Verwalten von Berechtigungen in freigegebenen Bereichen
Berechtigungen in Bereichen werden über die Bereichsrollen gesteuert, die Mitgliedern beim Hinzufügen zu einem Bereich zugewiesen werden. Eine Rolle verleiht dem Mitglied eine Reihe von Berechtigungen im Bereich und für Ressourcen im Bereich.
Auf Mitglieder eines freigegebenen Bereichs können mehrere Rollen angewendet werden. Das ermöglicht benutzerdefinierten Zugriff auf den Bereich für jedes Mitglied. Wenn Gruppen im Mandanten zulässig sind, können Gruppen von Benutzern einem Bereich mit der gleichen Rolle hinzugefügt werden. Wenn ein Bereichsmitglied eine individuelle Berechtigung und eine davon abweichende Gruppenberechtigung in einem Bereich hat, wird die höchste Berechtigungsstufe angewendet.
Wenn Sie einen Bereich erstellen, wird Ihnen die Bereichsrolle Besitzer zugewiesen. Besitzer können dann neue Mitglieder zum Bereich hinzufügen. Benutzer mit den Bereichsrollen Besitzer und Kann verwalten können Berechtigungen zuweisen. Bereichsberechtigungen werden in Bereichsdetails > Mitglieder verwaltet.
Sie können Ihre Berechtigungen in einem freigegebenen Bereich prüfen, indem Sie auf Bereichsdetails > Mitglieder klicken. Wenn Mitglieder nicht angezeigt wird, haben Sie die Berechtigung Kann anzeigen, Kann bearbeiten, Kann Daten in App bearbeiten oder Kann Daten nutzen für den Bereich.
Apps können für Benutzer freigegeben werden, die keine Bereichsmitglieder sind. Weitere Informationen finden Sie unter Freigabe von Apps an Benutzer, die keine Bereichsmitglieder sind.
Einzelheiten zu den zulässigen Aktionen für jede verfügbare Bereichsrolle finden Sie unter:
-
Berechtigungen in freigegebenen Bereichen für Benutzer mit Professional- oder Full User-Berechtigung
-
Berechtigungen in freigegebenen Bereichen für Benutzer mit Analyzer-Berechtigung
-
Berechtigungen in freigegebenen Bereichen für Administratoren
Verfügbare Rollen in freigegebenen Bereichen
Die folgenden Bereichsrollen sind in freigegebenen Bereichen verfügbar:
- Besitzer: Sie sind der erste Administrator, der den Bereich und seine Mitglieder verwalten und Inhalte im Bereich erstellen kann. Sie können diese Rolle anderen Mitgliedern des Bereichs nur zuweisen, wenn Sie ein Administrator sind. Diese Bereichsrolle kann auch nicht ohne Administratoreingriff vom Bereichsmitglied entfernt werden. Sie können ein Mitglied mit der Rolle Besitzer nur dann aus dem Bereich entfernen, wenn Sie als Administrator Zugriff auf das Aktivitätscenter Verwaltung haben.
- Kann verwalten: Sie können den Bereich und seine Mitglieder verwalten und Inhalte im Bereich erstellen.
- Kann bearbeiten: Sie können in Apps Inhalte hinzufügen und bearbeiten. Sie können den Bereich und seine Mitgliedschaft nicht verwalten.
- Kann Daten in Apps bearbeiten: Sie können Inhalte in Apps hinzufügen und bearbeiten und das Ladeskript und die Geschäftslogik von Apps im freigegebenen Bereich bearbeiten. Sie können den Bereich und seine Mitgliedschaft nicht verwalten.
- Kann anzeigen: Sie können Apps im Bereich anzeigen, aber keine Inhalte erstellen oder den Bereich verwalten.
- Kann Daten nutzen: Sie können Datenquellen nutzen, aber keine Datenquellen erstellen oder bearbeiten. Sie können keine Inhalte erstellen oder den Bereich verwalten. Unter Hinzufügen und Verwalten Ihrer Analysedaten finden Sie weitere Informationen zu Datenquellen innerhalb eines Bereichs.
Ändern von Berechtigungen für Mitglieder in freigegebenen Bereichen
Die Berechtigungen von Mitgliedern können geändert werden, um dem Benutzer eine neue Rolle in einem Bereich zuzuweisen. Beispielsweise kann ein Benutzer mit der Rolle Kann anzeigen zum App-Entwickler werden, indem seine Rolle in Kann bearbeiten geändert wird.
Der Bereichsbesitzer und Mitglieder mit der Rolle Kann verwalten können die Berechtigungen von Mitgliedern ändern.
Wenn Sie Änderungen an den Benutzerberechtigungen für Apps oder Skripte vornehmen, werden diese Änderungen nicht sofort in aktiv geöffneten Apps und Skripten übernommen. Um zu gewährleisten, dass die Änderungen an den Benutzerberechtigungen aktualisiert werden, muss der Benutzer alle Browserregisterkarten der betroffenen App bzw. des Skripts schließen und mindestens zwei Minuten warten (Gültigkeitsdauer der App-Sitzung) und dann die App oder das Skript erneut öffnen. Dies gilt für App- und Skriptberechtigungen in persönlichen, freigegebenen und verwalteten Bereichen. Änderungen an Berechtigungen für neu geöffnete Apps werden sofort übernommen.
Gehen Sie folgendermaßen vor:
- Klicken Sie im Bereich auf Bereichsdetails und wählen Sie Mitglieder aus.
- Klicken Sie auf den Pfeil in der Spalte Rolle für das Mitglied.
- Wählen Sie die entsprechenden Rollen für das Mitglied aus.
Häufige Anwendungsfälle
In den folgenden Abschnitten werden einige übliche Ansätze beschrieben, die Sie beim Zuweisen von Rollen zu Bereichsmitgliedern befolgen können.
Ich möchte zulassen, dass bestimmte Bereichsmitglieder Analysen für die Nutzung durch andere Benutzer entwickeln
Um dieses Ergebnis zu erzielen, weisen Sie den Inhaltsentwicklern die Berechtigung Kann bearbeiten (oder höher) und den Inhaltsnutzern Kann anzeigen zu.
Mit dieser Konfiguration gelten für Inhaltsnutzer Einschränkungen dazu, was sie im Bereich anzeigen und erstellen können. Sie können Lesezeichen, Storys, Notizen und andere Objekte erstellen, aber keine eigenen Apps und Arbeitsblätter.
Ich möchte zulassen, dass Bereichsmitglieder die Daten von Apps und Skripten anderer Benutzer bearbeiten
Um dieses Ergebnis zu erzielen, weisen Sie bestimmten Benutzern im Bereich die Rolle Kann Daten in Apps bearbeiten zu. Benutzer mit dieser Rolle erhalten Zugriff zum Bearbeiten der Daten, die von Apps und Skripten geladen werden. Sie können auch Geschäftslogik und Verteilerlisten in einer App verwalten.
Diese Rolle ermöglicht die Zusammenarbeit an der Entwicklung von Datenmodellen. Mit dieser Rolle kann auch zugelassen werden, dass andere Benutzer Änderungen an den Quelldaten einer App oder eines Skripts vornehmen, falls der Besitzer den Bereich oder den Mandaten verlässt. Hierfür ist dann kein Eingriff eines Mandantenadministrators erforderlich.
Die Besitzer von Apps und Skripten haben diese Berechtigungen ebenfalls.
Ich möchte zulassen, dass Bereichsdaten verwendet werden, ohne dass die Benutzer vollständigen Zugriff auf den Bereich erhalten
Vielleicht möchten Sie, dass bestimmte Benutzer auf Datenquellen im Bereich zugreifen können, aber keinen Zugriff auf andere Bereichsobjekte wie Apps haben. Eine weitere Anforderung könnte sein, dass Sie die Fähigkeit bestimmter Benutzer zum Verwalten von Datenquellen in einem Bereich einschränken möchten; diese sollen die vorhandenen Datenquellen aber weiterhin verwenden können.
Für beide Zwecke können Sie bestimmten Datennutzern die Berechtigung Kann Daten nutzen zuweisen.
Sie haben beispielsweise einen Bereich, in dem Datenquellen gespeichert werden. Sie können einen getrennten Bereich für die Entwicklung von Apps erstellen, die diese Datenquellen verwenden. Sie können Benutzern im Datenquellenbereich Kann Daten nutzen zuweisen und dann diesen Benutzern die Berechtigungen für App-Entwickler (Kann bearbeiten) im Entwicklungsbereich geben. Mit dieser Einrichtung können die Benutzer die Datenquellen zum Erstellen von Analyseinhalten nutzen, während gleichzeitig die Daten zentral verwalten werden können.
Bereichsberechtigungen und App-Eigentum
Rollen in einem freigegebenen Bereich weisen Benutzern Berechtigungen und Zugriffsregeln zu. Zusätzliche Berechtigungen hängen davon ab, ob Sie der Eigentümer der App sind, mit der Sie arbeiten.
Der App-Besitzer ist der Benutzer, der die App erstellt hat. Nur App-Besitzer und Benutzer mit der Rolle Kann Daten in Apps bearbeiten können Daten in der Datenmodellansicht, im Dateneditor oder im Datenmanager bearbeiten. App-Besitzer und Benutzer mit der Rolle Kann Daten in Apps bearbeiten sind zudem die einzigen Benutzer, die die Geschäftslogik der App bearbeiten können.
Bereichsberechtigungen setzen die App-Eigentümerschaft außer Kraft. Wenn eine App in einen Bereich verschoben wird, für den der App-Besitzer keine Zugriffsberechtigungen hat, dann kann der App-Besitzer nicht auf die App zugreifen. Wenn die Rolle des App-Besitzers für den Bereich in Kann anzeigen oder Kann Daten nutzen geändert wird, kann er keine Daten mehr zur App hinzufügen und die App nicht mehr laden. Wenn ein App-Besitzer nicht die Rolle Kann Daten in Apps bearbeiten hat, kann er die Ladeskripts seiner eigenen Apps bearbeiten, aber nicht die Ladeskripts anderer Apps im Bereich. Wenn eine App zwischen Bereichen verschoben wird, vergewissern Sie sich, dass der App-Besitzer die Rolle Kann bearbeiten, Kann Daten in Apps bearbeiten, Kann verwalten oder Besitzer hat, wenn Sie möchten, dass der App-Besitzer weiter das Laden der App und das Datenmodell verwalten soll.
Wenn Sie eine App mit einem Ladezeitplan zwischen Bereichen verschieben, wird der Ladezeitplan gelöscht. Erstellen Sie den Plan bei Bedarf im neuen Bereich erneut.
Bereichsberechtigungen und Datenquellen
Eine Datenquelle in einem Bereich kann in einem anderen Bereich verwendet werden. Beispielsweise kann ein Benutzer eine App in einem freigegebenen Bereich mithilfe einer Datenverbindung aus seinem persönlichen Bereich erstellen. Für bestimmte Bereichsaktionen benötigen Bereichsmitglieder, die nicht der Ressourcenbesitzer sind, jedoch Zugriff auf die Datenquelle. Im obigen Beispiel könnten andere Bereichsmitglieder die App nicht laden, da sie eine Datenverbindung aus einem persönlichen Bereich verwendet. Abhängig von Ihrem Anwendungsfall kann diese Zugriffskontrolle wünschenswert sein oder nicht.
Im Allgemeinen werden dem Besitzer einer Datenquelle keine Ausnahmen von den von Bereichsrollen gesteuerten Berechtigungen gewährt. Die einzige Ausnahme besteht in der Aktion der Bearbeitung einer Datenverbindung. Nur der Besitzer einer Datenverbindung kann diese Verbindung bearbeiten. Jedes Mal, wenn eine Verbindung bearbeitet wird, muss sich der Benutzer erneut bei der Verbindung authentifizieren.
Wenn der Besitzer einer Datenverbindung den erforderlichen Zugriff auf den Bereich verliert oder den Mandanten verlässt, können Entitäten, die sich auf diese Verbindung stützen, keine neuen Daten mehr von dieser Verbindung abrufen. Wenn der Verbindungsbesitzer den Mandanten verlässt, wenden Sie sich an einen Mandantenadministrator, um den Verbindungsbesitz neu zuzuweisen und die Verbindung ggf. in einen neuen Bereich zu verschieben. Wenn ein Verbindungsbesitzer nur kein Bereichsmitglied mehr ist, kann ein anderes Bereichsmitglied die Verbindung neu erstellen.
Der Ersteller einer Datendatei wird als deren Besitzer zugewiesen. Der Besitzer einer Datendatei kann von einem Administrator geändert werden. Der Besitz von Datendateien wirkt sich nicht auf die Zugriffssteuerung aus, es sei denn, die Datendatei befindet sich im persönlichen Bereich eines Benutzers. Weitere Informationen zum erwarteten Verhalten finden Sie unter Datendateibesitz.
Der Besitzer einer Datendatei kann den Bereich und den Mandanten verlassen, und andere Bereichsmitglieder können die Datei weiterhin anzeigen und verwenden.
Bereichsberechtigungen und Benutzerberechtigung
Wenn Sie über ein Qlik Sense Enterprise SaaS oder Qlik Sense Business Abonnement verfügen, sind Ihre Aktionen sowohl von den zugewiesenen Bereichsrollen als auch von Ihrer Benutzerberechtigung (Professional oder Analyzer) abhängig. Die zulässigen Aktionen sind für Benutzer mit Analyzer-Berechtigung stärker eingeschränkt. Für den Bereichsbesitzer und Mitglieder mit der Rolle Kann verwalten im Bereich wird die Professional-Berechtigung empfohlen.
In Abonnements mit umfassender Benutzerberechtigung entscheiden nur die Bereichsrollen darüber, was Sie in dem Bereich tun können. Die Full User-Berechtigung ist nicht mit Ihren Berechtigungen verknüpft.
Bereichsberechtigungen und globale Mandantenrollen
In diesem Abschnitt wird beschrieben, wie globale (von einem Administrator zugewiesene) Mandantenrollen sich auf Bereichsberechtigungen auswirken können.
Administratorrollen
Wenn Ihnen im Qlik Cloud Mandanten eine Administratorrolle zugewiesen ist, unterscheiden sich Ihre Bereichsberechtigungen von den Benutzerberechtigungen im gleichen Bereich. Die folgenden allgemeinen Regeln gelten:
-
Administratoren sind in der Regel in der Lage, die Ressourcen in einem Bereich anzuzeigen, die Bereichsmitgliedschaft zu verwalten und bestimmte Ressourcen zu löschen. Sie können freigegebene und verwaltete Bereiche erstellen und benötigen hierzu nicht die Sicherheitsrollen Shared Space Creator und Managed Space Creator. Administratoren können sich bei Bedarf auch selbst zu Bereichen hinzufügen.
-
Für andere Aktionen (zum Beispiel das Erstellen und Bearbeiten von Inhalten) überschreibt die Administratorrolle die Bereichsberechtigungen nicht, und der Administrator benötigt ausreichende Rollen im Bereich.
Weitere Informationen finden Sie unter:
-
Zuweisen von Sicherheitsrollen und benutzerdefinierten Rollen (kapazitätsbasierte Abonnements)
-
Zuweisen von Sicherheitsrollen und benutzerdefinierten Rollen (benutzerbasierte Abonnements)
-
Zuweisen von Sicherheitsrollen und benutzerdefinierten Rollen (Abonnements für Qlik Anonymous Access)
Sicherheitsrollen
Für bestimmte Aktionen müssen Ihnen von einem Administrator weitere Sicherheitsrollen zugewiesen werden. Möglicherweise benötigen Sie nur die Sicherheitsrolle, oder eine Kombination aus Sicherheitsrollen und Bereichsrollen.
Um beispielsweise vollständigen Zugriff für die Arbeit mit Unternehmensglossaren zu erhalten, benötigen Sie zusätzlich zu den erforderlichen Bereichsrollen die Rolle Steward.
Weitere Informationen finden Sie unter:
-
Zuweisen von Sicherheitsrollen und benutzerdefinierten Rollen (kapazitätsbasierte Abonnements)
-
Zuweisen von Sicherheitsrollen und benutzerdefinierten Rollen (benutzerbasierte Abonnements)
-
Zuweisen von Sicherheitsrollen und benutzerdefinierten Rollen (Abonnements für Qlik Anonymous Access)
Fehlerbehebung
Lösungen für häufige Probleme, die bei der Arbeit mit Bereichen auftreten können, finden Sie unter Fehlerbehebung – Arbeiten in Bereichen.