Blogisarjamme ensimmäisessä osassa käsittelimme datan jäljitettävyyttä ja esittelimme Tableau Catalog -toiminnallisuuden. Tässä osassa pureudutaan käyttöoikeuksien hallintaan Tableaun Server ja Online -ympäristöissä. Vaikka Tableau tunnetaankin markkinoiden parhaana visuaalisen analytiikan työkaluna, on hyvä muistaa käyttöoikeuksien määrittämisen tärkeys. Kun Tableaun käyttö laajenee, on käyttöoikeuksien hallinta välttämätöntä. Kaikkea dataa ei välttämättä voi eikä kannatakaan jakaa koko organisaatiolle, jotta tehokas käyttö onnistuu. Lukemalla alla olevan blogitekstin saat nopeasti yleiskuvan siitä, miten tämä hankalaksikin koettu aihepiiri on toteutettu Tableaussa hyvin käyttäjäystävällisesti!

Yrityksissä tai muissa entiteeteissä on tänä päivänä useita erilaisia käyttäjäryhmiä, kuten esimerkiksi suorittava henkilöstö, keskijohto ja ylin johto. Eri käyttäjäryhmillä on luonnollisesti erilaisia tarpeita data-analytiikan ja visualisointien kuluttajina. Kun visuaalinen esitys on hiottu kuntoon ja se päätetään julkaista yleisölle työkirjana osaksi käyttäjien arkea, on syytä pohtia millaista tietoa työkirja sisältää. Työkirjat voivat sisältää tietoa yleisellä tasolla, jolloin käyttäjäkohderyhmänä voi olla kaikki yrityksen työntekijät tai vaikka koko maailma. Toisaalta työkirja saattaa sisältää hyvinkin yksityiskohtaista dataa esimerkiksi henkilöstön yksilötason suoriutumisesta suhteessa sovittuihin suoritustasobonuksiin.

Kuvitellaan esimerkkinä seuraava tilanne, jossa käyttöoikeuksien jako käyttäjäryhmittäin on todella yksinkertaistettu:

  • Suorittava henkilöstö saa pääsyn visualisointeihin, joiden sisältö kuuluu osaksi heidän omaa työkuvaansa. Työntekijöille voi olla esimerkiksi hyvinkin mielenkiintoista nähdä miten he suoriutuvat suhteessa toisiin työntekijöihin, mutta pääsy yksityiskohtaisiin tietoihin omasta suoriutumisesta on syytä rajata vain työntekijälle itselleen.
  • Keskijohdon avuksi luodut visualisoinnit voivat esimerkiksi mitata suorittavan henkilöstön suoriutumista. Nämä visualisoinnit saattavat sisältää tietoa, joita ei ole tarkoituksenmukaista esittää suorittavalle henkilöstölle.
  • Ylimmälle johdolle saatetaan antaa oikeudet kaikkiin visualisointeihin ja/tai luoda ”Johdon näkymiä”, eli koontinäkymiä, joiden tarkoituksena on esittää johdolle nopeasti yleiskuva yrityksen suoriutumisesta suhteessa sovittuihin KPI-mittareihin. 

Miten siis hallita sitä, kuka pääsee käsiksi mihinkin työkirjaan ja mihin dataan? Huoli pois, sillä Tableau mahdollistaa tehokkaan ja varman tavan hallita datan näkyvyyttä erilaisten käyttäjien ja käyttäjäryhmien kesken.

Millaisilla rakenteilla Tableaussa voi hallita käyttöoikeuksia?

Tableau Server -ympäristö voi koostua useammasta sivustosta (Site). Tableau Onlinen ylin taso on sivustotaso. Sivustolle voidaan luoda projekteja (Projects) ja aliprojekteja (Sub-Projects), joihin voidaan tallentaa työkirjoja (Workbooks). Nämä työkirjat käyttävät serverille julkaistuja datalähteitä (Data Source), jotka sisältävät dataa (Data) esimerkiksi tietokannasta. Toisaalta työkirja voi sisältää datan myös itsessään (Embedded) ilman yhteyttä julkaistuun datalähteeseen. Prep-työkulkuja voidaan käyttää datan muokkaamiseen ja julkaista sen jälkeen data muokattuna serverille datalähteeksi. Sivustolla sijaitsevien yllä listattujen käyttöoikeuskohteiden käyttöoikeudet määritellään ryhmä- (Groups) ja käyttäjätasolla (Users), joita ylläpidetään sivustokohtaisesti. Pääsyä dataan voidaan myös hallita rivitason suodatuksella (Row Level Security).

Projektikansion asetuksista voidaan valita, sallitaanko käyttöoikeuksien määrittely per työkirja / julkaistu datalähde vai onko käyttöoikeudet lukittuna projektitasolle, jolloin kaikilla projektin sisällä olevilla työkirjoilla ja julkaistuilla datalähteillä on samat käyttöoikeudet. Versiosta 2020.1 alkaen projektikansion sisällä oleville aliprojekteille voidaan tarvittaessa määrittää omat käyttöoikeusasetukset riippumatta emoprojektin määrityksestä. Eli vaikka emoprojektille olisi lukittu projektitasolle käyttöoikeudet, voi aliprojektikansion määrityksissä olla sallittu työkirja- ja datalähdekohtaiset käyttöoikeudet.

Käyttöoikeusrakennetta voidaan kuvata seuraavasti:

Kuva1-käyttöoikeusrakenne

 

Lähdetään seuraavaksi tarkastelemaan tarkemmin 'valmiit käyttöoikeusroolit' ja 'mukautetut käyttöoikeudet' -toiminnallisuuksia, sekä mitä rivitason suodatus on ja miksi se on tarpeen.

 

Lisenssit ja valmiit käyttöoikeusroolit datan näkyvyyden hallinnassa

Tableaussa voidaan hallita datan näkyvyyttä monella tasolla sekä käyttäjittäin että käyttäjäryhmittäin, tai näiden hybridinä aina datalähteen rivitasolle asti.

Jotta käyttäjä pääsee käsiksi työkirjoihin, hän tarvitsee käyttäjälisenssin (Creator, Explorer tai Viewer). Lisenssityyppi määrittää millaisia sivuston rooleja (Site Roles) käyttäjälle voidaan sallia. Sivuston roolit (Server Administrator, Site Administrator Creator, Site Administrator Explorer, Explorer (can publish), Explorer, Viewer) määrittävät millaisia käyttöoikeusrooleja käyttäjälle on mahdollista antaa. Käyttöoikeudet voidaan määrittää eri tasoilla: projektille, työkirjalle, datalähteelle, Prep-työkuluille ja datarooleille. Tämä saattaa kuulostaa monimutkaiselta, mutta hieman asiaan perehtymällä voidaan havaita, että asia on taklattu hyvinkin intuitiivisesti Tableaun toimesta.

Seuraavassa kuvassa on esitettynä Tableaun valmiit käyttöoikeusroolit ja millaisia oikeuksia ne antavat eri käyttöoikeuskohteissa.

Kuva2-valmiit-käyttöoikeusroolit

Viewer: Pääsee katsomaan projekteja ja työkirjoja.

Connector: Pääsee yhdistymään dataan, mutta ei muokkaamaan tai lataamaan dataa.

Runner: Pääsee ajamaan Prep-työkulkuja, muttei muokkaamaan tai lataamaan niitä.

Publisher: Pystyy luomaan, tallentamaan ja katsomaan työkirjoja, datalähteitä tai Prep-työkulkuja mikäli käyttäjän työkirja-, datalähde ja/tai Prep-työkulkuoikeudet ovat riittävällä tasolla.

Interactor: Voi käyttää työkirjojen suodattimia ja muokata työkirjoja selaimessa.

Editor: Kaikki käyttö-/muokkaus-/tallennusoikeudet koskien työkirjoja, datalähteitä ja Prep-työkulkuja. Toisin sanoen käyttäjällä on kaikki toiminnot olemassa oleviin käyttöoikeuksiin. Ei kuitenkaan salli uusien kohteiden luomista.

Project Leader: Kaikki toiminnot riippumatta projektille luoduista käyttöoikeussäännöistä, sisältyen myös Publisher-oikeudet.

Lisäksi käyttäjän / ryhmän oikeudet voidaan estää kokonaan (Denied) tai oikeuksia ei anneta ko. käyttäjälle tai ryhmälle suoraan (None).

 

Mukautetut käyttöoikeudet datan näkyvyyden hallinnassa

Valmiita käyttöoikeusrooleja ei ole pakko käyttää, vaan käyttöoikeudet voidaan myös määritellä manuaalisesti, tai muokkaamalla valmista käyttöoikeusroolia. Roolit koostuvat useammasta yksittäisestä oikeudesta.

Kustomoiduilla käyttöoikeuksilla voidaan mahdollistaa mielenkiintoisia käyttötapauksia. Voimme esimerkiksi määritellä yritykselle yhteisen Hiekkalaatikko (Sandbox) -projektikansion, jonne kaikilla käyttäjillä on pääsy, mutta kansion työkirjat ovat henkilökohtaisia; kansiossa voi luoda ja muokata vain omia työkirjoja, eikä kollegojen työkirjoille ole pääsyä tai näkyvyyttä.

Käyttöoikeuksilla on myös mahdollista hallita kätevästi ”testistä tuotantoon” -ketjua. Sopivilla määrityksillä käyttöoikeuksilla voidaan luoda putki, jossa työkirjan tekijät voivat julkaista työkirjan QA-projektikansioon (Quality Assurance). Varsinaisista loppukäyttäjistä koostuvalla testiryhmällä taas voi olla luku- ja latausoikeudet QA-kansion työkirjoille ja julkaisuoikeus varsinaiseen tuotantokansioon. Näin toimimalla voidaan varmistaa käyttöoikeuksien avulla kontrolloitu kehitys-testaus-tuotanto -putki.

 

Rivitason suodatus (Row Level Security – RLS) - mitä ja miksi?

Yleisten käyttöoikeuksien lisäksi datan näkyvyyttä voidaan hallita rivitasolla käyttäjittäin ja/tai ryhmittäin. Miksi sitten rivitason suodatus on tarpeen? Datalähde koostuu usein datasta, jonka jokaista riviä ei ole syytä jakaa kaikille työkirjan käyttäjille. Esimerkiksi Alue A:n myyntijohtaja ei välttämättä tarvitse pääsyä Alue B:n myyntitietoihin. Rivitason suodatuksella voidaan varmistaa, että datalähteen sisältämä tieto suodattuu ja kohdistuu oikeille käyttäjille.

Tableau on julkaissut aiheesta loistavan whitepaperin Best Practices for Row Level Security in Tableau with Entitlements Tables johon kannattaa tutustua.

Turvallinen, toimiva ja helposti ylläpidettävä rivitason suodatus voidaan kuvata seuraavasti:

 

Kuva3-rivitason-suodatus

Lähde: Tableau whitepaper: Best Practices for Row Level Security in Tableau with Entitlements Tables, sivu 2 

 Lyhyesti kuvattuna:

  • Käyttäjä tunnistautuu uniikilla käyttäjätunnuksella Tableau Serverille tai Onlineen.
  • Käyttäjän tiedot yhdistetään käyttöoikeustauluun, jossa on käyttäjäkohtaiset määritelmät käyttöoikeuksille.
  • Datalähteen data suodatetaan oikeustaulujen käyttäjäkohtaisten määritelmien avulla.
  • Käyttäjä pääsee vain tarkoituksen mukaiseen dataan käsiksi.

Myös kevyempiä rivitason suodatustapoja on olemassa, eikä välttämättä erillistä käyttöoikeustaulua tarvita. Tableaussa on olemassa käyttäjäsuodattimia (User Filter), joilla voidaan suoraan määrittää mitkä rivit näkyvät loppukäyttäjälle ilman erillisen käyttöoikeustaulun käyttöä. Kolmas tapa on käyttää Tableaun käyttäjäfunktioita (User Functions).

Esimerkkinä yleisestä käyttäjäfunktioista on ISMEMBEROF() -funktio, jota käyttämällä voidaan käyttää suoraan Tableau Serverin tai Onlinen käyttäjäryhmiä suodatusehtona. Yksinkertaisena esimerkkinä oletetaan, että käyttäjä voi kuulua Tableau Server -sivustolla ryhmään (Group) A, B tai C ja datassa on saraketietona ”Ryhmä”. Näin ne, jotka kuuluvat ryhmään A näkevät vain ne datan rivit, joissa saraketietona on A, B-ryhmän jäsenet ne rivit, joissa on B ja niin edelleen.

 

Rest API ja käyttöoikeudet

Tableau Serverin käyttöoikeuksia voidaan hallita REST APIn kautta projekteille, työkirjoille ja datalähteille. Tämä mahdollistaa nopean tavan hallita käyttöoikeuksia käyttäen hyväksi mahdollisia olemassaolevia yrityksen käyttöoikeushallinnan parhaita käytäntöjä, ja päästä eroon manuaalisesta käyttöoikeushallinnasta Tableau Serverin puolella. Tämä on usein ajankohtaista, kun yritys on suurta kokoluokkaa ja käyttöoikeushallintaa valvotaan keskitetysti. Pienille ja keskisuurille yrityksille käyttöoikeuksien hallinta REST APIn kautta on harvemmin arkea. Lue lisää Rest APIsta ja käyttäoikeuksista täällä

 

Datan näkyvyyden hallinta on analytiikan soveltamisen keskiössä

Käyttäjäoikeudet ja datan näkyvyyden hallinta on erittäin tärkeä aihepiiri. Se ei ole yksinkertaisimmasta päästä, eikä se ole kaikkein trendikkäin teema, kun puhutaan visuaalisesta analytiikasta. Jotta voidaan palvella eri käyttäjiä ja käyttäjäryhmiä oikein ja tehokkaasti, ovat toimivat ja oikein rajatut käyttöoikeudet kuitenkin kaiken perustana. Voidaankin todeta, että tämä haastavaksikin koettu osa data-analytiikkaa on toteutettu Tableaussa hyvin käyttäjäystävällisesti.

Solutivella on kattava osaaminen Tableaun RLS-toteutuksista mm. upotetun analytiikan (embedded analytics) ratkaisuissa ja laajoissa yli tuhannen käyttäjän ympäristöissä. Aihepiirin eksperttimme Elina Vihriälä onkin esitellyt ratkaisuvaihtoehtoja Lontoota myöten Tableaun teknisissä partner-kokoontumisissa.

Mikäli kaipaat apua datan näkyvyyden hallinnassa, me Solutivella autamme mielellämme! Ota yhteyttä!

 

Seuraavassa, ja blogisarjan viimeisessä osassa käsittelemme sitä, miten pystymme seurata datan käyttöä. Pysy siis kuulolla!

 

Lue lisää Tableausta, Palveluistamme ja Ratkaisuistamme

 

Get Free Widget