoes 集合 Orders可查看权限
编辑问题标题或描述。 查看问题可视化(“结果”)。
将问题移动或复制到另一个集合。 更改问题返回的现有结果的可视化类型。

本质上,Canoes 组将能够与保存在其集合中的问题进行交互,但他们将无法从 Orders 表中查询任何额外数据(无论是通过问题还是数据浏览器)。

Viewing a question saved in an accessible collection with No self-service permissions to the question

要允许人员创建和编辑问题,您可以将 Canoes 组的创建查询权限设置为 Orders 表的仅查询构建器。然后 Canoes 组将能够

  • 使用查询构建器更改问题使用的查询。
  • Orders 表筛选或汇总数据以更新问题返回的结果。
  • 从问题名称下方的链接查看 Orders 表。

Viewing a question saved in an accessible collection with Unrestricted permissions to the question

权限如何应用于包含来自不同集合的问题的仪表盘

假设 Canoes 组有一组更新的权限

  • 对 Canoes 集合的管理权限。
  • 对 Sailboats 集合的无访问权限集合权限。
  • Orders 表的可查看数据权限。

如果仪表盘上的所有问题也保存在 Canoes 集合中,Canoes 组将看到所有卡片

Viewing a dashboard with questions saved in an accessible collection.

如果仪表盘上的一个问题保存在 Sailboats 集合中(即使该问题使用 Orders 表),Canoes 组将看到一张“锁定”的卡片

Viewing a dashboard with a locked card caused by a question saved in an inaccessible collection.

由于非管理员不知道组或权限,“锁定”卡片可能会在具有更广泛权限的人员尝试与具有更受限制权限的人员共享其工作时发生。

例如,假设 Pirate Ships 组有权访问 Canoes 和 Sailboats 两个集合。如果 Pirate Ships 组构建了一个仪表盘并将其与 Canoes 组成员共享,则 Canoes 组成员将看到仍保存在 Sailboats 集合中的任何问题的锁定卡片。

为避免出现锁定卡片,我们建议将问题复制到您打算保存仪表盘的集合中。

延伸阅读

下一步:基本沙盒:设置行级权限

了解如何根据用户的用户属性设置行级权限。

下一篇文章
© . All rights reserved.