角色、权限集和模型集可搭配使用来管理用户可以执行的操作以及可以查看的内容。通过管理面板的用户部分中的角色页面,您可以查看、配置和分配角色、权限集和模型集。
您可以搜索特定角色、权限集和模型集,方法是在右上方的搜索框中输入搜索字词,然后按 Enter 键。
定义
- 角色可定义用户或群组对 Looker 中的一组特定模型拥有的权限。您可以通过将一个权限集与一个模型集结合使用来创建角色。
- 权限集定义了用户或群组可以执行哪些操作。您可以选择一组要分配给用户或群组的权限。它必须作为角色的一部分发挥作用。
- 模型集定义了用户或群组可以查看的数据和 LookML 字段。您可以选择用户或群组有权访问的 LookML 模型组合。它必须作为角色的一部分发挥作用。
分配角色
一个角色包含一组权限集和一个模型集。命名惯例通常以组织内特定类型人员或一群人(管理员、Looker 开发者、财务团队)的名字命名,不过您可以遵循自己的命名规则。
用户在 Looker 中可以有多个角色。当您在公司中担任多种角色的用户,或想要创建复杂的模型访问系统时,此方法非常有用。
为多个角色添加用户对于应用权限的应用方式具有重要影响。举例来说,如果您仅允许某人在其某个角色中
save_content(实例级权限),则此人将可以保存来自任何模型的内容。相反,如果您仅允许某个人员在其角色中拥有access_data(特定模型权限),则此人只能访问该角色中指定的模型。多个角色还可能导致信息中心出现意外影响。如需了解信息中心和多个角色,请参阅管理企业用户功能文档页面。
如需创建角色,请点击角色页面顶部的新建角色按钮。Looker 会显示一个页面,您可以在其中输入角色名称、选择权限集和模型集。您也可以将角色分配给一组用户或群组。根据需要配置角色后,点击页面底部的新建角色按钮。
创建角色后,您可以在 Roles 页面上点击角色右侧的 Edit 按钮对其进行修改。系统会将您转到该角色的页面,您可以在其中执行以下操作:
- 重命名角色
- 分配或修改与该角色关联的权限集
- 为模型分配模型集
- 向用户和/或群组分配角色
要删除角色,请在角色页面上点击角色右侧的删除按钮。
默认角色
对于新实例,Looker 会创建以下默认角色,每个角色都包含同名的默认权限集:
- 管理
- 开发者
- 用户
- Viewer
权限集
权限集定义了用户或群组可以执行哪些操作。管理员可以使用 Looker 的默认权限集或创建原始权限集,同时记住权限依赖项。
下文将更详细地讨论所有可用权限及其类型。
默认权限集
对于新安装的应用,Looker 提供了几个默认的权限集,您可以从:
| 权限集 | 包含的权限 |
|---|---|
| 管理 | 所有权限 |
| 开发者 | 165如需验证 see_pdts 权限是否包含在您实例的开发者权限中,请转到 Looker 界面中管理面板中的角色页面。 |
| 用户 | access_data, clear_cache_refresh, create_table_calculations, create_custom_fields, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, can_create_forecast, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards, see_looks, see_sql, see_user_dashboards |
| 查看者 | access_data, clear_cache_refresh, download_without_limit, mobile_app_access, can_create_forecast, schedule_look_emails, see_drill_overlay, see_lookml_dashboards, see_looks, see_user_dashboards |
| LookML 信息中心用户 | access_data, clear_cache_refresh, mobile_app_access, see_lookml_dashboards |
| 无法查看 LookML 的用户 | access_data, clear_cache_refresh, create_table_calculations, create_custom_fields, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, can_create_forecast, schedule_look_emails, see_lookml_dashboards, see_looks, see_user_dashboards |
创建新的角色时,您会看到这些权限集显示为选项。如果您选择其中一组权限,Looker 会显示其包含的权限列表。
管理员权限组无法修改或删除,也无法分配给角色。此角色仅分配给管理员角色,此角色也无法修改或删除。将管理员权限设为用户或群组的唯一方式是向该用户或群组添加管理员角色。
创建权限集
如需创建权限集,请点击角色页面顶部的新建权限集按钮。Looker 会显示一个页面,您可以在其中输入权限集的名称,然后选择它应包含的权限。根据需要配置权限集后,点击页面底部的新建权限集按钮。
创建权限集后,您可以点击角色页面上权限集右侧的修改或删除按钮,修改或删除该权限集。
权限和依赖项
有些权限需要借助其他权限才能正常工作。例如,有意在 LookML 中进行开发的人必须先看到 LookML。
创建权限集时,您会在缩进列表中看到可用权限。如果某项权限以另一项(父级)权限缩进,则您必须先选择父权限。请参考下面的示例:
在本例中,Looker 使用缩进来表示:
- 您可以随时选择
access_data权限。 see_lookml_dashboards和see_looks权限需要首先选择access_data权限。see_user_dashboards权限依赖于see_looks权限,而后者又依赖于access_data权限。
必须先选择父权限,然后才能选择其权限。
权限和 Looker 许可
Looker 许可将用户分为三类:
- 开发者(管理员)
- 标准(创作者)
- Viewer
授予用户的权限决定了如何根据 Looker 许可将该用户归类:
如果用户拥有“管理员”默认角色或至少具有以下任一权限,则会被归类为开发者(管理员)用户:
如果用户没有“开发者(管理员)”权限,但至少拥有以下任一权限,则会被归类为标准(创作者)用户:
如果用户拥有
access_data权限,但没有开发者(管理员)权限和标准(创作者)权限,则会被归类为查看者。
权限列表
develop、see_lookml和manage_models权限可能会以意想不到的方式与模型集交互。在 Looker 的 IDE 中,一个项目可以包含多个模型文件。如果您为某个用户分配了develop或see_lookml权限,并且允许该用户查看属于某个项目的任何模型,则该用户将能够为该项目中的所有模型开发或查看 LookML。但是,他们仍然无法查询您不允许的模型。如果您向用户分配manage_models权限,该用户将可以访问实例中所有项目中的所有模型。
权限可分为以下三种类型:
- 模型专用:此类权限仅应用于属于同一角色的模型集。此权限适用于单个模型或模型集,而不是应用于整个 Looker 实例。
- 特定于连接:这种权限级别在连接级别应用。即使用户通过不具备管理员权限的用户访问某个模型,“管理”面板中面板中的页面仍会显示与其关联的数据。
- 实例级:此类权限适用于整个 Looker 实例,它具有三种类型:
- NN = 无内容,无菜单:这些权限允许用户在整个 Looker 实例中执行特定功能,但不允许他们根据角色中未包括的模型集访问内容。
- CN = Content, No menu:借助这些权限,用户可以访问整个 Looker 实例中的内容和查询信息,即使是对于基于其角色模型集中未包含的模型的内容和查询也是如此。
- CM = 内容、菜单:这些权限可能会使“管理员”菜单的部分内容对非管理员用户公开,并允许用户根据其角色模型集中未包含的模型查看内容和查询的相关信息。
以下列表说明了这些权限在 Looker 中可用的所有权限(按照它们在管理部分中的新权限集页面上的显示顺序):
| 权限 | 取决于 | 类型 | 定义 |
|---|---|---|---|
access_data |
无 | 特定型号 | 用户可以访问 Looker 中的数据,但只能访问管理员指定的数据。几乎所有 Looker 函数都需要拥有此权限。 如果拥有此权限的用户授予了对给定项目中任何模型的访问权限,就可以访问该项目数据部分中的任何文件(例如 JSON 自定义地图文件)。 |
see_lookml_dashboards |
access_data |
特定型号 | 用户可以查看 LookML Dashboards 文件夹,其中包含所有 LookML 信息中心。用户必须对任何相关模型拥有 explore 权限才能探索这些信息中心。同时拥有 develop 权限的用户可以创建 LookML 信息中心。 |
see_looks |
access_data |
特定型号 | 用户可以在文件夹中看到已保存的外观(但无法查看信息中心)。用户必须对任何相关模型拥有 explore 权限才能探索这些外观。用户还需要拥有查看内容访问权限级别,才能在文件夹中看到“外观”。 |
see_user_dashboards |
see_looks |
特定型号 | 用户可以在文件夹中查看用户定义的信息中心,但必须拥有 explore 权限才能让任何相关模型浏览这些信息中心。用户还需要拥有查看内容访问权限才能查看文件夹中的信息中心。如果用户同时拥有文件夹的 save_content 权限和管理访问权限、编辑内容访问权限,则可以在该文件夹中创建用户定义的信息中心。 |
explore |
see_looks |
特定型号 | 用户可以访问并使用“探索”页面来生成报告。如果没有此权限,用户只能查看已保存的信息中心(如果已获得 see_lookml_dashboards 或 see_user_dashboards 权限)。 |
create_table_calculations |
explore |
实例级 NN | 用户可以查看、修改或添加表格计算结果。 |
create_custom_fields |
explore |
实例级 NN |
已添加 22.4
用户可以查看、修改或添加自定义字段;只拥有 explore 权限的用户只能查看自定义字段。 |
can_create_forecast |
explore |
实例级 NN | 已添加 22.12 用户可以在可视化图表中创建和修改预测;没有此权限的用户只能查看他们有权访问的内容中的现有预测。 |
save_content |
see_looks |
实例级 NN | 用户可以保存和修改样式和信息中心。用户必须拥有 explore 权限才能通过这些外观和信息中心浏览任何相关模型。用户必须拥有 download_with_limit 和/或 download_without_limit 权限才能下载内容。 |
create_public_looks |
save_content |
特定型号 | 用户可以将已保存的 Look 状态设为公开,这样就会生成无需授权即可访问该报告的网址。 |
download_with_limit |
see_looks |
特定型号 | 用户可以下载查询(CSV、Excel 和其他格式),但必须确保行数上限不超过 5000,以免实例下载大量内容时出现内存问题。 |
download_without_limit |
see_looks |
特定型号 | 与 download_with_limit 相同,但无需用户指定行数上限。下载某些类型的查询的所有结果可能需要大量内存,这可能会导致性能问题,甚至导致 Looker 实例崩溃。 |
schedule_look_emails |
see_looks |
特定型号 | 用户可以发送任何包含可视化数据的信息中心、信息中心和查询,而他们拥有数据访问权限。用户可以安排在数据组被触发、管理缓存并重新构建相关 PDT 后传送数据。 要发送或安排系统活动信息中心,用户必须有权访问所有模型。 同样拥有 create_alerts 权限的用户可以发送电子邮件提醒通知。如果在管理面板的设置页面上,电子邮件网域许可名单中未指定任何电子邮件网域,则用户可以递送到任何电子邮件网域。 嵌入用户还有其他注意事项。 此权限会应用于单个模型或模型集,而非整个 Looker 实例。 |
schedule_external_look_emails |
schedule_look_emails |
特定型号 | 等同于 schedule_look_emails。如果在管理面板的设置页面中的电子邮件网域许可名单中指定了任何电子邮件网域,则用户可以将电子邮件递送至任何电子邮件网域。如果用户拥有 create_alerts 权限,则可以设置提醒来向包含任意网域的电子邮件发送电子邮件通知。有关嵌入用户的注意事项,也适用于单个模型或模型集,而非整个 Looker 实例。 |
create_alerts |
see_looks |
实例级 NN | 在信息中心图块中,用户可以创建、复制和删除自己的提醒,还可以查看和复制其他用户标记为公开的提醒。用户必须登录 Slack 才能看到发送 Slack 通知的信息中心图块提醒。用户可以在管理提醒用户页面中查看、修改、停用和启用自己拥有的提醒。 |
follow_alerts |
see_looks |
实例级 NN | 用户可以查看和关注提醒。您可以在管理提醒用户页面中查看已关注的提醒或列为收件人的提醒。 |
send_to_s3 |
see_looks |
特定型号 | 用户可以对任何他们拥有 Amazon S3 存储桶数据访问权限的可视化内容、信息中心和查询进行传送。用户可以安排在触发数据组、管理缓存并重建相关 PDT 后传送内容。 此权限适用于单个模型或模型集,而不是应用于整个 Looker 实例。 |
send_to_sftp |
see_looks |
特定型号 | 用户可以提供对 SFTP 服务器拥有数据访问权限的可视化内容、信息中心和查询。用户可以安排在触发数据组、管理缓存并重建相关 PDT 后传送内容。 此权限适用于单个模型或模型集,而不是应用于整个 Looker 实例。 |
send_outgoing_webhook |
see_looks |
特定型号 | 用户可以提供对相应网络钩子拥有数据访问权限的直观数据、信息中心和查询。用户可以安排在触发数据组、管理缓存并重建相关 PDT 后传送内容。 此权限适用于单个模型或模型集,而不是应用于整个 Looker 实例。 |
send_to_integration |
see_looks |
特定型号 | 用户可以通过 Looker 操作中心对他们与 Looker 集成的第三方服务拥有可视化数据的任何 Looks、信息中心和查询提供。如果将自定义操作与用户属性搭配使用,用户必须拥有此权限且拥有指定用户属性的非 null 且有效的用户属性值,才能将 Looker 内容传送至该操作目的地。此权限与数据操作无关。用户可以安排在触发数据组、管理缓存并重建相关 PDT 后传送内容。 此权限适用于单个模型或模型集,而不是应用于整个 Looker 实例。 |
see_sql |
see_looks |
特定型号 | 用户在探索和查询导致的 SQL 错误时,可以访问 SQL 标签页。 |
see_lookml |
see_looks |
特定型号 | 用户对 LookML 拥有只读权限。用户必须拥有此权限,才能在管理面板中看到转到 LookML 链接。 如果您希望用户能够修改 LookML,还必须为他们授予 develop 权限。注意:此权限可能会以意想不到的方式与模型集交互。如果您为某个用户分配了 see_lookml 权限,并且允许该用户查看属于某个项目的任何模型,那么他们将能够看到该项目中所有模型的 LookML。但是,他们仍然无法查询您不允许的模型。 |
develop |
see_lookml |
特定型号 | 用户可以对 LookML 进行本地更改,但不允许所有人看到这些更改,除非他们还拥有 deploy 权限。如需查看帮助菜单中的聊天选项以及 Looker IDE 中的元数据,您必须具备此权限。用户还需要拥有此权限才能使用“探索”齿轮菜单中的重建派生表格和运行选项。此权限并非特定于模型,因此,如果某个用户在一个模型中具有此权限,则该用户能够在所有模型中访问 Rebuild Derived Tables &Run。 注意:此权限可能会以意想不到的方式与模型集进行交互。如果您为某个用户分配了 develop 权限,并且允许该用户查看属于某个项目的任何模型,那么他们将能够为该项目中的所有模型开发 LookML。但是,他们仍然无法查询您不允许的模型。 |
deploy |
develop |
实例级 NN | 用户可以将本地 LookML 更改推送到生产环境,以便所有人都能使用。 |
support_access_toggle |
develop |
实例级 NN | 用户可以启用或停用 Looker 分析师的访问权限。 |
use_sql_runner |
see_lookml |
特定型号 | 用户可以使用 SQL Runner 针对其允许的连接运行原始 SQL。无论用户是否拥有 download_with_limit 或 download_without_limit 权限,用户都可以从 SQL Runner 齿轮菜单中的下载选项下载结果。 |
clear_cache_refresh |
access_data |
特定型号 | 用户可以清除缓存和刷新内部和嵌入式信息中心、旧版信息中心、信息中心图块、外观和探索。clear_cache_refresh 权限会自动添加到任何包含下列任一权限的权限集:see_user_dashboards、see_lookml_dashboards 或 explore。clear_cache_refresh 权限不会自动应用于任何嵌入式角色。 |
see_drill_overlay |
access_data |
特定型号 | 用户可以查看展开到信息中心图块中的结果,但无法探索这些结果。如果授予 explore,系统还会自动授予此权限(即使未勾选此权限)。用户还必须拥有 explore 权限才能下载 PNG 格式的深入结果。 |
manage_spaces |
无 | 实例级 CN | 用户可以创建、编辑、移动和删除文件夹。用户还需要拥有管理访问权限、修改内容访问权限权限。 |
manage_homepage |
无 | 实例级 NN | 用户可以修改边栏并添加内容,所有 Looker 用户都可以在预构建的 Looker 首页中看到这些内容。 |
manage_models |
无 | 实例级 CN | 每个 LookML 模型均映射到管理 LookML 项目页面上的一组特定数据库连接。借助此权限,用户可以配置这些映射并创建新项目。获得此权限的非管理员用户将有权访问其有权访问的模型允许的所有连接。 注意:此权限可能会以意想不到的方式与模型集进行交互。如果您向用户分配 manage_models 权限,该用户将可以访问实例中所有项目中的所有模型。 |
create_prefetches |
无 | 实例范围 | 允许对 prefetch API 端点进行 API 调用。 强烈建议不要预提取。我们建议您改用 datagroups。 |
login_special_email |
无 | 实例范围 | 用户可以使用传统的电子邮件地址/密码凭据登录,即使您的实例已启用其他登录机制(例如 Google、LDAP 或 SAML)。这对于顾问或可能不属于您常规身份验证系统的其他人员非常有用。 |
embed_browse_spaces |
无 | 实例级 NN | 为单点登录 (SSO) 嵌入启用内容浏览器。如果您使用的是 SSO 嵌入,则应向拥有 save_content 权限的用户授予此权限。 |
embed_save../_shared_space |
无 | 实例范围 |
ADDED 21.4
允许拥有 save_content 权限的用户将内容保存到组织的共享文件夹(如果有)。拥有 save_content 权限但没有 embed_save_shared_space 权限的用户只能选择将内容保存到个人嵌入文件夹。 |
see_alerts |
无 | 实例级 CM |
已添加 21.16
用户可以访问管理部分的提醒和提醒历史记录页面,从而可以查看 Looker 实例的所有提醒。用户可以在提醒管理页面查看、关注、修改、自行分配和停用其他用户拥有的提醒。 用户必须有权访问提醒的底层内容,才能从提醒(提醒详情页面)中查看或浏览提醒,或转到提醒的信息中心。拥有此权限的用户无法查看、创建、关注或删除信息中心图块中的提醒。 |
see_queries |
无 | 实例级 CM | 用户可以在 Looker 的管理部分查看查询页面。拥有此权限的用户无法在“查询”页面上终止查询。 |
see_logs |
无 | 实例级 CM | 用户可以在 Looker 的管理部分查看日志页面。 |
see_users |
无 | 实例级 CM | 用户可以在 Looker 的管理部分看到用户页面(而不是群组页面)。拥有此权限的用户无法创建新用户、查看或创建 API 凭据、重置密码或以其他方式修改用户或权限。获得此权限的用户可以查看实例中所有群组的所有用户,即使在关闭的系统上也是如此。用户可以查看所有群组名称和所有角色名称,某些公司可能会认为它们是敏感名称。 |
sudo |
see_users |
实例级 CM | 用户可以通过点击 Users 页面上的 Sudo 按钮来 sudo(换句话说,充当并临时继承其他用户的权限)。sudo 权限不允许非管理员以管理员身份执行 sudo 操作,但非管理员可能会使用 sudo 提升其权限,因此请务必小心。 |
see_schedules |
无 | 实例级 CM | 用户可以在 Looker 的管理面板中查看时间表和时间表历史记录页面。拥有此权限的用户无法在时间表和日程安排历史记录页面上重新分配、修改或删除其他用户的日程安排。 |
see_pdts |
无 | 连接专用 | 用户可以在 Looker 的“管理”部分中看到持久性派生表页面,并且可以查看来自使用与其数据访问权限的模型相关联的任何连接的项目的 PDT 相关信息。 已添加 21.18 这项权限包含在新开发者安装的 Developer 默认权限集中。 此权限适用于用户具有数据访问权限的连接,而不是整个 Looker 实例或单个模型或模型集。 |
see_datagroups |
无 | 特定型号 | 用户可以在 Looker 的管理部分看到数据组页面。用户可以查看关联中具有数据访问权限的模型中定义的数据组的名称、模型名称和其他信息。 此权限适用于单个模型或模型集,而非应用于整个 Looker 实例或连接。 |
update_datagroups |
see_datagroups |
特定型号 | 用户可以通过 Looker 管理部分的数据组页面触发数据组或重置其缓存。与具有 see_datagroups 权限的用户一样,拥有 update_datagroups 权限的用户可以查看在他们拥有数据访问权限的模型中使用的项目组。此权限适用于单个模型或模型集,而不是应用于整个 Looker 实例或连接。 |
see_system_activity |
无 | 实例级 CM | 用户可以访问系统活动探索和信息中心以及内部 i__looker 数据库,以查看 Looker 实例的使用情况、历史记录和其他元数据。 |
mobile_app_access |
无 | 实例级 NN |
已添加 21.16
用户可以使用 Looker 移动应用在移动设备上登录实例。为了让用户能够登录 Looker 移动应用,必须先启用 Looker 的管理部分中的常规设置页面的移动应用访问权限选项。 |
模型集
模型集定义了用户或群组可以查看的数据和 LookML 字段。每组都是用户或群组应有权访问的 LookML 模型的列表。您可以将模型集视为执行两个函数:
- 模型集用于控制权限应用于您的 LookML 中的哪些模型(如果这些权限特定于模型)。
- 模型集会限制用户可以查看的数据和 LookML 字段,因为每个模型都连接到特定的数据库连接并包含某些 LookML 字段。
创建模型集
如需创建模型集,请执行以下操作:
点击角色页面顶部的新建模型集按钮。
Looker 会显示新建模型集页面。输入新模型集的名称。
选择应添加到新模型集中的一个或多个模型。
点击页面底部的新建模型集按钮。新模型集将显示在角色页面上。
待处理项目中包含的模型会显示在新模型集和修改模型集页面的模型列表中。
删除或重命名模型不会更改任何包含该模型的模型集。移除或重命名模型时,我们建议 Looker 管理员也使用修改模型集页面从任何关联的模型集中移除该模型的名称。从模型集中移除已删除模型的名称可防止具有相同名称的新模型被意外地添加到该模型集中。
如需详细了解模型,请参阅模型参数文档页面。
创建多个模型和模型集
举例来说,假设您使用多个模型集来限制数据访问,假设您有两个团队,即营销团队和支持团队。这两个团队不应具有对整个模型的访问权限。您可以创建两个不同的模型(thelook_marketing 和 thelook_support),它们仅包含适合各自团队的视图和字段:
然后,为每个团队创建一个模型集,并授予相应模型的访问权限:
接下来,为这组用户创建新的角色,并将其模型集限制为刚刚创建的用户:
修改模型集
创建模型集后,如需修改模型集,请执行以下操作:
在角色页面上,点击要修改的模型集右侧的修改按钮。
Looker 会显示修改模型集页面。如果需要,请为模型集输入新名称。
在模型集中添加或移除任何模型。
点击页面底部的 Update Model Set 按钮。
待处理项目中包含的模型会显示在新模型集和修改模型集页面的模型列表中。
删除或重命名模型不会更改任何包含该模型的模型集。移除或重命名模型时,我们建议 Looker 管理员也使用修改模型集页面从任何关联的模型集中移除该模型的名称。从模型集中移除已删除模型的名称可防止具有相同名称的新模型被意外地添加到该模型集中。
删除模型集
要删除模型集,请在角色页面上点击要删除的模型集右侧的删除:
