Projetar e configurar um sistema de níveis de acesso

Diferentes níveis de acesso ao conteúdo determinam quais usuários podem ver e editar o conteúdo em pastas do Looker. Enquanto as permissões são associadas a um usuário de acordo com a função dessa pessoa, o acesso ao conteúdo é associado a uma pasta e define a abertura da pasta para os usuários em vários níveis.

Tipos de acesso a pastas

Existem dois níveis de acesso que podem ser atribuídos a um usuário ou grupo para qualquer pasta.

Ver: com este nível de acesso, um usuário pode ver que a pasta existe e ver a aparência e os painéis dentro dela.

Gerenciar acesso e editar: este nível de acesso permite que o usuário faça tudo o que o nível de acesso Ver faz, além de fazer alterações na pasta, como:

• Editar aparência e editar painéis na pasta
• Especificar quais usuários e grupos de usuários podem ver ou gerenciar a pasta
• Como criar subpastas
• Renomear, mover e excluir uma pasta
• Copiar e mover aparências e painéis
• Como excluir aparências e painéis

Sistemas abertos e fechados de acesso a pastas

As configurações do Looker ajudarão você a estruturar o acesso dos usuários com base nas políticas da sua empresa e nos tipos de usuários que interagirão com suas pastas. Em geral, o sistema que você enquadra se enquadra em uma destas três categorias amplas: completamente aberto, aberto com restrições ou fechado.

Nível de acesso às pastas	Descrição	Uso recomendado
Totalmente aberto	Todos os usuários podem ver e modificar o conteúdo compartilhado. Esta é a configuração padrão do Looker.	Recomendamos um sistema aberto para pequenas empresas ou equipes que usam o Looker, empresas com políticas abertas sobre dados e empresas em que o compartilhamento de relatórios editáveis é o principal caso de uso.
Aberto com restrições	O acesso a conteúdo compartilhado é restrito de alguma forma, para que somente algumas pessoas possam editar determinado conteúdo ou para que certos conteúdos sejam totalmente invisíveis para pessoas específicas.	Recomendamos um sistema aberto com restrições para equipes e empresas de tamanho médio ou maior, bases de usuários altamente diversificadas, em que os relatórios não são relevantes para todos ou empresas que querem que o conteúdo seja visível para todos, mas que possa ser editado por apenas alguns.
Fechada	Também chamado de instalação multilocatária, esse sistema isola o conteúdo para determinados grupos e impede que usuários de diferentes grupos conheçam uns aos outros.	Para proteger as informações particulares dos clientes, recomendamos o uso de um sistema fechado para casos de uso de marca própria e incorporação de SSO em que os clientes hospedam clientes no sistema que sejam de diferentes empresas ou grupos e que não precisem conhecer uns aos outros.

Depois de determinar o tipo de sistema, você verá as etapas para configurá-lo. Para a configuração inicial, recomendamos usar a seção Acesso ao conteúdo do painel Administrador, já que ela é um local único para fazer alterações em cada pasta.

Como o acesso a uma pasta afeta as subpastas

Antes de decidir se você quer que o sistema seja aberto ou fechado, é importante entender como o acesso definido nas pastas mãe afeta as subpastas e o que você pode fazer ou não em níveis inferiores na hierarquia.

Tipo de acesso	Padrão de herança	Descrição
Gerenciar acesso, editar	Fluxo para baixo na hierarquia de pastas	Depois que você concede ao usuário acesso a Gerenciar acesso e editar em uma pasta, ele mantém esse nível de acesso a todos os acessos, painéis e subpastas nessa pasta. Não vai ser possível bloquear o acesso em uma parte inferior da hierarquia de pastas.
Ver	Pode ser removido a qualquer momento para baixo da hierarquia de pastas	Remover o acesso Ver no nível da pasta revoga a capacidade do usuário de ver a pasta e todo o conteúdo dela. Também é possível remover o acesso a Ver em qualquer ponto na hierarquia para impedir que os usuários vejam aparências, painéis ou subpastas específicos em uma pasta que pode ser visualizada.

Os administradores do Looker têm acesso de gerenciamento de edição para todas as pastas e, portanto, para todo o conteúdo. Isso garante a capacidade de gerenciar o sistema, evitar conteúdo órfão e ajudar qualquer usuário que tenha problemas.

Configurar um sistema completamente aberto

A configuração padrão do Looker permite acesso completamente aberto a todas as pastas. O grupo Todos os usuários é atribuído à seção Gerenciar acesso, Editar na pasta "Compartilhados". Todas as subpastas dentro da "Pasta compartilhada" herdam o acesso desse grupo. Gerencie essa configuração na seção Acesso ao conteúdo do painel Administrador:

Quando um usuário tem acesso para gerenciar, editar uma pasta, ele também tem acesso para gerenciar o acesso e editar todo o conteúdo nessa pasta, incluindo todas as subpastas dela. Isso significa que não há restrições de acesso ao conteúdo no sistema.

As pastas pessoais existem em uma hierarquia separada e também têm configurações padrão. O grupo Todos os usuários está definido como Ver em todas as pastas pessoais, e cada usuário determina se a pasta será particular ou não:

Como configurar um sistema aberto com restrições

Você precisa ser um administrador do Looker para configurar totalmente seu sistema da maneira descrita aqui.

Estas etapas ajudarão você a configurar um sistema aberto com restrições:

1. Planeje sua estrutura.
2. Configure grupos para ter acesso granular.
3. Altere o acesso do grupo Todos os usuários a Ver na pasta compartilhada.
4. Remova Todos os usuários das pastas que você não quer que sejam visíveis para toda a empresa.

Planeje sua estrutura

Quem você quer permitir que veja e edite pastas específicas? Isso facilitará sua vida se você criar o plano antes de começar a configurar o acesso. Isso também dá um lugar para que você marque as alterações ao longo do processo, para que não precise voltar para verificar muitas pastas. Colocar os usuários em grupos ajuda a gerenciar o acesso de diferentes departamentos ou equipes da empresa.

Uma das configurações mais comuns é ter uma pasta por departamento ou equipe, que tem esta aparência:

• Na sua pasta compartilhada, crie uma pasta para um departamento, equipe ou projeto. Usaremos o exemplo de uma equipe de finanças nesta seção.
• Conceda ao CFO (ou analista principal do Google Finance) o acesso de Gerenciar acesso e Editar nessa pasta. Conceda acesso de visualização ao restante da equipe.
• Crie duas subpastas: uma para conteúdo editável e outra para conteúdo somente leitura. Se necessário, adicione uma terceira subpasta para conteúdo privado.
• Na subpasta de conteúdo editável, permita o acesso Gerenciar acesso e edição a toda a equipe financeira com um grupo de finanças. Depois que você conceder ao grupo do Google Finance esse nível de acesso, todos os membros poderão adicionar, excluir ou alterar o conteúdo nessa subpasta.
• Na subpasta de conteúdo somente leitura, conceda acesso de visualização a todo o grupo financeiro. O CFO ainda pode gerenciar o acesso e editar o conteúdo nessa pasta porque ela herda esse acesso da pasta principal de finanças.
• Na subpasta particular (opcional), remova o grupo Financeiro completamente. Apenas o CFO pode ver esta pasta ou gerenciar o conteúdo dela.

Configurar grupos para ter acesso granular

Se você planeja restringir o acesso ao conteúdo, os grupos do Looker facilitam muito. Os grupos podem receber acesso a pastas e subpastas da mesma forma que os usuários, e os grupos podem conter outros grupos. Para saber como configurar grupos, consulte a página "Grupos".

Primeiro defina o acesso a subpastas individuais e depois defina o acesso para toda a pasta compartilhada. Como o acesso flui para baixo na hierarquia de pastas, é mais seguro começar manipulando o acesso às subpastas individualmente. Em seguida, você pode mover por pastas no nível do pai, dando a elas o nível de acesso desejado e garantindo que as alterações não entrem em conflito com decisões tomadas nos níveis inferiores.

Neste exemplo, vamos começar com as subpastas dentro da pasta "Shared". Gerencie essas configurações na seção Acesso ao conteúdo do painel Administrador.

Defina cada pasta da pasta compartilhada como Uma lista personalizada de usuários e atribua o acesso para gerenciar o acesso, editar aos grupos e usuários que você quer editar. Em seguida, atribua o acesso de visualização aos grupos e usuários que você quer ter acesso para ler:

Como mencionado acima, nada mudará em vigor até você alterar as configurações da pasta compartilhada de nível superior. O nível de acesso do grupo All Users está definido como Manage Access, Edit na pasta "Shared" e flui para baixo em todas as subpastas individuais. Não é possível modificar as configurações de Todos os usuários em subpastas individuais até que o nível de acesso do grupo seja alterado na pasta "Compartilhados".

Clique na pasta que você quer configurar e em Gerenciar acesso:

Altere o acesso do grupo Todos os usuários a Ver na pasta "Compartilhados".

É quando suas mudanças entram em vigor. Não se esqueça de consultar o plano da sua estrutura.

Primeiro, a menos que você queira que todos tenham acesso para edição a todo o conteúdo no sistema, clique em Gerenciar acesso para a pasta compartilhada{ e altere a opção Todos os usuários de Gerenciar acesso, Editar para Ver:

Em seguida, se o plano for exibir determinadas subpastas apenas para determinados grupos, prossiga para a seção a seguir.

Remova o grupo All Users das pastas que você não quer que sejam visíveis.

Se você quiser que as pastas sejam privadas para um determinado subgrupo de usuários, volte e remova Todos os usuários dessas pastas usando X à direita do nível de acesso. Agora essas pastas só aparecerão para grupos e usuários que você listar explicitamente:

Configurar um sistema fechado

Ative a opção "Sistema fechado" se você pretende usar o marcador privado Looker ou usar a incorporação de SSO para seus clientes. Os casos de uso internos precisam usar um sistema diferente. Você precisa ser um administrador do Looker para configurar totalmente seu sistema da maneira descrita abaixo.

O Looker oferece uma opção de Sistema fechado que faz as seguintes mudanças:

• Remove o grupo All Users. Não será possível referir-se a todos os usuários do sistema como um grupo. Em vez disso, os administradores do Looker devem criar um grupo por locatário ou cliente, conforme discutido abaixo. Para esta discussão, presumiremos que cada cliente é uma empresa.
• Deixa todas as pastas de usuário como privadas por padrão. Os usuários ainda podem optar por compartilhar conteúdo nas pastas com outros membros dos grupos.

• Impede que os usuários vejam outros usuários, a menos que compartilhem um grupo. Portanto, se um usuário fizer parte do grupo da Empresa C, ele verá somente outros membros da empresa C, e não os membros das empresas A e B.

  As permissões see_queries, see_schedules e see_users fornecem acesso a um painel Administrador e substituem a opção Sistema fechado. Portanto, se um usuário tiver uma ou mais das permissões see_queries, see_schedules ou see_users, ele poderá ver os membros das empresas A, B e C no painel Administrador associado.

  A página inicial: conteúdo visualizado recentemente é um exemplo de local no Looker em que o usuário verá apenas outros membros da empresa C e o conteúdo deles.

Siga as etapas abaixo para configurar um sistema fechado:

1. Solicite a opção Sistema fechado.
2. Planeje sua estrutura.
3. Configure grupos para ter acesso granular.
4. Ative o sistema fechado no painel Administrador.
5. Dê a cada grupo da empresa no seu sistema acesso para visualização à pasta compartilhada.
6. Configurar os níveis de acesso de cada subpasta das pastas compartilhadas.
7. Migrar conteúdo para subpastas.

Estas etapas presumem que nenhum conteúdo para usuários multilocatários esteja hospedado nas pastas compartilhadas. Para isolar o conteúdo em um sistema fechado e impedir que clientes ou outros grupos vejam uns aos outros, mova esse conteúdo para fora da pasta compartilhada e coloque-os em subpastas diferentes antes de seguir as etapas abaixo.

Perguntar sobre a opção "Sistema fechado"

Para solicitar que a opção Sistema fechado seja ativada para sua instância, entre em contato com o gerente de contas do Looker ou abra uma solicitação de suporte na Central de Ajuda do Looker e clique em Fale conosco.

Planeje sua estrutura

Ele facilita muito a configuração do sistema, caso você já tenha configurado o plano com antecedência. Há duas áreas principais a serem consideradas:

Primeiro, crie um grupo para cada empresa. Um grupo de empresas associa todos os usuários de cada empresa e os mantém separados de outras empresas.

Em seguida, considere se você quer ter várias empresas analisando a mesma pasta (por exemplo, para painéis que são relevantes para todas as empresas) ou se quer uma pasta de nível superior para cada empresa (para conteúdo exclusivo que se aplique apenas a uma única empresa).

Configurar grupos para ter acesso granular

Embora deva haver pelo menos um grupo por empresa, também pode haver subgrupos nesse grupo. Se você quiser permitir que alguns usuários de uma empresa editem e gerenciem conteúdo e permitam que outras pessoas apenas vejam o conteúdo, recomendamos criar subgrupos separados para esses tipos de usuários. Por exemplo, você pode começar criando a Empresa A como o grupo abrangente e, em seguida, adicionar dois subgrupos: Editores na Empresa A e Leitores na Empresa A:

Todos os grupos de uma única empresa precisam estar em um único grupo.

Para informações sobre como configurar grupos, consulte a página de documentação Grupos.

Ative a opção "Sistema fechado" no painel Administrador.

É melhor ativar a opção Sistema fechado antes de configurar os controles de acesso nas pastas, porque ativar a opção Sistema fechado faz mudanças no sistema. Veja a introdução de Como configurar um sistema fechado nesta página. Ative a opção na seção Configurações do painel Geral na seção Administrador do Looker:

Conceder acesso a cada pasta da empresa para a pasta compartilhada

Conceda acesso de visualização a cada grupo de empresas das pastas compartilhadas. Isso permite que os participantes desses grupos acessem a pasta compartilhada e vejam a pasta da própria empresa nela. Se um grupo não tiver acesso para visualização às pastas compartilhadas, ele não poderá ver as pastas da própria empresa. Gerencie essas configurações na seção Acesso ao conteúdo do painel Administrador:

Configurar níveis de acesso para cada subpasta

Defina os níveis de acesso para estabelecer quem pode ver ou editar o conteúdo em cada subpasta. As subpastas assumem como padrão as configurações da pasta mãe até que sejam alteradas. Isso significa que uma empresa com acesso de visualização à pasta compartilhada pode ver o conteúdo em outra subpasta da empresa, a menos que você restrinja o acesso a ela. Analise cada subpasta e restrinja o acesso adequadamente:

No exemplo acima, selecionamos Uma lista personalizada de usuários, e a Empresa B foi removida do conteúdo da Empresa A. A Empresa B não vê que o conteúdo da empresa existe.

Migrar conteúdo para subpastas

Caso sua empresa tenha permitido que os usuários vejam a própria pasta e outras pastas pessoais, recomendamos migrar o conteúdo dessas pastas para as pastas apropriadas na hierarquia compartilhada principal.