设置只读仪表盘

可以结合 Workshop 的安全控制和 控制面板 中的权限配置选项来创建一个只读仪表盘，该仪表盘与您在 Palantir 注册中的其他访问工作流分开。

考虑一个使用 Palantir 注册来执行敏感流程的企业。由于这些流程的敏感性，该企业选择仅向其身份提供者中列出的一组特定用户（例如，foundry-users-sg）提供 Palantir 账户。随着这些流程的发展，企业意识到需要更广泛地分享一些特定子集的输出数据。然而，这些数据应以只读方式消费，企业希望以编程方式强制执行这一控制。新用户的列表被跟踪在一个单独的组中（例如，read-only-foundry-users-sg），该组将与现有用户有一些重叠。

1. 配置管理更改

启用只读仪表盘的第一步是对 控制面板 中的管理配置进行更改。这些更改将确保可以配置新用户访问权限而不影响现有访问权限。

配置一个组织

组织 是用于配置同一注册内工作流的最低级别安全概念。组织提供启用只读仪表盘工作流所需的关键安全配置选项。

创建新的只读组织

在一个注册中，该企业有一个现有的组织（例如，Company），工作流在此执行。为了支持将强制执行只读工作流的安全配置更改，企业必须创建一个新组织。为避免混淆，建议将新组织命名为在现有组织名称末尾附加(read-only)（例如，Company (read-only)）。新组织应在一个私有空间中创建（/Company (read-only)），并由管理现有组织的相同组管理（例如，foundry-admins-sg）。

设置应用访问权限

配置应用访问允许组织限制只读组织用户可以访问的应用程序集。为支持查看仪表盘，该组织应被允许使用 Slate 和 Workshop 应用程序；所有其他应用程序应被禁用。在控制面板中配置此项时，只应向注册的管理组（例如，foundry-admins-sg）授予完全平台访问权限。

配置主页

每个组织可以根据用户的组成员身份指定一个默认主页。应将只读仪表盘配置为用户主页，以提供最佳用户体验。

配置身份验证

由于此场景中的只读仪表盘在同一企业内操作，因此应为仪表盘配置当前工作流使用的相同身份验证提供者。这样做将简化整体管理开销，并允许现有用户无缝继续使用新的仪表盘工作流和任何现有工作流。

组织指派

在为当前配置的身份验证提供者的 身份验证 设置中的组织指派配置部分，现有用户组（例如，foundry-users-sg）指派用户到现有组织的设置应保持不变，并应添加一条规则以将新用户组指派到新的只读组织。

此外，组织管理员必须配置只读组织设置，以包括现有用户组作为来宾成员（例如，将 foundry-users-sg 作为 Company (read-only) 的来宾成员）。

配置 Workshop 和 Object 数据源

在 Workshop 中无需配置任何特殊的安全设置。然而，应确保在 Workshop 模块中使用的任何 Objects 都由与 Company (read-only) 空间相关的 Ontology 支持。为实现此目的，管理员应确保 Workshop 模块和支持这些 Objects 的数据源存储在先前创建的空间中创建的项目中（/Company (read-only)。