Différents niveaux d'accès au contenu déterminent quels utilisateurs peuvent afficher et modifier le contenu des dossiers Looker. Alors que les autorisations sont associées à un utilisateur en fonction de son rôle, l'accès au contenu est associé à un dossier et définit le niveau d'ouverture du dossier aux utilisateurs à différents niveaux.
Types d'accès aux dossiers
Deux niveaux d'accès peuvent être attribués à un utilisateur ou à un groupe pour un dossier donné.
Affichage: ce niveau d'accès permet à l'utilisateur de voir que le dossier existe, et de voir les looks et les tableaux de bord qu'il contient.
Gérer l'accès, modifier: ce niveau d'accès permet à un utilisateur d'effectuer toutes les opérations du niveau d'accès Afficher et d'apporter des modifications au dossier, par exemple:
- Modifier les styles et modifier les tableaux de bord dans le dossier
- Spécifier les utilisateurs et groupes d'utilisateurs autorisés à afficher ou à gérer le dossier
- Créer des sous-dossiers
- Renommer, déplacer et supprimer un dossier
- Copier et déplacer des styles et des tableaux de bord
- Supprimer des looks et des tableaux de bord
Systèmes d'accès aux dossiers ouverts et fermés
Les paramètres de Looker vous aident à structurer l'accès des utilisateurs en fonction des règles de votre entreprise et des types d'utilisateurs qui vont interagir avec vos dossiers. Le système que vous élaborez s'inscrit généralement dans l'une de ces trois vastes catégories : complètement ouvert, ouvert avec restrictions ou fermé.
| Niveau d'accès aux dossiers | Description | Utilisation recommandée |
|---|---|---|
| Complètement ouvert | Tous les utilisateurs peuvent consulter et modifier l'ensemble du contenu partagé. Il s'agit de la configuration par défaut de Looker. | Un système ouvert est recommandé pour les petites entreprises ou équipes qui utilisent Looker, les entreprises qui appliquent des politiques ouvertes en matière de données et les entreprises pour lesquelles le partage de rapports modifiables constitue un cadre d'utilisation principal. |
| Ouvert avec restrictions | L'accès au contenu partagé est restreint d'une certaine façon : soit de façon que certaines personnes puissent modifier certains contenus, soit de façon que certains contenus soient entièrement invisibles à certaines personnes. | Un système ouvert avec des restrictions est recommandé pour les équipes de taille moyenne ou grande, les entreprises dont la base d'utilisateurs est très diversifiée et où les rapports ne sont pas pertinents pour tout le monde, ou les entreprises qui souhaitent que tous les utilisateurs puissent accéder au contenu, mais que seuls quelques éditeurs puissent le modifier. |
| Fermée | Ce système, également appelé installation mutualisée, sépare le contenu en groupes distincts et empêche les utilisateurs issus de groupes différents d'avoir connaissance de l'existence des uns et des autres. | Pour protéger les informations privées de vos clients, nous vous recommandons vivement d'utiliser un système fermé pour les cas d'utilisation d'intégration de libellés privés et SSO. Les clients hébergent dans le système des clients qui peuvent provenir de différentes entreprises ou de différents groupes, et qui ne doivent pas se connaître. |
Une fois que vous aurez déterminé le type de système que vous souhaitez, cette page vous guidera à travers les étapes requises pour le configurer. Pour la configuration initiale, nous vous recommandons d'utiliser la section Accès au contenu du panneau Admin, car elle vous permet de modifier tous les dossiers.
Comment l'accès au dossier affecte-t-il ses sous-dossiers
Avant de décider de l'ouverture ou de la fermeture de votre système, vous devez comprendre l'impact de l'accès défini dans les dossiers parents sur leurs sous-dossiers, ainsi que ce que vous pouvez et ne pouvez pas modifier à des niveaux inférieurs de la hiérarchie.
| Type d'accès | Modèle d'héritage | Description |
|---|---|---|
| Manage Access, Edit | Se répercute dans la hiérarchie du dossier | Une fois que vous avez accordé à un utilisateur l'accès Gérer les droits d'accès et de modification dans un dossier, il conserve ce niveau d'accès à l'ensemble des looks, tableaux de bord et sous-dossiers de ce dossier. Vous ne pouvez pas verrouiller son accès à un niveau inférieur de la hiérarchie des dossiers. |
| View | Peut être supprimé à tout niveau inférieur de la hiérarchie du dossier | La suppression de l'accès Afficher au niveau du dossier révoque l'accès d'un utilisateur à ce dossier et à tout son contenu. Vous pouvez également supprimer le niveau d'accès Consultation à un niveau inférieur de la hiérarchie, pour empêcher les utilisateurs d'afficher des styles, tableaux de bord ou sous-dossiers spécifiques dans un dossier qui peut s'afficher. |
Les administrateurs Looker disposent d'un accès Gérer l'accès et Modifier pour tous les dossiers, et donc tout le contenu. Ils sont ainsi en mesure de gérer le système, d'éviter les contenus orphelins et d'aider tous les utilisateurs qui rencontrent un problème.
Configuration d'un système complètement ouvert
La configuration par défaut de Looker permet un accès entièrement ouvert à tous les dossiers. Le groupe Tous les utilisateurs est attribué à Gérer l'accès, Modifier au niveau du dossier partagé, et tous les sous-dossiers du dossier partagé héritent de cet accès. Pour gérer ce paramètre, accédez à la section Accès au contenu du panneau Admin:
Une fois qu'un utilisateur dispose de l'autorisation Gérer l'accès, Modifier sur un dossier, il dispose également de l'autorisation Gérer l'accès, Modifier sur tout le contenu du dossier, y compris tous les sous-dossiers. Cela signifie qu'il n'existe aucune restriction dans ce système en matière d'accès au contenu.
Des dossiers personnels disposant également de paramètres par défaut existent dans une hiérarchie distincte. Le groupe Tous les utilisateurs est défini sur Affichage pour tous les dossiers personnels, et chaque utilisateur détermine s'il souhaite rendre son dossier privé ou non:
Configuration d'un système ouvert avec restrictions
Vous devez être administrateur Looker pour pouvoir configurer entièrement votre système tel que décrit ci-dessous.
Les étapes suivantes vous aideront à configurer un système ouvert avec restrictions :
- Élaborez votre structure.
- Configurez des groupes pour fournir un accès précis.
- Modifiez l'accès du groupe Tous les utilisateurs à Afficher dans le dossier partagé.
- Supprimez Tous les utilisateurs des dossiers dont vous ne souhaitez pas autoriser la consultation par l'ensemble de l'entreprise.
Planifier votre structure
À qui souhaitez-vous autoriser la consultation et la modification de dossiers spécifiques ? Pour vous simplifier la tâche, vous pouvez dessiner votre plan avant de commencer à configurer l'accès. Cela vous permet également de cocher les modifications au fur et à mesure du processus. Ainsi, vous n'avez pas besoin de revenir en arrière pour vérifier les différents dossiers. En regroupant les utilisateurs dans des groupes, vous pourrez gérer plus facilement l'accès des différents services ou équipes de votre entreprise.
L'une des configurations les plus communes consiste à mettre à disposition un dossier par service ou équipe de la façon suivante :
- Dans votre dossier partagé, créez un dossier pour un service, une équipe ou un projet. Prenons l'exemple d'une équipe financière dans cette section.
- Accordez au directeur financier ou à l'analyste principal de la finance l'autorisation Gérer l'accès, modifier pour ce dossier. Accordez au reste de l'équipe un accès en lecture.
- Créez deux sous-dossiers: un pour le contenu modifiable et un pour le contenu en lecture seule. Le cas échéant, ajoutez un troisième sous-dossier pour le contenu privé.
- Dans le sous-dossier relatif au contenu modifiable, accordez à l'ensemble de l'équipe financière le droit d'accès Gérer les droits de modification à l'aide d'un groupe Finance. Dès que vous octroyez ce niveau d'accès au groupe Finance, tous ses membres peuvent ajouter, supprimer ou modifier le contenu dans ce sous-dossier.
- Dans le sous-dossier "Contenu en lecture seule", accordez un accès en lecture à l'ensemble du groupe Finance. Le directeur financier peut toujours gérer l'accès et modifier le contenu de ce dossier, car il hérite de cet accès du dossier "Finance" principal.
- Dans le sous-dossier privé (optionnel), supprimez complètement le groupe Finance. Seul le directeur financier peut consulter ce dossier ou gérer son contenu.
Configurer des groupes pour attribuer des accès granulaires
Si vous envisagez de restreindre l'accès à un contenu, les groupes Looker vous simplifient la tâche. Les groupes peuvent se voir octroyer un accès à des dossiers et sous-dossiers de la même façon que les utilisateurs, et ils peuvent également contenir d'autres groupes. Pour en savoir plus sur la configuration des groupes, consultez la page Groupes.
Commencez par définir l'accès à des sous-dossiers individuels, puis configurez l'accès à l'ensemble du dossier partagé. Étant donné que l'accès s'effectue dans la hiérarchie des dossiers, il est plus sûr de commencer par manipuler l'accès aux sous-dossiers les plus bas un par un. Ensuite, vous pouvez passer d'un dossier à un autre, en lui attribuant le niveau d'accès souhaité et en vous assurant que vos modifications n'entrent pas en conflit avec les décisions prises aux niveaux inférieurs.
Dans cet exemple, nous allons commencer par les sous-dossiers du dossier partagé. Vous pouvez gérer ces paramètres dans la section Accès au contenu du panneau Admin.
Définissez chaque dossier du dossier partagé sur Une liste personnalisée d'utilisateurs et attribuez un accès Gérer l'accès, Modifier aux groupes et aux utilisateurs que vous souhaitez pouvoir modifier du contenu, puis attribuez un accès en lecture aux groupes et aux utilisateurs que vous souhaitez avoir un accès en lecture seule:
Tel qu'indiqué ci-dessus, aucune configuration n'est effective tant que vous n'avez pas modifié les paramètres du dossier partagé de niveau supérieur. Le niveau d'accès du groupe Tous les utilisateurs est défini sur Gérer les droits d'accès et de modification dans le dossier partagé. Il permet de parcourir tous les sous-dossiers individuels. Vous ne pouvez pas modifier les paramètres de Tous les utilisateurs dans des sous-dossiers individuels tant que le niveau d'accès de ce groupe n'a pas été modifié dans le dossier partagé.
Cliquez sur le dossier que vous souhaitez configurer, puis sur Manage Access (Gérer l'accès) :
Définissez l'accès du groupe Tous les utilisateurs sur Afficher dans le dossier partagé.
C'est à ce moment-là que vos modifications deviennent effectives. N'oubliez pas de consulter le plan de votre structure.
Tout d'abord, à moins que vous ne souhaitiez autoriser tous les utilisateurs à modifier tout le contenu de votre système, cliquez sur Gérer l'accès pour le dossier partagé{ et remplacez Tous les utilisateurs par Gérer l'accès, modifier par Afficher:
Ensuite, si votre plan ne concerne que certains sous-dossiers, passez à la section suivante.
Supprimez le groupe Tous les utilisateurs des dossiers dont vous ne souhaitez pas autoriser la consultation.
Si vous souhaitez rendre certains dossiers privés d'un certain sous-groupe d'utilisateurs, revenez en arrière et supprimez complètement Tous les utilisateurs de ces dossiers à l'aide de l'icône X à droite de son niveau d'accès. Ces dossiers s'afficheront seulement aux groupes et aux utilisateurs que vous aurez expressément répertoriés :
Configuration d'un système fermé
Activez l'option Closed System uniquement si vous prévoyez d'utiliser l'étiquette privée Looker ou si vous utilisez l'intégration SSO pour vos clients. Un système différent doit être utilisé pour les utilisations internes. Vous devez être administrateur Looker pour pouvoir configurer entièrement votre système tel que décrit ci-dessous.
Looker propose une option Closed System qui permet d'effectuer les modifications suivantes:
- Supprime le groupe Tous les utilisateurs. Aucun moyen de faire référence à tous les utilisateurs du système en tant que groupe ne sera possible. À la place, les administrateurs Looker devront créer un groupe par locataire ou par client, tel qu'indiqué ci-dessous. Pour cette discussion, nous partons du principe que chaque client est une entreprise.
- Elle rend tous les dossiers utilisateurs privés par défaut. Les utilisateurs ont toujours la possibilité de partager du contenu dans leurs dossiers avec d'autres membres de leurs groupes.
Elle empêche les utilisateurs de voir les autres utilisateurs, sauf s'ils partagent un groupe. Ainsi, si un utilisateur est membre du groupe de la Company C, il pourra seulement voir les autres membres de la Company C. Les membres de la Company A et de la Company B seront invisibles.
Les autorisations
see_queries,see_schedulesetsee_usersdonnent toutes accès à un panneau Administrateur et remplacent l'option Système fermé. Ainsi, si un utilisateur possède une ou plusieurs des autorisationssee_queries,see_schedulesousee_users, il pourra voir les membres des sociétés A, B et C dans le panneau Admin associé.La page Accueil: contenu récemment consulté est un exemple d'emplacement dans Looker où cet utilisateur ne verra que les autres membres de l'entreprise C et leur contenu.
Ces étapes vous aideront à configurer un système fermé :
- Demandez l'option Système fermé.
- Élaborez votre structure.
- Configurez des groupes pour fournir un accès précis.
- Activez le système fermé dans le panneau Admin.
- Accordez à chaque groupe d'entreprise de votre système un accès en lecture au dossier partagé.
- Configurez les niveaux d'accès pour chaque sous-dossier des dossiers partagés.
- Migrer du contenu dans des sous-dossiers.
Cette procédure suppose qu'aucun contenu destiné aux utilisateurs mutualisés n'est actuellement hébergé dans les dossiers partagés. Pour cloisonner le contenu dans un système fermé et empêcher les clients ou d'autres groupes de se voir, déplacez ce contenu du dossier partagé vers des sous-dossiers distincts avant de commencer les étapes ci-dessous.
Demander l'option Closed System
Pour demander l'activation de l'option Closed System pour votre instance, contactez votre responsable de compte Looker ou ouvrez une demande d'assistance dans le Centre d'aide de Looker en cliquant sur Nous contacter.
Planifier votre structure
La configuration de votre système sera bien plus simple si vous avez défini votre plan à l'avance. Il convient de réfléchir à deux axes principaux :
Veillez d'abord à créer un groupe par entreprise. Un groupe d'entreprise regroupe tous les utilisateurs de chaque entreprise et sépare ces utilisateurs des autres entreprises.
Ensuite, déterminez si vous souhaitez que plusieurs entreprises consultent le même dossier (par exemple, pour les tableaux de bord pertinents pour toutes les entreprises) ou si vous souhaitez un dossier de premier niveau pour chaque entreprise (pour un contenu distinct qui ne s'applique qu'à une seule entreprise).
Configurer des groupes pour attribuer des accès granulaires
Tandis qu'il convient de créer au moins un groupe par entreprise, des sous-groupes peuvent également être créés au sein de ce groupe. Si vous souhaitez autoriser certains utilisateurs d'une entreprise à modifier et à gérer le contenu, et seulement autoriser les autres à consulter le contenu, nous vous recommandons de créer des sous-groupes distincts pour les différents types d'utilisateurs. Par exemple, vous pouvez commencer par créer Groupe A comme groupe central, puis ajouter deux sous-groupes: Éditeurs de l'entreprise A et Lecteurs de l'entreprise A:
Tous les groupes appartenant à une même entreprise doivent être hébergés sous un seul groupe de coordination.
Pour en savoir plus sur la configuration des groupes, consultez la page de documentation Groupes.
Activez l'option "Closed System" dans le panneau Admin.
Il est préférable d'activer l'option Système fermé avant de configurer les contrôles d'accès aux dossiers, car l'option Système fermé modifie votre système. Pour en savoir plus, consultez la section Configurer un système fermé de cette page. Pour activer cette option, accédez à la section Settings (Paramètres) du panneau General (Général) de la section Admin de Looker:
Octroyer un accès Vue au dossier partagé à chaque groupe d'entreprise
Accordez à chaque groupe d'entreprise un accès en lecture aux dossiers partagés. Les membres de ces groupes peuvent ainsi accéder au dossier partagé et voir le dossier de leur propre entreprise. Si un groupe ne dispose pas de l'accès Consultation aux dossiers partagés, il ne peut pas voir les dossiers de sa propre entreprise. Pour gérer ces paramètres, accédez à la section Accès au contenu du panneau Admin:
Configurer des niveaux d'accès à chaque sous-dossier
Configurez des niveaux d'accès de façon à définir qui peut consulter ou modifier le contenu dans chaque sous-dossier. Les sous-dossiers sont définis par défaut sur les paramètres d'accès de leurs parents jusqu'à ce que vous les modifiiez. Cela signifie qu'une entreprise disposant d'un affichage du dossier partagé peut afficher le contenu du sous-dossier d'une autre entreprise, sauf si vous restreignez l'accès à ce sous-dossier. Passez en revue chaque sous-dossier et limitez l'accès de façon appropriée :
Dans l'exemple ci-dessus, nous avons sélectionné Une liste personnalisée d'utilisateurs et la société B a été supprimée du contenu de la société A. L'entreprise B ne peut pas voir que le contenu de l'entreprise existe.
Migrer le contenu vers des sous-dossiers
Si votre entreprise a autorisé des utilisateurs à consulter leur propre dossier et d'autres dossiers personnels, nous vous recommandons de migrer le contenu de ces dossiers personnels vers les dossiers appropriés de la hiérarchie du dossier principal.