不同级别的内容访问权限决定了哪些用户可以查看和修改 Looker 文件夹中的内容。权限与用户角色相关联的是权限,而内容访问权限则是与文件夹关联,用于定义文件夹对不同级别的用户的访问权限。
文件夹访问权限类型
查看:通过此访问权限级别,用户可以查看相应文件夹的存在,并能看到该文件夹中的外观和信息中心。
管理访问权限,修改:借助该访问权限级别,用户可以执行数据视图访问权限级别的所有操作,还可以更改文件夹,例如:
开放和关闭文件夹访问系统
Looker 设置可帮助您根据贵公司的政策以及将与您的文件夹互动的用户类型来构建用户访问权限。一般来说,您设计的系统可分为三大类:完全开放、限制开放或封闭。
| 文件夹访问权限级别 | 说明 | 推荐用途 |
|---|---|---|
| 已完全打开 | 所有用户都可以查看和修改所有共享的内容。这是 Looker 的默认配置。 | 我们建议以下小型公司使用开放式系统:使用 Looker 的小型公司或团队、对数据采用开放式政策的公司,以及主要分享可修改报告的公司。 |
| 开放但有限制 | 对共享内容的访问在某种程度上受限,要么是只有某些人可以编辑特定内容,要么是某些内容对特定人员完全不可见。 | 我们建议采用中等规模的团队和大型公司采用限制性的开放式系统,建立多元化的用户群,使其内容与所有用户无关,或者希望所有人都可以查看但只能修改少数公司的公司。 |
| 已关闭 | 这种系统也称为多租户安装,它会将内容孤立于特定群组,并防止不同群组中的用户彼此了解。 | 为了保护客户的隐私信息,我们强烈建议将封闭系统用于私有标签和 SSO 嵌入用例。在这类用例中,客户可以在系统中托管可能来自不同公司或群组、彼此不相识的客户。 |
您确定所需的系统类型后,此页面会引导您完成配置相应系统的步骤。进行初始设置时,我们建议您使用管理面板的内容访问权限部分,因为您可以在这一个位置更改各个文件夹。
对文件夹的访问权限会如何影响其子文件夹
在确定系统的开放或关闭程度之前,请务必了解您在父文件夹中设置的访问权限将如何影响其子文件夹,以及您可以在层次结构中的较低级别更改哪些内容以及不能更改哪些设置。
| 访问类型 | 继承模式 | 说明 |
|---|---|---|
| 管理访问权限,修改 | 一直向下流经文件夹层次结构 | 在某个文件夹中向用户授予“管理访问权限,修改”权限后,该用户对该文件夹中的所有 Looks、信息中心和子文件夹拥有该访问权限级别。您无法在文件夹层次结构的下半部分锁定这些用户的访问权限。 |
| 查看 | 随时可在文件夹层次结构中将其移除 | 移除文件夹级别的查看权限会撤消用户查看该文件夹及其中所有内容的权限。您也可以移除层次结构中较低级别的任一项的“查看”权限,以限制用户查看原本可见的文件夹内的特定样式、信息中心或子文件夹。 |
Looker 管理员对所有文件夹及所有内容拥有管理访问权限、编辑权限。这样可以确保他们能够管理系统、防止出现孤立内容,并协助遇到问题的用户。
配置完全开放的系统
Looker 的默认配置允许完全访问所有文件夹。“所有用户”群组会获得共享文件夹的“管理访问权限”和“修改”权限,共享文件夹中的所有子文件夹都将继承该访问权限。您可以在管理面板的内容访问权限部分管理此设置:
用户拥有某个文件夹的管理访问权限、编辑权限后,对该文件夹中的所有内容(包括该文件夹中的所有子文件夹)也拥有管理访问权限、修改权限。这意味着此系统中内容访问不受限制。
个人文件夹位于单独的层次结构中,并且也有默认设置。对于所有个人文件夹,所有用户群组均设为查看,并且每个用户都可以决定是否将其文件夹设为不公开:
配置存在限制的开放系统
您必须是 Looker 管理员,才能按照此处介绍的方式完全配置您的系统。
以下步骤将帮助您配置有限制的开放式系统:
规划结构
您想允许哪些人查看和修改特定文件夹?如果您在开始配置访问权限之前就制定好方案,那么整个过程会更加轻松。您在执行此流程的过程中还可以查看更改,因此无需返回查看各种文件夹。将用户添加到群组有助于您管理公司内不同部门或团队的访问权限。
最常见的配置是为每个部门或团队创建一个文件夹,具体如下所示:
- 在共享文件夹中,为部门、团队或项目创建文件夹。在本部分中,我们将以一个财务团队为例。
- 向首席财务官(或财务部门的主要分析师)授予对该文件夹的管理访问权限、修改权限。向其他团队成员授予查看权限。
- 创建两个子文件夹:一个用于可编辑内容,另一个用于只读内容。如果需要,您可以为私有内容添加第三个子文件夹。
- 在可编辑内容的子文件夹中,使用财务群组向整个财务团队授予管理访问权限、修改权限。您向该 Google 财经群组授予该访问权限级别后,该论坛的所有成员都可以添加、删除或更改该子文件夹中的内容。
- 在只读内容的子文件夹中,向整个财务群组授予查看权限。首席财务官仍可在此文件夹中管理访问权限、修改内容,因为他们继承了主财务文件夹的访问权限。
- 在(可选)私人子文件夹中,完全移除“财务”群组。只有首席财务官可以查看此文件夹或管理其内容。
配置群组以提供细化的访问权限
如果您计划限制对内容的访问权限,可以使用 Looker 群组让事情变得更容易。群组可以像用户一样被授予对文件夹和子文件夹的访问权限,并且群组可以包含其他群组。要了解如何配置群组,请参阅“群组”页面。
首先设置对各个子文件夹的访问权限,然后设置整个共享文件夹的访问权限。由于访问权限是按照文件夹层次结构向下流动的,因此首先要单独操控用户对最低子文件夹的访问权限是最安全的。然后,您可以向上浏览父级文件夹,向其授予所需的访问权限级别,并确保您所做的更改与您在较低级别所做的决定不冲突。
在本示例中,我们将从共享文件夹中的子文件夹开始。您可以在管理面板的内容访问权限部分管理这些设置。
将共享文件夹中的每个文件夹设置为自定义的用户列表,然后为您希望授予编辑权限的群组和用户分配管理访问权限、修改权限,最后将查看权限分配给您希望拥有只读权限的用户和群组:
如上所述,更改顶级共享文件夹的设置后,所有更改均不会生效。“所有用户”群组的访问权限级别在共享文件夹中会设为管理访问权限、修改,且向下流经所有单独的子文件夹。在共享文件夹中更改相应群组的访问权限级别之前,您无法修改具体子文件夹中的“所有用户”的设置。
点击您要配置的文件夹,然后点击管理访问权限:
更改“所有用户”群组对共享文件夹中“数据视图”的访问权限
更改生效。请务必参阅您的结构方案。
首先,除非您想让每个人都对您系统中的所有内容拥有编辑权限,否则请针对共享文件夹点击管理访问权限,{然后将所有用户从管理访问权限、修改更改为查看:
之后,如果您打算仅向某些群组显示某些子文件夹,请继续参阅下一部分。
从您不希望查看的文件夹中移除所有用户群组
如果您希望文件夹仅对特定用户群组可见,请使用相应访问权限级别右侧的 X 返回并从这些文件夹中完全移除所有用户。现在,只有您明确列出的群组和用户才会看到这些文件夹:
配置封闭系统
仅当您计划为客户使用自有品牌的 Looker 或使用单点登录嵌入功能时,才需要启用封闭系统选项。内部用例应使用不同的系统。只有 Looker 管理员才能按下述方式全面配置您的系统。
Looker 提供封闭系统选项,以便进行以下更改:
- 移除所有用户群组。无法将系统中的所有用户称为一个群组。相反,Looker 管理员应为每个租户或客户创建一个群组,如下所述。在本次讨论中,我们假设每位客户都是一家公司。
- 将所有用户文件夹默认设为不公开。用户仍然可以选择与群组成员共享文件夹中的内容。
禁止用户查看其他用户,除非他们共享群组。因此,如果某个用户是公司 C 群组的成员,则只会看到公司 C 的其他成员,而不是公司 A 和 B 的成员。
see_queries、see_schedules和see_users权限均提供对管理员面板的访问权限,并且可以覆盖已关闭的系统选项。因此,如果某位用户拥有“see_queries”、“see_schedules”或“see_users”中的一项或多项权限,该用户将能够在关联的管理面板中查看公司 A、B 和 C 的成员。首页:最近浏览过的内容是 Looker 中一个地方的示例,该用户只会看到其他公司 C 成员及其内容。
以下步骤将帮助您配置封闭式系统:
- 询问封闭系统选项。
- 规划结构。
- 配置群组以提供精细的访问权限。
- 在管理面板中启用已关闭的系统。
- 向系统中的每个公司群组授予共享文件夹的查看权限。
- 为共享文件夹的每个子文件夹配置访问权限级别。
- 将内容迁移到子文件夹。
以下步骤假定共享文件夹中不包含多租户用户的任何内容。要在封闭系统下将内容孤立,以便避免客户或其他群组看到彼此,请将所有这类内容移出共享文件夹,然后将其移至单独的子文件夹,然后再开始执行以下步骤。
询问“封闭系统”选项
如需请求为您的实例启用封闭系统选项,请与您的 Looker 客户经理联系,或者点击与我们联系,在 Looker 的帮助中心中打开支持请求。
规划结构
如果您事先设置了方案,则可以更轻松地设置系统。您需要考虑以下两个主要方面:
首先,请务必为每家公司创建一个群组。公司组可将每家公司的所有用户相关联,并将这些用户与其他公司区分开来。
其次,请考虑您是希望让多个公司查看同一个文件夹(例如,与所有公司相关的信息中心),还是想为每家公司创建一个顶级文件夹(用于仅适用于一家公司的独特内容)。
配置群组以提供细化的访问权限
虽然每家公司应至少拥有一个群组,但该群组中可能还存在多个子群组。如果您希望允许某公司的某些用户编辑和管理内容,同时允许其他用户查看内容,我们建议您为这些不同类型的用户创建单独的子群组。例如,您可以先创建公司 A 作为伞形群组,然后添加两个子群组:公司 A 的编辑 和 公司 A 的查看者
一个公司名下的所有小组都应归入一个伞类小组。
如需了解如何配置群组,请参阅群组文档页面。
在管理面板中启用“封闭式系统”选项
最好在启用对文件夹的任何访问权限控制之前启用封闭系统选项,因为启用封闭系统选项会对您的系统进行更改(请参阅本页面的配置封闭系统简介)。转到 Looker 的管理部分的常规面板的设置部分,即可启用该选项:
向每个公司群组授予共享文件夹的查看权限
向共享文件夹中的每一个公司群组授予查看权限。这样,这些群组的成员就可以访问共享文件夹,并查看他们自己的公司文件夹。如果群组没有共享文件夹的查看权限,则无法查看自己的公司文件夹。您可以在管理面板的内容访问权限部分管理这些设置:
为每个子文件夹配置访问权限级别
设置访问权限级别,以确定谁可以查看或修改各个子文件夹中的内容。子文件夹的默认设置是访问它们的父级,除非您更改它们。也就是说,如果某个公司拥有共享文件夹的“查看”权限,则可以查看其他公司的子文件夹中的内容,除非您限制了用户对相应子文件夹的访问。查看每个子文件夹并适当限制访问权限:
在上述示例中,我们选择了自定义用户名单,并从公司 A 的内容中移除了公司 B。公司 B 看不出公司 A 的内容存在。
将内容迁移到子文件夹
如果您的公司允许用户查看其自己的文件夹和其他个人文件夹,我们建议将这些内容中的所有内容迁移到主共享文件夹中的相应文件夹。