Control de acceso y administración de permisos

Los administradores de Looker pueden administrar lo que un usuario o grupo de usuarios puede ver y hacer en Looker si especifica el siguiente acceso:

  • Acceso a contenido, que controla si un usuario o un grupo de usuarios puede ver o administrar una carpeta. Un usuario que puede ver una carpeta puede navegar a la carpeta y ver las listas de los paneles y la apariencia en la carpeta. Un usuario que puede administrar una carpeta puede manipular el contenido de una carpeta (copiar, mover, borrar y cambiar el nombre de los paneles y la apariencia), organizar la carpeta (cambiarle el nombre, moverla o borrarla) y otorgar acceso a ella a otros grupos y usuarios. El acceso al contenido es administrado por los administradores de Looker en el panel Administrador o, si lo permiten, los usuarios individuales desde la carpeta.
  • Acceso a los datos, que controla qué datos puede ver un usuario. El acceso a los datos se administra principalmente a través de conjuntos de modelos, que conforman la mitad de una función de Looker. Estas funciones se aplican a usuarios y grupos. El acceso a los datos se puede restringir aún más dentro de un modelo mediante filtros de acceso para limitar las filas de datos que pueden ver, como si hubiera un filtro automático en sus consultas. También puedes restringir el acceso a las exploraciones, las combinaciones, las vistas o los campos específicos mediante otorgamientos de acceso.
  • Acceso a las funciones, que controla los tipos de acciones que un usuario puede realizar en Looker, como ver los datos y el contenido guardado, cambiar los modelos de LookML, administrar Looker, etcétera. El acceso a las funciones se administra mediante conjuntos de permisos, que conforman la otra mitad de una función de Looker. Algunos de estos permisos se aplican a toda la instancia de Looker, como la posibilidad de ver todas las programaciones para enviar datos. La mayoría de los permisos se aplican a conjuntos de modelos específicos, como la posibilidad de ver paneles definidos por el usuario en función de esos modelos.

El acceso a los datos, el acceso a las funciones y el acceso al contenido para los usuarios y los grupos se combinan a fin de especificar lo que los usuarios pueden hacer y ver en Looker.

Usuarios y grupos

En Looker hay usuarios individuales y grupos de usuarios. Los usuarios se administran en la página Usuarios del panel Administrador de Looker, mientras que los grupos se administran en la página Grupos del panel Administrador de Looker.

La práctica recomendada es utilizar grupos para evitar la tediosa tarea de asignar, ajustar y quitar controles para los usuarios de forma individual. Por lo general, la combinación de actividades que se permiten para un usuario se puede organizar haciendo que ese usuario pertenezca a uno o más grupos. Si no hay suficiente combinación de grupos, considera crear un grupo con un solo usuario, lo que te permitirá expandirlo a más personas en el futuro. En el caso de los filtros de acceso, considere usar atributos del usuario, ya que puede asignarlos a grupos.

Cómo controlar el acceso al contenido de los usuarios

Las carpetas de Looker te permiten organizar conjuntos de paneles y apariencias. También pueden contener otras carpetas, lo que facilita una jerarquía anidada de organización.

Las carpetas te permiten establecer niveles de acceso que determinan qué usuarios pueden editar el contenido de la carpeta (por ejemplo, "Apariencia y paneles"), ver el contenido en una carpeta y cambiar la configuración:

  • Un usuario necesita al menos el nivel de acceso View a una carpeta para poder verla y ver la lista de contenido almacenado en ella.

  • Un usuario debe tener el nivel de acceso Administrar acceso, Editar de una carpeta para organizar esa carpeta, lo que incluye copiar y mover contenido, cambiarle el nombre y mover carpetas, y acciones similares.

De lo contrario, las carpetas no controlan lo que los usuarios pueden hacer en la plataforma de Looker ni los datos que pueden usar para crear su propio contenido. Para administrar ese nivel de acceso, consulta la sección Control de acceso a datos y funciones en esta página.

Las instrucciones paso a paso para ajustar los niveles de acceso a las carpetas de los usuarios que están explorando contenido en Looker se analizan en nuestra página de documentación Organización y administración del acceso al contenido. Los administradores de Looker también pueden ajustar los niveles de acceso a las carpetas de todos los grupos y usuarios desde la página Acceso a contenido de Looker. También puedes consultar la página de documentación Diseña y configura un sistema de niveles de acceso para obtener información sobre el diseño del nivel de acceso de toda la instancia.

Si bien el acceso al contenido se administra por separado del acceso a funciones, la función que se le asigna a un usuario puede influir en la posibilidad de ver la apariencia y los paneles de una carpeta, la vista o el panel, o la administración de una carpeta. En la siguiente sección, se describe en detalle cómo el acceso a funciones afecta el acceso al contenido.

Control de acceso a datos y funciones

Para controlar el acceso a los datos y a las funciones en Looker, por lo general, se crea un grupo de usuarios (este paso es opcional, pero se recomienda) y se asigna ese grupo a una función. Una función une un conjunto de permisos con un conjunto de modelos de LookML. Los modelos en sí definen los campos y los datos disponibles.

Puedes aplicar límites de datos específicos a usuarios específicos mediante los filtros de acceso. Además, puedes limitar a los desarrolladores de Looker a trabajar con modelos basados en bases de datos particulares mediante proyectos.

También puede crear otorgamientos de acceso para controlar el acceso a exploraciones, combinaciones, vistas o campos específicos. Otorga acceso que limita el acceso solo a los usuarios a los que se les asignaron valores de atributos del usuario específicos.

Si desea lograr esto ... Estos son los pasos básicos que realizarás ...
Cómo controlar las acciones que puede realizar un usuario Crea un conjunto de permisos con los permisos correspondientes y, luego, asigna un grupo o un usuario a una función con ese conjunto de permisos
Controla a qué campos puede acceder un usuario Crear un modelo con los campos adecuados y, luego, asignar un grupo o usuario a una función con ese modelo
Controla a qué datos puede acceder un usuario Crea un modelo con las limitaciones de datos adecuadas y, luego, asigna a un grupo o usuario a una función con ese modelo

- o -

Usa los filtros de acceso para limitar los datos a un grupo o un usuario

- o -

Usa atributos de usuario para otorgar credenciales de base de datos diferentes a un grupo o un usuario

- o -

Usa atributos de usuario con accesos otorgados para restringir el acceso a campos o vistas específicos
Controla a qué conexiones de bases de datos puede acceder un desarrollador de Looker Crear un proyecto con las conexiones adecuadas, asociar el proyecto con un conjunto de modelos y, luego, asignar un grupo o usuario a una función con esos modelos

El acceso a funciones también puede afectar el acceso a contenido. Consulte esta sección a continuación para obtener más detalles sobre cómo el acceso a los datos y a las funciones afecta el acceso al contenido.

Componentes básicos que debes comprender

Funciones

Una función es una combinación de un conjunto de permisos y un conjunto de modelos. El conjunto de permisos define lo que puede hacer la función y el conjunto de modelos define qué modelos de LookML podría ver la función.

Después de crear una función, puede asignarle un usuario individual o un grupo de usuarios. Si agrega algunas funciones a un usuario individual y otras a un grupo al que pertenece, el usuario heredará todas esas funciones en conjunto.

Algunos permisos son relevantes para toda la instancia de Looker, otros solo se aplican a los modelos dentro de la misma función. Consulta la página de documentación Funciones para obtener más información.

Proyectos

Los proyectos te permiten restringir qué conexiones de bases de datos pueden usar cada modelo. Esto puede ayudarte a controlar con qué conjuntos de datos pueden interactuar los desarrolladores de Looker cuando crean modelos.

Esta restricción definida a través de proyectos también fluye a través del ejecutor de SQL de Looker, que garantiza que tus desarrolladores no puedan acceder a conexiones de base de datos prohibidas mediante SQL Runner.

Atributos de usuario

Los atributos de usuario le permiten asignar valores arbitrarios a grupos de usuarios o usuarios individuales. Estos valores se usan como entradas para varias partes de Looker y personalizan las experiencias de cada usuario.

Una forma en que los atributos del usuario controlan el acceso es parametrizar las credenciales de la base de datos para que sean específicas de cada usuario. Esto solo tiene valor si tu base de datos tiene varios usuarios con diferente acceso a los datos. Consulta la página de documentación Atributos de usuario para obtener más información.

Otra forma en que los atributos de usuario controlan el acceso es como parte de los filtros de acceso. Los filtros de acceso le permiten utilizar uno o más atributos de usuario como filtro de datos. Por ejemplo, es posible que desee asignar un nombre de empresa a cada usuario y, luego, asegurarse de que el contenido que vea se filtre con ese nombre. Para obtener una descripción de cómo aplicar filtros de acceso, consulta la página de documentación Atributos de usuario y la página de documentación de los parámetros access_filter.

Los atributos de usuario también controlan los otorgamientos de acceso. Una concesión de acceso especifica un atributo de usuario y define los valores permitidos en ese atributo de usuario para otorgar acceso a un campo Explorar, una unión, una vista o un campo. Luego, debes usar el parámetro required_access_grants a nivel de Explorar, unir, ver o campo para restringir el acceso a esas estructuras de LookML solo a aquellos usuarios que tengan los valores de atributos de usuario permitidos. Por ejemplo, puede usar una concesión de acceso para limitar el acceso a la dimensión salary solo a los usuarios que tengan el valor payroll en su atributo de usuario department. Para obtener una descripción de cómo definir los otorgamientos de acceso, consulta la página de documentación del parámetro access_grant.

Cómo usar las piezas fundamentales

Controla el acceso a las funciones

Los permisos controlan los tipos de actividades que puede realizar un usuario o grupo. A continuación, se indica cómo un usuario puede obtener permisos:

  1. La práctica recomendada es identificar uno o más grupos de usuarios que deban tener un permiso establecido y crear un grupo si es necesario. Si lo desea, puede otorgar permisos a usuarios individuales.
  2. Crea un conjunto de permisos que contenga los permisos adecuados.
  3. Si algunos de los permisos para asignar son específicos del modelo, crea o identifica un conjunto de modelos existente.
  4. Crea una función que combine el conjunto de permisos y, si es necesario, el conjunto de modelos.
  5. Asigna la función desde la página Funciones. Después de que exista la función, también puedes asignarla a un usuario en la página Usuarios.

Puedes asignar varias funciones a un usuario o grupo. En ese caso, los usuarios tendrán todos los permisos de todas las funciones que tengan. Por ejemplo:

  • Role1 le da la posibilidad de ver paneles en Model1.
  • Role2 brinda la posibilidad de ver paneles y explorar en Model2.

Si asignas ambas funciones al mismo grupo de usuarios, podrán ver los paneles en Model1 y Model2, pero solo podrán explorar en Model2.

Controla el acceso de los usuarios a los campos de Looker

Los campos con los que un usuario puede trabajar están controlados por los modelos a los que tiene acceso. Un usuario puede obtener acceso de campo de la siguiente manera:

  1. Crea un modelo de LookML (o una combinación de modelos de LookML) que contenga solo los campos a los que un usuario debería tener acceso.
  2. Crea un conjunto de modelos que contenga esos modelos y, luego, asígnalo a una función. Esto se hace en la página Funciones de Looker.
  3. Para trabajar con grupos de usuarios, que suele ser nuestra sugerencia, crea un grupo en la página Grupos de Looker. Luego, asigna ese grupo a las funciones adecuadas en la página Funciones.
  4. Para trabajar con usuarios individuales, asígnales funciones desde la página Usuarios o la página Funciones.

Puedes asignar varias funciones a un usuario o grupo. Los usuarios pueden trabajar con todos los modelos desde todas las funciones que tengan.

Es importante tener en cuenta que el parámetro hidden para los campos está diseñado a fin de crear experiencias más limpias para los usuarios, no para controlar el acceso a los campos. El parámetro hidden oculta los campos del selector de campos, pero no impide que los usuarios los usen. Si alguien le envía un vínculo que usa ese campo, puede verlo y otros lugares de Looker seguirán mostrando el campo.

Controla el acceso de los usuarios a los datos

Existen varias formas de controlar el acceso de un usuario a los datos, según el caso de uso:

  • Para prohibir que los usuarios vean ciertas columnas de datos, controle los campos a los que pueden acceder, como se describió anteriormente. Siempre que un usuario no pueda desarrollar ni usar SQL Runner, estará limitado por los campos a los que tiene acceso.
  • Para prohibir que los usuarios vean ciertas filas de datos, aplica campos de filtro de acceso, como se describe en la página de documentación del parámetro access_filter.
  • Para limitar el acceso a exploraciones, uniones, vistas o campos específicos, crea permisos de acceso que limiten el acceso solo a los usuarios a los que se les asignaron los valores de atributos de usuario permitidos, como se describe en la página de documentación del parámetro access_grant.
  • Para limitar los usuarios de Looker a ejecutar consultas en un usuario de base de datos específico, que el equipo de base de datos configuró para limitar el acceso a los datos, usa atributos de usuario. Te permiten parametrizar la conexión de tu base de datos para que un grupo de usuarios o usuarios individuales ejecuten sus consultas con credenciales de base de datos específicas. También debes limitar los usuarios a los campos adecuados de Looker. Si no lo haces, el usuario de Looker puede intentar consultar un campo al que su usuario de base de datos no tiene acceso y recibirá un error.

Al igual que el parámetro del campo hidden no está diseñado para controlar el acceso de campo, el parámetro hidden de Explorar no impide que todos los usuarios vean un archivo Explorar. El parámetro hidden quita el menú Explorar del menú Explorar, pero, si un usuario guardó contenido que hace referencia a un elemento Explorer oculto, seguirá teniendo acceso a los datos de Explorar.

Si usas la incorporación de inicio de sesión único (SSO), asegúrate de configurar los controles de acceso a los datos a través de la URL de incorporación del SSO.

Controla el acceso de los desarrolladores a las conexiones de bases de datos

A diferencia de los usuarios comunes, los desarrolladores de Looker no están limitados por completo por modelos y filtros de acceso, ya que simplemente pueden agregar o cambiar modelos. Sin embargo, los administradores aún pueden limitar a los desarrolladores de Looker a ciertas conexiones de bases de datos mediante proyectos. Para ello, deberás hacer lo siguiente:

  1. Crea un proyecto que restrinja una cierta cantidad de modelos a una cierta cantidad de conexiones de base de datos. Esto se hace en la página Administrar proyectos de Looker.
  2. Crea un conjunto de modelos que contenga al menos uno de los modelos del proyecto y, luego, asígnalo a una función. Esto se hace en la página Funciones de Looker.
  3. Para trabajar con grupos de usuarios, que suele ser nuestra sugerencia, crea un grupo en la página Grupos de Looker. Luego, asigna ese grupo a las funciones adecuadas en la página Funciones.
  4. Para trabajar con usuarios individuales, asígnales funciones desde la página Usuarios o la página Funciones.

Si un desarrollador de Looker puede ver cualquier modelo que sea parte de un proyecto, podrá ver todos los modelos que forman parte de ese proyecto. Por ejemplo, esto podría suceder si asignas a un desarrollador de Looker una función con un solo modelo, pero ese modelo forma parte de un proyecto que contiene otros modelos.

Cómo interactúan el acceso al contenido y los permisos

El acceso al contenido es administrado por los usuarios cuando ven una carpeta, o lo administra un administrador de Looker en la página Acceso a contenido del panel Administrador. Las funciones que se asignan a un usuario determinan la función y el acceso a los datos del usuario. Esto afecta lo que el usuario puede hacer en una carpeta y si puede ver la apariencia y los paneles.

Cómo ver los datos en la página Apariencia y paneles

Para ver una vista o los datos del panel, el usuario debe tener acceso de, al menos, Ver a la carpeta en la que se almacena el contenido.

Los usuarios deben tener los permisos access_data y see_looks para seleccionar una apariencia y ver sus datos. Los usuarios deben tener los permisos access_data y see_user_dashboards para seleccionar un panel y ver sus datos.

Para ver los datos en un mosaico de aspecto o de panel, el usuario debe tener acceso a esos datos. Sin el acceso necesario a los datos:

  • Incluso si el usuario puede ver un Look en una carpeta y navegar a Look, la consulta de Look no se ejecuta y el usuario no puede ver los datos de Look.
  • Incluso si el usuario puede ver un panel en una carpeta y navegar al panel, cualquier mosaico en el que el usuario no tenga acceso se mostrará en blanco. Si un panel tiene mosaicos creados a partir de varios modelos, un usuario podrá ver los mosaicos asociados con los modelos a los que tiene acceso, y los mosaicos de otros modelos mostrarán un error.

En este ejemplo, el usuario tiene acceso de lectura para la carpeta, acceso a los datos para los datos y permisos access_data y see_looks, por lo que puede ver listas de estilos y verlos. El usuario no tiene acceso para ver LookML ni los paneles definidos por el usuario, por lo que no aparece ningún panel en la carpeta.

Visualiza una carpeta y listas de apariencias y paneles

Un usuario necesita al menos el nivel de acceso View a una carpeta para poder verla y ver la lista de contenido almacenado en ella.

Los usuarios que también tengan al menos el permiso see_looks verán los títulos de Apariencia en la carpeta. Los usuarios que también tengan al menos el permiso see_user_dashboards verán los títulos de los paneles en la carpeta. Sin embargo, esto no implica que puedan ver los datos de las apariencias o los paneles.

En este ejemplo, el usuario tiene el permiso see_looks, pero no tiene el permiso access_data. Por lo tanto, el usuario puede ver los títulos de Look pero no los datos de Look & 39; Es posible que el usuario tenga o no el acceso a los datos que se necesita para Look.

Los usuarios que tengan el permiso access_data, pero no tengan see_looks ni see_user_dashboards, no podrán ver ninguna carpeta ni contenido.

Cómo modificar una carpeta

Un usuario debe tener el nivel de acceso Administrar acceso, Editar para que una carpeta pueda organizar esa carpeta, lo que incluye copiar y mover contenido, renombrar y mover carpetas, y acciones similares. Los usuarios también deben tener el permiso manage_spaces para crear, editar, mover y borrar carpetas.

Usa la infraestructura de permisos de tus usuarios (LDAP, SAML y OpenID Connect)

Si ya tienes una configuración de infraestructura OpenID, SAML o LDAP, puedes usar ese sistema para administrar los accesos de los usuarios. Puede encontrar las instrucciones para configurar LDAP en la página de autenticación LDAP. Puede encontrar las instrucciones para configurar SAML en la página de documentación de autenticación SAML. Puedes encontrar las instrucciones para configurar OpenID Connect en la página de documentación de la autenticación de OpenID Connect.

Si configuraste grupos en tu implementación de LDAP, SAML o OpenID Connect, también puedes usar esos grupos en Looker. Sin embargo, debes tener en cuenta lo siguiente:

  • Todos los grupos que hayas creado se transferirán automáticamente a Looker y estarán visibles en la página Grupos. Se creará un grupo de Looker para cada grupo de LDAP, SAML o OpenID Connect, y el nombre del grupo de Looker reflejará el nombre del grupo de LDAP, SAML o OpenID Connect.
  • Podrás usar estos grupos de Looker para asignar niveles de acceso a carpetas y atributos de usuario a los miembros de los grupos.
  • No podrás usar los grupos de Looker para configurar funciones como lo harías con un grupo creado de forma manual. En su lugar, asignarás tus grupos LDAP, SAML o OpenID Connect a las funciones de Looker durante el proceso de configuración y solo podrás cambiar los roles asignados desde las páginas de configuración de LDAP, SAML o OpenID Connect. Requirimos este enfoque para que tus grupos LDAP, SAML o OpenID Connect sean tu única fuente de información. Sin esta restricción, la asignación de grupo a función podría diferir de su función prevista en tu esquema LDAP, SAML o OpenID Connect.

También puede usar LDAP para aplicar conexiones de bases de datos específicas del usuario a las consultas de Looker, como se describe en la página de documentación de autenticación LDAP.