当把成员添加至空间时,将把空间中由空间角色控制的权限分配给成员。角色为成员提供了空间和空间中资源的一组权限。
共享空间的成员可以对其应用多个角色。这允许对每个成员的空间进行自定义访问。如果租户中允许组,则可以将用户组添加到具有相同角色的空间中。如果空间成员在空间中具有不同的个人权限和组权限,则会应用最高权限级别。
创建空间时,将为您分配所有者空间角色。然后所有者可将新成员添加到空间。具有所有者和可以管理空间角色的用户可以分配权限。空间权限在空间详细信息 > 成员中托管理。
您可以通过单击空间详细信息 > 成员来检查您在共享空间中的权限。如果您没有看到成员,则您具有空间的可查看、可编辑、可编辑应用程序中的数据或可使用数据权限。
应用程序可以与非共享空间成员共享。有关详细信息,请参阅与非共享空间成员的用户共享应用程序。
有关每个可用空间角色允许的操作的详细信息,请参阅:
共享空间中的可用角色
共享空间中有以下空间角色:
- 所有者:您是可管理空间及其成员并在空间中创建内容的第一个管理员。 除非您是管理员,否则无法将此角色分配给空间的其他成员。如果没有管理员操作,也无法从空间成员中删除此空间角色。除非您以管理员身份有权访问 管理控制台,否则无法从空间中删除具有所有者角色的成员。
- 可管理:您可管理空间及其成员并在空间中创建内容。
- 可编辑:您可在应用程序中添加和编辑内容。您无法管理空间及其成员身份。
- 可以编辑应用程序中的数据:您可以添加和编辑应用程序中的内容,也可以编辑共享空间中应用程序的加载脚本和商业逻辑。您无法管理空间及其成员身份。
- 可查看:您可查看空间中的应用程序,但是不能创建内容或管理空间。
- 可使用数据:可以使用数据源,但不能创建或编辑数据源。他们无法创建内容或管理空间。参见 在空间中映射数据源 了解空间中的数据源。
更改共享空间中成员的权限
可更改成员权限,以向用户提供空间中的新角色。通过将自己的角色更改为可编辑,具有可查看角色的用户可更改为应用程序开发人员。
具有可以管理角色的空间所有者和成员可以更改成员的权限。
执行以下操作:
- 在空间中,单击空间详细信息并选择成员。
- 单击成员角色列中的箭头
。 - 为成员选择适当的角色。
常见用例
以下部分概述了在为空间成员分配角色时可能需要遵循的一些常见方法。
我想允许某些空间成员为其他人的使用情况开发分析
要实现此结果,请将可以编辑(或更高)权限分配给内容开发人员,并将可以查看权限分配给内容使用者。
有了这种配置,内容使用者只能在空间中看到和创建内容。他们可以创建书签、故事、笔记和其他资产,但无法创建自己的应用程序和工作表。
我想允许空间成员编辑其他用户的应用程序和脚本的数据
要实现此结果,请将可以在应用程序中编辑数据角色分配给空间中的特定用户。具有此角色的用户有权编辑应用程序和脚本加载的数据。他们还能够管理应用程序中的业务逻辑和分发列表。
此角色允许协同开发数据模型。它还可以用于允许其他用户在所有者离开空间或租户的情况下更改应用程序或脚本的源数据,而无需租户管理员的干预。
应用程序和脚本的所有者也具有这些权限。
我希望允许在不授予用户空间完全访问权限的情况下使用空间数据
您可能希望某些用户可以访问空间中的数据源,而无需应用程序等其他空间资产的访问权限。另一个要求可能是,您希望限制某些用户在空间中管理数据源的能力,同时仍然可以使用现有的数据源。
出于这两种目的之一,您可以将可以使用数据权限分配给特定的数据使用者。
例如,您可以有一个专用于存储数据源的空间。您可以使用这些数据源为应用程序的开发创建一个单独的空间。您可以在数据源空间中为用户分配可以使用数据,然后在开发空间中为这些用户提供应用程序开发人员(可以编辑)权限。通过此设置,用户可以自由使用数据源构建分析内容,同时允许集中的数据管理。
空间权限和应用程序所有权
共享空间中的角色提供用户权限和访问规则。您是否为所使用的应用程序的所有者决定额外的权限。
应用程序所有者是创建该应用程序的用户。只有应用程序所有者和具有可在应用程序中编辑数据权限的用户才能在数据模型查看器、数据加载编辑器或数据管理器中编辑数据。应用程序所有者和具有可以编辑应用程序中的数据权限的用户也是唯一可以编辑应用程序商业逻辑的用户。
空间权限可覆盖应用程序所有权。如果应用程序被移动至应用程序所有者没有访问权限的空间,则应用程序所有者无法访问应用程序。如果应用程序所有者在空间中的角色更改为可查看或可使用数据,他们将无法再将数据添加至应用程序以及重新加载应用程序。如果应用程序所有者没有可编辑应用程序中的数据角色,他们可以编辑自己的应用程序的加载脚本,但不能编辑空间中其他应用程序的加载脚本。在空间之间移动应用程序时,如果您希望应用程序所有者仍能管理应用程序和数据模型重新加载,请确保应用程序所有者在目标空间中具有可编辑、可编辑应用程序中的数据、可管理或所有者角色。
如果在空间之间移动具有重新加载计划的应用程序,则会删除重新加载计划。如果需要,请在新空间中重新创建计划。
空间权限和数据源
一个空间中的数据源可以用于另一个空间。例如,用户可以使用来自其个人空间的数据连接在共享空间中创建应用程序。但是,某些空间操作要求资源所有者以外的空间成员能够访问数据源。在前面的示例中,其他空间成员将无法重新加载应用程序,因为它使用来自个人空间的数据连接。根据您的使用情况,这种访问控制可能是可取的,也可能不是可取的。
通常,数据源的所有者不会被授予任何由空间角色管理的权限豁免。唯一的例外是编辑数据连接的操作。只有数据连接所有者才能编辑连接。每次编辑连接时,用户都必须在连接上重新进行身份验证。
如果数据连接的所有者失去对空间的必要访问权限或离开租户,则依赖该连接的实体将无法再从该连接获取新数据。如果连接所有者离开租户,请联系租户管理员重新分配连接所有权,并根据需要将其移动到新空间。如果连接所有者不再是空间成员,则另一个空间成员可以重新创建连接。
数据文件的创建者被指定为其所有者。这一点无法更改,但数据文件的所有权不会以任何方式影响空间权限。数据文件的所有者可以离开空间和租户,其他空间成员将继续能够查看和使用该文件。
空间权限和用户权利
如果您有 Qlik Sense Enterprise SaaS 或 Qlik Sense Business 订阅,您可以做什么取决于您分配的空间角色和您的用户权限 Professional 或 Analyzer。具有 分析师授权的用户允许的操作更加有限。我们建议空间所有者和在空间中具有可以管理角色的成员具有 Professional 权限。
在具有完全用户权限的订阅中,只有空间角色决定您可以在空间中执行的操作。 完全用户授权 未与您的权限关联。
空间权限和全局租户角色
本部分概述全局租户角色(由管理员分配)如何影响空间权限。
管理员角色
如果在 Qlik Cloud 租户中为您分配了管理员角色,则您的空间权限将与同一空间中的用户权限不同。有以下一般规则适用:
-
管理员通常能够查看空间中的资源、管理空间成员资格以及删除某些资源。他们可以创建共享和托管空间,而不需要 Shared Space Creator 和 Managed Space Creator 安全角色。如果需要,管理员还可以将自己添加到空间中。
-
对于其他操作(例如,创建和编辑内容),管理员角色不会覆盖空间权限,并且管理员需要在空间中具有足够的角色。
有关更多信息,请参阅分配安全角色(基于用户的订阅)或 分配安全角色(基于容量的订阅)。
安全角色
某些操作需要管理员为您分配额外的安全角色。您可能只需要安全角色,或者需要安全角色和空间角色的组合。
例如,除了所需的空间角色外,还需要 Steward 角色才能完全访问业务词汇表。
有关更多信息,请参阅分配安全角色(基于用户的订阅)或 分配安全角色(基于容量的订阅)。
故障排除
有关在空间中工作时可能遇到的常见问题的解决方案,请参阅故障排除 - 在空间中工作。