Gestion des autorisations dans les espaces partagés
Les autorisations dans les espaces sont contrôlées par les rôles des espaces attribués aux membres lorsqu'ils sont ajoutés à un espace. Un rôle donne au membre un ensemble d'autorisations dans l'espace et sur les ressources figurant dans l'espace.
Les membres d'un espace partagé peuvent avoir plusieurs rôles qui s'appliquent à eux. Ceci active un accès personnalisé à l'espace pour chaque membre. Si les groupes sont autorisés dans le client, des groupes d'utilisateurs peuvent être ajoutés à un espace avec le même rôle. Si un membre d'espace dispose d'autorisations individuelles et d'autorisations de groupe différentes dans un espace, le niveau d'autorisation le plus élevé est appliqué.
Lorsque vous créez un espace, le rôle d'espace Propriétaire vous est affecté. Les propriétaires peuvent ensuite ajouter de nouveaux membres à l'espace. Les utilisateurs titulaires des rôles d'espace Propriétaire et Peut gérer peuvent affecter des autorisations. Les autorisations relatives aux espaces sont gérées dans Détails de l'espace > Membres.
Pour vérifier les autorisations qui vous sont attribuées dans un espace partagé, cliquez sur Détails de l'espace > Membres. Si la section Membres n'est pas visible, cela signifie que vous disposez d'une autorisation de type Accès en lecture, Accès en écriture, Peut modifier des données dans des applications ou Peut consommer des données dans l'espace.
Les applications peuvent être partagées avec des utilisateurs qui ne sont pas membres d'un espace. Pour plus d'informations, voir Partage d'applications avec des utilisateurs qui ne sont pas membres d'un espace.
Pour des informations détaillées sur les actions autorisées pour chaque rôle d'espace disponible, voir :
-
Autorisations d'espace partagé pour les utilisateurs titulaires de Droit Professional ou Full User
-
Autorisations d'espace partagé pour les utilisateurs titulaires de Droit Analyseur
Rôles disponibles dans des espaces partagés
Les rôles d'espace suivants sont disponibles dans les espaces partagés :
- Propriétaire : premier administrateur habilité à gérer l'espace et ses membres, ainsi qu'à créer des contenus dans l'espace. À moins d'être administrateur, vous ne pouvez pas affecter ce rôle à d'autres membres de l'espace. Ce rôle d'espace ne peut pas non plus être retiré au membre de l'espace sans l'intervention d'un administrateur. Il n'est pas possible de retirer de l'espace un membre titulaire du rôle Propriétaire, sauf si vous avez accès au centre d'activités Administration en tant qu'administrateur.
- Peut gérer : habilité à gérer l'espace et ses membres ainsi qu'à créer des contenus dans l'espace.
- Accès en écriture : habilité à ajouter et à modifier des contenus dans les applications, mais non autorisé à gérer l'espace et ses membres.
- Peut modifier des données dans des applications : habilité à ajouter et modifier du contenu dans des applications et à modifier le script de chargement et la logique métier d'applications dans l'espace partagé, mais non autorisé à gérer l'espace et ses membres.
- Accès en lecture : habilité à afficher les applications disponibles dans l'espace, mais non autorisé à créer des contenus ou à gérer l'espace.
- Peut consommer des données : habilité à consommer des sources de données, mais non autorisé à créer ou modifier des sources de données. Les utilisateurs ne peuvent pas créer de contenu ni gérer l'espace. Voir Ajout et gestion de vos données analytiques pour en savoir plus sur les sources de données dans un espace.
Modification des autorisations des membres des espaces partagés
Il est possible de modifier les autorisations affectées aux membres afin d'attribuer à l'utilisateur un nouveau rôle dans un espace. Un utilisateur titulaire du rôle Accès en lecture peut être converti en développeur d'applications si son rôle devient Accès en écriture.
Le propriétaire de l'espace et les membres titulaires du rôle Peut gérer peuvent modifier les autorisations des membres.
Si vous apportez des modifications aux autorisations de l'utilisateur en ce qui concerne les applications ou les scripts, ces modifications ne sont pas immédiatement reflétées dans les applications et les scripts activement ouverts. Pour garantir la mise à jour des modifications apportées aux autorisations de l'utilisateur, l'utilisateur doit fermer tous les onglets de navigateur appartenant à l'application ou au script affecté et attendre au moins deux minutes (Durée de vie de la session d'une application), puis rouvrir l'application. Cela s'applique aux autorisations des applications et des scripts figurant dans des espaces personnels, partagés et gérés. Les modifications apportées aux autorisations des applications qui viennent d'être ouvertes sont immédiatement reflétées.
Procédez comme suit :
- Dans l'espace, cliquez sur Détails de l'espace et sélectionnez Membres.
- Cliquez sur la flèche de la colonne Rôle du membre.
- Sélectionnez les rôles appropriés du membre.
Cas d'utilisation courants
Les section suivantes soulignent certaines approches communes que vous pouvez vouloir suivre lors de l'affectation de rôles à des membres d'espace.
Je souhaite autoriser certains membres de l'espace à développer des analyses qui puissent être consommées par d'autres
Pour obtenir ce résultat, affectez des autorisations Accès en écriture (ou supérieures) aux développeurs de contenu et des autorisations Accès en lecture aux consommateurs de contenu.
Dans cette configuration, les consommateurs de contenu sont limités à ce qu'ils peuvent afficher et créer dans l'espace. Ils peuvent créer des favoris, des récits, des notes et d'autres ressources, mais ils ne peuvent pas créer leurs propres applications et feuilles.
Je souhaite autoriser des membres de l'espace à modifier les données des applications et scripts d'autres utilisateurs
Pour obtenir ce résultat, affectez le rôle Peut modifier des données dans des applications à des utilisateurs spécifiques de l'espace. Les utilisateurs titulaires de ce rôle peuvent modifier les données chargées par des applications et des scripts. Ils peuvent également gérer la logique métier et les listes de distribution dans une application.
Ce rôle permet le développement collaboratif de modèles de données. Il peut également être utilisé pour permettre à d'autres utilisateurs de modifier les données sources d'une application ou d'un script, au cas où leur propriétaire quitte l'espace ou le client, sans besoin de l'intervention d'un administrateur de clients.
Les propriétaires d'applications et de scripts disposent eux aussi de ces autorisations.
Je souhaite autoriser l'utilisation des données de l'espace sans accorder aux utilisateurs un accès complet à l'espace
Vous souhaitez peut-être que les sources de données de l'espace soient accessibles à certains utilisateurs, sans leur donner accès à d'autres ressources de l'espace telles que les applications. Vous pouvez également souhaiter limiter la capacité de certains utilisateurs à gérer les sources de données d'un espace, tout en leur permettant d'utiliser les sources de données existantes.
Pour atteindre l'un ou l'autre de ces objectifs, vous pouvez affecter l'autorisation Peut consommer des données à des consommateurs de données spécifiques.
Par exemple, vous pouvez avoir un espace dédié au stockage de sources de données. Vous pouvez créer un espace distinct pour le développement d'applications via ces sources de données. Vous pouvez affecter l'autorisation Peut consommer des données aux utilisateurs de l'espace de sources de données et leur affecter des autorisations de développeur d'applications (Accès en écriture) dans l'espace de développement. Dans cette configuration, les utilisateurs sont libres d'utiliser les sources de données pour créer du contenu analytique tout en permettant une gestion centralisée des données.
Autorisations relatives à un espace et propriété des applications
Les rôles dans un espace partagé donnent aux utilisateurs des autorisations et des règles d'accès. Vous pouvez disposer d'autorisations supplémentaires selon que vous êtes ou non le propriétaire de l'application sur laquelle vous travaillez.
Le propriétaire de l'application est l'utilisateur qui a créé l'application. Seuls les propriétaires d'applications et les utilisateurs titulaires de l'autorisation Peut modifier des données dans des applications peuvent modifier des données dans Visionneur de modèle de données, Éditeur de chargement de données ou Gestionnaire de données. Les propriétaires d'applications et les utilisateurs titulaires du rôle Peut modifier des données dans des applications sont également les seuls utilisateurs habilités à modifier la logique métier des applications.
Les autorisations relatives à un espace prévalent sur la propriété d'une application. Si une application est déplacée vers un espace auquel son propriétaire n'est pas autorisé à accéder, ce dernier ne pourra plus accéder à l'application. Si un propriétaire d'application voit son rôle dans un espace remplacé par Accès en lecture ou Peut consommer des données, il ne pourra plus ajouter de données à l'application ni charger cette dernière. Si le propriétaire d'une application ne dispose pas du rôle Peut modifier des données dans des applications, il peut Modifier les scripts de chargement de ses propres applications, mais pas ceux des autres applications figurant dans l'espace. Lors du déplacement d'une application entre des espaces, assurez-vous que le propriétaire de l'application est titulaire du rôle Accès en écriture, Peut modifier des données dans des applications, Peut gérer ou Propriétaire dans l'espace de destination, si vous souhaitez qu'il puisse continuer à gérer le chargement de l'application et du modèle de données.
Si vous déplacez une application avec une planification de chargement d'un espace à un autre, la planification de chargement est supprimée. Recréez la planification dans le nouvel espace, si nécessaire.
Autorisations d'espace et sources de données
Une source de données figurant dans un espace peut être utilisée dans un autre espace. Par exemple, un utilisateur peut créer une application dans un espace partagé via une connexion de données provenant de son espace personnel. Certaines actions d'espace, en revanche, nécessitent que les membres de l'espace autres que le propriétaire de la ressource aient accès à la source de données. Dans l'exemple précédent, d'autres membres de l'espace ne pourraient pas charger l'application, car elle utilise une connexion de données provenant d'un espace personnel. Suivant votre cas d'utilisation, ce contrôle d'accès peut être souhaitable ou non.
Généralement, le propriétaire d'une source de données n'est pas exempté des autorisations gouvernées par les rôles d'espace. La seule exception à cette règle est l'action d'édition d'une connexion de données. Seul le propriétaire de la connexion de données peut modifier une connexion. Chaque fois qu'une connexion est éditée, l'utilisateur doit se réauthentifier sur la connexion.
Si le propriétaire d'une connexion de données perd l'accès nécessaire à l'espace ou quitte le client, les entités qui s'appuient sur la connexion ne pourront plus récupérer de nouvelles données depuis cette connexion. Si le propriétaire de la connexion quitte le client, contactez un administrateur de clients pour affecter la connexion à un autre propriétaire et la déplacer vers un nouvel espace, si nécessaire. Si le propriétaire de la connexion n'est tout simplement plus membre de l'espace, un autre membre de l'espace peut recréer la connexion.
Le créateur d'un fichier de données devient le propriétaire de ce fichier. Le propriétaire d'un fichier de données peut être modifié par un administrateur. L'appartenance des fichiers de données n'affecte pas les contrôles d'accès, sauf si le fichier de données se trouve dans l'espace personnel d'un utilisateur. Pour plus d'informations sur le comportement prévu, consultez Appartenance des fichiers de données.
Le propriétaire d'un fichier de données peut quitter l'espace et le client et d'autres membres de l'espace continueront à pouvoir afficher et utiliser le fichier.
Autorisations et droit d'utilisateur dans un espace
Si vous avez un abonnement Qlik Sense Enterprise SaaS ou Qlik Sense Business, les actions à votre disposition sont déterminées par les rôles d'espace qui vous sont affectés et par votre droit d'utilisateur—Professional ou Analyzer. Les actions autorisées sont plus limitées pour les utilisateurs titulaires de Droit Analyseur. Nous recommandons d'affecter le droit Professional au propriétaire de l'espace et aux membres titulaires du rôle Peut gérer.
Dans les abonnements avec des droits Full User, seuls les rôles d'espace déterminent les actions possibles dans l'espace. Droit Full User n'est pas lié à vos autorisations.
Autorisations d'espace et rôles de client généraux
Cette section souligne la manière dont les rôles de client généraux (affectés par un administrateur) impactent les autorisations des espaces.
Rôles d'administrateur
Si vous recevez un rôle d'administrateur dans le client Qlik Cloud, vos autorisations dans les espaces seront différentes des autorisations utilisateur dans ces mêmes espaces. Les règles générales suivantes s'appliquent :
-
Un administrateur pourra généralement afficher les ressources d'un espace, gérer les membres de l'espace et supprimer certaines ressources. Il peut créer des espaces partagés et gérés et n'a pas besoin des rôles de sécurité Shared Space Creator ni Managed Space Creator pour le faire. Les administrateurs peuvent également s'ajouter à des espaces, si besoin.
-
Pour les autres actions (par exemple, pour créer et modifier du contenu), le rôle d'administrateur ne remplace pas les autorisations des espaces et l'administrateur doit être titulaire des rôles suffisants dans l'espace.
Pour plus d'informations, consultez :
-
Affectation de rôles de sécurité et de rôles personnalisés (abonnements basés sur la capacité)
-
Affectation de rôles de sécurité et de rôles personnalisés (abonnements basés sur les utilisateurs)
-
Affectation de rôles de sécurité et de rôles personnalisés (abonnements Qlik Anonymous Access)
Rôles de sécurité
Certaines actions nécessitent qu'un administrateur vous accorde des rôles de sécurité supplémentaires. Il se peut que vous n'ayez besoin que du rôle de sécurité, ou que vous ayez besoin d'une combinaison de rôles de sécurité et de rôles d'espace.
Par exemple, pour pouvoir utiliser en toute liberté des glossaires métier, vous devez être titulaire du rôle Steward en plus des rôles d'espace nécessaires.
Pour plus d'informations, consultez :
-
Affectation de rôles de sécurité et de rôles personnalisés (abonnements basés sur la capacité)
-
Affectation de rôles de sécurité et de rôles personnalisés (abonnements basés sur les utilisateurs)
-
Affectation de rôles de sécurité et de rôles personnalisés (abonnements Qlik Anonymous Access)
Dépannage
Pour des solutions aux problèmes courants que vous pourriez rencontrer lors de l'utilisation d'espaces, voir Dépannage - Utilisation des espaces.