Tableau中的行级数据安全性——第1部分

Tableau中的数据安全性概述

本文是关于什么的？

业务需求（Tableau Server组中保留的安全配置）

解决方案概念

分步解决方案

在Tableau Server上创建Tableau Server组

创建用户筛选器（Tableau Desktop中的计算字段）

在工作簿中应用用户筛选器以进行访问控制

测试访问控制

结论

继续...

Tableau中的数据安全性概述

当我们谈论Tableau中的数据安全性时，我们想到了各种选择，例如我们可以仅基于数据库实现安全性，或者可以基于Tableau Server组和用户筛选器实现安全性，甚至可以使用混合方法应用安全性。

在Tableau提供的所有可用数据安全性选项中，哪一种是最佳方法，这是很难一齐回答的问题。该问题的答案取决于基于组织结构和业务模型的某些因素。

如果您的组织结构保持静态并且不经常更改，则服务器组可能是一个不错的选择。但是，对于组织结构和安全规则频繁更改的组织而言，面向数据库的安全配置可能是更好的方法。

总体而言，在满足当前和未来业务需求的情况下，混合方法可能是一种更成功的选择。

本文是关于什么的？

本文旨在提供一种使用两种方法处理行级数据安全性的端到端思想：

使用Tableau服务器组的数据安全性（仅在服务器组中保留配置）
使用混合方法的数据安全性（将服务器组中的配置与数据库一起保留）

在阅读完本文之后，用户将能够很好地理解该概念，并将该技术应用于他们的实时项目。

我们将看到基于实时需求的数据安全逐步实现。本文分为两个部分。

在第一部分中，我们将使用Tableau Server组来保留安全性配置并将此配置用于数据访问控制。在第二部分中，配置部分将保留在数据库中，我们将看到如何使用混合方法。

有关处理数据安全性（使用Tableau User Filter选项），可以参考Tableau中的数据安全性文章。

业务需求（Tableau Server组中保留的安全配置）

为了便于说明和实现示例目的，我们选择了金融机构的数据子集。数据集包含与两个部门和两个业务和支持部门的总部相关的数据。

在此组织中，下面提到了四个访问级别：

总裁——可以查看所有部门和所有分支机构的公司所有数据
直属经理——他负责任何单个业务，例如财务、人力资源等，因此他可以查看所有分支机构的业务数据。
分公司经理——他负责其分公司，因此他可以查看其分公司所有部门的数据。
分支机构部门经理——他负责分支机构中的单个部门，因此他应该只能看到其分支机构中部门的数据。这是最低的访问级别。

以下是此数据集中的部门：

以下是此数据集中的分支：

以下是用户列表：

现在的要求是根据以下安全矩阵进行访问：

解决方案概念

以下是实现上述实现安全性要求的高级步骤：

在Tableau Server上创建服务器组
在各自的服务器组中添加用户
创建用户筛选器（Tableau Desktop中的计算字段）
在工作簿的工作表中应用用户过滤器以进行访问控制
测试访问控制

分步解决方案在Tableau Server上创建Tableau Server组

Tableau Server中的组是一个保存用户信息的对象。您可以基于在Tableau Server中本地创建的活动目录用户创建组。

为了在Tableau Server中创建组，请登录到Tableau Server，选择您的站点并通过以下屏幕快照中提到的导航进入“组”菜单：

将打开以下屏幕：

单击添加组按钮：

它将打开屏幕以添加组。如果使用的是Active Directory，请选择“Active Directory组”选项，否则请选择“本地组”选项。

通过分析业务需求，我们可以将各组分为三个主要类别。下图演示了应创建以处理业务需求的每个组的类别、名称和逻辑。

如下所示，在Tableau Server中添加以下组：

在服务器组中添加用户

为了在站点中添加用户，请按如下所述从链接转到用户页面：

添加网站中的所有9位用户：

下一步是按照我们之前针对每个用户业务角色的计划，为用户分配各自的服务器组。

以下是我们需要分配用户的组：

为了将组分配给用户，请按照以下步骤操作。例如，让我们将服务器组分配给Manoj。

单击用户菜单，转到用户Manoj并单击三个点。它会打开一个小菜单，选择“组成员身份”选项，如下所示：

现在，选择适用于该用户的组：

单击保存”按钮以保存用户Manoj的组分配。

我们特意选择了具有最多分配组的分支部门用户。对“用户服务器组分配”表中提到的所有用户重复相同的步骤。

创建用户筛选器（Tableau Desktop中的计算字段）

创建服务器组后，下一步就是创建一个计算字段，该字段将用作每个组中的过滤器。

为了创建此计算字段，请打开tableau桌面，单击以创建一个计算字段：

将其命名为“用户过滤器”，并在其中写入以下条件：

ISMEMBEROF() 是Tableau的内置函数，该函数检查登录的用户是否是传递给此函数的服务器组的成员。

CMPCODE是引用分支数据的字段。此列中的值可以是SHJ（Sharjah）或MCT（Muscat）。

DEPARTMENT是指部门的字段。此列中的值可以为不适用任何部门的Parts，Service或者Null。这将在本文的第二部分中进行处理。这种情况适用于不属于任何特定部门的数据，例如与组级别有关的数据，只有总裁才能看到这些数据。

例如，如果登录的用户是PRESIDENT组的成员，则条件将返回值1，否则将返回的值0。

为了简单起见并出于解释目的，仅首先显示总裁，随后需要将所有级别的逻辑添加到同一计算字段中。

因此，完整的逻辑如下所示：

编写“IF”条件以确保仅当用户是其所有相关服务器组的成员时返回1，例如，当Sharjah part Manager是BRANCH-DEPT-MANAGER、SHARJAH-SHJ和PARTS服务器组的成员时，将返回1, CMPCODE (包含location的字段)的值为SHJ (指向Sharjah)，DEPARTMENT字段的值为Parts。

这是为上面提到的业务需求编写的一个实现，当然，如果需求更加复杂，它可能会变得更加复杂。

我们将在本文的第二部分中处理更复杂的需求，在该部分中，我们将部分配置保留在数据库中。

在工作簿中应用用户筛选器以进行访问控制

以下是数据中的部门和分支机构：