Управление разрешениями в управляемых пространствах
Управление разрешениями в пространствах выполняется с помощью ролей, назначаемых участникам при их добавлении в пространство. Роль дает участнику ряд разрешений для этого пространства и его ресурсов.
Участникам управляемого пространства может быть назначено несколько ролей. Это обеспечивает настраиваемый доступ к пространству для каждого участника. Если в клиенте разрешены группы, то группы пользователей можно добавлять в пространство с той же ролью. Если у участника пространства уровень индивидуального разрешения отличается от уровня группового разрешения в пространстве, применяется разрешение более высокого уровня.
Администраторы клиента и аналитики, владельцы пространств и пользователи с разрешением Может управлять пространством могут добавлять новых участников в пространство и назначать им разрешения. Управление разрешениями в пространстве осуществляется в разделе Сведения о пространстве > Участники.
Владельцу пространства назначается роль Владелец. Эту роль пространства может снять с участника пространства только администратор. Чтобы удалить участников с ролью Владелец из пространства, требуется доступ к центру активности Администрирование с правами администратора.
Приложениями можно делиться с пользователями, которые не являются участниками пространства. Для получения дополнительной информации см. раздел Предоставление приложений пользователям, которые не являются участниками пространства.
Для получения подробных сведений о действиях, разрешенных для каждой доступной роли в пространстве, см.:
-
Разрешения в управляемом пространстве для пользователей с правом Права аналитика
-
Разрешения в управляемом пространстве для анонимных пользователей
Доступные роли в управляемых пространствах:
Следующие роли пространства доступны в управляемых пространствах:
- Владелец: может управлять данным пространством и его участниками, а также открывать приложения в данном пространстве. Эту роль может назначить другим участникам пространства только администратор. Кроме того, эту роль пространства может снять с участника пространства только администратор. Чтобы удалить участника с ролью Владелец из пространства, требуется доступ к центру активности Администрирование с правами администратора.
- Может управлять: может управлять данным пространством и его участниками.
- Может публиковать: может публиковать приложения в данном пространстве. Не может открывать приложения в пространстве.
- Может участвовать: может просматривать и открывать приложения в данном пространстве. Участники могут создавать личное содержимое в приложении и делать это содержимое общедоступным.
- Может просматривать: может просматривать и открывать приложения в данном пространстве.
-
Имеет ограничения на просмотр: может просматривать и открывать приложения в данном пространстве.
- Может использовать данные: может использовать источники данных, но не может создавать или изменять источники данных. Не может создавать содержимое или управлять пространством. См. раздел Добавление данных аналитики и управление ими, чтобы узнать об источниках данных внутри пространства.
- Может выполнять задачи оператора: может перезагружать приложения и создавать запланированные перезагрузки.
Изменение разрешений для участников управляемых пространств
Роли участников можно изменять с целью назначения им новых разрешений в пространстве.
Администраторы клиента и аналитики, владельцы пространств и пользователи с разрешением Может управлять могут изменять разрешения участников.
При внесении изменений в разрешения пользователя для приложений или скриптов эти изменения не сразу применяются в открытых активных приложениях или скриптах. Чтобы убедиться, что изменения в разрешениях пользователя обновлены, пользователю необходимо закрыть все вкладки браузера, используемые для соответствующего приложения или скрипта, подождать не менее двух минут («время жизни» сеанса приложения), а затем снова открыть приложение. Это касается разрешений для приложений и скриптов в личном, общем и управляемом пространствах. Изменения в разрешениях для вновь открытых приложений применяются сразу же.
Выполните следующие действия.
- В пространстве нажмите Сведения о пространстве и выберите Участники.
- Нажмите на стрелку в столбце Роль для участника.
- Выберите соответствующие роли для участника.
Общие случаи использования
В следующих разделах описываются некоторые общие подходы, которых рекомендуется придерживаться при назначении ролей участникам пространства.
Необходимо, чтобы пользователи могли создавать аналитические данные без обращения к источникам данных.
Для этого назначьте участникам управляемого пространства роль Может участвовать. Эти пользователи смогут создавать новые листы и визуализации в приложении, но не смогут управлять источниками данных в пространстве.
Необходимо разрешить пользователю публиковать содержимое в пространство без доступа к данным пространства
Управляемое пространство обычно содержит данные с более высокими требованиями к безопасности и управлению, чем исходное пространство, в котором такие данные были созданы. Можно организовать группу разработчиков приложений, которые отвечают за разработку модели данных приложения и базовых листов, но используют для этого только подстановочные данные. Разработчики приложения необязательно должны иметь те же права, что и пользователи, которые будут потреблять и анализировать производственные данные.
Может потребоваться, чтобы разработчики приложений, ответственные за подготовку приложения, также занимались его публикацией. Для этого назначьте таким пользователям роль Может публиковать. В таком случае разработчики приложения смогут публиковать содержимое в управляемое пространство, не имея доступа к данным и содержимому из этого пространства.
Разрешения пространства и источники данных
Источник данных в одном пространстве можно использовать в другом пространстве. Например, пользователь может создать приложение в общем пространстве, используя подключение данных из своего личного пространства. Однако для выполнения определенных действий в пространстве требуется, чтобы все участники пространства, кроме владельца ресурса, имели доступ к соответствующему источнику данных. В предыдущем примере другие участники пространства не смогут перезагрузить приложение, так как оно использует подключение к данным из личного пространства. В зависимости от конкретного сценария применения такое управление доступом может быть желательным или нежелательным.
Как правило, владелец источника данных не получает никаких послаблений в отношении разрешений, регулируемых ролями безопасности. Единственным исключением является действие редактирования подключения к данным. Только владелец подключения к данным может редактировать подключение. Каждый раз при редактировании подключения пользователь должен проходить повторную аутентификацию для доступа к подключению.
Если владелец подключения к данным теряет необходимый доступ к пространству или покидает клиент, объекты, использующие это подключение, больше не смогут получать из него новые данные. Если владелец подключения покидает клиент, обратитесь к администратору клиента, чтобы переназначить владение подключением и при необходимости переместить подключение в новое пространство. Если владелец подключения просто перестал быть участником пространства, другой участник пространства может воссоздать подключение.
Создатель файла данных назначается его владельцем. Владелец файла данных может быть изменен администратором. Владение файлами данных не влияет на контроль доступа, если только файл данных не расположен в личном пространстве пользователя. Для получения дополнительной информации об ожидаемом поведении см. раздел Владение файлами данных.
Владелец файла данных может покинуть пространство и клиент, и другие участники пространства смогут дальше просматривать и использовать файл.
Разрешения в пространстве и права пользователей
При наличии подписки Qlik Sense Enterprise SaaS или Qlik Sense Business разрешенные действия зависят как от назначенных ролей в пространстве, так и от прав пользователя — «Профессионал» или «Аналитик». Набор разрешенных действий более ограничен для пользователей с доступом Права аналитика. Владельцу пространства и участникам с ролью Может управлять рекомендуется назначить право пользователя Professional.
В подписках с правом «Пользователь с полными правами» только роли пространства определяют, какие действия можно выполнять в пространстве. Доступ Права Full User никак не связан с разрешениями в пространстве. Обратите внимание, что у пользователей Basic User может быть только роль Ограниченный просмотр. При предоставлении дополнительных разрешений пользователь с основными правами автоматически повышается до уровня «Пользователь с полными правами».
Назначение ролей по праву пользователя
Пользователям с правом Право пользователя «Профессионал» или Full User можно назначать роли, чтобы предоставить им разрешение для выполнения следующих типов действий:
-
Управление пространством (Владелец или Может управлять)
-
Создание содержимого и источников данных (Владелец или Может управлять)
-
Перезагрузки (Владелец, Может управлять, Может выполнять задачи оператора)
-
Публикация (Может публиковать)
-
Использование содержимого и (или) данных (любая роль)
Пользователям с правом Права аналитика следует назначать роль только для потребления содержимого. К таким ролям относятся Может участвовать, Может просматривать, Имеет ограничения на просмотр и Может использовать данные.
Разрешения в пространстве и глобальные роли в клиенте
В этом разделе рассматривается влияние глобальных ролей клиента (назначаемых администратором) на разрешения в пространстве.
Административные роли
Если вам назначена роль администратора в клиенте Qlik Cloud, то ваши разрешения в пространстве будут отличаться от разрешений пользователя в этом пространстве. Действуют следующие общие правила:
-
Администраторы, как правило, имеют возможность просматривать ресурсы в пространстве, управлять принадлежностью к пространству и удалять определенные ресурсы. Они могут создавать общие и управляемые пространства, для этого им не требуются роли безопасности Shared Space Creator и Managed Space Creator. Администраторы также могут добавлять себя в пространства при необходимости.
-
Для других действий (таких как создание и редактирование содержимого) роль администратора не переопределяет разрешения пространства, поэтому администратору требуются соответствующие роли в пространстве.
Для получения дополнительной информации см.:
-
Назначение ролей безопасности и пользовательских ролей (подписки на основе объема)
-
Назначение ролей безопасности и пользовательских ролей (подписки на основе пользователей)
-
Назначение ролей безопасности и пользовательских ролей (подписки Qlik Anonymous Access)
Роли безопасности
Для выполнения определенных действий требуются дополнительные роли безопасности, назначаемые администратором. Может потребоваться только роль безопасности, либо комбинация ролей безопасности и пространства.
Например, чтобы получить полный доступ для работы с бизнес-глоссариями, требуется роль Steward в дополнение к необходимым ролям пространства.
Для получения дополнительной информации см.:
-
Назначение ролей безопасности и пользовательских ролей (подписки на основе объема)
-
Назначение ролей безопасности и пользовательских ролей (подписки на основе пользователей)
-
Назначение ролей безопасности и пользовательских ролей (подписки Qlik Anonymous Access)
Поиск и устранение неисправностей
Для ознакомления с решениями распространенных проблем, которые могут возникать при работе в пространствах, см. раздел Поиск и устранение неисправностей ― работа в пространствах.