Los diferentes niveles de acceso al contenido determinan qué usuarios pueden ver y editar el contenido en las carpetas de Looker. Mientras que los permisos están asociados a un usuario según la función de esa persona, el acceso de contenido está asociado a una carpeta y define qué tan abierta está la carpeta para los usuarios en varios niveles.
Tipos de acceso a las carpetas
Existen dos niveles de acceso que se pueden asignar a un usuario o un grupo para una carpeta determinada.
Ver: Con este nivel de acceso, el usuario puede ver que la carpeta existe y ver los estilos y paneles dentro de ella.
Administrar acceso, editar: Este nivel de acceso le permite a un usuario hacer todo lo que hace el nivel de acceso Ver, además de realizar cambios en la carpeta, como los siguientes:
- Editar apariencias y editar paneles en la carpeta
- Cómo especificar qué usuarios y grupos de usuarios pueden ver o administrar la carpeta
- Crea subcarpetas
- Cómo cambiar el nombre de una carpeta, moverla y borrarla
- Copia y mueve la apariencia y los paneles
- Cómo borrar la apariencia y los paneles
Sistemas de acceso abierto y cerrado a carpetas
La configuración de Looker te ayudará a estructurar el acceso de los usuarios según las políticas de tu empresa y los tipos de usuarios que interactuarán con tus carpetas. En general, el sistema que diseñas pertenece a una de tres categorías amplias: completamente abierto, abierto con restricciones o cerrado.
| Nivel de acceso a las carpetas | Descripción | Uso recomendado |
|---|---|---|
| Totalmente abierto | Todos los usuarios pueden ver y modificar todo el contenido compartido. Esta es la configuración predeterminada de Looker. | Se recomienda un sistema abierto para empresas pequeñas o equipos que usan Looker, empresas con políticas abiertas sobre datos y empresas en las que compartir informes editables es un caso práctico principal. |
| Abrir con restricciones | El acceso al contenido compartido está restringido de alguna manera, ya sea para que solo ciertas personas puedan editar cierto contenido o para que cierto contenido sea completamente invisible para ciertas personas. | Se recomienda un sistema abierto con restricciones para equipos y empresas medianas o grandes, bases de usuarios muy diversas en las que los informes no son relevantes para todos o empresas que desean que el contenido sea visible para todos, pero que solo unos pocos puedan editarlo. |
| Cerrada | Este sistema, también llamado instalación multiusuario, aísla el contenido para determinados grupos y evita que los usuarios de grupos diferentes se conozcan. | Para proteger la información privada de tus clientes, te recomendamos que uses un sistema cerrado para casos de uso de etiquetas privadas y SSO en el que los clientes alojen en el sistema a los clientes que puedan pertenecer a diferentes empresas o grupos y que no deben conocerse entre sí. |
Una vez que determine el tipo de sistema que desea, esta página le indicará los pasos para configurarlo. Para la configuración inicial, recomendamos usar la sección Acceso a contenido del panel Administrador, ya que es el único lugar para realizar cambios en cada carpeta.
Cómo el acceso a una carpeta afecta sus subcarpetas
Antes de decidir qué tan abierta o cerrada quiere que sea el sistema, es importante comprender cómo el acceso que establezcas en las carpetas superiores afectará a sus subcarpetas, así como qué puedes y qué no puedes cambiar en los niveles inferiores de la jerarquía.
| Tipo de acceso | Patrón de herencia | Descripción |
|---|---|---|
| Administrar acceso, editar | Flujos hacia abajo en la jerarquía de carpetas | Una vez que le otorgues a un usuario acceso para administrar el acceso y editar en una carpeta, mantendrá ese nivel de acceso en todos los paneles, paneles y subcarpetas de esa carpeta. No podrás bloquear su acceso en una parte inferior de la jerarquía de la carpeta. |
| Vista | Se puede quitar en cualquier momento en la jerarquía de carpetas. | Si quitas el acceso de Ver a nivel de carpeta, se revocará la capacidad del usuario de ver esa carpeta y todo su contenido. También puedes quitar el acceso de Ver en cualquier punto inferior de la jerarquía para restringir a los usuarios la visualización de paneles, subcarpetas o subcarpetas específicas dentro de una carpeta visible de otra manera. |
Los administradores de Looker tienen acceso para administrar acceso y editar todas las carpetas y, por lo tanto, todo el contenido. Esto garantiza su capacidad para administrar el sistema, evitar contenido huérfano y ayudar a cualquier usuario que tenga problemas.
Configura un sistema completamente abierto
La configuración predeterminada de Looker permite el acceso completamente abierto a todas las carpetas. El grupo Todos los usuarios está asignado a Administrar acceso, Editar en la carpeta compartida, y todas las subcarpetas dentro de la carpeta compartida heredarán ese acceso de ella. Administra esta configuración desde la sección Acceso a contenido del panel Administrador:
Una vez que un usuario tiene acceso de administración de acceso, edición a una carpeta, también tiene acceso de administración de acceso, edición a todo el contenido de esa carpeta, incluidas las subcarpetas que contiene. Esto significa que no hay restricciones en el acceso al contenido en este sistema.
Las carpetas personales existen en una jerarquía independiente y también tienen una configuración predeterminada. El grupo Todos los usuarios está configurado en Ver en todas las carpetas personales y cada usuario determina si desea que su carpeta sea privada o no:
Configura un sistema abierto con restricciones
Debes ser administrador de Looker para configurar tu sistema por completo como se describe aquí.
Estos pasos te ayudarán a configurar un sistema abierto con restricciones:
- Planifica la estructura.
- Configura grupos para proporcionar acceso detallado.
- Cambia el acceso del grupo Todos los usuarios a Ver en la carpeta compartida.
- Quita todos los usuarios de cualquier carpeta que no desees que vea toda la empresa.
Planifica la estructura
¿Quién deseas permitir ver y editar carpetas específicas? Simplificará su vida si crea su plan antes de comenzar a configurar el acceso. Esto también te permite revisar los cambios a medida que avanzas en el proceso, de modo que no tengas que revisar varias carpetas. Colocar a los usuarios en grupos lo ayudará a administrar el acceso para diferentes departamentos o equipos dentro de su empresa.
Una de las configuraciones más comunes es tener una carpeta por departamento o equipo, que se ve de la siguiente manera:
- En la carpeta Compartidos, crea una carpeta para un departamento, equipo o proyecto. En esta sección, usaremos el ejemplo de un equipo de finanzas.
- Otorgue al director financiero (o al analista principal de Finanzas) acceso de administración de acceso y edición en esa carpeta. Otorgue acceso de vista al resto del equipo.
- Crea dos subcarpetas: una para el contenido editable y otra para el contenido de solo lectura. Si es necesario, agrega una tercera subcarpeta para el contenido privado.
- En la subcarpeta para contenido editable, otorgue acceso de administración de acceso y edición a todo el equipo de Finanzas mediante un grupo de Finanzas. Una vez que le otorgues al grupo de Finanzas ese nivel de acceso, todos sus miembros podrán agregar, borrar o cambiar el contenido de esa subcarpeta.
- En la subcarpeta para contenido de solo lectura, otorga acceso de vista a todo el grupo de finanzas. El director financiero aún puede administrar el acceso, editar y editar el contenido de esta carpeta porque hereda ese acceso de la carpeta principal de Finanzas.
- En la subcarpeta privada (opcional), quita el grupo de Finanzas por completo. Solo el director financiero puede ver esta carpeta o administrar su contenido.
Configura grupos para proporcionar acceso detallado
Si planeas restringir el acceso al contenido, los grupos de Looker facilitan las cosas. Los grupos pueden obtener acceso a las carpetas y subcarpetas de la misma manera que a los usuarios, y los grupos pueden contener otros grupos. Para obtener información sobre cómo configurar grupos, consulte la página Grupos.
Primero, establece el acceso a las subcarpetas individuales y, luego, configura el acceso a toda la carpeta compartida. Debido a que el acceso fluye hacia abajo en la jerarquía de las carpetas, es más seguro manipular el acceso a las subcarpetas más bajas de forma individual. Luego, podrás avanzar por las carpetas de nivel superior, darles el nivel de acceso que desees y asegurarte de que tus cambios no entren en conflicto con las decisiones que tomaste en los niveles inferiores.
En este ejemplo, comenzaremos con las subcarpetas dentro de la carpeta compartida. Administra esta configuración desde la sección Acceso a contenido del panel Administrador.
Establezca cada carpeta dentro de la carpeta Compartidos en Una lista personalizada de usuarios y asigne acceso de administración de acceso, edición a los grupos y usuarios que desea que puedan editar contenido y, luego, asigne acceso de lectura a los grupos y usuarios a los que desee otorgar acceso de solo lectura:
Como se mencionó anteriormente, hasta que cambie la configuración de la carpeta compartida de nivel superior, no se hará nada. El nivel de acceso del grupo Todos los usuarios está establecido en Administrar acceso, Editar en la carpeta compartida y fluye a través de todas las subcarpetas individuales. No se puede modificar la configuración de Todos los usuarios de las subcarpetas individuales hasta que se modifique el nivel de acceso del grupo en la carpeta compartida.
Haga clic en la carpeta que desea configurar y, luego, en Administrar acceso:
Cambiar el acceso de Todos los usuarios al grupo Ver en la carpeta compartida
Es el momento en el que se activan los cambios. Recuerda consultar el plan de estructura.
Primero, a menos que quiera que todos tengan acceso de edición a todo el contenido de su sistema, haga clic en Administrar acceso para la carpeta compartida{ y cambie Todos los usuarios de Administrar acceso, Editar a Ver:
Luego, si tu plan es mostrar ciertas subcarpetas solo a ciertos grupos, continúa con la siguiente sección.
Quita el grupo Todos los usuarios de las carpetas que no deseas ver.
Si quieres que algunas carpetas sean privadas para un subgrupo de usuarios determinado, regresa y quita completamente Todos los usuarios de esas carpetas. Para ello, utiliza la X que aparece a la derecha de su nivel de acceso. Ahora esas carpetas solo aparecerán para los grupos y los usuarios que usted indique explícitamente:
Configura un sistema cerrado
Habilita la opción de sistema cerrado solo si planeas etiquetar de forma privada Looker o usar SSO incorporado para tus clientes. Los casos de uso internos deberían usar un sistema diferente. Debes ser administrador de Looker para configurar tu sistema por completo como se describe a continuación.
Looker ofrece una opción de sistema cerrado que realiza los siguientes cambios:
- Quita el grupo Todos los usuarios. No habrá manera de referirse a todos los usuarios del sistema como un grupo. En cambio, los administradores de Looker deben crear un grupo por usuario o cliente, como se explica a continuación. En este debate, supondremos que cada cliente es una empresa.
- Establece todas las carpetas de usuario como privadas de forma predeterminada. Los usuarios aún pueden elegir compartir contenido en sus carpetas con otros miembros de sus grupos.
Impide que los usuarios vean a otros usuarios, a menos que compartan un grupo. Por lo tanto, si un usuario es miembro del grupo de la empresa C, dicho usuario solo verá a los miembros de la empresa C y no a las empresas A y B.
Los permisos
see_queries,see_schedulesysee_usersbrindan acceso a un panel Administrador y anulan la opción Sistema cerrado. Por lo tanto, si un usuario tiene uno o más de los permisossee_queries,see_schedulesosee_users, podrá ver los miembros de las empresas A, B y C en el panel Administrador asociado.La página principal: Contenido visto recientemente es un ejemplo de un lugar en Looker donde ese usuario solo verá a otros miembros de la empresa C y su contenido.
Estos pasos te ayudarán a configurar un sistema cerrado:
- Solicita la opción Sistema cerrado.
- Planifica la estructura.
- Configura grupos para proporcionar acceso detallado.
- Habilita el sistema cerrado en el panel Administrador.
- Otorgue a cada grupo de empresas de su sistema acceso de vista para la carpeta compartida.
- Configura los niveles de acceso para cada subcarpeta de las carpetas compartidas.
- Migra el contenido a subcarpetas.
En estos pasos, se supone que, por el momento, no hay contenido para usuarios multiusuario en las carpetas compartidas. Para aislar el contenido en un sistema cerrado y evitar que los clientes y otros grupos se vean entre sí, mueve el contenido fuera de la carpeta compartida y hacia subcarpetas separadas antes de comenzar con los siguientes pasos.
Solicitar la opción de sistema cerrado
Para solicitar que la opción Sistema cerrado esté habilitada en tu instancia, haz clic en Comunícate con nosotros para comunicarte con el administrador de cuentas de Looker o abrir una solicitud de asistencia en el Centro de ayuda de Looker.
Planifica la estructura
Facilita la configuración del sistema si lo configuraste con anticipación. Hay dos áreas principales en las que debe pensar:
Primero, asegúrate de crear un grupo para cada empresa. Un grupo de empresas asocia a todos los usuarios de cada empresa y los mantiene separados de otras empresas.
En segundo lugar, considera si deseas que varias empresas busquen la misma carpeta (por ejemplo, en el caso de los paneles de control que sean relevantes para todas las empresas) o si deseas tener una carpeta de nivel superior para cada empresa (en el caso de contenido distinto que se aplique solo a una empresa).
Configura grupos para proporcionar acceso detallado
Si bien debe haber al menos un grupo por empresa, también puede haber subgrupos. Si desea permitir que algunos usuarios de una empresa editen y administren contenido y que solo otros vean el contenido, le recomendamos que cree subgrupos independientes para los diferentes tipos de usuarios. Por ejemplo, para comenzar, puedes crear la Empresa A como el grupo general y, luego, agregar dos subgrupos: Editores de la Empresa A y Visualizadores de la Empresa A:
Todos los grupos que pertenecen a una empresa individual deben estar alojados en un grupo general.
Para obtener información sobre cómo configurar grupos, consulte la página de documentación de Grupos.
Habilita la opción Closed System en el panel Admin
Es mejor habilitar la opción Closed System antes de configurar los controles de acceso en las carpetas, ya que habilitar la opción Closed System realiza cambios en el sistema (consulta la introducción de Configuración de un sistema cerrado en esta página). Para habilitar la opción, ve a la sección Configuración del panel General en la sección Administrador de Looker:
Otorgar a cada grupo de empresas acceso de lectura para la carpeta compartida
Otorgar acceso de lectura a cada grupo de empresas para las carpetas compartidas. Esto permite que los miembros de esos grupos accedan a la carpeta compartida y vean la carpeta de su propia empresa. Si un grupo no tiene acceso de lectura a las carpetas compartidas, no podrá ver las carpetas de su propia empresa. Administra esta configuración desde la sección Acceso a contenido del panel Administrador:
Configurar los niveles de acceso para cada subcarpeta
Establece niveles de acceso para establecer quién puede ver o editar el contenido de cada subcarpeta. De forma predeterminada, las subcarpetas se establecen en la configuración superior de los padres hasta que las cambies. Esto significa que una empresa con acceso de lectura a la carpeta compartida podría ver el contenido de la subcarpeta de otra empresa, a menos que restrinjas el acceso a esa subcarpeta. Revisa cada subcarpeta y restringe el acceso según corresponda:
En el ejemplo anterior, seleccionamos Una lista personalizada de usuarios y la empresa B se quitó del contenido de la empresa A. La empresa B no puede ver si el contenido de la empresa existe.
Cómo migrar contenido a subcarpetas
Si su empresa permitió que los usuarios vieran su propia carpeta y otras carpetas personales, le recomendamos que migre todo el contenido de esas carpetas personales a las carpetas correspondientes de la jerarquía compartida principal.