Controle de acesso e gerenciamento de permissões

Os administradores do Looker podem gerenciar o que um usuário ou grupo de usuários pode ver e fazer no Looker especificando o seguinte acesso:

• Acesso ao conteúdo, que controla se um usuário ou grupo de usuários pode ver uma pasta ou gerenciar a pasta. Um usuário que possa ver uma pasta pode navegar até ela e ver as listas dos painéis e a aparência na pasta. Um usuário que pode gerenciar uma pasta pode manipular o conteúdo de uma pasta (copiar, mover, excluir e renomear painéis e aparências), organizar a pasta em si (renomear, mover ou excluir a pasta) e conceder a outros usuários e grupos acesso a ela. O acesso ao conteúdo é gerenciado pelos administradores do Looker no painel Administrador ou, se permitido, por usuários individuais na pasta.
• Acesso a dados, que controla quais dados um usuário pode ver. O acesso aos dados é gerenciado principalmente por conjuntos de modelos, que compõem metade de um papel do Looker. Essas funções são aplicadas a usuários e grupos. O acesso a dados pode ser ainda mais restrito em um modelo que usa filtros de acesso para limitar quais linhas de dados eles podem ver, como se houvesse um filtro automático nas consultas deles. Também é possível restringir o acesso a explorações, mesclagens, visualizações ou campos específicos usando as concedidas de acesso.
• Acesso a recursos, que controla os tipos de ações que um usuário pode realizar no Looker, incluindo visualização de dados e conteúdo salvo, alteração dos modelos LookML, administração do Looker e assim por diante. O acesso a recursos é gerenciado por conjuntos de permissões, que compõem a outra metade de um papel do Looker. Algumas dessas permissões se aplicam a toda a instância do Looker, como a possibilidade de ver todas as programações de envio de dados. A maioria das permissões é aplicada a conjuntos de modelos específicos, como a possibilidade de ver painéis definidos pelo usuário com base nesses modelos.

O acesso aos dados, ao recurso e ao conteúdo para usuários e grupos são combinados para especificar o que os usuários podem fazer e ver no Looker.

Usuários e grupos

No Looker, há usuários individuais e grupos de usuários. Os usuários são gerenciados na página Usuários do painel Administrador do Looker, enquanto os grupos são gerenciados na página Grupos do painel Administrador do Looker.

A prática recomendada é usar grupos para evitar o processo de atribuição, ajuste e remoção de controles de usuários individualmente. Normalmente, a combinação de atividades permitidas para um usuário pode ser organizada depois que ele pertence a um ou mais grupos. Se uma combinação de grupos não for suficiente, crie um grupo com apenas um usuário. Assim, você poderá expandir esse grupo para mais pessoas no futuro. Para filtros de acesso, considere usar atributos de usuário, já que você pode atribuir atributos de usuário a grupos.

Como controlar o acesso do conteúdo do usuário

As pastas do Looker permitem organizar conjuntos de painéis e visuais. Eles também podem conter outras pastas, facilitando uma hierarquia aninhada da organização.

Com as pastas, você pode definir os níveis de acesso que determinam quais usuários podem editar o conteúdo da pasta (como aparência e painéis), visualizar o conteúdo de uma pasta e alterar as configurações:

• O usuário precisa ter pelo menos o nível de acesso Ver em uma pasta para ver essa pasta e a lista de conteúdo armazenado nela.

• O usuário precisa ter o nível de acesso Gerenciar acesso e edição para organizar a pasta, o que inclui copiar e mover conteúdo, renomear e mover pastas, além de ações semelhantes.

As pastas não controlam o que os usuários podem fazer na plataforma do Looker ou quais dados eles podem usar para criar seu próprio conteúdo. Para gerenciar esse nível de acesso, consulte a seção Como controlar o acesso a recursos e dados nesta página.

As instruções passo a passo para ajustar os níveis de acesso da pasta para usuários que estão navegando no conteúdo no Looker são discutidas na nossa página de documentação Como organizar e gerenciar o acesso ao conteúdo. Os administradores do Looker também podem ajustar os níveis de acesso à pasta para todos os grupos e usuários na página Acesso ao conteúdo do Looker. Você também pode ver a página de documentação Como projetar e configurar um sistema de níveis de acesso para ver informações sobre o design de nível de acesso em toda a instância.

Embora o acesso ao conteúdo seja gerenciado separadamente do acesso a recursos, a função atribuída a um usuário pode afetar a aparência dos painéis e das listas em uma pasta, a visualização de um painel ou aparência ou o gerenciamento de uma pasta. Uma seção abaixo descreve como o acesso ao recurso afeta o acesso ao conteúdo em mais detalhes.

Como controlar recursos e acesso a dados

Para controlar o acesso a recursos e dados no Looker, você geralmente cria um grupo de usuários (opcional, mas recomendado) e o atribui a um papel. Um papel une um conjunto de permissões a um conjunto de modelos do LookML. Os próprios modelos definem quais campos e dados estão disponíveis.

Você pode aplicar limites de dados específicos a usuários específicos com filtros de acesso. Além disso, é possível limitar o trabalho dos desenvolvedores do Looker com modelos baseados em bancos de dados específicos usando projetos.

Também é possível controlar o acesso a explorações, mesclagens, visualizações ou campos específicos criando concedidas de acesso. Os acessos concedem acesso somente a usuários que receberam valores de atributo do usuário específicos.

Para fazer isso ...	Estas são as etapas básicas que você pode seguir ...
Controlar as ações que um usuário pode realizar	Crie um conjunto de permissões com as permissões apropriadas e atribua um grupo ou usuário a um papel com essa permissão
Controlar os campos que um usuário pode acessar	Crie um modelo com os campos apropriados e atribua um grupo ou usuário a um papel com esse modelo
Controlar quais dados um usuário pode acessar	Crie um modelo com as limitações de dados adequadas e atribua um grupo ou usuário a um papel com ele - ou - Use filtros de acesso para limitar os usuários aos dados apropriados - ou - Use atributos de usuários para fornecer credenciais de banco de dados diferentes a um grupo ou usuário - ou - Use atributos do usuário com concedimentos de acesso para restringir o acesso a Explorar, Participar ou Participar.
Controlar quais conexões de banco de dados um desenvolvedor do Looker pode acessar	Criar um projeto com as conexões apropriadas, associar o projeto a um conjunto de modelos e depois atribuir um grupo ou usuário a um papel com esses modelos

O acesso a recursos também pode afetar o acesso ao conteúdo. Consulte esta seção para ver mais detalhes sobre como o acesso a dados e o acesso a recursos afetam o acesso ao conteúdo.

Elementos básicos que você precisa entender

Papéis

Um papel é uma combinação de um conjunto de permissões e um conjunto de modelos. O conjunto de permissões define o que o papel pode fazer, e o conjunto de modelos define quais modelos LookML o papel poderá ver.

Após criar uma função, você pode atribuir uma função ou um grupo de usuários a ela. Se você adicionar alguns papéis a um usuário e outros papéis a um grupo do usuário, ele herdará todos esses papéis juntos.

Algumas permissões são relevantes para toda a instância do Looker. Outras se aplicam somente aos modelos com o mesmo papel. Consulte a página de documentação Papéis para mais informações.

Projetos

Com os projetos, é possível restringir quais conexões de banco de dados podem ser usadas por determinados modelos. Isso pode ajudar você a controlar com quais conjuntos de dados seus desenvolvedores do Looker podem interagir ao criar modelos.

Essa restrição definida por projetos também flui para o Looker SQL Runner, o que garante que seus desenvolvedores não possam ter acesso a conexões proibidas de bancos de dados usando o SQL Runner.

Atributos do usuário

Com os atributos de usuário, você pode atribuir valores arbitrários a grupos de usuários ou a usuários individuais. Esses valores são usados como entradas para várias partes do Looker, personalizando as experiências para cada usuário.

Uma maneira de controlar os acessos dos atributos do usuário é parametrizar as credenciais do banco de dados para que sejam específicas de cada usuário. Ele só tem valor se o banco de dados tiver vários usuários com diferentes acessos a dados. Consulte a página de documentação Atributos do usuário para ver mais informações.

Outra forma de os atributos do usuário controlarem o acesso é como parte dos filtros de acesso. Com os filtros de acesso, é possível utilizar um ou mais atributos do usuário como filtro de dados. Por exemplo, talvez você queira atribuir a cada usuário um nome de empresa, em seguida, certifique-se de que qualquer conteúdo que ele veja seja filtrado por esse nome. Veja uma descrição de como aplicar os filtros de acesso na documentação de atributos de usuário e na documentação do parâmetro access_filter.

Os atributos de usuário também controlam as conclusões de acesso. Uma concessão de acesso especifica um atributo de usuário e define valores permitidos nesse atributo para conceder acesso a um campo "Explorar", "Participar", "Ver" ou "Campo". Depois, use o parâmetro required_access_grants nos níveis de Explorar, mesclar, visualizar ou campo para restringir o acesso a essas estruturas do LookML apenas aos usuários com os valores de atributo de usuário permitidos. Por exemplo, é possível usar uma concessão de acesso para limitar o acesso à dimensão salary apenas aos usuários que têm o valor payroll no atributo de usuário department. Para ver uma descrição de como definir os acessos, consulte a página de documentação do parâmetro access_grant.

Usar os elementos básicos

Controlar o acesso a recursos

As permissões controlam os tipos de atividades que um usuário ou grupo pode realizar. Veja como um usuário pode receber permissões:

1. A prática recomendada é identificar um ou mais grupos de usuários que tenham um conjunto de permissões, criando um grupo, se necessário. É possível conceder permissões a usuários individuais, se quiser.
2. Crie um conjunto de permissões que contenha as permissões apropriadas.
3. Se algumas das permissões a serem atribuídas forem específicas do modelo, crie ou identifique um conjunto de modelos.
4. Crie um papel que combine o conjunto de permissões e, se necessário, o conjunto de modelos.
5. Atribua a função da página Funções. Quando a função existir, também será possível atribuí-la a um usuário na página Usuários.

É possível atribuir vários papéis a um usuário ou grupo. Nesse caso, os usuários terão todas as permissões de todos os papéis que eles têm. Exemplo:

• Com o Role1, é possível ver os painéis no Model1.
• Com o Role2, é possível ver painéis e fazer análises no Model2.

Se você atribuir os dois papéis ao mesmo grupo de usuários, eles vão poder ver painéis no Model1 e Model2, mas só poderão explorar no Modelo2.

Controlar o acesso do usuário aos campos do Looker

Os campos com os quais um usuário pode trabalhar são controlados pelos modelos que ele pode acessar. Para acessar o campo, o usuário precisa seguir estas etapas:

1. Crie um modelo LookML (ou uma combinação de modelos LookML) contendo apenas os campos aos quais um usuário deve ter acesso.
2. Crie um conjunto de modelos que contenha esses modelos e atribua-o a um papel. Isso é feito na página Papéis do Looker.
3. Para trabalhar com grupos de usuários, que geralmente é nossa sugestão, crie um grupo na página Grupos do Looker. Em seguida, atribua esse grupo aos papéis apropriados na página Funções.
4. Para trabalhar com usuários específicos, atribua papéis a eles na página Usuários ou Funções.

É possível atribuir vários papéis a um usuário ou grupo. Os usuários podem trabalhar com todos os modelos de todos os papéis que têm.

É importante observar que o parâmetro hidden para campos foi criado para criar experiências mais simples para os usuários, não para controlar o acesso a eles. O parâmetro hidden oculta os campos do seletor de campo, mas não impede que um usuário use esse campo. Se alguém enviar um link que use esse campo, essa pessoa poderá ver esse campo, e outros lugares no Looker ainda o mostrarão.

Controlar o acesso do usuário aos dados

Existem várias maneiras de controlar o acesso de um usuário aos dados, dependendo do caso de uso:

• Para proibir que os usuários vejam determinadas colunas de dados, controle os campos que eles podem acessar, conforme descrito acima. Desde que não seja possível desenvolver e não usar o SQL Runner, os usuários ficam limitados aos campos a que têm acesso.
• Para impedir que os usuários vejam determinadas linhas de dados, aplique os campos do filtro de acesso, conforme descrito na página de documentação do parâmetro access_filter.
• Para limitar o acesso a explorações, mesclagens, visualizações ou campos específicos, crie concessões de acesso para somente os usuários com os valores de atributo de usuário permitidos, conforme descrito na página de documentação do parâmetro access_grant.
• Para limitar os usuários do Looker a executar consultas em um usuário específico do banco de dados, que sua equipe de banco de dados configurou para limitar o acesso aos dados, use os atributos de usuário. Eles permitem que você parametrize sua conexão de banco de dados para que um grupo de usuários ou usuários individuais façam consultas com credenciais específicas do banco de dados. Considere limitar os usuários aos campos adequados do Looker. Se você não tiver, o usuário do Looker pode tentar consultar um campo ao qual o usuário do banco de dados não tem acesso, e ele receberá um erro.

Da mesma forma que o parâmetro de campo hidden não se destina a controlar o acesso a campos, o parâmetro hidden para "explores" não impede que todos os usuários vejam um recurso. O parâmetro hidden remove o recurso "Explorar" do menu "Explorar". No entanto, se um usuário salvar conteúdo que faz referência a um recurso oculto, ele ainda terá acesso aos dados do recurso.

Se você estiver usando a incorporação de Logon único (SSO), configure os controles de acesso a dados pelo URL de incorporação de SSO.

Controlar o acesso do desenvolvedor às conexões do banco de dados

Ao contrário dos usuários comuns, os desenvolvedores do Looker não são totalmente limitados por modelos e filtros de acesso, porque eles podem simplesmente fazer adições ou alterações em modelos LookML. No entanto, os administradores ainda podem limitar os desenvolvedores do Looker a determinadas conexões de bancos de dados usando projetos. Para fazer isso, siga estas etapas:

1. Crie um projeto que restrinja um determinado número de modelos a um determinado número de conexões de banco de dados. Isso é feito na página Gerenciar projetos do Looker.
2. Criar um conjunto de modelos que contenha pelo menos um dos modelos no projeto e, em seguida, atribuí-lo a um papel. Isso é feito na página Papéis do Looker.
3. Para trabalhar com grupos de usuários, que geralmente é nossa sugestão, crie um grupo na página Grupos do Looker. Em seguida, atribua esse grupo aos papéis apropriados na página Funções.
4. Para trabalhar com usuários específicos, atribua papéis a eles na página Usuários ou Funções.

Se um desenvolvedor do Looker puder ver qualquer modelo que faz parte de um projeto, ele poderá visualizar todos os modelos que fazem parte desse projeto. Isso pode acontecer se você atribuir um desenvolvedor do Looker a um papel com apenas um modelo, mas esse modelo fizer parte de um projeto que contém outros modelos.

Como o acesso ao conteúdo e as permissões interagem

O acesso ao conteúdo é gerenciado pelos usuários quando eles visualizam uma pasta ou por um administrador do Looker na página Acesso ao conteúdo do painel Administrador. As funções atribuídas a um usuário determinam o recurso dele e o acesso aos dados. Isso afeta o que o usuário pode fazer em uma pasta e se ele pode ver aparências e painéis.

Como visualizar dados em Aparências e painéis

Para visualizar esses dados, o usuário precisa ter pelo menos o acesso de visualização à pasta em que o conteúdo está armazenado.

Os usuários precisam ter as permissões access_data e see_looks para selecionar uma aparência e ver os dados. Os usuários precisam ter as permissões access_data e see_user_dashboards para selecionar um painel e ver os dados.

O usuário precisa ter acesso a esses dados para ver os dados em um bloco "Olhar" ou "Painel". Sem o acesso a dados necessário:

• Mesmo que o usuário possa ver uma aparência listada em uma pasta e navegar para a interface, a consulta não será executada e o usuário não poderá ver os dados dele.
• Mesmo que o usuário possa ver um painel listado em uma pasta e poder navegar até o painel, qualquer bloco a que o usuário não tenha acesso será exibido em branco. Se um painel com blocos criados de vários modelos, um usuário poderá ver os blocos associados aos modelos a que ele tem acesso, e os blocos de outros modelos vão exibir um erro.

Neste exemplo, o usuário tem acesso de visualização à pasta, acesso aos dados e permissões access_data e see_looks. Assim, pode ver listas de aparências e vê-las. Como o usuário não tem acesso para ver o LookML ou os painéis definidos pelo usuário, nenhum painel aparece na pasta.

Visualização de uma pasta e listas de aparências e painéis

O usuário precisa ter pelo menos o nível de acesso Ver em uma pasta para ver essa pasta e a lista de conteúdo armazenado nela.

Os usuários que também têm pelo menos a permissão see_looks veem os títulos das aparências na pasta. Os usuários que também tiverem pelo menos a permissão see_user_dashboards verão os títulos dos painéis na pasta. No entanto, isso não implica que eles possam visualizar os dados da aparência ou dos painéis.

Neste exemplo, o usuário tem a permissão see_looks, mas não tem a permissão access_data. Assim, o usuário pode ver os títulos das aparências, mas não pode ver os dados da aparência. O usuário pode ou não ter o acesso a dados necessário para o Look.

Os usuários que têm a permissão access_data, mas não têm o see_looks ou o see_user_dashboards, não podem ver as pastas nem o conteúdo.

Modificar uma pasta

O usuário precisa ter o nível de acesso Gerenciar acesso e edição para que a pasta possa organizar essa pasta, inclusive copiar e mover conteúdo, renomear e mover pastas, além de ações semelhantes. Os usuários também precisam ter a permissão manage_spaces para criar, editar, mover e excluir pastas.

Uso da infraestrutura de permissões do usuário (LDAP, SAML e OpenID Connect)

Se você já tiver uma configuração de infraestrutura LDAP, SAML ou OpenID, poderá usar esse sistema para gerenciar logins de usuários. As instruções para configurar o LDAP podem ser encontradas na página Autenticação LDAP. As instruções para configurar o SAML estão disponíveis na página de documentação Autenticação SAML. As instruções para configurar o OpenID Connect podem ser encontradas na página de documentação Autenticação do OpenID Connect.

Se você tiver configurado grupos na implementação do LDAP, SAML ou OpenID Connect, também poderá usar esses grupos no Looker. No entanto, alguns pontos merecem atenção:

• Todos os grupos que você criou serão transferidos automaticamente para o Looker e ficarão visíveis na página Grupos. Um grupo do Looker será criado para cada grupo LDAP, SAML ou OpenID Connect, e o nome do grupo do Looker vai refletir o nome do grupo LDAP, SAML ou OpenID Connect.
• Você poderá usar esses grupos do Looker para atribuir níveis de acesso e atributos de usuário aos membros dos grupos.
• Não será possível usar grupos do Looker para configurar papéis como você faria com um grupo criado manualmente. Em vez disso, você mapeará seus grupos LDAP, SAML ou OpenID Connect para papéis do Looker durante o processo de configuração e só poderá alterar os papéis atribuídos das páginas de configuração LDAP, SAML ou OpenID Connect. Exigimos essa abordagem para que seus grupos LDAP, SAML ou OpenID Connect permaneçam sua única fonte de verdade. Sem essa restrição, o mapeamento de grupo para papel pode divergir da função pretendida no esquema LDAP, SAML ou OpenID Connect.

Também é possível usar o LDAP para aplicar conexões de banco de dados específicas do usuário a consultas do Looker, conforme descrito na página de documentação Autenticação LDAP.