從舊版權限移轉
在 Metabase 50 中,我們徹底修改了資料權限系統,使其更具表達性且更易於理解。本頁說明了變更內容和原因。
重點摘要:我們將舊版「資料存取」設定拆分為兩個設定:「檢視資料」和「建立查詢」。您的資料權限看起來可能有所不同,但存取權限並未變更。
Metabase 如何移轉您的權限
如果您是從 Metabase 50 或更早版本移轉,Metabase 將會(除了一項例外)自動更新您的權限到新系統。雖然群組權限會稍微不同(我們希望更容易理解),但您的群組將擁有與之前相同的存取層級。
我們為何更新權限系統
原始的「資料存取」權限設定包含五個存取層級:無限制、模擬身分、精細、無自助服務和封鎖。這些層級不在同一個軸上。它們在一個軸上結合,無論您是否可以檢視資料,以及在另一個軸上,無論您是否可以查詢該資料。這建立了一個二維設定
- 無自助服務。 限制群組使用查詢產生器建立或編輯問題。
- 沙箱和封鎖。 限制檢視和查詢產生器存取基礎資料。
將兩個軸(查詢 + 檢視)混合到單一權限設定可能會產生非預期的行為。例如,透過將存取權限從「沙箱化」變更為「無自助服務」,管理員可能會認為他們會限制該群組對資料的存取權限。但在這種情況下,如果群組也具有對包含現有模型、問題或儀表板的集合的存取權限,則該群組可能會看到更多資料。
我們徹底修改資料權限的目的
- 將「檢視存取權限」和「查詢存取權限」拆分為兩個權限維度。這種拆分讓管理員可以執行以下操作,例如,在具有或不具有查詢產生器存取權限的情況下,對表格進行沙箱化(先前無法將沙箱化設定為僅檢視)。
- 使權限更容易理解。更嚴格的權限永遠不會提供比不那麼嚴格的權限更多的存取權限。
從舊權限到新權限的移轉表
此表格僅供您對 Metabase 考古學感興趣時參考。Metabase 會為您處理移轉。
之前,Metabase 有資料存取和原生查詢編輯。現在,Metabase 有「檢視資料」和「建立查詢」。以下說明 Metabase 如何將每個配對移轉到新系統。
| 資料存取 | 原生查詢編輯 | > | 檢視資料 | 建立查詢 |
|---|---|---|---|---|
| 無限制 | 是 | > | 可檢視 | 查詢產生器和原生程式碼 |
| 無限制 | 否 | > | 可檢視 | 查詢產生器 |
| 無自助服務 | 否 | > | 可檢視 | 否 |
| 已封鎖 | 否 | > | 已封鎖 | 否 |
| 模擬身分 | 是 | > | 模擬身分 | 查詢產生器和原生程式碼 |
| 模擬身分 | 否 | > | 模擬身分 | 查詢產生器 |
| 無限制 (精細) | 否 | > | 可檢視 | 查詢產生器 (精細) |
| 沙箱化 (精細) | 否 | > | 沙箱化 (精細) | 查詢產生器 (精細) |
| 無自助服務 (精細) | 否 | > | 可檢視 | 否 (精細) |
無自助服務 (已棄用) 檢視存取層級
如果您在任何群組的「檢視資料」中看到 無自助服務 (已棄用) 權限設定,您應該在某個時間點手動變更它。
對於任何將其「檢視資料」存取權限設定為 無自助服務 (已棄用) 的群組,您需要將「檢視資料」權限變更為新選項之一
如果您未採取任何動作,Metabase 將在未來版本中將任何「檢視資料」存取權限設定為 無自助服務 (已棄用) 的群組變更為 已封鎖。我們預設為「已封鎖」,這是限制性最低的「檢視資料」存取權限,以防止任何非預期的資料存取。但此變更為「已封鎖」可能會導致人員失去對他們先前有權存取的資料的存取權限。
我們為何無法手動移轉此設定
在舊版權限系統中,請考慮多個群組中的人員。
- 「無限制」資料存取權限表示來自您其他群組的封鎖、沙箱或模擬身分不會影響您。
- 「無自助服務」資料存取權限表示來自您其他群組的封鎖、沙箱或模擬身分會影響您。
假設您在舊版權限架構中具有以下群組
| 群組 A | 群組 B | 群組 C | 群組 D | 群組 E | |
|---|---|---|---|---|---|
| 資料存取 | 無限制 | 無自助服務 | 已封鎖 | 沙箱化 | 模擬身分 |
如果您是群組 A 和群組 C、D 或 E 其中之一的成員,您將擁有對資料的完整、無限制存取權限,而不會套用任何封鎖、沙箱或模擬身分。
如果您是群組 B 和群組 C、D 或 E 其中之一的成員,您將擁有對資料的有限存取權限:已封鎖、沙箱化或模擬身分。
我們可以像這樣移轉權限
| 群組 A | 群組 B | 群組 C | 群組 D | 群組 E | |
|---|---|---|---|---|---|
| 檢視資料 | 可檢視 | ? | 已封鎖 | 沙箱化 | 模擬身分 |
| 建立查詢 | 僅限查詢產生器 | 否 | 否 | 僅限查詢產生器 | 僅限查詢產生器 |
我們無法真正判斷群組 B 的「檢視資料」應該是什麼。如果我們將其切換為「可檢視」,則該人員將不會受到其其他群組中「已封鎖」、「沙箱化」或「模擬身分」設定的影響。如果我們將其設定為「已封鎖」,他們可能會失去對您認為他們應該有權存取的資料的存取權限。因此,我們建立了一個臨時設定 無自助服務 (舊版) 來管理這個(暫時)尷尬的過渡。
對於某些權限設定,其中群組具有「無自助服務」和「沙箱化」資料存取權限,您可能需要建立新群組,以在 50 或更高版本中複製設定
在 Metabase 49 中,(更寬鬆的)「無自助服務」資料存取權限無法覆寫(限制性較低的)「沙箱化」存取權限,您可以設定 Metabase 49 的方式難以理解。
在從 Metabase 50 開始的新權限系統中,更寬鬆的設定總是覆寫限制性較低的設定。這種一致的行為使權限非常容易理解。但是,此改進的一個後果是,為了在升級到 Metabase 50 時重新建立某些權限設定,您可能需要建立額外的群組。
例如,假設您在 Metabase 49 中,在舊版資料存取權限下有兩個群組:「所有使用者」群組和「Foo」群組。
49 中的權限設定
- 「所有使用者」群組對範例資料庫中的所有表格具有「無自助服務」資料存取權限。
- 「Foo」群組對範例資料庫中的表格具有「沙箱化」存取權限。
49 中的此資料存取設定將允許人員檢視他們有權存取的集合中的問題和儀表板。但是,「Foo」群組中的人員將獲得項目的沙箱化檢視。在這種情況下,「Foo」群組中限制性較低的「沙箱化」資料存取權限覆寫了「所有使用者」群組中更寬鬆的「無自助服務」權限。
但是,從 Metabase 50 開始,更寬鬆的設定總是覆寫限制性較低的設定。因此,為了保持 Foo 的沙箱完整,我們需要使「所有使用者」群組的「檢視資料」權限設定低於「沙箱化」設定。因此,我們需要將「所有使用者」的「檢視資料」權限設定為「已封鎖」。
但是,如果您仍然希望不在「Foo」群組中的其他所有人檢視他們有權存取的集合中的項目,您需要建立一個額外的群組「Bar」,其中包含「Foo」群組中的人員以外的所有人,並授予該「Bar」群組對範例資料庫的「可檢視」存取權限。「Bar」群組的「可檢視」存取權限將覆寫「所有使用者」群組的「已封鎖」設定,並且他們將能夠檢視問題和儀表板。同時,「Foo」群組仍然具有其沙箱。以下是您需要的 50 個設定摘要
50 中的權限設定
- 「所有使用者」群組對範例資料庫中的所有表格都是「已封鎖」。
- 「Foo」群組對範例資料庫中的所有表格具有「沙箱化」的「檢視資料」權限。
- 建立新群組「Bar」,其中包含「所有使用者」群組中的所有人,但不包括「Foo」群組中的人員。將此「Bar」群組的「檢視資料」權限設定為對範例資料庫的「可檢視」。
延伸閱讀
閱讀其他Metabase 版本的文件。