Control de acceso y administración de permisos

Los administradores de Looker pueden administrar lo que un usuario o grupo de usuarios puede ver y hacer en Looker especificando el siguiente acceso:

• Acceso al contenido, que controla si un usuario o grupo de usuarios puede ver una carpeta o administrarla. Un usuario que puede ver una carpeta puede navegar a ella y ver las listas de los paneles y las vistas de la carpeta. Un usuario que puede administrar una carpeta puede manipular su contenido (copiar, mover, borrar y cambiar el nombre de los paneles y las vistas), organizar la carpeta en sí (cambiarle el nombre, moverla o borrarla), y otorgar acceso a la carpeta a otros usuarios y grupos. El acceso al contenido lo controlan los administradores de Looker en el panel Administrador o, si se permite, por usuarios individuales de la carpeta.
• Acceso a los datos, que controla los datos que un usuario puede ver. El acceso a los datos se administra principalmente a través de conjuntos de modelos, que conforman la mitad de un rol de Looker. Luego, estos roles se aplican a usuarios y grupos. El acceso a los datos puede restringirse aún más dentro de un modelo con filtros de acceso para limitar las filas de datos que puede ver, como si hubiera un filtro automático en sus consultas. También puedes restringir el acceso a exploraciones, uniones, vistas o campos específicos mediante los otorgamientos de acceso.
• Acceso a atributos, que controla los tipos de acciones que un usuario puede realizar en Looker, como ver datos y contenido guardado, cambiar los modelos de LookML, administrar Looker y mucho más. Los conjuntos de permisos administran el acceso a los atributos, que conforman la otra mitad de un rol de Looker. Algunos de estos permisos se aplican a toda la instancia de Looker, como poder ver todas las programaciones de envío de datos. La mayoría de los permisos se aplican a conjuntos de modelos específicos, como poder ver paneles definidos por el usuario basados en esos modelos.

El acceso a los datos, el acceso a funciones y el acceso al contenido para usuarios y grupos se combinan para especificar lo que los usuarios pueden hacer y ver en Looker.

Usuarios y grupos

En Looker, hay usuarios individuales y grupos de usuarios. Los usuarios se administran en la página Usuarios del panel Administrador de Looker, mientras que los grupos se administran en la página Grupos del panel Administrador de Looker.

La práctica recomendada es usar grupos para evitar el tedio de asignar, ajustar y quitar controles para usuarios de forma individual. Normalmente, la combinación de actividades que permite a un usuario se puede organizar haciendo que este pertenezca a uno o más grupos. Si ninguna combinación de grupos es suficiente, considera crear un grupo con un solo usuario, lo que te permitirá expandir ese grupo a más personas en el futuro. Para los filtros de acceso, considera usar los atributos de usuario, ya que puedes asignar atributos de usuario a grupos.

Controla el acceso al contenido del usuario

Las carpetas de Looker te permiten organizar conjuntos de paneles y vistas. También pueden contener otras carpetas, lo que facilita una jerarquía de organización anidada.

Las carpetas te permiten establecer niveles de acceso que determinan qué usuarios pueden editar el contenido de las carpetas (como las Vistas y los paneles), ver su contenido y cambiar la configuración:

• Un usuario debe tener, como mínimo, el nivel de acceso View a una carpeta para comprobar que esta existe, ver las Vistas y los paneles que contiene y copiar las Vistas y los paneles en la carpeta.

• Un usuario debe tener el nivel de acceso Administrar el acceso, editar para que una carpeta administre el acceso a ella y edite la carpeta y su contenido (lo que incluye cambiar el nombre de las carpetas, mover contenido y borrar las vistas y los paneles).

Las carpetas no controlan lo que los usuarios pueden hacer en la plataforma de Looker ni qué datos pueden usar para crear su propio contenido. Para administrar ese nivel de acceso, consulta la sección Controla el acceso a las funciones y los datos de esta página.

Las instrucciones paso a paso para ajustar los niveles de acceso a las carpetas para los usuarios que exploran contenido en Looker se analizan en nuestra página de documentación Organiza y administra el acceso al contenido. Los administradores de Looker también pueden ajustar los niveles de acceso a las carpetas de todos los grupos y usuarios en la página Acceso al contenido de Looker. También puedes consultar la página de documentación Diseña y configura un sistema de niveles de acceso para obtener información sobre el diseño de niveles de acceso de toda la instancia.

Aunque el acceso al contenido se administra por separado del acceso a las funciones, el rol asignado a un usuario puede afectar si puede ver las Vistas y los paneles enumerados en una carpeta, ver una Vista o un panel, o administrar una carpeta. En la sección Cómo interactúan el acceso al contenido y los permisos de esta página, se describe con más detalle cómo el acceso a las funciones afecta el acceso al contenido.

Controla el acceso a los datos y a las funciones

Para controlar el acceso a las funciones y los datos en Looker, por lo general, debes crear un grupo de usuarios (esto es opcional, pero se recomienda) y asignarle un rol a ese grupo. Un rol vincula un conjunto de permisos con un conjunto de modelos de LookML. Los propios modelos definen qué campos y datos están disponibles.

Puedes aplicar límites de datos específicos a usuarios determinados con los filtros de acceso. Además, puedes limitar a los desarrolladores de Looker para que trabajen con modelos basados en bases de datos particulares usando proyectos.

También puedes crear otorgamientos de acceso para controlar el acceso a exploraciones, combinaciones, vistas o campos específicos. El acceso otorga un límite de acceso solo a los usuarios a los que se les asignaron valores específicos de atributos de usuario.

Si quieres lograr esto ...	Estos son los pasos básicos que debes seguir ...
Controlar las acciones que puede realizar un usuario	Crea un conjunto de permisos con los permisos adecuados y, luego, asigna un grupo o usuario a un rol con ese conjunto de permisos
Controla a qué campos puede acceder un usuario	Crea un modelo con los campos adecuados y, luego, asigna un grupo o un usuario a un rol con ese modelo.
Controla a qué datos puede acceder un usuario	Crea un modelo con las limitaciones de datos adecuadas y, luego, asigna un grupo o un usuario a un rol con ese modelo. - o - Usar filtros de acceso para limitar a un usuario a los datos adecuados - o - Usa los atributos de usuario para proporcionar diferentes credenciales de base de datos a un grupo o usuario. - o - Usa atributos de usuario con otorgamientos de acceso para restringir el acceso a exploraciones, combinaciones, vistas o campos específicos.
Controla a qué conexiones de bases de datos puede acceder un desarrollador de Looker	Crea un proyecto con las conexiones adecuadas, asócialo con un conjunto de modelos y, luego, asigna un grupo o usuario a un rol con esos modelos.

El acceso a las funciones también puede afectar el acceso al contenido. Consulta la sección Cómo interactúan el acceso al contenido y los permisos de esta página para obtener más detalles sobre cómo el acceso a los datos y a las funciones afectan el acceso al contenido.

Componentes básicos que debes comprender

Funciones

Un rol es una combinación de un conjunto de permisos y un conjunto de modelos. Un conjunto de permisos se compone de uno o más permisos y define lo que el rol puede hacer. Un conjunto de modelos se compone de uno o más modelos y define a qué modelos de LookML se aplica el rol.

Después de crear un rol, puedes asignarle un usuario individual o un grupo de usuarios. Si agregas algunos roles a un usuario individual y otros a un grupo al que pertenece el usuario, el usuario heredará todos esos roles juntos.

Algunos permisos son relevantes para toda tu instancia de Looker, otros solo se aplican a los modelos dentro del mismo rol. Consulta la página de documentación de las funciones para obtener más información.

Proyectos

Los proyectos te permiten restringir qué conexiones de bases de datos pueden usar cada modelo. Esto puede ayudarte a controlar con qué conjuntos de datos pueden interactuar tus desarrolladores de Looker cuando crean modelos. Un proyecto puede contener uno o más modelos y se puede configurar para usar una o más conexiones.

Esta restricción definida a través de proyectos también fluye a través del ejecutor de SQL de Looker, que garantiza que tus desarrolladores no puedan obtener acceso a conexiones de bases de datos prohibidas con el ejecutor de SQL.

Atributos de usuario

Los atributos de usuario te permiten asignar valores arbitrarios a grupos de usuarios o usuarios individuales. Luego, estos valores se usan como entradas para varias partes de Looker y personalizan las experiencias para cada usuario.

Una de las formas en que los atributos de usuario controlan el acceso es parametrizar las credenciales de la base de datos de modo que sean específicas para cada usuario. Esto solo tiene valor si tu base de datos tiene múltiples usuarios con acceso variable a los datos. Consulta la página de documentación Atributos de usuario para obtener más información.

Otra forma en que los atributos de usuario controlan el acceso es como parte de los filtros de acceso. Los filtros de acceso te permiten utilizar uno o más atributos de usuario como filtros de datos. Por ejemplo, es posible que desees asignar un nombre de empresa a cada usuario y, luego, asegurarte de que el contenido que vea esté filtrado por ese nombre. Para obtener una descripción de cómo aplicar filtros de acceso, consulta la página de documentación Atributos de usuario y la página de documentación del parámetro access_filter.

Los atributos de usuario también controlan los otorgamientos de acceso. Un otorgamiento de acceso especifica un atributo de usuario y define valores permitidos en ese atributo para otorgar acceso a una exploración, una unión, una vista o un campo. Luego, usa el parámetro required_access_grants a nivel Explorar, join, vista o campo para restringir el acceso a esas estructuras de LookML solo a los usuarios que tengan los valores de atributos de usuario permitidos. Por ejemplo, puedes usar un otorgamiento de acceso para limitar el acceso a la dimensión salary solo a los usuarios que tengan el valor payroll en su atributo de usuario department. Para obtener una descripción de cómo definir los otorgamientos de acceso, consulta la página de documentación del parámetro access_grant.

Cómo usar los componentes básicos

Controla el acceso a las funciones

Los permisos controlan los tipos de actividades que un usuario o grupo puede hacer. Así es como un usuario puede obtener permisos:

1. La práctica recomendada es identificar uno o más grupos de usuarios que deberían tener un conjunto de permisos y crear un grupo si es necesario. Si lo deseas, puedes otorgar permisos a usuarios individuales.
2. Crea un conjunto de permisos que contenga los permisos adecuados.
3. Si algunos de los permisos que se asignarán son específicos del modelo, crea o identifica un conjunto de modelos existente.
4. Crear un rol que combine el conjunto de permisos y, de ser necesario, el conjunto de modelos
5. Asigna la función desde la página Funciones. Después de que exista el rol, también puedes asignarlo a un usuario en la página Usuarios.

Puedes asignar varios roles a un usuario o grupo. En ese caso, los usuarios tendrán todos los permisos de todos los roles que tienen. Por ejemplo:

• Rol1 permite ver los paneles en Model1.
• Role2 permite ver los paneles y explorar en Model2.

Si asignas ambos roles al mismo grupo de usuarios, estos podrán ver paneles en el Modelo 1 y el Modelo 2, pero solo podrán explorar en el Modelo 2.

Controla el acceso de los usuarios a los campos de Looker

Los campos con los que un usuario puede trabajar están controlados por los modelos a los que el usuario tiene acceso. Así es como un usuario puede obtener acceso de campo:

1. Crear un modelo de LookML (o una combinación de modelos de LookML) que contenga solo los campos a los que un usuario debería tener acceso
2. Ve a Administrador > Usuarios > Roles.
3. En la página Roles, crea un conjunto de modelos que contenga esos modelos y, a continuación, asígnalo a un rol.
4. Para trabajar con grupos de usuarios, lo que generalmente se considera una práctica recomendada, crea un grupo en la página Grupos de Looker. A continuación, asigna los roles adecuados en la página Roles.
5. Para trabajar con usuarios individuales, asígnales funciones desde las páginas Usuarios o Funciones.

Puedes asignar varios roles a un usuario o grupo. Los usuarios pueden trabajar con todos los modelos de todos los roles que tienen.

Es importante tener en cuenta que el parámetro hidden para los campos está diseñado para crear experiencias más limpias para los usuarios, no para controlar el acceso al campo. El parámetro hidden oculta campos del selector de campos, pero no evitará que el usuario los use nunca. Si alguien le envía un vínculo que usa ese campo, podrá verlo, y se seguirá mostrando en otras partes de Looker.

Controla el acceso de los usuarios a los datos

Existen varias formas de controlar el acceso de un usuario a los datos, según el caso de uso:

• Para prohibir que los usuarios vean ciertas columnas de datos, controla los campos a los que pueden acceder, como se describe en la sección Controla el acceso de los usuarios a los campos de Looker. Siempre que un usuario no pueda desarrollar ni usar el Ejecutor de SQL, estará restringido por los campos a los que tiene acceso.
• Para prohibir que los usuarios vean ciertas filas de datos, aplica campos de filtro de acceso, como se describe en la página de documentación de parámetros access_filter.
• Para limitar el acceso a exploraciones, uniones, vistas o campos específicos, crea otorgamientos de acceso que limiten el acceso solo a los usuarios a los que se les asignaron los valores de atributos de usuario permitidos, como se describe en la página de documentación de parámetros de access_grant.
• Para limitar los usuarios de Looker a la ejecución de consultas sobre un usuario específico de la base de datos, que el equipo de tu base de datos configuró para limitar el acceso a los datos, usa los atributos de usuario. Te permiten parametrizar la conexión de tu base de datos para que un grupo de usuarios o usuarios individuales ejecuten sus consultas con credenciales de base de datos específicas. También debes considerar limitar a los usuarios a los campos de Looker adecuados. Si no lo haces, el usuario de Looker podría intentar consultar un campo al que el usuario de la base de datos no tiene acceso y recibirá un error.

Al igual que el parámetro del campo hidden no está diseñado para controlar el acceso al campo, el parámetro hidden de las exploraciones no impide que todos los usuarios vean una exploración. El parámetro hidden quita la función Explorar del menú, pero, si un usuario guardó contenido que hace referencia a una exploración oculta, seguirá teniendo acceso a sus datos.

Si usas la incorporación firmada, asegúrate de configurar los controles de acceso a los datos a través de la URL de incorporación firmada.

Controla el acceso de los desarrolladores a las conexiones de bases de datos

A diferencia de los usuarios normales, los desarrolladores de Looker no están completamente limitados por los modelos y los filtros de acceso, porque pueden simplemente hacer adiciones o cambios en los modelos de LookML. Sin embargo, los administradores aún pueden limitar a los desarrolladores de Looker a ciertas conexiones de bases de datos por medio de proyectos. Para ello, deberás hacer lo siguiente:

1. Crea un proyecto que restrinja una cierta cantidad de modelos a una determinada cantidad de conexiones de bases de datos. Esto se hace en la página Administrar proyectos de Looker.
2. Ve a Administrador > Usuarios > Roles.
3. En la página Roles, crea un conjunto de modelos que contenga al menos uno de los modelos del proyecto y, a continuación, asígnalo a un rol.
4. Para trabajar con grupos de usuarios, lo que generalmente se considera una práctica recomendada, crea un grupo en la página Grupos de Looker. A continuación, asigna los roles adecuados en la página Roles.
5. Para trabajar con usuarios individuales, asígnales funciones desde las páginas Usuarios o Funciones.

Si un desarrollador de Looker puede ver cualquier modelo que forme parte de un proyecto, podrá ver todos los modelos que formen parte de ese proyecto. Por ejemplo, esto podría suceder si asignaste a un desarrollador de Looker a un rol con un solo modelo, pero ese modelo era parte de un proyecto que contenía otros modelos.

Cómo interactúan el acceso al contenido y los permisos

El acceso al contenido lo controlan los usuarios cuando están viendo una carpeta, o lo gestiona un administrador de Looker en la página Acceso al contenido del panel Administrador. Los roles que se asignan a un usuario determinan el acceso a las funciones y a los datos del usuario. Esto afecta lo que el usuario puede hacer en una carpeta y si puede ver las Vistas y los paneles.

Visualiza datos en las Vistas y los paneles

Para ver los datos de una Vista o un panel, el usuario debe tener, como mínimo, acceso de Ver a la carpeta en la que se almacena el contenido.

Los usuarios deben tener los permisos access_data y see_looks para seleccionar una vista y ver sus datos. Los usuarios deben tener los permisos access_data y see_user_dashboards para seleccionar un panel y ver sus datos.

Para ver los datos en una vista o un mosaico del panel, el usuario debe tener acceso a ellos. Sin el acceso necesario a los datos, sucede lo siguiente:

• Incluso si el usuario puede ver una vista incluida en una carpeta y navegar a ella, no se ejecutará la consulta de la vista y el usuario no podrá ver sus datos.
• Incluso si el usuario puede ver un panel en una carpeta y puede navegar a él, cualquier mosaico al que el usuario no tiene acceso se muestra en blanco. Si un panel tiene mosaicos creados a partir de varios modelos, un usuario podrá ver los mosaicos asociados con modelos a los que tiene acceso, y los mosaicos de otros modelos mostrarán un error.

Por ejemplo, un usuario que tiene acceso de Ver para una carpeta, acceso a los datos subyacentes a todas las vistas de la carpeta y los permisos access_data y see_looks puede ver una lista de todas las vistas de la carpeta y también puede ver esas vistas. Si este usuario no tiene acceso para ver LookML o paneles definidos por el usuario, no verá ningún panel que pueda existir en la carpeta.

Visualiza una carpeta y listas de Vistas y paneles

Un usuario necesita, al menos, el nivel de acceso View a una carpeta para ver esa carpeta y la lista de contenido almacenado dentro de ella.

Los usuarios que también tengan al menos el permiso see_looks podrán ver los títulos de las vistas en la carpeta. Los usuarios que también tengan, al menos, el permiso see_user_dashboards pueden ver los títulos de los paneles de la carpeta. Sin embargo, esto no implica que puedan ver los datos de las Vistas o los paneles.

Por ejemplo, un usuario que tiene el permiso see_looks, pero no tiene el permiso access_data, puede ver los títulos de las vistas, pero no sus datos.

Los usuarios que tengan el permiso access_data, pero que no tengan see_looks ni see_user_dashboards no podrán ver ninguna carpeta ni contenido.

Cómo modificar una carpeta

Un usuario debe tener el nivel de acceso Administrar acceso, Editar para que una carpeta pueda organizarla, lo que incluye copiar y mover contenido, cambiar el nombre de las carpetas y moverlas, y realizar acciones similares. Los usuarios también deben tener el permiso manage_spaces para crear, editar, mover y borrar carpetas.

Hacer uso de la infraestructura de permisos del usuario (LDAP, SAML y OpenID Connect)

Si ya tienes una configuración de infraestructura OpenID, LDAP o SAML, puedes usar ese sistema para administrar los accesos de los usuarios. Las instrucciones para configurar LDAP se encuentran en la página Autenticación de LDAP. Las instrucciones para configurar SAML se encuentran en la página de documentación de la autenticación SAML. Las instrucciones para configurar OpenID Connect se encuentran en la página de documentación de la autenticación de OpenID Connect.

Si configuraste grupos en tu implementación de LDAP, OpenID Connect o SAML, también puedes usar esos grupos en Looker. Sin embargo, debes tener en cuenta lo siguiente:

• Los grupos que hayas creado se transferirán automáticamente a Looker y aparecerán en la página Grupos. Se creará un grupo de Looker para cada grupo de OpenID Connect, LDAP o SAML, y el nombre del grupo de Looker reflejará el mismo nombre que el de OpenID Connect, LDAP o SAML.
• Podrás usar estos grupos de Looker para asignar niveles de acceso a carpetas y atributos del usuario a los miembros de los grupos.
• No podrás usar los grupos de Looker para configurar roles como lo harías con un grupo creado de forma manual. En su lugar, asignarás tus grupos de LDAP, OpenID Connect o SAML durante el proceso de configuración, y solo podrás cambiar los roles asignados desde las páginas de configuración de OpenID Connect, LDAP o SAML. Requerimos este enfoque para que tus grupos de LDAP, OpenID Connect o LDAP sigan siendo tu única fuente de información. Sin esta restricción, la asignación de grupo a rol podría diferir de la función prevista en tu esquema de OpenID Connect, LDAP o SAML.

También puedes usar LDAP para aplicar conexiones de bases de datos específicas de usuarios a consultas de Looker, como se describe en la página de documentación de autenticación LDAP.