Looker のフォルダ内のコンテンツを表示および編集できるユーザーは、コンテンツへのアクセスレベルによって異なります。権限はそのユーザーのロールに応じてユーザーに関連付けられますが、コンテンツ アクセスはフォルダに関連付けられ、さまざまなレベルでフォルダがどの程度開かれるかを定義します。
フォルダへのアクセスのタイプ
特定のフォルダのユーザーまたはグループに、2 つのアクセスレベルを割り当てることができます。
View: このアクセスレベルを持つユーザーは、フォルダが存在することを確認でき、そのフォルダ内の Look とダッシュボードを表示できる。
Manage Access, Edit: このアクセスレベルを持つユーザーは、View アクセスレベルでできることに加えて、フォルダに次のような変更を加えることができる。
- フォルダ内の Look の編集とダッシュボードの編集
- フォルダを表示または管理できるユーザーおよびユーザー グループの指定
- サブフォルダの作成
- フォルダの名前の変更、移動、削除
- Look とダッシュボードのコピーと移動
- Look とダッシュボードを削除する
フォルダへのアクセスのオープンシステムとクローズドシステム
Looker の設定は、会社のポリシーと、フォルダを操作するユーザーの種類に基づいて、ユーザー アクセスを構造化するのに役立ちます。一般に、作成するシステムは、完全オープン、制限付きオープン、クローズドという3つの主なカテゴリに分類されます。
| フォルダへのアクセスのレベル | 説明 | 推奨される使い方 |
|---|---|---|
| 完全にオープン | すべてのユーザーが、すべての共有コンテンツを表示および変更できます。これが Looker のデフォルト構成です。 | オープンなシステムは、Lookerを使用する小規模企業やチーム、データに関してオープンなポリシーを持つ企業、編集可能なレポートの共有が主に必要な企業に推奨されます。 |
| 制限付きオープン | 共有コンテンツへのアクセスを何らかの方法で制限して、特定のユーザーのみが特定のコンテンツを編集できるようにするか、特定のコンテンツを特定のユーザーがまったく表示できないようにします。 | 制限付きオープン システムが推奨されるのは、大規模または中規模のチームや会社、ユーザーベースに関係なくレポートが多様化し、誰でも見ることができるが数人のユーザーしか編集できないようにする企業です。 |
| クローズド | マルチテナントインストールとも呼ばれるこのシステムでは、コンテンツを特定のグループにサイロ化し、異なるグループのユーザー間では情報を共有しません。 | お客様の個人情報を保護するために、非公開ラベルや SSO 埋め込みのユースケースではクローズド システムを使用することを強くおすすめします。これらのユースケースでは、お客様がさまざまな会社やグループに所属するクライアントをシステムでホストすることから、互いの情報を入手できないようにする必要があるためです。 |
このページでは、ご希望のシステムの種類を決める手順を説明します。初期設定では、[管理] パネルの [コンテンツ アクセス] セクションを使用して、各フォルダを 1 か所で変更することをおすすめします。
フォルダへのアクセスがサブフォルダに与える影響
システムのオープン / クローズを決定する前に、親フォルダで設定したアクセス権がサブフォルダに与える影響や、階層の下位レベルで変更できる操作と変更できない操作を把握しておくことが重要です。
| アクセスタイプ | 継承パターン | 説明 |
|---|---|---|
| Manage Access, Edit | フォルダ階層の最下位まで適用される | ユーザーにフォルダ内の Manage Access, Edit アクセス権を付与すると、そのフォルダ内のすべての Look、ダッシュボード、サブフォルダに対するアクセスレベルが維持されます。フォルダ階層の下部で、アクセスを禁止することができなくなります。 |
| 表示 | フォルダ階層の任意の部分で削除可能 | フォルダレベルで「表示」アクセス権を削除すると、そのフォルダとその中のコンテンツを表示する権限が取り消されます。また、階層の下位にかかわらず [View] アクセス権を削除することで、視認範囲にあるフォルダ内の特定の Look、ダッシュボード、サブフォルダをユーザーが閲覧できないようにすることもできます。 |
Looker 管理者は、すべてのフォルダ、つまりすべてのコンテンツに対するアクセスの管理、編集のアクセス権を持ちます。Look管理者はこの権限を持っているので、システムを管理し、コンテンツの孤立を防止し、問題を抱えているユーザーを支援することができます。
完全にオープンなシステムの設定
Looker のデフォルト設定により、すべてのフォルダに完全オープンにアクセスできます。共有フォルダの [すべてのユーザーを管理] グループが [アクセスの管理、編集] に割り当てられ、共有フォルダ内のすべてのサブフォルダがそのアクセス権を継承します。この設定は、[管理] パネルの [コンテンツ アクセス] で管理します。
フォルダに対するアクセス権の管理、編集の権限を持つユーザーは、そのフォルダ内のすべてのサブフォルダを含む、そのフォルダ内のすべてのコンテンツに対するアクセス権の管理、編集も行うことができます。つまり、このシステムではコンテンツのアクセスに制限がありません。
個人用フォルダは別の階層に存在し、デフォルトの設定もあります。すべての個人フォルダで [すべてのユーザー] グループは [表示] に設定され、各ユーザーはフォルダを非公開にするかどうかを決定します。
制限付きオープンのシステムの設定
ここで説明する方法でシステムを完全に設定できるのは、Looker管理者のみです。
制限付きオープンのシステムを設定する手順は、以下の通りです。
- ストラクチャを計画する。
- きめ細かいアクセス権を付与するようにグループを構成する。
- 共有フォルダの [すべてのユーザー] グループのアクセス権を [表示] に変更します。
- 会社全体が表示させたくないフォルダから [すべてのユーザー] を削除します。
構造のプランを作成する
特定のフォルダの表示と編集を許可するユーザーアクセスを構成する前にプランの概要を説明すれば、作業が容易になります。プロセスを進める際に変化をチェックする場所も用意されるため、戻ってさまざまなフォルダを確認する必要がありません。ユーザーをグループに配置すると、社内のさまざまな部門やチームのアクセスを管理できます。
最も一般的な設定方法は、部門やチームごとに1つのフォルダを設置することです。例えば、次のようにします。
- 共有フォルダ内に部門、チーム、プロジェクトのフォルダを作成します。このセクションでは、財務チームの例を使用します。
- CFO(または財務のメイン アナリスト)に、そのフォルダに対する [Manage Access, Edit] アクセス権を付与します。他のチームメンバーに閲覧権限を付与します。
- 編集可能なコンテンツ用と読み取り専用コンテンツ用の 2 つのサブフォルダを作成する。必要に応じて、プライベートコンテンツ用に3つ目のサブフォルダを追加します。
- 編集可能なコンテンツのサブフォルダで、Finance グループを使用して [Manage Access, Edit] アクセス権を財務チーム全体に付与します。Financeグループにこのレベルのアクセス権を付与すると、グループのメンバーすべてがそのサブフォルダ内のコンテンツを追加、削除、変更できます。
- 読み取り専用コンテンツのサブフォルダで、財務グループ全体への表示アクセス権を付与します。CFO は引き続き、このフォルダ内の [Manage Access, Edit] コンテンツにアクセスできます。これは、メインの [財務] フォルダからそのアクセス権を継承します。
- (省略可)限定公開のサブフォルダで、財務グループを完全に削除します。CFOだけがこのフォルダを表示し、そのコンテンツを管理できます。
グループを設定して、アクセス権限を細かく指定します。
コンテンツへのアクセスを制限する予定がある場合は、Looker グループを使用すると作業が大幅に簡略化されます。グループにはユーザーと同じ方法でフォルダやサブフォルダへのアクセス権を付与したり、グループに他のグループを含めたりできます。グループの構成方法については、グループページをご覧ください。
まず個別のサブフォルダへのアクセスを設定してから、共有フォルダ全体に対するアクセス権を設定するところまで進みます。アクセスはフォルダ階層の下位を経由するため、最も下のサブフォルダへのアクセス権を個別に操作するのが最も安全です。親レベルのフォルダに移動して、必要なアクセスレベルを設定し、下位レベルでの決定と矛盾しないようにします。
この例では、まず共有フォルダ内のサブフォルダを作成します。これらの設定は、[管理] パネルの [コンテンツ アクセス] で管理します。
共有フォルダ内の各フォルダを [A custom list of users] に設定し、コンテンツを編集できるグループとユーザーに Manage Access, Edit アクセス権を割り当てます。その後、読み取り専用権限を与えるグループとユーザーに View アクセス権を割り当てます。
前述のとおり、最上位の共有フォルダの設定を変更するまで、何も変更されません。「All Users」グループのアクセスレベルは、共有フォルダ内の「Manage Access, Edit」に設定され、サブフォルダは下に進みます。サブフォルダで対象グループのアクセスレベルを変更するまで、各サブフォルダの [すべてのユーザー] の設定は変更できません。
構成するフォルダをクリックし、[Manage Access] をクリックします。
共有フォルダの [すべてのユーザー] グループのアクセス権を [表示] に変更する
ここで変更が反映されます。必ずストラクチャの計画を参照してください。
まず、システム内のすべてのコンテンツに対する編集権限を全員に付与する場合を除き、共有フォルダの [アクセスを管理] をクリックします。{すべてのユーザーを Manage Access, Edit から View に変更します。
特定のサブフォルダのみを特定のグループに表示する場合は、次のセクションに進んでください。
表示させたくないフォルダから [すべてのユーザー] グループを削除する
特定のグループのユーザー グループに非公開にする場合は、戻ってアクセスレベルの右側にある X を使用して [すべてのユーザー] をそれらのフォルダから完全に削除します。これで、それらのフォルダは明示的に指定したグループやユーザーのみに表示されます。
クローズドシステムの設定
Looker のプライベート ラベルを適用する場合や、お客様に SSO 埋め込みを使用する予定がある場合は、クローズド システム オプションを有効にしてください。社内でのユースケースには、別のシステムを使用する必要があります。以下に説明する方法でシステムを完全に設定できるのは、Looker管理者のみです。
Looker には、次の変更が可能なクローズド システム オプションが用意されています。
- All Users グループを削除します。したがって、システムのすべてのユーザーを 1 つのグループとして参照する手段がなくなります。Looker 管理者が、以下のように、テナントまたはお客様ごとに 1 つのグループを作成する必要があります。この説明では、各お客様が企業であると仮定します。
- デフォルトで、すべてのユーザー フォルダが非公開にされます。ただし、ユーザーは自分のフォルダ内のコンテンツをグループの他のメンバーと共有することはできます。
同じグループを共有しない限り、ユーザーには他のユーザーが表示されなくなります。例えば、ユーザーがC社グループのメンバーである場合、そのユーザーに表示されるのはC社の他のメンバーのみで、A社とB社のメンバーは表示されません。
see_queries、see_schedules、see_usersの権限はすべて、管理パネルへのアクセスを提供し、クローズド システム オプションをオーバーライドします。つまり、see_queries、see_schedules、see_usersの 1 つ以上の権限を持っているユーザーは、関連付けられている管理パネルで会社 A、B、C のメンバーを確認できます。ホームページ: 最近表示したコンテンツは、Looker で他の会社の C メンバーとそのコンテンツのみを表示できる場所の例です。
クローズドシステムを設定する手順は、以下の通りです。
- クローズド システム オプションを尋ねる。
- ストラクチャを計画する。
- きめ細かいアクセス権を付与するようにグループを構成する。
- [Admin] パネルで閉じたシステムを有効にします。
- システムの各会社グループに、共有フォルダに対する表示アクセス権を付与します。
- 共有フォルダの各サブフォルダのアクセスレベルを構成する。
- コンテンツをサブフォルダに移行する。
この手順では、マルチテナント ユーザーのコンテンツが共有フォルダに現在格納されていないことを前提としています。クローズド システムの下でコンテンツをサイロ化し、顧客や他のグループが互いに表示できないようにするには、該当するコンテンツを共有フォルダから別のサブフォルダに移動してから、以下の手順を開始します。
クローズドシステムオプションを依頼する
インスタンスでクローズド システム オプションを有効にするようにリクエストするには、Looker アカウント マネージャーに連絡するか、Looker のヘルプセンターで [お問い合わせ] をクリックしてサポート リクエストを開きます。
構造のプランを作成する
プランを事前に設定していれば、システムのセットアップが非常に簡単になります。ここで次の2つの重要な点を考えます。
まず、会社ごとにグループを作成してください。会社グループは会社ごとにすべてのユーザーをまとめて関連付けたもので、各会社のユーザーを他の会社と分けて管理します。
次に、複数の会社が同じフォルダを参照する必要がある場合(たとえば、すべての会社に関連するダッシュボードの場合)と、会社ごとに最上位フォルダを 1 つ作成する場合(単一の会社にのみ適用される個別のコンテンツの場合)を検討します。
グループを設定して、アクセス権限を細かく指定します。
会社ごとに少なくとも 1 つのグループが必要ですが、そのグループ内にサブグループが存在する場合もあります。社内の一部のユーザーにコンテンツの編集と管理を許可し、それ以外のユーザーにはコンテンツの閲覧のみを許可する場合は、ユーザーの種類ごとに別々のサブグループを作成することをおすすめします。たとえば、包括的なグループとして「会社 A」を作成し、次に「会社 A」の編集者と会社 A の閲覧者という 2 つのサブグループを追加できます。
同じ会社に属するすべてのグループは、1つの最上位グループの下に置きます。
グループの構成方法については、グループに関するドキュメント ページをご覧ください。
管理パネルでクローズド システム オプションを有効にする
フォルダに対してアクセス制御を設定する前に、[クローズド システム] オプションを有効にすることをおすすめします。クローズド システム オプションを有効にすると、システムが変更されるからです(このページのクローズド システムの構成をご覧ください)。このオプションを有効にするには、Looker の [Admin] セクションの [General] パネルの [Settings] セクションに移動します。
各会社グループに、共有フォルダの[View]アクセス権限を付与する
共有フォルダの各企業グループに閲覧アクセス権を付与します。これにより、グループのメンバーは共有フォルダにアクセスして、所属する会社フォルダを確認できるようになります。共有フォルダへのアクセス権を閲覧できないグループの場合、そのグループ自体の会社用フォルダを閲覧することはできません。これらの設定は [管理] パネルの [コンテンツ アクセス] で管理します。
各サブフォルダのアクセスレベルの設定
アクセスレベルを設定して、各サブフォルダのコンテンツを閲覧または編集できるユーザーを指定します。サブフォルダはデフォルトでは親を選択するため、保護者が設定を行うまで設定にアクセスする。つまり、その共有フォルダへのアクセス権を表示している会社は、別のサブフォルダのコンテンツを閲覧できる可能性があります(ただし、そのサブフォルダへのアクセスを制限している場合を除く)。各サブフォルダを確認して、アクセスを適切に制限してください。
上記の例では、[ユーザーのカスタムリスト] を選択し、会社 A のコンテンツから会社 B を削除しました。B 社は、自社の A コンテンツが存在することを確認できません。
コンテンツをサブフォルダに移行する
ユーザーが自分のフォルダや他の個人用フォルダを表示できるようにする場合は、その個人用フォルダのコンテンツを、メインの共有階層内の適切なフォルダに移行することをお勧めします。