Los administradores de Looker pueden administrar lo que un usuario o grupo de usuarios puede ver y hacer en Looker especificando el siguiente acceso:
- Acceso al contenido, que controla si un usuario o un grupo de usuarios puede ver una carpeta o administrarla Un usuario que puede ver una carpeta puede navegar a ella y ver las listas de los paneles y las vistas de la carpeta. Un usuario que puede administrar una carpeta puede manipular el contenido de esta (copiar, mover, borrar y cambiar el nombre de los paneles y las vistas), organizar la carpeta (cambiarla, moverla o borrarla) y otorgar acceso a la carpeta a otros usuarios y grupos. El acceso al contenido está administrado por los administradores de Looker en el panel Administrador o, si se permite, por usuarios individuales desde la carpeta.
- Acceso a los datos, que controla qué datos puede ver un usuario. El acceso a los datos se administra principalmente a través de conjuntos de modelos, que conforman la mitad de un rol de Looker. Luego, estos roles se aplican a los usuarios y grupos. El acceso a los datos se puede restringir aún más dentro de un modelo mediante filtros de acceso para limitar las filas de datos que puede ver, como si hubiera un filtro automático en sus consultas. También puedes restringir el acceso a exploraciones, uniones, vistas o campos específicos mediante los otorgamientos de acceso.
- Acceso a funciones, que controla los tipos de acciones que un usuario puede realizar en Looker, incluida la visualización de datos y contenido guardado, el cambio de los modelos de LookML, la administración de Looker, etcétera. El acceso a las funciones se administra con los conjuntos de permisos, que conforman la otra mitad de un rol de Looker. Algunos de estos permisos se aplican a toda la instancia de Looker, como poder ver todas las programaciones para enviar datos. La mayoría de los permisos se aplican a conjuntos de modelos específicos, como poder ver los paneles definidos por el usuario en función de esos modelos.
El acceso a los datos, el acceso a las funciones y el acceso al contenido para los usuarios y grupos se combinan para especificar qué pueden hacer y ver los usuarios en Looker.
Usuarios y grupos
En Looker hay usuarios individuales y grupos de usuarios. Los usuarios se administran en la página Usuarios del panel Administrador de Looker, mientras que los grupos se administran en la página Grupos del panel Administrador de Looker.
La práctica recomendada es usar grupos para evitar el tedioso de asignar, ajustar y quitar controles para los usuarios de forma individual. Por lo general, la combinación de actividades para permitir a un usuario puede organizarse haciendo que este pertenezca a uno o más grupos. Si ninguna combinación de grupos es suficiente, considera crear un grupo con un solo usuario, lo que te permitirá expandir potencialmente ese grupo a más personas en el futuro. Para los filtros de acceso, considera usar atributos de usuario, ya que puedes asignar atributos de usuario a grupos.
Cómo controlar el acceso al contenido de los usuarios
Las carpetas de Looker te permiten organizar conjuntos de paneles y vistas. También pueden contener otras carpetas, lo que facilita una jerarquía de organización anidada.
Las carpetas te permiten establecer niveles de acceso que determinan qué usuarios pueden editar su contenido (como las vistas y los paneles), ver su contenido y cambiar la configuración:
Un usuario debe tener, al menos, el nivel de acceso Vista a una carpeta para comprobar que existe, ver las vistas y los paneles que contiene, y copiar las vistas y los paneles en ella.
El usuario debe tener el nivel de acceso Administrar acceso, Editar para que una carpeta pueda administrar el acceso y editar la carpeta y su contenido (lo que incluye cambiar el nombre de las carpetas, mover contenido y borrar vistas y paneles).
De otra manera, las carpetas no controlan lo que los usuarios pueden hacer en la plataforma de Looker o qué datos pueden usar para compilar su propio contenido. Para administrar ese nivel de acceso, consulta la sección Cómo controlar las funciones y el acceso a los datos en esta página.
Las instrucciones paso a paso para ajustar los niveles de acceso a las carpetas de los usuarios que exploran contenido en Looker se analizan en nuestra página de documentación Organiza y administra el acceso al contenido. Los administradores de Looker también pueden ajustar los niveles de acceso a las carpetas de todos los grupos y usuarios en la página Acceso al contenido de Looker. También puedes consultar la página de documentación Diseña y configura un sistema de niveles de acceso para obtener información sobre el diseño de niveles de acceso en toda la instancia.
Aunque el acceso al contenido se administra por separado del acceso a las funciones, el rol que se asigna a un usuario puede determinar si puede ver las vistas y los paneles enumerados en una carpeta, ver una vista o un panel, o administrar una carpeta. En la sección Cómo interactúan el acceso al contenido y los permisos de esta página, se describe en más detalle cómo el acceso a las funciones afecta el acceso al contenido.
Controla el acceso a las funciones y los datos
Para controlar el acceso a las funciones y los datos en Looker, por lo general, debes crear un grupo de usuarios (esto es opcional, pero se recomienda) y asignar ese grupo a un rol. Un rol une un conjunto de permisos con un conjunto de modelos de Looker. Los modelos definen los campos y datos que están disponibles.
Puedes aplicar límites de datos específicos a usuarios específicos con filtros de acceso. Además, puedes usar proyectos para limitar a los desarrolladores de Looker a trabajar con modelos basados en bases de datos específicas.
También puedes controlar el acceso a exploraciones, uniones, vistas o campos específicos mediante la creación de otorgamientos de acceso. Los otorgamientos de acceso limitan el acceso solo a los usuarios a los que se les asignaron valores de atributos de usuario específicos.
| Si quieres lograr esto ... | Estos son los pasos básicos que seguirás ... |
|---|---|
| Controlar las acciones que puede realizar un usuario | Crear un conjunto de permisos con los permisos adecuados y, luego, asignar un grupo o usuario a un rol con ese conjunto de permisos |
| Controla los campos a los que puede acceder un usuario | Crear un modelo con los campos adecuados y, luego, asignar a un grupo o usuario un rol con ese modelo |
| Controla a qué datos puede acceder un usuario | Crear un modelo con las limitaciones de datos adecuadas y, luego, asignar a un grupo o usuario un rol con ese modelo- o -Usa filtros de acceso para limitar un usuario a los datos adecuados.- o -Usa los atributos de usuario para proporcionarle diferentes credenciales de base de datos a un grupo o usuario.- o -Usa atributos de usuario con otorgamientos de acceso para restringir el acceso a exploraciones, uniones, vistas o campos específicos |
| Controla las conexiones de bases de datos a las que puede acceder un desarrollador de Looker | Crear un proyecto con las conexiones adecuadas, asociar el proyecto con un conjunto de modelos y, luego, asignar un grupo o usuario a un rol con esos modelos |
El acceso a las funciones también puede afectar el acceso al contenido. Consulta la sección Cómo interactúan el acceso al contenido y los permisos de esta página para obtener más detalles sobre cómo el acceso a los datos y a las funciones afectan el acceso al contenido.
Componentes básicos que debes comprender
Roles
Un rol es una combinación de un conjunto de permisos y un conjunto de modelos. Un conjunto de permisos se compone de uno o más permisos y define lo que el rol puede hacer. Un conjunto de modelos está compuesto por uno o más modelos y define a qué modelos de LookML se aplica el rol.
Después de crear un rol, puedes asignarle a un usuario individual o a un grupo de usuarios. Si agregas algunos roles a un usuario individual y otros a un grupo al que pertenece el usuario, este heredará todos esos roles juntos.
Algunos permisos son relevantes para toda tu instancia de Looker, mientras que otros solo se aplican a los modelos que tienen el mismo rol. Consulta la página de documentación de Funciones para obtener más información.
Proyectos
Los proyectos te permiten restringir las conexiones de bases de datos que se pueden usar en los distintos modelos. Esto puede ayudarte a controlar con qué conjuntos de datos pueden interactuar los desarrolladores de Looker cuando crean modelos. Un proyecto puede contener uno o más modelos y se puede configurar para usar una o más conexiones.
Esta restricción, definida a través de proyectos, también fluye al ejecutor de SQL de Looker, lo que garantiza que tus desarrolladores no puedan acceder a conexiones de bases de datos prohibidas con el Ejecutor de SQL.
Atributos de usuario
Los atributos de usuario te permiten asignar valores arbitrarios a grupos de usuarios o usuarios individuales. Luego, estos valores se usan como entradas en varias partes de Looker y se personalizan las experiencias para cada usuario.
Una forma en que los atributos de usuario controlan el acceso es mediante la parametrización de las credenciales de la base de datos para que sean específicas de cada usuario. Esto solo tiene valor si tu base de datos tiene varios usuarios con distintos accesos a los datos. Consulta la página de documentación de Atributos de usuario para obtener más información.
Otra forma en que los atributos de usuario controlan el acceso es como parte de los filtros de acceso. Los filtros de acceso te permiten utilizar uno o más atributos de usuario como filtro de datos. Por ejemplo, tal vez quieras asignar un nombre de empresa a cada usuario y, luego, asegurarte de que el contenido que vea esté filtrado por ese nombre. Para obtener una descripción de cómo aplicar filtros de acceso, consulta las páginas de documentación Atributos de usuario y access_filter.
Los atributos de usuario también controlan los otorgamientos de acceso. Un otorgamiento de acceso especifica un atributo de usuario y define los valores permitidos en ese atributo para otorgar acceso a una exploración, una unión, una vista o un campo. Luego, usa el parámetro required_access_grants a nivel de Explorar, join, Vista o campo para restringir el acceso a esas estructuras de LookML solo a aquellos usuarios que tengan los valores de atributos de usuario permitidos. Por ejemplo, puedes usar un otorgamiento de acceso para limitar el acceso a la dimensión salary solo a aquellos usuarios que tengan el valor payroll en su atributo de usuario department. Para obtener una descripción de cómo definir los otorgamientos de acceso, consulta la página de documentación del parámetro access_grant.
Cómo usar los componentes básicos
Controla el acceso a las funciones
Los permisos controlan los tipos de actividades que un usuario o grupo puede realizar. Así es como un usuario puede obtener permisos:
- La práctica recomendada es identificar uno o más grupos de usuarios que deben tener un conjunto de permisos y crear un grupo si es necesario. Si lo deseas, puedes otorgar permisos a usuarios individuales.
- Crea un conjunto de permisos que contenga los permisos adecuados.
- Si algunos de los permisos que se deben asignar son específicos del modelo, crea o identifica un conjunto de modelos existente.
- Crear un rol que combine el conjunto de permisos y, si es necesario, el conjunto de modelos
- Asigna el rol desde la página Roles. Una vez que existe el rol, también puedes asignarlo a un usuario en la página Usuarios.
Puedes asignar varios roles a un usuario o grupo. En ese caso, los usuarios tendrán todos los permisos de todos los roles que tengan. Por ejemplo:
- El Role1 permite ver paneles en Model1.
- El rol 2 permite ver los paneles y explorar en Model2.
Si asignas ambos roles al mismo grupo de usuarios, ellos podrán ver los paneles en Model1 y Model2, pero solo pueden explorar en Model2.
Controla el acceso de los usuarios a los campos de Looker
Los modelos a los que el usuario puede acceder controlan los campos con los que puede trabajar. Así es como un usuario puede obtener acceso al campo:
- Crea un modelo de LookML (o una combinación de modelos de LookML) que contenga solo los campos a los que un usuario debería tener acceso.
- Crear un conjunto de modelos que contenga esos modelos y, luego, asignarlo a un rol Esto se hace en la página Roles de Looker.
- Para trabajar con grupos de usuarios, que suele ser nuestra sugerencia, crea un grupo en la página Grupos de Looker. Luego, asigna ese grupo a los roles adecuados en la página Roles.
- Para trabajar con usuarios individuales, asígnales roles desde la página Usuarios o la página Roles.
Puedes asignar varios roles a un usuario o grupo. Así, los usuarios pueden trabajar con todos los modelos de todos los roles que tengan.
Es importante tener en cuenta que el parámetro hidden de los campos está diseñado para crear experiencias más limpias para los usuarios, no para controlar el acceso al campo. El parámetro hidden oculta los campos del selector de campos, pero no impedirá que un usuario lo utilice en algún momento. Si alguien le envía un vínculo que usa ese campo, podrá verlo, y otros lugares de Looker seguirán mostrando el campo.
Controla el acceso de los usuarios a los datos
Existen varias formas de controlar el acceso de un usuario a los datos, según el caso de uso:
- Para prohibir que los usuarios vean ciertas columnas de datos, controla los campos a los que pueden acceder, como se describió anteriormente. Siempre que un usuario no pueda desarrollar ni utilizar el Ejecutor de SQL, estará limitado por los campos a los que tiene acceso.
- Para impedir que los usuarios vean determinadas filas de datos, aplica campos de filtro de acceso, como se describe en la página de documentación del parámetro
access_filter. - Para limitar el acceso a exploraciones, uniones, vistas o campos específicos, crea otorgamientos de acceso que limiten el acceso solo a los usuarios a los que se les asignaron los valores de atributos de usuario permitidos, como se describe en la página de documentación del parámetro
access_grant. - Para limitar a los usuarios de Looker la ejecución de consultas en un usuario específico de la base de datos, que tu equipo de base de datos configuró para limitar el acceso a los datos, usa los atributos de usuario. Te permiten parametrizar la conexión de tu base de datos para que un grupo de usuarios o usuarios individuales ejecuten sus consultas con credenciales específicas de la base de datos. También debes considerar limitar a los usuarios a los campos adecuados de Looker. De lo contrario, es posible que el usuario de Looker intente consultar un campo al que el usuario de su base de datos no tiene acceso y recibirá un error.
Al igual que el parámetro de campo hidden no está diseñado para controlar el acceso al campo, el parámetro hidden de Explorar no impide que todos los usuarios vean una exploración. El parámetro hidden quita la exploración de su menú, pero si un usuario guardó contenido que hace referencia a una exploración oculta, seguirá teniendo acceso a sus datos.
Si usas la incorporación firmada, asegúrate de configurar los controles de acceso a los datos mediante la URL correspondiente.
Controla el acceso de los desarrolladores a las conexiones de la base de datos
A diferencia de los usuarios normales, los desarrolladores de Looker no están completamente restringidos por modelos y filtros de acceso, ya que pueden simplemente hacer adiciones o cambios en los modelos de LookML. Sin embargo, los administradores aún pueden limitar a los desarrolladores de Looker a ciertas conexiones de bases de datos mediante proyectos. Para ello, deberás hacer lo siguiente:
- Crear un proyecto que restrinja una cantidad determinada de modelos a una cierta cantidad de conexiones de bases de datos Esto se hace en la página Administrar proyectos de Looker.
- Crear un conjunto de modelos que contenga al menos uno de los modelos del proyecto y, luego, asignarlo a un rol Esto se hace en la página Roles de Looker.
- Para trabajar con grupos de usuarios, que suele ser nuestra sugerencia, crea un grupo en la página Grupos de Looker. Luego, asigna ese grupo a los roles adecuados en la página Roles.
- Para trabajar con usuarios individuales, asígnales roles desde la página Usuarios o la página Roles.
Si un desarrollador de Looker puede ver cualquier modelo que sea parte de un proyecto, podrá ver todos los modelos que sean parte de ese proyecto. Por ejemplo, esto podría suceder si asignaste a un desarrollador de Looker un rol con un solo modelo, pero ese modelo era parte de un proyecto que contenía otros modelos.
Cómo interactúan el acceso al contenido y los permisos
El acceso al contenido es administrado por los usuarios cuando ven una carpeta, o administrado por un administrador de Looker en la página Acceso al contenido del panel Administrador. Los roles que se asignan a un usuario determinan la función y el acceso a los datos que tenga. Esto afecta lo que el usuario puede hacer en una carpeta y si puede ver las vistas y los paneles.
Visualiza los datos en las vistas y los paneles
Para ver los datos de una vista o un panel, el usuario debe tener, como mínimo, acceso de tipo View a la carpeta en la que se almacena el contenido.
Los usuarios deben tener los permisos access_data y see_looks para seleccionar una vista y ver sus datos. Los usuarios deben tener los permisos access_data y see_user_dashboards para seleccionar un panel y ver sus datos.
Para ver los datos en una vista o en un mosaico de panel, el usuario debe tener acceso a esos datos. Sin el acceso necesario a los datos:
- Incluso si el usuario puede ver una vista enumerada en una carpeta y puede navegar a ella, la consulta de la vista no se ejecutará y el usuario no podrá ver los datos de la vista.
- Incluso si el usuario puede ver un panel enumerado en una carpeta y navegar hasta él, cualquier mosaico en el que el usuario no tiene acceso se muestra en blanco. Si un panel tiene mosaicos creados a partir de varios modelos, un usuario podrá ver los mosaicos asociados con modelos a los que tiene acceso y las tarjetas de otros modelos mostrarán un error.
Por ejemplo, un usuario que tiene acceso de lectura a una carpeta, acceso a los datos subyacentes de todas las vistas de la carpeta y permisos access_data y see_looks puede ver una lista de todas las vistas de la carpeta y también ver esas vistas. Si este usuario no tiene acceso para ver LookML o los paneles definidos por el usuario, no verá ningún panel que pueda existir en la carpeta.
Visualiza una carpeta y listas de vistas y paneles
El usuario necesita al menos el nivel de acceso View a una carpeta para ver esa carpeta y la lista de contenido almacenado dentro de ella.
Los usuarios que también tengan al menos see_looks permiso pueden ver los títulos de las vistas en la carpeta. Los usuarios que también tienen al menos el permiso see_user_dashboards pueden ver los títulos de los paneles de la carpeta. Sin embargo, esto no implica que pueda ver los datos de las vistas o los paneles.
Por ejemplo, un usuario que tiene el permiso see_looks, pero no el permiso access_data, puede ver los títulos de las vistas, pero no puede ver los datos de la vista.
Los usuarios que tengan el permiso access_data, pero no tengan see_looks ni see_user_dashboards, no podrán ver las carpetas ni el contenido.
Cómo modificar una carpeta
Un usuario debe tener el nivel de acceso Administrar acceso, Editar para que una carpeta pueda organizarla, lo que incluye copiar y mover contenido, cambiarle el nombre y mover carpetas, y realizar acciones similares. Los usuarios también deben tener el permiso manage_spaces para crear, editar, mover y borrar carpetas.
Utilizar la infraestructura de permisos de usuario (LDAP, SAML y OpenID Connect)
Si ya tienes configurada una infraestructura de LDAP, OpenID o SAML, puedes usar ese sistema para administrar los accesos de los usuarios. Puede encontrar las instrucciones para configurar LDAP en la página de Autenticación de LDAP. Encuentra las instrucciones para configurar SAML en la página de documentación de autenticación SAML. Puedes encontrar las instrucciones para configurar OpenID Connect en la página de documentación de autenticación de OpenID Connect.
Si configuraste grupos en tu implementación de OpenID Connect, LDAP o SAML, también puedes usarlos en Looker. Sin embargo, debes tener en cuenta los siguientes aspectos:
- Todos los grupos que hayas creado se transferirán automáticamente a Looker y serán visibles en la página Grupos. Se creará un grupo de Looker para cada grupo de OpenID Connect, LDAP o SAML, y el nombre del grupo de Looker duplicará el nombre del grupo de OpenID Connect, LDAP o SAML.
- Podrás usar estos grupos de Looker para asignar niveles de acceso a las carpetas y atributos del usuario a los miembros de los grupos.
- No podrás usar grupos de Looker para configurar roles como lo harías con un grupo creado manualmente. En su lugar, asignarás tus grupos de LDAP, SAML o OpenID Connect a los roles de Looker durante el proceso de configuración y solo podrás cambiar los roles asignados desde las páginas de configuración de LDAP, SAML o OpenID Connect. Exigimos este enfoque para que tus grupos LDAP, SAML o OpenID Connect sigan siendo tu única fuente de información. Sin esta restricción, la asignación de grupo a rol podría diferir de la función prevista en tu esquema de LDAP, OpenID Connect o SAML.
También puedes usar LDAP para aplicar conexiones de bases de datos específicas del usuario a las consultas de Looker, como se describe en la página de documentación de Autenticación de LDAP.