本文介绍如何发布仪表板并将其与工作区或帐户中的用户共享。
什么是共享数据权限?
共享数据权限允许你与Azure Databricks帐户中的任何人共享仪表板,无论他们是否对基础数据和计算具有显式访问权限才能填充和更新仪表板。
发布仪表板时,必须选择以下设置之一:
- 共享数据权限:查看者使用发布者的数据权限运行查询。 这允许用户查看仪表板,即使他们无权直接访问基础数据。 这种情况可能会向尚未被授予直接访问权限的用户公开数据。
-
单个数据权限(默认值):
- 查看者使用自己的凭据运行查询。 其数据权限确定他们可以看到的结果,并且必须有权访问基础数据。
- 计算访问权限始终通过发布者的凭据来授予。
若要从仪表板有效地共享见解,查看者必须能够访问基础数据和用于运行支持查询的计算资源。 如果选择不给予数据共享权限,则必须验证查看者是否具有访问仪表板上显示的数据的必要查看权限。 与无权访问基础数据或计算的用户共享仪表板时,请使用 “共享数据”权限 。
对于草稿仪表板,即使仪表板已发布具有共享数据权限,查看器的数据权限也会始终应用。
下表汇总了每个发布选项授予的访问权限和限制。
| 发布选项 | 谁负责运行查询 | 数据访问由决定 | 谁可以查看 | 最适用于 |
|---|---|---|---|---|
| 共享数据权限 | 发布者 | Publisher的权限 | 被显式授予访问权限的用户和组。 用户必须注册到帐户,但不需要工作区访问权限。 | 没有工作区访问权限的用户体验一致 |
| 单个数据权限(默认值) | 每位观众 | 查看者自身的权限 |
|
具有工作区帐户和数据权限的内部用户 |
谁可以访问仪表板?
可以在Azure Databricks帐户或工作区中与用户和组共享仪表板。 可以为具有 Databricks SQL 权利的工作区用户分配不同级别的权限,以控制他们与仪表板的交互方式。 具有 使用者访问 权利的用户和帐户用户仅限于仅查看对仪表板的访问权限。 他们可以查看和运行仪表板,但无法编辑仪表板或支持它的基础数据集。 此访问级别与其他数据可视化系统中的只读角色一致,并具有不需要特殊许可证的附加优势。
工作区用户访问
工作区成员被授予的权限决定了他们与 Azure Databricks 工作区的交互方式。
可以向具有 Databricks SQL 权利的用户授予访问草稿和已发布仪表板的权限。
- 可以访问仪表板的草稿版本和已发布版本。 他们必须具有至少 CAN EDIT 权限才能修改和重新发布草稿。 若要查看所有权限级别和关联功能,请参阅 仪表板 ACL。
具有 使用者访问 权利的用户仅限于只读和仅运行访问权限。 他们可以运行仪表板、应用筛选器、与可视化效果交互,并与其他工作区用户共享仪表板 URL。 他们无法创建或编辑仪表板或更改其共享设置。 若要了解有关 使用者访问 权利的详细信息,请参阅 “管理权利”。
仪表板继承对封闭文件夹设置的工作区权限。 默认情况下,仪表板存储在 /Workspace/Users/<username> 目录中。 有权访问封闭文件夹的任何人都可以访问仪表板。 只有工作区管理员可以更改仪表板的所有权。 请参阅 AI/BI 管理指南。
帐户用户访问
那些没有工作区访问权限的 Azure Databricks 帐户的已注册成员,可以被授予对仪表板的只读副本的访问权限。 他们使用发布者的凭据访问计算资源,并应分配适当的权限来访问基础数据。 无法访问工作区的成员无法访问仪表板的草稿版本,并且看不到左侧栏中或屏幕顶部附近的Azure Databricks工作区导航元素。 下图显示了一个帐户用户导航到不同共享仪表板时的视图。
要让帐户成员访问共享仪表板,管理员必须先将其注册到Azure Databricks帐户。 仪表板帐户级共享支持邮箱和一次性密码身份验证,并支持使用单一登录 (SSO) 进行统一登录。 此步骤将共享仪表板的访问权限限制为仅限帐户的指定成员,而不是允许任何拥有链接的人都能查看。 请参阅 AI/BI 管理指南。
不是工作区成员的帐户用户无法从工作区绑定的安全对象(例如工作区绑定目录)访问仪表板数据,即使他们有权访问基础表或目录。 查询工作区绑定安全对象的仪表板小组件不会显示帐户用户的数据。
若要详细了解帐户-用户访问与 使用者访问权限的比较情况,请参阅 使用者访问权限与帐户用户。
发布仪表板
必须先发布仪表板,然后才能共享它。 发布会创建一个供查看者访问的仪表板快照。 即使继续编辑草稿,已发布的版本仍保持不变,直到再次发布。
发布仪表板:
- 打开草稿仪表板。
- 单击仪表板右上角的 “发布 ”。
- 选择以下数据权限选项之一:
- 共享数据权限:查看者使用发布者的数据权限运行查询。 使用此选项与无权访问基础数据的用户共享。
- 单个数据权限(默认):查看者使用自己的凭据运行查询。 当查看者应根据自己的权限查看数据时使用此选项。
- 单击“发布”。
发布后,“ 共享 ”对话框会自动打开,允许你立即共享已发布的仪表板。
共享已发布的仪表板
已发布的仪表板可以与以下各方共享:
- 工作区中的特定用户和组
- Azure Databricks帐户中的特定用户和组
- Azure Databricks 帐户中的所有用户
如果要与 Azure Databricks 帐户中的每个人共享,请使用共享设置:我的帐户中的任何人可以查看。 如果要与工作区中的所有人共享,请使用系统组:“所有工作区用户”。
使用以下步骤共享仪表板:
打开草稿或已发布的仪表板。
单击“ 共享”,然后使用“ 共享 ”对话框为帐户中的用户和组设置权限。
- 在对话框顶部,输入要与之共享的用户和组。 可以分配特定的权限级别,例如“CAN EDIT”和“CAN MANAGE”。 然后单击“ 添加”。
- 若要快速为 Azure Databricks 帐户中的任何人分配视图访问权限,请在 共享 对话框底部使用 共享设置 选项。
用户需要访问工作区来管理或编辑仪表板。 工作区管理员可以将用户添加到工作区。 请参阅 “管理用户”。
注释
无权访问工作区的用户只拥有“CAN RUN”权限。 如果将提升的权限(如 CAN EDIT)授予没有工作区访问权限的用户,这些权限将显示在 “共享 ”对话框中,但其实际权限仅限于 CAN RUN。 除非将用户添加到工作区,否则无法应用提升的权限。 如果为用户分配了更高的权限级别,并随后将其添加到工作区,则他们可以根据获配的权限与仪表板进行交互。 有关仪表板权限级别的详细信息,请参阅 仪表板 ACL 。
与用户共享链接。
- 单击“共享”对话框底部附近的“复制”链接,复制已发布仪表板的可共享 URL。
- 也可以选择将仪表板嵌入到不同的网站或应用程序中。
使用服务主体发布和共享仪表板
使用 REST API 通过与服务主体关联的共享数据权限发布和共享仪表板。 当用户使用服务主体的令牌运行 API 调用时,他们将访问服务主体权限下的数据。 此设置允许用户缺少直接数据或计算权限的用户查看仪表板并运行查询,前提是这些用户已注册Azure Databricks帐户。
若要发布具有服务主体凭据的仪表板,请首先对服务主体进行身份验证以获取 OAuth 访问令牌,然后使用该令牌调用仪表板发布 API 终结点,并将 embed_credentials 设置为 true。 仪表板随嵌入的服务主体凭据一起发布,允许查看者访问仪表板,而无需对基础数据或计算资源具有直接权限。
有关分步说明和 API 示例,请参阅 使用服务主体凭据发布仪表板。 有关使用 REST API 管理仪表板的其他详细信息,请参阅 REST API 参考中的 Lakeview 。
下载已发布的仪表板
加载已发布的仪表板后,使用以下步骤将其下载为 PDF:
- 单击“
位于仪表板右上角附近。 - 单击“以 PDF 格式下载”。
管理仪表板权限
可以安全地与帐户中的任何人共享仪表板。 对于分配给自己工作区的用户,你可以授予访问权限并设置不同的权限级别,就像对待其他工作区对象那样。 对于未分配到自己工作区的用户,你可以在帐户级别上共享仪表板,允许已注册的用户查看和运行仪表板。
有关如何在帐户级别设置帐户以便共享的详细信息,请参阅 AI/BI 管理指南。
有关仪表板上的权限级别的信息,请参阅 仪表板 ACL。