Verwalten von Berechtigungen in verwalteten Bereichen
Berechtigungen in Bereichen werden über die Rollen gesteuert, die Benutzern beim Hinzufügen zu einem Bereich zugewiesen werden. Eine Rolle verleiht diesem Mitglied eine Reihe von Berechtigungen im Bereich und für Ressourcen im Bereich.
Auf Mitglieder eines verwalteten Bereichs können mehrere Rollen angewendet werden. Das ermöglicht benutzerdefinierten Zugriff auf den Bereich für jedes Mitglied. Wenn Gruppen im Mandanten zulässig sind, können Gruppen von Benutzern einem Bereich mit der gleichen Rolle hinzugefügt werden. Wenn ein Bereichsmitglied eine individuelle Berechtigung und eine davon abweichende Gruppenberechtigung in einem Bereich hat, wird die höchste Berechtigungsstufe angewendet.
Mandanten- und Analyseadministratoren, Bereichsbesitzer und Benutzer mit der Bereichsrolle Kann verwalten können neue Mitglieder zum Bereich hinzufügen und ihnen Berechtigungen zuweisen. Bereichsberechtigungen werden in Bereichsdetails > Mitglieder verwaltet.
Dem Bereichsbesitzer wird die Rolle Besitzer zugewiesen. Diese Bereichsrolle kann nicht ohne Administratoreingriff vom Bereichsmitglied entfernt werden. Sie können Mitglieder mit der Rolle Besitzer nur dann aus dem Bereich entfernen, wenn Sie als Administrator Zugriff auf das Aktivitätscenter Verwaltung haben.
Apps können für Benutzer freigegeben werden, die keine Bereichsmitglieder sind. Weitere Informationen finden Sie unter Freigabe von Apps an Benutzer, die keine Bereichsmitglieder sind.
Einzelheiten zu den zulässigen Aktionen für jede verfügbare Bereichsrolle finden Sie unter:
-
Berechtigungen für verwaltete Bereiche für Benutzer mit Professional- oder Full User-Berechtigung
-
Berechtigungen für verwaltete Bereiche für Benutzer mit Analyzer-Berechtigung
-
Berechtigungen in verwalteten Bereiche für Administratoren Berechtigungen in verwalteten Bereiche für Administratoren
-
Berechtigungen in verwalteten Bereichen für anonyme Benutzer
Verfügbare Rollen in verwalteten Bereichen
Die folgenden Bereichsrollen sind in verwalteten Bereichen verfügbar:
- Besitzer: Kann den Bereich und seine Mitglieder verwalten und Apps im Bereich öffnen. Sie können diese Rolle anderen Mitgliedern des Bereichs nur zuweisen, wenn Sie ein Administrator sind. Diese Bereichsrolle kann auch nicht ohne Administratoreingriff vom Bereichsmitglied entfernt werden. Sie können ein Mitglied mit der Rolle Besitzer nur dann aus dem Bereich entfernen, wenn Sie als Administrator Zugriff auf das Aktivitätscenter Verwaltung haben.
- Kann verwalten: Kann den Bereich und seine Mitglieder verwalten.
- Kann veröffentlichen: Kann Apps in diesem Bereich veröffentlichen. Diese Benutzer können keine Apps im Bereich öffnen.
- Kann beitragen: Kann Apps im Bereich anzeigen und öffnen. Beitragende können private Inhalte in der App erstellen und diese Inhalte als öffentlich festlegen.
- Kann anzeigen: Kann Apps im Bereich anzeigen und öffnen.
-
Hat eingeschränkte Anzeigerechte: Kann Apps im Bereich anzeigen und öffnen.
- Kann Daten nutzen: Kann Datenquellen nutzen, aber keine Datenquellen erstellen oder bearbeiten. Diese Benutzer können keine Inhalte erstellen oder den Bereich verwalten. Unter Hinzufügen und Verwalten Ihrer Analysedaten finden Sie weitere Informationen zu Datenquellen innerhalb eines Bereichs.
- Kann operieren: Kann Apps neu laden und geplante Ladevorgänge erstellen.
Ändern von Berechtigungen für Mitglieder in verwalteten Bereichen
Die Rollen von Mitgliedern können geändert werden, um ihnen neue Berechtigungen im Bereich zuzuweisen.
Mandanten- und Analyseadministratoren, Bereichsbesitzer und Mitglieder mit der Rolle Kann verwalten können die Berechtigungen von Mitgliedern ändern.
Wenn Sie Änderungen an den Benutzerberechtigungen für Apps oder Skripte vornehmen, werden diese Änderungen nicht sofort in aktiv geöffneten Apps und Skripten übernommen. Um zu gewährleisten, dass die Änderungen an den Benutzerberechtigungen aktualisiert werden, muss der Benutzer alle Browserregisterkarten der betroffenen App bzw. des Skripts schließen und mindestens zwei Minuten warten (Gültigkeitsdauer der App-Sitzung) und dann die App oder das Skript erneut öffnen. Dies gilt für App- und Skriptberechtigungen in persönlichen, freigegebenen und verwalteten Bereichen. Änderungen an Berechtigungen für neu geöffnete Apps werden sofort übernommen.
Gehen Sie folgendermaßen vor:
- Klicken Sie im Bereich auf Bereichsdetails und wählen Sie Mitglieder aus.
- Klicken Sie auf den Pfeil in der Spalte Rolle für das Mitglied.
- Wählen Sie die entsprechenden Rollen für das Mitglied aus.
Häufige Anwendungsfälle
In den folgenden Abschnitten werden einige übliche Ansätze beschrieben, die Sie beim Zuweisen von Rollen zu Bereichsmitgliedern befolgen können.
Ich möchte, dass Benutzer Analysen erstellen können, ohne auf Datenquellen zuzugreifen
Um dieses Ergebnis zu erzielen, weisen Sie die Rolle Kann beitragen zu Benutzern im verwalteten Bereich zu. Diese Benutzer können neue Arbeitsblätter und Visualisierungen in einer App erstellen, aber nicht die Datenquellen im Bereich verwalten.
Ich möchte zulassen, dass ein Benutzer Inhalte im Bereich veröffentlicht, ohne Zugriff auf dessen Daten zu haben
Ein verwalteter Bereich enthält in der Regel Daten mit höheren Sicherheits- und Kontrollanforderungen als der Quellbereich für die Entwicklung. Sie können ein Team von App-Entwicklern haben, das für die Entwicklung des App-Datenmodells und der Basisarbeitsblätter zuständig ist, aber dafür nur Zugriff auf Beispieldaten erhält. Die App-Entwickler sind nicht notwendigerweise die gleichen Benutzer, die später die Produktionsdaten nutzen und analysieren.
Eventuell möchten Sie festlegen, dass die App-Entwickler, die für die Erstellung der App zuständig sind, auch deren Veröffentlichung übernehmen. Um dies zu erreichen, weisen Sie diesen Benutzern die Rolle Kann veröffentlichen zu. Die App-Entwickler können dann den Inhalt im verwalteten Bereich veröffentlichen, aber nicht auf die Daten und Inhalte im verwalteten Bereich zugreifen.
Bereichsberechtigungen und Datenquellen
Eine Datenquelle in einem Bereich kann in einem anderen Bereich verwendet werden. Beispielsweise kann ein Benutzer eine App in einem freigegebenen Bereich mithilfe einer Datenverbindung aus seinem persönlichen Bereich erstellen. Für bestimmte Bereichsaktionen benötigen Bereichsmitglieder, die nicht der Ressourcenbesitzer sind, jedoch Zugriff auf die Datenquelle. Im obigen Beispiel könnten andere Bereichsmitglieder die App nicht laden, da sie eine Datenverbindung aus einem persönlichen Bereich verwendet. Abhängig von Ihrem Anwendungsfall kann diese Zugriffskontrolle wünschenswert sein oder nicht.
Im Allgemeinen werden dem Besitzer einer Datenquelle keine Ausnahmen von den von Bereichsrollen gesteuerten Berechtigungen gewährt. Die einzige Ausnahme besteht in der Aktion der Bearbeitung einer Datenverbindung. Nur der Besitzer einer Datenverbindung kann diese Verbindung bearbeiten. Jedes Mal, wenn eine Verbindung bearbeitet wird, muss sich der Benutzer erneut bei der Verbindung authentifizieren.
Wenn der Besitzer einer Datenverbindung den erforderlichen Zugriff auf den Bereich verliert oder den Mandanten verlässt, können Entitäten, die sich auf diese Verbindung stützen, keine neuen Daten mehr von dieser Verbindung abrufen. Wenn der Verbindungsbesitzer den Mandanten verlässt, wenden Sie sich an einen Mandantenadministrator, um den Verbindungsbesitz neu zuzuweisen und die Verbindung ggf. in einen neuen Bereich zu verschieben. Wenn ein Verbindungsbesitzer nur kein Bereichsmitglied mehr ist, kann ein anderes Bereichsmitglied die Verbindung neu erstellen.
Der Ersteller einer Datendatei wird als deren Besitzer zugewiesen. Der Besitzer einer Datendatei kann von einem Administrator geändert werden. Der Besitz von Datendateien wirkt sich nicht auf die Zugriffssteuerung aus, es sei denn, die Datendatei befindet sich im persönlichen Bereich eines Benutzers. Weitere Informationen zum erwarteten Verhalten finden Sie unter Datendateibesitz.
Der Besitzer einer Datendatei kann den Bereich und den Mandanten verlassen, und andere Bereichsmitglieder können die Datei weiterhin anzeigen und verwenden.
Bereichsberechtigungen und Benutzerberechtigung
Wenn Sie über ein Qlik Sense Enterprise SaaS oder Qlik Sense Business Abonnement verfügen, sind Ihre Aktionen sowohl von den zugewiesenen Bereichsrollen als auch von Ihrer Benutzerberechtigung (Professional oder Analyzer) abhängig. Die zulässigen Aktionen sind für Benutzer mit Analyzer-Berechtigung stärker eingeschränkt. Für den Bereichsbesitzer und Mitglieder mit der Rolle Kann verwalten im Bereich wird die Professional-Berechtigung empfohlen.
In Abonnements mit umfassender Benutzerberechtigung entscheiden nur die Bereichsrollen darüber, was Sie in dem Bereich tun können. Die Full User-Berechtigung ist nicht mit Ihren Berechtigungen verknüpft. Beachten Sie, dass Basic Users nur die Role Hat eingeschränkte Anzeigerechte besitzen können. Wenn Basis-Benutzern zusätzliche Berechtigungen gewährt werden, werden sie automatisch zu Benutzern mit umfassenden Rechten heraufgestuft.
Zuweisen von Rollen nach Benutzerberechtigung
Benutzern mit Professional- oder Full User-Berechtigung können Rollen zugewiesen werden, damit sie Berechtigungen für die folgenden Typen von Aktionen erhalten:
-
Bereichsverwaltung (Besitzer oder Kann verwalten)
-
Erstellen von Inhalten und Datenquellen (Besitzer oder Kann verwalten)
-
Ladevorgänge (Besitzer, Kann verwalten, Kann operieren)
-
Veröffentlichen (Kann veröffentlichen)
-
Nutzung von Inhalten und/oder Daten (beliebige Rolle)
Benutzern mit Analyzer-Berechtigung sollten nur Rollen für die Nutzung von Inhalten zugewiesen werden. Dazu zählen Kann beitragen, Kann anzeigen, Hat eingeschränkte Anzeigerechte und Kann Daten nutzen.
Bereichsberechtigungen und globale Mandantenrollen
In diesem Abschnitt wird beschrieben, wie globale (von einem Administrator zugewiesene) Mandantenrollen sich auf Bereichsberechtigungen auswirken können.
Administratorrollen
Wenn Ihnen im Qlik Cloud Mandanten eine Administratorrolle zugewiesen ist, unterscheiden sich Ihre Bereichsberechtigungen von den Benutzerberechtigungen im gleichen Bereich. Die folgenden allgemeinen Regeln gelten:
-
Administratoren sind in der Regel in der Lage, die Ressourcen in einem Bereich anzuzeigen, die Bereichsmitgliedschaft zu verwalten und bestimmte Ressourcen zu löschen. Sie können freigegebene und verwaltete Bereiche erstellen und benötigen hierzu nicht die Sicherheitsrollen Shared Space Creator und Managed Space Creator. Administratoren können sich bei Bedarf auch selbst zu Bereichen hinzufügen.
-
Für andere Aktionen (zum Beispiel das Erstellen und Bearbeiten von Inhalten) überschreibt die Administratorrolle die Bereichsberechtigungen nicht, und der Administrator benötigt ausreichende Rollen im Bereich.
Weitere Informationen finden Sie unter:
-
Zuweisen von Sicherheitsrollen und benutzerdefinierten Rollen (kapazitätsbasierte Abonnements)
-
Zuweisen von Sicherheitsrollen und benutzerdefinierten Rollen (benutzerbasierte Abonnements)
-
Zuweisen von Sicherheitsrollen und benutzerdefinierten Rollen (Abonnements für Qlik Anonymous Access)
Sicherheitsrollen
Für bestimmte Aktionen müssen Ihnen von einem Administrator weitere Sicherheitsrollen zugewiesen werden. Möglicherweise benötigen Sie nur die Sicherheitsrolle, oder eine Kombination aus Sicherheitsrollen und Bereichsrollen.
Um beispielsweise vollständigen Zugriff für die Arbeit mit Unternehmensglossaren zu erhalten, benötigen Sie zusätzlich zu den erforderlichen Bereichsrollen die Rolle Steward.
Weitere Informationen finden Sie unter:
-
Zuweisen von Sicherheitsrollen und benutzerdefinierten Rollen (kapazitätsbasierte Abonnements)
-
Zuweisen von Sicherheitsrollen und benutzerdefinierten Rollen (benutzerbasierte Abonnements)
-
Zuweisen von Sicherheitsrollen und benutzerdefinierten Rollen (Abonnements für Qlik Anonymous Access)
Fehlerbehebung
Lösungen für häufige Probleme, die bei der Arbeit mit Bereichen auftreten können, finden Sie unter Fehlerbehebung – Arbeiten in Bereichen.