I diversi livelli di accesso ai contenuti determinano gli utenti che possono visualizzare e modificare i contenuti nelle cartelle di Looker. Mentre le autorizzazioni sono associate a un utente in base al ruolo di quell'utente, l'accesso ai contenuti è associato a una cartella e definisce il livello di apertura della cartella per gli utenti a vari livelli.
Tipi di accesso alle cartelle
Puoi assegnare due livelli di accesso a un utente o gruppo per una determinata cartella.
View (Visualizzazione): con questo livello di accesso, un utente può vedere che la cartella esiste e visualizzare look e dashboard al suo interno.
Manage Access, Edit (Gestione accesso, modifica): questo livello di accesso consente a un utente di fare tutto ciò che è permesso con il livello di accesso View (Visualizzazione), oltre che apportare modifiche alla cartella, come:
- Modificare i look e modificare le dashboard nella cartella
- Specificare quali utenti e gruppi di utenti possono visualizzare o gestire la cartella
- Creare sottocartelle
- Rinominare, spostare ed eliminare una cartella
- Copiare e spostare look e dashboard
- Eliminare look e dashboard
Sistemi aperti e chiusi per l'accesso alle cartelle
Le impostazioni di Looker ti aiuteranno a strutturare l'accesso degli utenti in base ai criteri della tua azienda e ai tipi di utenti che interagiranno con le cartelle. In generale, il sistema che concepirai rientrerà in tre grandi categorie: completamente aperto, aperto con restrizioni o chiuso.
| Livello di accesso alle cartelle | Descrizione | Uso consigliato |
|---|---|---|
| Completamente aperto | Tutti gli utenti possono visualizzare e modificare tutti i contenuti condivisi. Questa è la configurazione predefinita di Looker. | Un sistema aperto è consigliato per aziende o team di piccole dimensioni che utilizzano Looker, aziende con criteri aperti in merito ai dati e aziende in cui la condivisione di report modificabili è un caso d'uso primario. |
| Aperto con restrizioni | L'accesso ai contenuti condivisi è sottoposto a qualche restrizione, in modo che solo specifiche persone possano modificare determinati contenuti oppure che determinati contenuti siano completamente invisibili a persone specifiche. | Un sistema aperto con restrizioni è consigliato per team e aziende di medie o grandi dimensioni, per basi utenti altamente diversificate in cui i report non sono pertinenti per tutti o per aziende che vogliono che i contenuti siano visibili a tutti, ma modificabili solo da alcuni. |
| Chiusa | Chiamato anche installazione multitenant, questo sistema isola i contenuti per certi gruppi e impedisce agli utenti di gruppi diversi di avere informazioni sugli altri. | A tutela della sicurezza delle informazioni private dei clienti |
Una volta stabilito quale tipo di sistema vuoi usare, questa pagina ti guiderà nella procedura di configurazione. Per la configurazione iniziale, consigliamo di utilizzare la sezione Accesso ai contenuti del riquadro Amministrazione, in quanto si tratta di un unico posto in cui apportare modifiche a ciascuna cartella.
Impatto dell'accesso a una cartella sulle relative sottocartelle
Prima di decidere quanto deve essere aperto o chiuso il sistema, è importante comprendere l'effetto che l'accesso configurato sulle cartelle padre può avere sulle relative sottocartelle e che cosa si può o non si può modificare nei livelli inferiori della gerarchia.
| Tipo di accesso | Pattern di ereditarietà | Descrizione |
|---|---|---|
| Gestisci accesso, modifica | Scorre tutta la gerarchia delle cartelle in basso | Dopo aver concesso a un utente l'accesso a Manage Access, Edit (Gestione accesso, modifica) in una cartella, il livello di accesso verrà mantenuto per tutti i look, le dashboard e le sottocartelle al suo interno. Non potrai bloccare il suo accesso a un livello inferiore della gerarchia di cartelle. |
| Visualizza | Può essere rimosso in qualsiasi punto all'interno della gerarchia di cartelle | La rimozione dell'accesso Visualizzazione a livello di cartella comporta la revoca della capacità dell'utente di visualizzare la cartella e tutti i suoi contenuti. Puoi anche rimuovere l'accesso di Visualizzazione in qualsiasi punto più in basso nella gerarchia per impedire agli utenti di visualizzare determinati look, dashboard o sottocartelle all'interno di una cartella altrimenti visibile. |
Gli amministratori di Looker dispongono dell'accesso Manage Access, Edit (Gestione accesso, modifica) per tutte le cartelle e, di conseguenza, per tutti i contenuti. In questo modo possono gestire il sistema, evitare contenuti orfani e fornire assistenza agli utenti che riscontrano problemi.
Configurazione di un sistema completamente aperto
La configurazione predefinita di Looker consente l'accesso completamente aperto a tutte le cartelle. Il gruppo All Users (Tutti gli utenti) è assegnato a Manage Access, Edit (Gestione accesso, modifica) nella cartella Shared (Condivisa) e tutte le sottocartelle al suo interno erediteranno quell'accesso. Questa impostazione può essere gestita dalla sezione Content Access (Accesso ai contenuti) del riquadro Admin (Amministrazione):
Quando un utente dispone dell'accesso Manage Access, Edit (Gestione accesso, modifica) su una cartella, avrà anche l'accesso Manage Access, Edit (Gestione accesso, modifica) su tutti i contenuti al suo interno, incluse tutte le sottocartelle. Ciò significa che non esistono limitazioni all'accesso ai contenuti in questo sistema.
Le cartelle personali sono presenti in una gerarchia separata e dispongono anch'esse di impostazioni predefinite. Il gruppo Tutti gli utenti è impostato su Visualizza in tutte le cartelle personali e ogni utente stabilisce se rendere privata o meno la propria cartella:
Configurazione di un sistema aperto con restrizioni
Devi essere un amministratore di Looker per configurare completamente il sistema nel modo descritto qui.
Questi passaggi ti aiuteranno a configurare un sistema aperto con restrizioni:
- Pianifica la struttura.
- Configura i gruppi per fornire un accesso granulare.
- Modifica l'accesso del gruppo Tutti gli utenti in Visualizza nella cartella Shared (Condivisa).
- Rimuovi Tutti gli utenti dalle cartelle che non vuoi siano visibili dall'intera azienda.
Pianificare la struttura
A chi vuoi consentire di visualizzare e modificare determinate cartelle? Sarà tutto più semplice se delinei il piano prima di iniziare a configurare l'accesso. Inoltre, avrai un punto in cui segnare le modifiche man mano che procedi, evitando così di tornare indietro per eseguire il controllo in varie cartelle. Suddividere gli utenti in gruppi ti aiuterà a gestire l'accesso per diversi reparti o team all'interno dell'azienda.
Una delle configurazioni più comuni prevede una cartella per reparto o team, in modo simile a questo:
- All'interno della cartella Shared (Condivisa), crea una cartella per un reparto, team o progetto. In questa sezione useremo il team Finance (Finanza) come esempio.
- Concedi al CFO, o all'analista principale del team Finance (Finanza), l'accesso Manage Access, Edit (Gestione accesso, modifica) su quella cartella. Al resto del team concedi l'accesso in visualizzazione.
- Crea due sottocartelle, una per i contenuti modificabili e una per i contenuti di sola lettura. Se necessario, aggiungi una terza sottocartella per i contenuti privati.
- Nella sottocartella per i contenuti modificabili, concedi l'accesso Gestione accesso, Modifica all'intero team Finanza utilizzando un gruppo Finanza. Quando il gruppo Finance (Finanza) disporrà di quel livello di accesso, tutti i suoi membri potranno aggiungere, eliminare o modificare contenuti in quella sottocartella.
- Nella sottocartella per i contenuti di sola lettura, concedi l'accesso Visualizza all'intero gruppo Finance (Finanza). Il CFO avrà comunque l'accesso Gestisci accesso, modifica contenuti in questa cartella perché lo eredita dalla cartella Finanza principale.
- Nella sottocartella privata (facoltativa), rimuovi del tutto il gruppo Finance (Finanza). Solo il CFO può vedere questa cartella o gestirne i contenuti.
Configurare i gruppi per un accesso granulare
Se hai intenzione di limitare l'accesso ai contenuti, i gruppi Looker ti saranno di grande aiuto. Ai gruppi è possibile concedere l'accesso alle cartelle e alle sottocartelle così come accade per gli utenti; inoltre, i gruppi possono contenere altri gruppi. Per informazioni su come configurare i gruppi, vedi la pagina Gruppi.
Prima di tutto, imposta l'accesso per le singole sottocartelle, poi passa ai livelli superiori per impostare l'accesso per l'intera cartella Shared (Condivisa). Dato che l'accesso viene ereditato dai livelli inferiori della gerarchia di cartelle, è più sicuro iniziare modificando l'accesso alle singole sottocartelle di livello più basso. Quindi puoi passare alle cartelle di livello padre, concedendo loro il livello di accesso che vuoi e assicurandoti che le modifiche non siano in conflitto con le decisioni che hai preso ai livelli inferiori.
In questo esempio, inizieremo con le sottocartelle all'interno della cartella Shared (Condivisa). Queste impostazioni possono essere gestite dalla sezione Content Access (Accesso ai contenuti) del riquadro Admin (Amministrazione).
Imposta ogni cartella all'interno della cartella Shared (Condivisa) su A custom list of users (Un elenco personalizzato di utenti) e assegna l'accesso Manage Access, Edit (Gestione accesso, modifica) ai gruppi e agli utenti a cui vuoi consentire di modificare i contenuti, quindi assegna l'accesso View a quelli a cui vuoi concedere l'accesso di sola lettura:
Come accennato prima, finché non modifichi le impostazioni per la cartella Shared (Condivisa) di primo livello, non viene applicato nulla. Il livello di accesso per il gruppo All Users (Tutti gli utenti) è impostato su Manage Access, Edit (Gestione accesso, modifica) nella cartella Shared (Condivisa) e viene ereditato da tutte le sottocartelle. Non è possibile modificare le impostazioni per Tutti gli utenti in singole sottocartelle finché il livello di accesso per quel gruppo non viene modificato nella cartella Shared (Condivisa).
Fai clic sulla cartella che vuoi configurare, quindi su Manage Access (Gestisci accesso):
Cambia l'accesso del gruppo Tutti gli utenti in Visualizza nella cartella Shared (Condivisa)
È qui che le modifiche vengono applicate. Ricordati di consultare il piano per la struttura.
Innanzitutto, a meno che tu non voglia che tutti abbiano accesso in modifica a tutti i contenuti nel sistema, fai clic su Gestisci accesso per la cartella condivisa { e cambia Tutti gli utenti da Gestisci accesso, modifica a Visualizza:
Successivamente, se il tuo piano prevede che alcune sottocartelle siano visibili solo per alcuni gruppi, passa alla sezione seguente.
Rimuovi il gruppo All Users (Tutti gli utenti) dalle cartelle che non vuoi siano visibili
Se vuoi che alcune cartelle siano private e riservate a un particolare sottogruppo di utenti, torna indietro e rimuovi completamente Tutti gli utenti dalle cartelle utilizzando X a destra del livello di accesso corrispondente. A questo punto, quelle cartelle saranno visibili solo ai gruppi e agli utenti che elenchi esplicitamente:
Configurazione di un sistema chiuso
Attiva l'opzione Sistema chiuso solo se prevedi di aggiungere un'etichetta privata a Looker o se utilizzi l'incorporamento SSO per i tuoi clienti. I casi d'uso interni dovrebbero utilizzare un sistema diverso. Devi essere un amministratore di Looker per configurare completamente il sistema nel modo descritto di seguito.
Looker offre un'opzione Closed System (Sistema chiuso) che apporta le seguenti modifiche:
- Rimuove il gruppo All Users (Tutti gli utenti). Non sarà possibile in alcun modo fare riferimento a tutti gli utenti nel sistema come gruppo. Gli amministratori di Looker, invece, devono creare un gruppo per tenant, o per cliente, come illustrato in precedenza. In questo contesto, supponiamo che ogni cliente sia un'azienda.
- Rende private tutte le cartelle degli utenti per impostazione predefinita. Gli utenti possono comunque decidere di condividere i contenuti presenti nelle loro cartelle con altri membri dei gruppi di cui fanno parte.
Impedisce agli utenti di vedere gli altri utenti, a meno che non condividano un gruppo. Quindi, se un utente fa parte del gruppo Company C (Azienda C), vedrà solo gli altri membri di quell'azienda, ma non i membri delle aziende A e B.
Le autorizzazioni
see_queries,see_schedulesesee_usersforniscono tutte l'accesso a un riquadro Amministratore e sostituiscono l'opzione Sistema chiuso. Pertanto, se un utente dispone di una o più autorizzazionisee_queries,see_schedulesosee_users, potrà visualizzare i membri delle aziende A, B e C nel riquadro Amministratore associato.La home page: contenuti visualizzati di recente è un esempio di luogo in Looker in cui quell'utente vedrà solo gli altri membri dell'azienda C e i propri contenuti.
Questi passaggi ti aiuteranno a configurare un sistema chiuso:
- Richiedi l'opzione Sistema chiuso.
- Pianifica la struttura.
- Configura i gruppi per fornire un accesso granulare.
- Abilita il sistema chiuso nel riquadro Amministrazione.
- Concedi a ogni gruppo aziendale nel sistema l'accesso Visualizzazione per la cartella Shared (Condivisa).
- Configura i livelli di accesso per ogni sottocartella delle cartelle Shared (Condivisa).
- Esegui la migrazione dei contenuti in sottocartelle.
Questi passaggi suppongono che nelle cartelle Shared (Condivisa) non siano attualmente ospitati contenuti per gli utenti multitenant. Per isolare i contenuti in un sistema chiuso e impedire ai clienti e ad altri gruppi di vedersi tra loro, sposta tutti quei contenuti dalla cartella Shared (Condivisa) in sottocartelle separate prima di iniziare il passaggio seguente.
Chiedere l'opzione Closed System (Sistema chiuso)
Per richiedere l'abilitazione dell'opzione Closed System (Sistema chiuso) per la tua istanza, contatta il tuo account manager Looker o apri una richiesta di supporto nel Centro assistenza di Looker facendo clic su Contact Us (Contattaci).
Pianificare la struttura
Semplifica la configurazione del sistema se hai configurato in anticipo il piano. Ci sono due aspetti principali da considerare:
Innanzitutto, crea un gruppo per ogni azienda. Un gruppo aziendale collega tutti gli utenti di ogni azienda e li tiene separati dalle altre aziende.
In secondo luogo, decidi se consentire che più aziende visualizzino la stessa cartella (ad esempio per le dashboard che interessano tutte le aziende) oppure se preferisci avere una cartella di primo livello per ogni azienda (per contenuti distinti che interessano una sola azienda).
Configurare i gruppi per un accesso granulare
Ci deve essere almeno un gruppo per azienda, ma all'interno di quel gruppo possono esistere anche sottogruppi. Se vuoi consentire ad alcuni utenti di un'azienda di modificare e gestire contenuti e ad altri solo di visualizzare i contenuti, ti consigliamo di creare sottogruppi separati per i vari tipi di utenti. Ad esempio, puoi iniziare creando Azienda A come gruppo principale e quindi aggiungere due sottogruppi: Editor in Azienda A e Visualizzatori in Azienda A:
Tutti i gruppi che appartengono a una singola società devono essere contenuti in un unico gruppo.
Per informazioni su come configurare i gruppi, consulta la pagina della documentazione relativa ai gruppi.
Attiva l'opzione Closed System (Sistema chiuso) nel riquadro Admin (Amministrazione).
È meglio abilitare l'opzione Sistema chiuso prima di configurare qualsiasi controllo dell'accesso sulle cartelle perché, una volta abilitata, l'opzione Sistema chiuso apporta modifiche al sistema (vedi l'introduzione alla sezione Configurare un sistema chiuso in questa pagina). Per attivare l'opzione, vai alla sezione Settings (Impostazioni) del riquadro General (Generale) nella sezione Admin (Amministrazione) di Looker:
Concedi a ogni gruppo aziendale l'accesso View (Visualizzazione) per la cartella Shared (Condivisa)
Concedi a ogni gruppo aziendale l'accesso In visualizzazione per le cartelle condivise. In questo modo, tutti i membri di quei gruppi potranno accedere alla cartella Shared (Condivisa) e vedere la propria cartella aziendale. Se un gruppo non dispone dell'accesso Visualizza per le cartelle condivise, non potrà visualizzare le cartelle della propria azienda. Queste impostazioni possono essere gestite dalla sezione Content Access (Accesso ai contenuti) del riquadro Admin (Amministrazione):
Configurare i livelli di accesso per ogni sottocartella
Imposta i livelli di accesso per stabilire chi può visualizzare o modificare i contenuti in ogni sottocartella. Per impostazione predefinita, le sottocartelle accedono alle impostazioni delle cartelle padre finché non le modifichi. Ciò significa che un'azienda con accesso in Visualizzazione alla cartella Shared (Condivisa) potrebbe vedere i contenuti in una sottocartella di un'altra azienda, a meno che non limiti l'accesso a quella sottocartella. Esamina le singole sottocartelle e limita l'accesso nel modo appropriato:
Nell'esempio precedente, abbiamo selezionato Un elenco personalizzato di utenti e Azienda B è stata rimossa dai contenuti di Azienda A. La Società B non può vedere che esistono contenuti di Azienda B.
Eseguire la migrazione di contenuti in sottocartelle
Se la tua azienda ha consentito agli utenti di vedere altre cartelle personali oltre alla propria, ti consigliamo di eseguire la migrazione dei contenuti di quelle cartelle personali nelle cartelle appropriate nella gerarchia Shared (Condivisa) principale.