Nutzerattribute

Nutzerattribute bieten für jeden Looker-Nutzer eine individuelle Nutzererfahrung. Ein Looker-Administrator definiert ein Nutzerattribut und wendet dann einen Nutzerattributwert auf eine Nutzergruppe oder auf einzelne Nutzer an.

Administratoren können auch Nutzerattribute definieren, für die Nutzer selbst Werte angeben, z. B. Passwörter oder Kontaktdaten. Verschiedene Stellen in Looker können auf die Nutzerattribute verweisen, um jedem Nutzer eine benutzerdefinierte Erfahrung zu bieten.

Looker enthält automatisch einige Nutzerattribute wie email, first_name, landing_page, last_name, full_name, ID, timezone (falls konfiguriert), locale und number_format.

Die Standardnutzerattribute landing_page, locale und number_format können bearbeitet werden, sollten aber nicht gelöscht werden. Wenn Sie eines dieser Nutzerattribute löschen, erstellen Sie ein neues Nutzerattribut mit diesem Namen.

Nutzerattribute ansehen

Eine Liste der Nutzerattribute finden Sie im Menü Admin im Bereich Nutzer auf der Seite Nutzerattribute:

In der Tabelle mit den Nutzerattributen sind Name, Label und Typ der einzelnen Nutzerattribute aufgeführt. Weitere Informationen finden Sie unten. Darüber hinaus enthält die Tabelle eine Schaltfläche für Aktionen, die Sie für das Nutzerattribut ausführen können. Bei einigen Attributen wird „Systemstandardeinstellung“ anstelle einer Schaltfläche für Aktionen angezeigt. Das bedeutet, dass Looker diese Attribute für jeden Nutzer automatisch erstellt. Die Standardnutzerattribute des Systems sind für Looker zur internen Verwendung reserviert und können nicht bearbeitet werden.

Nutzerattribute erstellen

Klicken Sie oben links auf die Schaltfläche Nutzerattribut erstellen, um ein Nutzerattribut zu definieren. Jedes Nutzerattribut hat die folgenden Einstellungen:

  • Name: Der Name des Nutzerattributs für textbasierte Umgebungen wie LookML. Namen dürfen nur Kleinbuchstaben, Ziffern und Unterstriche enthalten.
  • Label: Die nutzerfreundliche Version des Namens. Standardmäßig ist dies der Name des Attributs, wobei Unterstriche durch Leerzeichen ersetzt und jedes Wort großgeschrieben wird. Das Label kann jedoch wie gewünscht geändert werden.

  • Datentyp: Mit dieser Einstellung prüfen Sie, ob den Nutzern für dieses Nutzerattribut gültige Werte zugewiesen werden. Es gibt folgende Datentypen des Nutzerattributs:

    • String: Wählen Sie diese Option aus, um ein Nutzerattribut zu erstellen, das genau mit einem Stringwert übereinstimmt, z. B. ein Nutzername. Wenn Sie mehrere Stringwerte oder einen Looker-Filterausdruck im Nutzerattributwert verwenden möchten, wählen Sie stattdessen die Option Stringfilter (erweitert) aus.
    • Zahl: Wählen Sie diese Option aus, um eine einzelne Nummer anzugeben, z. B. die Mitarbeiternummer. Wenn Sie einen Zahlenbereich oder einen Looker-Filterausdruck verwenden möchten, verwenden Sie stattdessen den Zahlenfilter (erweitert).
    • Datum/Uhrzeit: Wählen Sie diese Option aus, um ein einzelnes Datum oder eine einzelne Uhrzeit anzugeben, z. B. das Geburtsdatum des Nutzers. Wenn Sie einen Zeitraum oder einen Looker-Filterausdruck verwenden möchten, verwenden Sie stattdessen den Datum/Uhrzeit-Filter (erweitert).
    • Stringfilter (erweitert): Wählen Sie diese Option aus, um mehrere Stringwerte oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Auf der Dokumentationsseite Filterausdrücke finden Sie eine Liste der Filterausdrücke, die Sie für Strings verwenden können.
    • Zahlenfilter (erweitert): Wählen Sie diese Option aus, um einen Bereich numerischer Werte oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Auf der Dokumentationsseite Filterausdrücke finden Sie eine Liste der Filterausdrücke, die Sie für Zahlen verwenden können.
    • Datum/Uhrzeit-Filter (erweitert): Wählen Sie diese Option aus, um einen Zeitraum oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Auf der Seite Filterausdrücke finden Sie eine Liste der Filterausdrücke, die Sie für Datum und Uhrzeit verwenden können.

    Verwenden Sie die Datentypen Stringfilter (erweitert), Zahlenfilter (erweitert) und Datum/Uhrzeit-Filter (erweitert), um Werte mit Looker-Filterausdrücken einzugeben. Dadurch wird ein Wertebereich für ein Nutzerattribut zurückgegeben.

  • Nutzerzugriff: Sie können für ein Nutzerattribut die Sichtbarkeit und die Bearbeitung auswählen:

    • Keine: Sie sind nicht auf den Kontoseiten der Nutzer zu sehen.
    • Anzeigen: Sie werden auf den Kontoseiten der Nutzer angezeigt, können aber nicht bearbeitet werden.
    • Bearbeiten: Sie ist auf den Kontoseiten der Nutzer zu sehen und kann vom Nutzer festgelegt werden.

  • Werte ausblenden: Wenn Sie diese Option auf Yes setzen, werden die Nutzerattributwerte maskiert, auch wenn Nutzerattribute für Nutzer sichtbar sind. Das ist nützlich für Passwörter oder andere vertrauliche Informationen. Wenn Sie diesen Wert auf Ja festlegen, wird der Wert des Benutzerattributs auch in den Dropdown-Listen für Benutzerattribute auf der Seite Verbindungseinstellungen maskiert. Wenn dieser Wert auf Yes gesetzt ist, kann er nie wieder zu No geändert werden. Wenn Sie herzhaften Wert ausblenden auf Yes setzen, müssen Sie auch eine Zulassungsliste der Domains angeben, die als Ziel für das Nutzerattribut zulässig sind.

  • Zulassungsliste für Domains: Wenn Sie die Werte für ein neues Nutzerattribut ausblenden, müssen Sie auch eine Zulassungsliste für die Domains angeben, die aus den URLs besteht, an die das Attribut übergeben werden kann. Das können beispielsweise Hostnamen für Datenbankverbindungen oder URLs für Projekt-Git-HTTPS-Integrationen sein. Mit dem Platzhalter (*) können Sie die Zustellung mehrerer Seiten auf derselben Website aktivieren. Nachdem Sie eine Domain-Zulassungsliste angegeben haben, kann das Nutzerattribut nur an die aufgeführten Ziele geliefert werden.

    Wenn Sie die Zulassungsliste für Domains für dieses Nutzerattribut festgelegt haben und wenn dem Nutzerattribut Werte zugewiesen wurden – für einen Nutzer, eine Gruppe oder einen Standardwert –, können Sie die Zulassungsliste nicht mehr ändern, um die URL-Beschränkung zu verringern. Sie können URLs nur weiter einschränken oder URLs von der Zulassungsliste entfernen. Wenn die Zulassungsliste der Domains beispielsweise den Eintrag my_domain/route/* enthält, können Sie ihn später nicht mehr in my_domain/* ändern. Wenn Sie die Zulassungsliste einschränken müssen, löschen Sie alle vorhandenen Werte, die dem Nutzerattribut zugewiesen sind, einschließlich der Standardwerte.

  • Standardwert festlegen: Klicken Sie dieses Kästchen an, um einen Standardwert festzulegen, falls einem Nutzer kein Wert zugewiesen ist.

Nachdem Sie ein Nutzerattribut definiert haben, können Sie einzelnen Nutzern oder Nutzergruppen Werte zuweisen. Klicken Sie dazu oben auf der Seite auf die Tabs Nutzerwerte und Gruppenwerte:

Einzelnen Nutzern Werte zuweisen

Nachdem Sie ein Nutzerattribut definiert haben, können Sie ihm einen einzelnen Nutzer zuweisen:

  1. Klicken Sie auf Nutzerwerte.
  2. Wählen Sie im Drop-down-Menü den Nutzer aus, dem Sie einen Wert zuweisen möchten. Dadurch wird eine Tabelle mit Werten angezeigt, die für diesen Nutzer gelten.
  3. Klicken Sie auf die Schaltfläche Wert für Nutzer festlegen.
  4. Geben Sie in das Feld Neuer Wert den Wert ein, den der Nutzer haben soll.
  5. Klicken Sie auf Speichern.

Wenn ein Wert einem einzelnen Nutzer zugewiesen wird, hat dieser Wert immer Vorrang vor allen Werten, die diesen Nutzergruppen zugewiesen sind. Auf dem Tab Nutzerwerte sehen Sie, wann einem Nutzerattribut ein benutzerdefinierter Wert zugewiesen wurde, der einen Gruppenwert überschreibt:

Wenn Sie einem Nutzerattribut mehrere Werte zuweisen möchten, verwenden Sie den Datentyp Stringfilter (erweitert) und geben Sie mehrere Werte durch Kommas getrennt ein. Zwischen den Werten darf kein Leerzeichen stehen. Sie können beispielsweise den String „Executive, Management, Contributors“ eingeben.

Wenn Sie einem Looker-Administrator oder einem anderen Nutzer alle möglichen Werte zuweisen möchten, verwenden Sie einen Platzhalterwert im Nutzerattribut:

  • Wenn Sie einem Administrator oder einem anderen Nutzer Zugriff auf alle Werte eines Stringfelds gewähren möchten, setzen Sie den Datentyp des Nutzerattributs auf Stringfilter (erweitert) und verwenden Sie den Wert %, NULL.

  • Um einem Administrator oder einem anderen Nutzer Zugriff auf alle Werte in einem Zahlenfeld zu gewähren, setzen Sie den Datentyp des Nutzerattributs auf Zahl Filter (erweitert) und verwenden Sie den Wert <0, >=0, NULL.

Aus Sicherheitsgründen wird die Verwendung von Platzhaltern oder Wertebereich in einem Nutzerattribut bei Zugriffsgenehmigungen nicht unterstützt. Weitere Informationen finden Sie auf der Dokumentationsseite zum Parameter access_grant.

User-Gruppen Werte zuweisen

Sie können einer Nutzergruppe einen Wert für ein Nutzerattribut zuweisen. Wählen Sie auf der Seite Nutzerattribute im Steuerfeld Admin rechts neben dem Attribut, das Sie festlegen möchten, die Option Bearbeiten aus. Führen Sie dann folgende Schritte aus:

  1. Klicken Sie auf Gruppenwerte.
  2. Klicken Sie auf die Schaltfläche + Gruppe hinzufügen.
  3. Wählen Sie im Drop-down-Menü die Gruppe aus, der Sie einen Wert zuweisen möchten.
  4. Geben Sie in das Feld Wert den Wert ein, den die Gruppe haben soll.
  5. Klicken Sie auf Speichern.

Wenn ein Wert mehreren Gruppen zugewiesen wird, müssen Sie entscheiden, welche Gruppe Vorrang haben soll, falls ein Nutzer mehreren Gruppen angehört. Ziehen Sie die Gruppen dazu in die gewünschte Reihenfolge. Jede Gruppe hat Vorrang vor den darunter aufgeführten Gruppen.

Im vorherigen Beispiel gibt es Gruppen der Geschäftsleitung und der Geschäftsleitung. Führungskräfte sind auch Manager und somit Mitglieder beider Gruppen. Wenn Sie die Gruppe „Leitendes Team“ an den Anfang der Liste ziehen, erhalten ihre Mitglieder statt des Werts Manager den Wert Executive.

Wenn ein Nutzer einen benutzerdefinierten Wert für ein Nutzerattribut festgelegt hat, überschreibt der vom Nutzer festgelegte Wert jeden Wert, der einer Gruppe zugeordnet wird, zu der der Nutzer gehört.

Wo können Nutzerattribute verwendet werden?

Nutzerattribute haben folgende Funktionen:

Datenbankverbindungen

Host, Port, Datenbank, Nutzername, Passwort und Schema einer Verbindung können jeweils den Wert eines Nutzerattributs erhalten. Im Feld für den Host für die Verbindung werden keine Nutzerattribute akzeptiert, bei denen die Nutzerzugriffsebene auf Bearbeitbar gesetzt ist.

Dadurch wird die Verbindung spezifisch für den Nutzer, der eine Abfrage ausführt. Auf Nutzerattribute kann auch im Feld Zusätzliche Parameter verwiesen werden, mit dem der JDBC-Verbindungsstring angepasst wird. Wenn ein Nutzer eine Abfrage über die Verbindung ausführt, werden die ihm zugewiesenen Nutzerattributwerte angewendet. So kann die Verbindung an den Nutzer angepasst werden.

Wenn Sie einen oder mehrere Verbindungsparameter für ein Nutzerattribut festlegen, müssen Sie separate, persistente abgeleitete Tabellen (PDT)-Anmeldedaten definieren, um PDTs in Ihrem LookML-Modell zu verwenden. (Eine Ausnahme: BigQuery kann auf ein Nutzerattribut festgelegt werden, ohne dass ein separater PDT-Nutzer erforderlich ist.)

Konfiguration

Sie können beliebige Verbindungen für die Verwendung von Nutzerattributen über die Seite Verbindungen im Abschnitt Admin von Looker konfigurieren. (Weitere Informationen finden Sie auf der Seite Admin-Einstellungen – Verbindungen auf der Seite Verbindungen. Klicken Sie auf New Connection (Neue Verbindung), um eine neue Verbindung herzustellen. Klicken Sie neben der Verbindung auf Bearbeiten, um eine Verbindung zu konfigurieren.

Auf den Seiten New Connection und Edit Connection haben Sie für jede Eingabe, die auf ein Nutzerattribut festgelegt werden kann, rechts eine Schaltfläche mit dem Nutzerattributsymbol:

Klicken Sie auf die Schaltfläche für das Nutzerattribut, um ein Drop-down-Menü aufzurufen, in dem Sie das gewünschte Nutzerattribut auswählen können:

Hier ist beispielsweise das Nutzerattribut Database Name, mit dem die Datenbank der Verbindung parametrisiert wird. Der Wert für das Nutzerattribut „Database Name“ des aktuellen Nutzers „demo_db“ wird in Klammern angezeigt:

Wenn Sie im Feld Zusätzliche Parameter auf ein Nutzerattribut verweisen möchten, verwenden Sie dieselbe Syntax der flüssigen Vorlagen, die auch in LookML verfügbar ist. Nutzerattribute werden über die _user_attributes Liquid-Variable verfügbar gemacht. Wenn Sie beispielsweise auf ein Nutzerattribut mit dem Namen my_jdbc_param_attribute verweisen möchten, verwenden Sie die folgende Syntax:

my_jdbc_param={{ _user_attributes['name_of_attribute'] }}

So könnte es in Looker im Feld Zusätzliche Parameter aussehen:

Anwendungsfall: Berechtigungen auf Datenbankebene in Looker anwenden

Wenn Ihre Datenbank unterschiedliche Konten mit verschiedenen Zugriffsbeschränkungen hat, können Sie Ihre Datenbankberechtigungen in Looker nutzen. Parametrisieren Sie den Nutzernamen und das Passwort einer Verbindung, damit jeder Nutzer die richtigen Anmeldedaten für seine Datenbankzugriffsebene erhält. So wird zwar sichergestellt, dass Nutzer keine Daten sehen, auf die sie keinen Zugriff haben sollten, dies hat jedoch keinen Einfluss darauf, welche Analysen, Dimensionen und Maßnahmen ihnen in Looker angezeigt werden.

Wenn ein Nutzer beispielsweise so konfiguriert ist, dass er eine Verbindung mit der Datenbank mit einem Konto herstellt, das ihn daran hindert, eine Spalte credit_card_number in der Tabelle user zu sehen, wird ihm jede Dimension, die diese Datenbankspalte verwendet, in Looker angezeigt. Sie erhalten einfach eine Fehlermeldung von der Datenbank, wenn sie eine Abfrage mit dieser Dimension ausführen möchten.

Anwendungsfall: Verwendung eines Modells für mehrere identische Datenbanken

Angenommen, Sie haben mehrere Datenbanken mit genau dem gleichen Schema, z. B. wenn die Daten jedes Kunden in einer eigenen Datenbank für Datensicherheitsmaßnahmen (z. B. HIPAA-Compliance) gespeichert sind. Oder vielleicht möchten Sie, dass Ihre LookML-Entwickler Abfragen für eine Entwicklungskopie einer Produktionsdatenbank ausführen.

Wenn sich diese Datenbanken auf demselben Datenbankserver befinden, müssen Sie keine separaten Verbindungen und Modelle einrichten. Legen Sie stattdessen die Datenbank einer Verbindung zu einem Nutzerattribut fest. Jeder Nutzer wird dann auf die Datenbank verwiesen, die im Wert des Database Name-Nutzerattributs angegeben ist.

Durch die Verwendung von Nutzerattributen für eine Verbindung werden persistente abgeleitete Tabellen für diese Verbindung deaktiviert.

Datenaktionen

Datenaktionen können so konfiguriert werden, dass sie bestimmte Nutzerattribute in ihre JSON-Nutzlast aufnehmen. Hiermit können Sie nutzerspezifische Informationen zusammen mit den Daten senden, z. B. deren Anmeldedaten, um einen Vorgang für einen bestimmten Dienst auszuführen.

Konfiguration

Wenn Sie ein Nutzerattribut in eine Datenaktion aufnehmen möchten, fügen Sie der action-Definition einen user_attribute_param-Block hinzu. Jeder Block hat zwei Parameter:

  • user_attribute: Der Name des Nutzerattributs
  • name: Name, der in der JSON-Nutzlast verwendet werden soll

In diesem Beispiel werden die Nutzerattribute salesforce_username und salesforce_password verwendet, um die Salesforce-Anmeldedaten der einzelnen Nutzer in Looker zu speichern. Wenn ein Nutzer die Aktion „Update in Salesforce“ ausführt, sendet Looker seine Salesforce-Anmeldedaten mit der JSON-Nutzlast, die der empfangende Server bei der Authentifizierung bei Salesforce verwenden kann.

dimension: stage_name {
  type: string
  sql: ${TABLE}.stage_name;;
  action: {
    label: "Update in Salesforce"
    url: "https://example.com/my_salesforce_url"
    user_attribute_param: {
      user_attribute: salesforce_username
      name: "username"
    }
    user_attribute_param: {
      user_attribute: salesforce_password
      name: "password"
    }
    form_param: {
      name: "new_stage_name"
      type: string
      required: yes
    }
  }
}

Benutzerdefinierte Aktionen in einem Aktions-Hub

Sie können eine benutzerdefinierte Aktion so konfigurieren, dass Nutzerattribute einbezogen werden, die verhindern, dass Nutzer Looker-Inhalte an dieses Aktionsziel senden oder planen, wenn für dieses Nutzerattribut kein Wert definiert ist.

Konfiguration

Der Parameter params in einer benutzerdefinierten Aktion stellt die Formularfelder dar, die ein Looker-Administrator auf der Aktivierungsseite der Aktion in der Liste Aktionen im Steuerfeld Admin konfigurieren muss. Geben Sie im Parameter params Ihrer Aktionsdatei Folgendes an:

  params = [{
    description: "A description of the param.",
    label: "A label for the param.",
    name: "action_param_name",
    user_attribute_name: "user_attribute_name",
    required: true,
    sensitive: true,
  }]

Dabei ist user_attribute_name das Nutzerattribut, das im Feld Name auf der Seite User Attributes (Nutzerattribute) im Abschnitt Users (Nutzer) des Steuerfelds Admin definiert ist. required: true bedeutet, dass ein Nutzer einen nicht null und gültigen Wert für dieses Nutzerattribut definiert haben muss, damit die Aktion beim Senden von Daten erkannt wird, und sensitive: true bedeutet, dass der Nutzerattributwert verschlüsselt ist und nach der Eingabe in der Looker-UI nie angezeigt wird. Sie können mehrere Nutzerattribut-Unterparameter angeben.

Ein Looker-Administrator muss die Formularfelder der Aktion mit dem Nutzerattribut konfigurieren:

  1. Klicken Sie auf der Seite Aktionen des Steuerfelds Verwaltung neben der Aktion auf die Schaltfläche Aktivieren oder Einstellungen.
  2. Klicken Sie rechts neben dem entsprechenden Feld auf das Nutzerattributsymbol und wählen Sie das gewünschte Nutzerattribut aus.

Weitere Informationen finden Sie auf der Dokumentationsseite Daten über einen Aktions-Hub freigeben im Abschnitt Nutzerattribute zu benutzerdefinierten Aktionen hinzufügen.

Filter

Filter für Erkundungen, Looks, Dashboards und alte Dashboards können auf ein Nutzerattribut festgelegt werden, um die Abfrage basierend auf dem Nutzer anzupassen, der sie ausführt.

Sie könnten beispielsweise ein Nutzerattribut mit dem Namen salesforce_username erstellen und jeden Looker-Nutzer so konfigurieren, dass sein Wert für ihn der Salesforce-Nutzername ist. Anschließend können Sie in einem Dashboard einen Filter auf das Nutzerattribut salesforce_username festlegen.

Konfiguration

Gehen Sie im Bereich Erkunden des Bereichs „Erkunden“, „Look“ oder „Dashboard“ so vor:

  1. Wählen Sie für den gewünschten Filter die Option Stimmt mit einem Nutzerattribut überein aus.

    Das Auswahlfeld rechts daneben wird automatisch mit einer Liste von Nutzerattributen aktualisiert, die denselben Typ wie das Feld des Filters haben, z. B. Zahl, String (Text), Datum usw. Looker zeigt den Wert für jedes Nutzerattribut in Klammern an.

  2. Wählen Sie das gewünschte Nutzerattribut aus.

Erweiterte Filtersyntax

Wenn Sie eine komplexere Gleichheitsprüfung des Filters durchführen möchten, wählen Sie ist gleich (erweitert) aus und verweisen Sie mit einer Liquid-Variable auf das Nutzerattribut:

{{ _user_attributes['name_of_attribute'] }}

Angenommen, du musst ein sf_-Präfix auf den Wert des Nutzerattributs salesforce_username anwenden, weil die Werte auf diese Weise in deiner Datenbank gespeichert werden. Fügen Sie dem Wert des Nutzerattributs das Präfix _user_attributes hinzu:


sf_{{_user_attributes['salesforce_username']}}

Mit diesem Muster können Sie Nutzerattribute in Dashboard-Filter und Dashboard-Elementfilter von LookML einfügen.

Geplante Dashboards und Looks

Dashboard- und Look-Filter können nach Zeitplan erstellt werden, einschließlich der Option zur Verwendung eines Nutzerattributs. So können Sie die Ergebnisse der Datenübermittlung für jeden E-Mail-Empfänger anpassen. Sie können die Übermittlungen für Inhalte anpassen, die als einmalige oder wiederkehrende Zustellung gesendet werden.

Sie können beispielsweise ein Nutzerattribut mit dem Namen salesforce_username erstellen und den Wert auf den Salesforce-Nutzernamen jedes Nutzers festlegen. Legen Sie einen Filter für ein Dashboard oder einen Look-Zeitplan für das Nutzerattribut „salesforce_username“ fest, damit jeder Empfänger dieses Dashboard nach seinem Salesforce-Nutzernamen filtern kann.

Vorbereitung

Nur für Looker-Nutzer sind Nutzerattributwerte festgelegt. Jeder Empfänger der Datenbereitstellung muss also ein Looker-Konto haben. Nutzerattribute werden angewendet, wenn Sie das Dashboard ausführen oder für jeden Empfänger einmal suchen.

Konfiguration

Öffnen Sie den Planer für das Look, das alte Dashboard oder das Dashboard, das die neue Dashboard-Oberfläche verwendet:

  1. Wählen Sie im Bereich Filter die Option Stimmt mit einem Nutzerattribut überein für den gewünschten Filter aus.

    Das Auswahlfeld rechts wird automatisch mit einer Liste von Nutzerattributen aktualisiert, deren Typ dem des Filters entspricht. Ihr eigener Wert für jedes Nutzerattribut wird in Klammern angezeigt.

  2. Wählen Sie das gewünschte Nutzerattribut aus.

  3. Setzen Sie neben dem Feld E-Mail-Optionen ein Häkchen bei Ausführungszeitplan als Empfänger.

Zugriffsfilter

Sie können die Daten einschränken, auf die ein Nutzer mit Zugriffsfiltern zugreifen kann. Diese bieten Sicherheit auf Zeilenebene. Obwohl Sie den Parameter access_grant verwenden können, sind Zugriffsfilter einfacher zu implementieren und mithilfe von Nutzerattributen gepflegt.

Zugriffsfilter bieten eine sichere Möglichkeit, nutzerspezifische Dateneinschränkungen anzuwenden. Wenn Sie einen oder mehrere Zugriffsfilter für eine LookML-Erkundung definieren, werden die von einer explorativen Datenanalyse zurückgegebenen Daten basierend auf dem Nutzer gefiltert, der die Abfrage ausführt. Zugriffsfilter bieten daher eine zusätzliche Sicherheitsebene, sodass der Nutzer nur bestimmte Teilmengen der Daten aus einer Datenbankverbindung sehen kann.

Hinweis für SQL-Nutzer: Zugriffsfilter bieten Sicherheit auf Zeilenebene. Sie fügen Bedingungen in die SQL-Klausel WHERE ein. Nutzerattribute können in LookML auf andere Weise verwendet werden, um eine Sicherheit auf Spaltenebene zu bieten, wie im Artikel Sensible Felder für bestimmte Nutzer maskieren beschrieben.

Konfiguration

  1. Erstellen Sie ein Nutzerattribut:
    • Legen Sie für Nutzerzugriff die Einstellung Keine (empfohlen) oder Ansehen fest. Ein Nutzerattribut, das so konfiguriert wurde, dass es von Nutzern bearbeitet werden kann, kann nicht für einen Zugriffsfilter verwendet werden.
    • Gruppen- oder einzelnen Nutzern Werte für Nutzerattribute zuweisen
  2. Fügen Sie in der LookML-Definition für „Entdecken“, wo der Zugriffsfilter verwendet werden soll, einen access_filter-Block mit den folgenden Parametern hinzu:
    • field: Der Name des LookML-Felds, nach dem gefiltert werden soll.
    • user_attribute: Der Name des Nutzerattributs, in dem der Wert zum Filtern der Daten gespeichert wird.
  3. Führen Sie eine Abfrage für diesen Tab „Entdecken“ aus.
  4. Prüfen Sie in der WHERE-Klausel der SQL-Abfrage, ob die Daten gemäß Ihrem Wert für das Nutzerattribut gefiltert sind.

Diese LookML sorgt dafür, dass Abfragen zu Bestellungen nach Marke gefiltert werden, wobei die bestimmte Marke auf dem dem Nutzer zugewiesenen Wert für ein Nutzerattribut mit dem Namen company basiert:

explore: orders {
  view_name: orders
  access_filter: {
    field: products.brand_name
    user_attribute: company
  }
  join: products {
    foreign_key: orders.product_id
  }
}

Verbindung zu Git-Anbietern herstellen

Für LookML-Projekte können Sie die Git-Authentifizierung über HTTPS konfigurieren. Projekte, die die HTTPS-Git-Authentifizierung verwenden, können sich mit Nutzerattributen in den einzelnen Git-Konten von Entwicklern anmelden, wenn sie Git-Vorgänge für den Entwickler ausführen.

Nutzerattribute für Passwörter für Git-Konten müssen ausgeblendet sein. Wählen Sie beim Erstellen des Passwortattributs Ja unter der Option Werte ausblenden aus und geben Sie die Git-Anbieter-URL in das Feld Domain-Zulassungsliste ein.

Zugriff mit Zugriffsberechtigungen steuern

Sie können Zugriffsberechtigungen erstellen, die den Zugriff auf eine LookML-Erkundung, eine Zusammenführung, eine Ansicht oder ein Feld mithilfe von Nutzerattributwerten, den access_grant- und den required_access_grants-Parametern einschränken.

Zugriffsberechtigungen funktionieren folgendermaßen:

  1. Sie definieren eine Zugriffsberechtigung mit dem Parameter access_grant. Als Teil der Definition ordnen Sie die Zugriffsberechtigung einem Nutzerattribut zu. Außerdem geben Sie an, welche Nutzerattributwerte Zugriff auf die Zugriffsberechtigung gewähren.
  2. Verwenden Sie nun den Parameter required_access_grants auf der Ebene Erkunden, Zusammenführen, Ansicht oder Feld, um diese Struktur auf Nutzer zu beschränken, die Zugriff auf jede aufgeführte Zugriffsberechtigung haben.

Mit einer Zugriffsberechtigung könnten Sie beispielsweise den Zugriff auf die Dimension salary auf Nutzer beschränken, die den Wert payroll im Nutzerattribut department haben.

Weitere Informationen zum Definieren von Zugriffsberechtigungen finden Sie auf der Dokumentationsseite zum Parameter access_grant.

Aus Sicherheitsgründen wird die Verwendung von Platzhaltern oder Wertebereich in einem Nutzerattribut bei Zugriffsgenehmigungen nicht unterstützt. Weitere Informationen finden Sie auf der Dokumentationsseite zum Parameter access_grant.

Flüssigkeitsvariablen

LookML ermöglicht die Verwendung verschiedener Liquid-Variablen, die für komplexere Arten benutzerdefinierter Ausgaben hilfreich sein können. Die Attributwerte eines Nutzers können jetzt in Liquid aufgenommen werden.

Beispiele finden Sie auf dieser Dokumentationsseite im Abschnitt Verbindung und im Hilfeartikel Nutzerattribute für das dynamische Schema und die Einschleusung von Tabellennamen verwenden.

Datenlimits für Google BigQuery

Wenn Sie Google BigQuery als Datenbank verwenden, berechnet Google Ihnen die Kosten für jede Abfrage auf Grundlage der Größe der Abfrage. Um zu verhindern, dass Nutzer versehentlich eine zu hohe Abfrage ausführen, können Sie in Ihrer BigQuery-Verbindung in der Einstellung Max Billing Gigabyte ein Nutzerattribut anwenden. Die Werte, die Sie im Nutzerattribut angeben, sollten die Anzahl der Gigabyte sein, die ein Nutzer in einer einzigen Abfrage abrufen kann.

Eingebettete Dashboards

Sie können die Anzeige von Daten in eingebetteten Looks und Dashboards einschränken, indem Sie Filterwerte auf Nutzerattributwerte stützen. Weitere Informationen findest du in diesem Community-Thema.

Lokalisierung

Mit den Nutzerattributen locale und number_format können Sie die Darstellung von Daten, Visualisierungen und Teilen der Looker-Benutzeroberfläche für bestimmte Nutzer oder Nutzergruppen festlegen. Weitere Informationen finden Sie auf der Dokumentationsseite Looker lokalisieren.

Nutzerattribute und Zugriffsfilter testen

Sie können die Auswirkungen Ihrer Nutzerattribute mit der Looker-Funktion sudo testen. Administratoren (oder Nutzer mit den Berechtigungen see_users und sudo) können Sudo-Inhalte für andere Nutzer ausführen, um Looker zu sehen.

Im Entwicklungsmodus sehen Sie Ihre Änderungen erst dann für andere Nutzer, wenn Sie die Änderungen in der Produktionsumgebung bereitstellen. Wenn Sie Ihre Änderungen nicht für andere Nutzer bereitgestellt haben, werden sie nicht angezeigt, wenn Sie Sudo als anderer Nutzer verwenden.