Mit den verschiedenen Ebenen des Inhaltszugriffs wird festgelegt, welche Nutzer Inhalte in Looker-Ordnern ansehen und bearbeiten können. Während Berechtigungen einem Nutzer gemäß der Rolle dieser Person zugeordnet sind, ist der Inhaltszugriff einem Ordner zugeordnet und definiert, wie offen der Ordner für Nutzer auf verschiedenen Ebenen ist.
Zugriffsarten für Ordner
Es gibt zwei Zugriffsebenen, die für jeden Ordner einem Nutzer oder einer Gruppe zugewiesen werden können.
Ansehen: Mit dieser Zugriffsebene können Nutzer sehen, dass der Ordner vorhanden ist, und die darin enthaltenen Looks und Dashboards sehen.
Zugriff verwalten, bearbeiten: Mit dieser Zugriffsebene haben Nutzer die gleichen Berechtigungen wie mit der Zugriffsebene und können Änderungen am Ordner vornehmen. Beispiele:
- Looks bearbeiten und Dashboards im Ordner bearbeiten
- Angeben, welche Nutzer und Gruppen von Nutzern den Ordner ansehen oder verwalten dürfen
- Unterordner erstellen
- Ordner umbenennen, verschieben und löschen
- Looks und Dashboards kopieren und verschieben
- Looks und Dashboards löschen
Offene und geschlossene Systeme für den Zugriff auf Ordner
Mit den Looker-Einstellungen können Sie den Nutzerzugriff auf Grundlage der Richtlinien Ihres Unternehmens und der Nutzer, die mit Ihren Ordnern interagieren, strukturieren. Grundsätzlich ist das von Ihnen erstellte System einen von drei grundsätzlichen Kategorien zuzuordnen: vollständig offen, offen mit Einschränkungen oder geschlossen.
| Zugriffsebenen für Ordner | Beschreibung | Empfohlene Verwendung |
|---|---|---|
| Vollständig offen | Alle Benutzer können alle geteilten Inhalte anzeigen und bearbeiten. Dies ist die Standardkonfiguration von Looker. | Ein offenes System wird für kleine Unternehmen oder Teams empfohlen, die mit Looker arbeiten, für Unternehmen mit offenen Datenrichtlinien und Unternehmen, in denen die Freigabe bearbeitbarer Berichte im Vordergrund steht. |
| Offen mit Einschränkungen | Der Zugriff auf geteilte Inhalte wird auf irgendeine Weise beschränkt, sodass nur bestimmte Personen bestimmte Inhalte bearbeiten können oder dass bestimmte Inhalte für bestimmte Personen nicht sichtbar sind. | Ein offenes System mit Einschränkungen wird für mittelgroße und größere Teams und Unternehmen empfohlen. Außerdem bietet die Lösung ein sehr breit gefächertes Spektrum an Nutzerinnen und Nutzern, bei denen Berichte nicht für alle relevant sind, oder Unternehmen, die möchten, dass jeder die Inhalte sehen, aber nur von wenigen bearbeiten kann. |
| Geschlossen | Dieses System wird auch als Multi-Tenant-Installation bezeichnet. Hier werden Inhalte nach bestimmten Gruppen in Silos zusammengefasst, und es wird verhindert, dass sich Benutzer aus verschiedenen Gruppen untereinander kennen. | Zum Schutz Ihrer privaten Daten empfehlen wir den Kunden ein geschlossenes System für private Labels und SSO-Einbettungen, bei denen Kunden im System gehostet werden, die unterschiedliche Unternehmen oder Gruppen angehören und die einander nicht kennen sollten. |
Nachdem Sie das gewünschte System festgelegt haben, finden Sie auf dieser Seite die notwendigen Schritte zur Konfiguration. Wir empfehlen, für die Ersteinrichtung im Bereich Admin den Bereich Contentzugriff zu verwenden, da Sie hier Änderungen an jedem Ordner vornehmen können.
So wirkt sich der Zugriff auf einen Ordner auf die untergeordneten Ordner aus
Bevor Sie entscheiden, wie offen oder geschlossen Ihr System sein soll, sollten Sie wissen, wie sich der Zugriff, den Sie in übergeordneten Ordnern festlegen, auf dessen Unterordner auswirkt und was Sie auf einer niedrigeren Hierarchieebene ändern können und was nicht.
| Zugriffstyp | Vererbungsmuster | Beschreibung |
|---|---|---|
| Zugriff verwalten, Bearbeiten | Wandert die gesamte Ordnerhierarchie nach unten | Wenn Sie einem Nutzer Zugriff auf Zugriff verwalten und bearbeiten in einem Ordner gewähren, wird ihm diese Zugriffsebene für alle Looks, Dashboards und Unterordner in diesem Ordner beibehalten. Sie können den Zugriff dieses Nutzers an einem unteren Bereich der Ordnerhierarchie nicht sperren. |
| Ansehen | Kann an jeder Stelle in der Hierarchie des Ordners entfernt werden | Wenn Sie die Zugriffsberechtigung Ansehen auf Ordnerebene entfernen, können ein Nutzer diesen Ordner und seinen Inhalt nicht mehr sehen. Sie können den Zugriff auf Ansicht auch jederzeit unten in der Hierarchie entfernen, um Nutzer daran zu hindern, bestimmte Looks, Dashboards oder Unterordner in einem ansonsten sichtbaren Ordner anzusehen. |
Looker-Administratoren haben für alle Ordner und somit auch für alle Inhalte die Berechtigung Zugriff verwalten und bearbeiten. So können sie das System verwalten, jeglichen verwaisten Inhalt verhindern und Benutzern bei Problemen helfen.
Vollständig offene Systeme konfigurieren
Die Standardkonfiguration von Looker ermöglicht vollständigen Zugriff auf alle Ordner. Die Gruppe Alle Nutzer ist für den freigegebenen Ordner Zugriff verwalten, Bearbeiten zugewiesen und alle Unterordner im freigegebenen Ordner übernehmen diesen Zugriff von ihm. Diese Einstellung können Sie im Bereich Admin im Bereich Contentzugriff verwalten:
Wenn ein Nutzer die Berechtigung Zugriff verwalten, Bearbeiten für einen Ordner hat, hat er auch die Berechtigung Zugriff verwalten und bearbeiten für alle Inhalte in diesem Ordner, einschließlich aller Unterordner. Das heißt, es gibt in diesem System keinerlei Beschränkungen für den Zugriff auf Inhalte.
Persönliche Ordner haben eine eigene Hierarchie und verfügen über Standardeinstellungen. Die Gruppe Alle Nutzer ist für alle persönlichen Ordner auf Ansehen gesetzt und jeder Nutzer bestimmt, ob sein Ordner als privat festgelegt wird oder nicht:
Offene Systeme mit Einschränkungen konfigurieren
Sie müssen Looker-Administrator sein, um Ihr System wie hier beschrieben vollständig zu konfigurieren.
Mit diesen Schritten können Sie ein offenes System mit Einschränkungen konfigurieren:
- Planen Sie Ihre Struktur.
- Konfigurieren Sie Gruppen, um einen detaillierten Zugriff zu ermöglichen.
- Ändern Sie den Zugriff der Gruppe Alle Nutzer zu Ansehen im freigegebenen Ordner.
- Entfernen Sie Alle Nutzer aus allen Ordnern, die nicht für das gesamte Unternehmen sichtbar sein sollen.
Planen Sie Ihre Struktur
Wer soll bestimmte Ordner anzeigen und bearbeiten können? Wenn Sie einen Plan entwerfen, bevor Sie mit der Konfiguration des Zugriffs beginnen, fällt Ihnen das Ganze leichter. Außerdem haben Sie so die Möglichkeit, die Änderungen während eines Vorgangs abzuhaken. Sie müssen also nicht zurückgehen, um verschiedene Ordner zu überprüfen. Wenn Sie Nutzer in Gruppen zusammenfassen, können Sie den Zugriff für verschiedene Abteilungen oder Teams in Ihrem Unternehmen leichter verwalten.
Eine der häufigsten Konfigurationen besteht aus einem Ordner pro Abteilung oder Team. Das sieht dann ungefähr so aus:
- Erstellen Sie in Ihrem geteilten Ordner einen Ordner für eine Abteilung, ein Team oder ein Projekt. In diesem Abschnitt verwenden wir das Beispiel eines Finanzteams.
- Gewähren Sie dem CFO (oder dem Hauptanalysten für Finanzen) die Berechtigung Zugriff verwalten, Bearbeitung für diesen Ordner. Gewähren Sie dem Rest des Teams Lesezugriff.
- Erstellen Sie zwei Unterordner: einen für den bearbeitbaren und einen für schreibgeschützte Inhalte. Fügen Sie gegebenenfalls einen dritten untergeordneten Ordner für privaten Inhalt hinzu.
- Weisen Sie dem gesamten Finanzteam in einer Unterordner für bearbeitbare Inhalte mithilfe einer Finanzgruppe Zugriff verwalten, bearbeiten zu. Wenn Sie der Gruppe „Finanzen“ diese Zugriffsebene gegeben haben, können alle darin enthaltenen Mitglieder Inhalt in diesem untergeordneten Ordner hinzufügen, löschen oder ändern.
- Gewähren Sie der gesamten Finanzgruppe im Unterordner für schreibgeschützte Inhalte Lesezugriff. Der CFO kann weiterhin Inhalte in diesem Ordner verwalten, bearbeiten, da er diesen Zugriff aus dem Hauptordner „Finanzen“ übernimmt.
- Entfernen Sie im (optionalen) privaten untergeordneten Ordner die Gruppe „Finanzen“ vollständig. Nur der CFO kann diesen Ordner sehen beziehungsweise dessen Inhalt verwalten.
Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
Wenn Sie den Zugriff auf Inhalte einschränken möchten, erleichtern Looker-Gruppen das Ganze. Gruppen können genauso Zugriff auf Ordner und untergeordnete Ordner erhalten wie Benutzer. Gruppen können zudem wiederum andere Gruppen enthalten. Informationen zum Konfigurieren von Gruppen finden Sie auf der Seite Gruppen.
Legen Sie zuerst den Zugriff auf einzelne Unterordner fest. Anschließend können Sie den Zugriff für den gesamten freigegebenen Ordner einrichten. Da der Zugriff in der Ordnerhierarchie abwärts fließt, sollten Sie zuerst den Zugriff auf die niedrigsten Unterordner individuell anpassen. Anschließend können Sie zu den übergeordneten Ordnern wechseln und ihnen die gewünschte Zugriffsebene zuweisen. So stellen Sie sicher, dass Ihre Änderungen nicht mit Entscheidungen auf niedrigeren Ebenen in Konflikt stehen.
In diesem Beispiel beginnen wir mit den Unterordnern im freigegebenen Ordner. Diese Einstellungen können Sie im Bereich Admin im Bereich Contentzugriff verwalten.
Legen Sie für jeden Ordner im freigegebenen Ordner eine benutzerdefinierte Liste von Nutzern fest. Weisen Sie den Gruppen und Nutzern, die Inhalte bearbeiten dürfen, die Berechtigung Zugriff verwalten und bearbeiten zu. Weisen Sie dann den Gruppen und Nutzern, die schreibgeschützten Zugriff erhalten sollen, den Lesezugriff zu:
Wie bereits erwähnt, werden bis zur Änderung der Einstellungen für den geteilten Ordner auf oberster Ebene keine anderen Änderungen wirksam. Die Zugriffsebene für die Gruppe Alle Nutzer ist im freigegebenen Ordner auf Zugriff verwalten und bearbeiten festgelegt und durchläuft alle Unterordner. Sie können die Einstellungen für Alle Nutzer in einzelnen Unterordnern erst ändern, wenn die Zugriffsebene für diese Gruppe im freigegebenen Ordner geändert wurde.
Klicken Sie auf den Ordner, den Sie konfigurieren möchten, und dann auf Zugriff verwalten:
Zugriff der Gruppe Alle Nutzer auf Ansehen im freigegebenen Ordner ändern
Ihrer Änderungen werden nun wirksam. Denke daran, den Plan für deine Struktur zu lesen.
Wenn Sie nicht möchten, dass jeder Nutzer Bearbeitungszugriff auf alle Inhalte in Ihrem System haben kann, klicken Sie für den freigegebenen Ordner auf Zugriff verwalten und ändern Sie die Option Alle Nutzer von Zugriff verwalten, Bearbeiten zu Ansehen:
Wenn bestimmte Unterordner nur für bestimmte Gruppen angezeigt werden sollen, fahren Sie mit dem folgenden Abschnitt fort.
Gruppe Alle Nutzer aus Ordnern entfernen, die nicht sichtbar sein sollen
Wenn Sie möchten, dass ein Ordner nur für eine bestimmte Nutzergruppe sichtbar ist, gehen Sie zurück und entfernen Sie Alle Nutzer vollständig aus diesen Ordnern. Verwenden Sie dazu den X rechts neben der Zugriffsebene. Diese Ordner sind nun nur für Gruppen und Benutzer sichtbar, die Sie ausdrücklich angeben:
Geschlossene Systeme konfigurieren
Aktivieren Sie die Option Geschlossenes System nur, wenn Sie Looker mit dem privaten Label Looker verwenden oder für Ihre Kunden die Einmalanmeldung (SSO) verwenden möchten. Intern sollte ein anderes System zum Einsatz kommen. Sie müssen Looker-Administrator sein, um Ihr System wie nachstehend beschrieben vollständig zu konfigurieren.
Looker bietet die Option Geschlossenes System, mit der folgende Änderungen vorgenommen werden:
- Die Gruppe Alle Nutzer wird entfernt. Es gibt keine Möglichkeit, sich auf alle Benutzer im System als eine Gruppe zu beziehen. Stattdessen sollten Looker-Administratoren eine Gruppe pro Mandanten oder Kunden erstellen wie nachstehend erläutert. In dieser Diskussion gehen wir davon aus, dass jeder Kunde ein Unternehmen ist.
- Alle Benutzerordner werden standardmäßig als privat definiert. Benutzer können weiterhin Inhalte in ihren Ordnern mit anderen Mitgliedern ihrer Gruppe teilen.
Es wird verhindert, dass Benutzer andere Benutzer sehen, die nicht ihrer Gruppe angehören. Wenn also ein Benutzer Mitglied der Gruppe „Unternehmen C“ ist, sieht er nur andere Mitglieder von „Unternehmen C“. Die Mitglieder der Gruppen „Unternehmen A“ und „Unternehmen B“ sieht er nicht.
Die Berechtigungen
see_queries,see_schedulesundsee_usersbieten Zugriff auf ein Admin-Steuerfeld und überschreiben die Option Geschlossenes System. Wenn ein Nutzer also eine oder mehrere der Berechtigungensee_queries,see_schedulesodersee_usershat, kann er die Mitglieder der Unternehmen A, B und C im zugehörigen Admin-Steuerfeld sehen.Die Startseite: Zuletzt aufgerufene Inhalte ist ein Beispiel für einen Ort in Looker, an dem der Nutzer nur andere Mitglieder von C und seine Inhalte sieht.
Mit diesen Schritten können Sie ein geschlossenes System konfigurieren:
- Bitten Sie um die Option Geschlossenes System.
- Planen Sie Ihre Struktur.
- Konfigurieren Sie Gruppen, um einen detaillierten Zugriff zu ermöglichen.
- Aktivieren Sie das geschlossene System im Bereich Admin.
- Gewähren Sie jeder Unternehmensgruppe in Ihrem System den Lesezugriff auf den freigegebenen Ordner.
- Konfigurieren Sie die Zugriffsebenen für jeden Unterordner der freigegebenen Ordner.
- Migrieren Sie Inhalte in Unterordner.
Bei diesen Schritten wird davon ausgegangen, dass sich derzeit keine Inhalte für mehrinstanzenfähige Nutzer in den freigegebenen Ordnern befinden. Wenn Sie Inhalte unter einem geschlossenen System versiegeln und verhindern möchten, dass Kunden oder andere Gruppen einander sehen, verschieben Sie diese Inhalte aus dem freigegebenen Ordner in separate Unterordner, bevor Sie die folgenden Schritte ausführen.
Bitten Sie um Verfügbarkeit der Option „Closed System“.
Wenn Sie die Option Geschlossenes System für Ihre Instanz aktivieren möchten, wenden Sie sich an Ihren Looker Account Manager oder öffnen Sie eine Supportanfrage in der Looker-Hilfe von Looker. Klicken Sie dazu auf Kontakt.
Planen Sie Ihre Struktur
Wenn Sie Ihren Plan im Voraus erstellen, ist die Konfiguration Ihres Systems im Folgenden wesentlich einfacher. Dabei sind zwei Hauptbereiche besonders zu berücksichtigen:
Erstens, erstellen Sie für jedes Unternehmen eine eigene Gruppe. In einer Unternehmensgruppe sind alle Benutzer aus dem jeweiligen Unternehmen zusammengefasst und diese Benutzer werden von anderen Unternehmen getrennt behandelt.
Zweitens: Überlegen Sie, ob mehrere Unternehmen den gleichen Ordner haben sollen (z. B. für Dashboards, die für alle Unternehmen relevant sind) oder ob Sie für jedes Unternehmen einen Ordner auf oberster Ebene (für unterschiedliche Inhalte, die nur für ein einzelnes Unternehmen gelten) verwenden möchten.
Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
Es sollte zumindest eine Gruppe pro Unternehmen geben, diese Gruppe kann jedoch wiederum Untergruppen enthalten. Sollen einige Benutzer in einem Unternehmen die Berechtigung zum Bearbeiten und Verwalten von Inhalten haben und andere Inhalte nur sehen dürfen, empfiehlt sich die Erstellung getrennter Untergruppen für diese verschiedenen Benutzertypen. Sie können beispielsweise Unternehmen A als Dachgruppe erstellen und dann zwei Untergruppen hinzufügen: Mitbearbeiter bei Unternehmen A und Betrachter bei Unternehmen A:
Alle Gruppen, die zu einem bestimmten Unternehmen gehören, sollten unter einer übergeordneten Gruppe zusammengefasst werden.
Informationen zum Konfigurieren von Gruppen finden Sie auf der Dokumentationsseite Gruppen.
Aktivieren Sie im Steuerfeld Admin die Option „Geschlossenes System“.
Am besten aktivieren Sie die Option Geschlossenes System, bevor Sie die Zugriffssteuerung für Ordner festlegen, da durch die Aktivierung der Option Geschlossenes System Änderungen an Ihrem System vorgenommen werden. Weitere Informationen finden Sie unter Geschlossenes System konfigurieren auf dieser Seite. Aktivieren Sie die Option, indem Sie im Bereich General (Allgemein) des Abschnitts Admin zum Abschnitt Settings (Einstellungen) gehen:
Gewähren Sie jeder Unternehmensgruppe den Zugriff Ansicht für den geteilten Ordner
Gewähren Sie jeder Unternehmensgruppe für die freigegebenen Ordner Lesezugriff. Dadurch können die Mitglieder dieser Gruppen auf den freigegebenen Ordner zugreifen und den eigenen Ordner des Unternehmens darin ansehen. Wenn eine Gruppe keinen Lesezugriff auf die freigegebenen Ordner hat, kann sie die eigenen Ordner des Unternehmens nicht sehen. Sie können die folgenden Einstellungen im Bereich Contentzugriff des Steuerfelds Admin verwalten:
Zugriffsebenen für jeden untergeordneten Ordner konfigurieren
Legen Sie Zugriffsebenen fest, um zu definieren, wer Inhalte in den einzelnen untergeordneten Ordnern sehen oder bearbeiten kann. Unterordner haben standardmäßig Zugriff auf die übergeordneten Ordner, bis Sie sie ändern. Das bedeutet, dass ein Unternehmen mit Lesezugriff auf den freigegebenen Ordner Inhalte in einem Unterordner eines Unternehmens ansehen kann, es sei denn, Sie beschränken den Zugriff auf diesen Unterordner. Prüfen Sie jeden untergeordneten Ordner und schränken Sie den Zugriff entsprechend ein:
Im obigen Beispiel haben wir Eine benutzerdefinierte Liste von Nutzern ausgewählt und Unternehmen B wurde aus den Inhalten von Unternehmen A entfernt. Unternehmen B kann die Inhalte des Unternehmens nicht sehen.
Inhalt in untergeordnete Ordner migrieren
Verfügt Ihr Unternehmen über Benutzer, die zum Anzeigen ihres eigenen Ordners und anderer persönlicher Ordner berechtigt sind, wird die Migration von allen Inhalten aus diesen persönlichen Ordnern in die entsprechenden Ordner in der geteilten Haupthierarchie empfohlen.