Você está visualizando a documentação do Looker. Para acessar a documentação do Looker Studio, acesse https://support.google.com/looker-studio.

Esta página foi traduzida pela API Cloud Translation.

Controle de acesso e gerenciamento de permissões

Os administradores do Looker podem gerenciar o que um usuário ou grupo de usuários pode ver e fazer no Looker especificando o seguinte acesso:

Acesso ao conteúdo, que controla se um usuário ou grupo de usuários pode acessar ou gerenciar uma pasta. Um usuário que pode acessar uma pasta pode navegar até ela e conferir as listas de dashboards e Looks. Um usuário que pode gerenciar uma pasta pode manipular o conteúdo de uma pasta (copiar, mover, excluir e renomear dashboards e Looks), organizar a própria pasta (renomear, mover ou excluir a pasta) e conceder acesso a outros usuários e grupos. O acesso ao conteúdo é gerenciado pelos administradores do Looker no painel Administrador ou, se permitido, por usuários individuais na pasta.
Acesso a dados, que controla quais dados um usuário tem permissão para visualizar. O acesso aos dados é gerenciado principalmente usando conjuntos de modelos, que compõem metade da função do Looker. Essas funções são aplicadas a usuários e grupos. O acesso a dados pode ser ainda mais restrito em um modelo usando filtros de acesso para limitar quais linhas de dados podem ser acessadas, como se houvesse um filtro automático nas consultas. Também é possível restringir o acesso a análises detalhadas, mesclagens, visualizações ou campos específicos usando permissões de acesso.
Acesso a recursos, que controla os tipos de ações que um usuário pode realizar no Looker, incluindo a visualização de dados e conteúdo salvo, a alteração dos modelos do LookML, a administração do Looker e assim por diante. O acesso aos recursos é gerenciado por conjuntos de permissões, que compõem a outra metade de um papel do Looker. Algumas dessas permissões se aplicam a toda a instância do Looker, como a possibilidade de ver todos os horários de envio de dados. A maioria das permissões é aplicada a conjuntos de modelos específicos, como a possibilidade de acessar painéis definidos pelo usuário com base nesses modelos.

O acesso a dados, recursos e conteúdo para usuários e grupos se combinam para especificar o que os usuários podem fazer e ver no Looker.

Usuários e grupos

No Looker, há usuários individuais e grupos de usuários. Os usuários são gerenciados na página Usuários do painel Administrador do Looker, e os grupos são gerenciados na página Grupos do painel Administrador do Looker.

A prática recomendada é usar grupos para evitar o tédio de atribuir, ajustar e remover controles para usuários individualmente. Normalmente, a combinação de atividades para permitir que um usuário seja organizada fazendo com que ele pertença a um ou mais grupos. Se nenhuma combinação de grupos for suficiente, considere criar um grupo com apenas um usuário, o que permite expandir esse grupo para mais pessoas no futuro. Para filtros de acesso, considere usar atributos do usuário, já que é possível atribuir esses atributos a grupos.

Como controlar o acesso de usuários ao conteúdo

As pastas do Looker permitem organizar conjuntos de painéis e Looks. Elas também podem conter outras pastas, facilitando uma hierarquia aninhada de organização.

Com as pastas, você pode definir níveis de acesso que determinam quais usuários podem editar o conteúdo de uma pasta (como Looks e painéis), visualizar o conteúdo de uma pasta e mudar as configurações:

O usuário precisa ter pelo menos o nível de acesso Visualizar a uma pasta para saber se ela existe, acessar os Looks e painéis nela e copiar esses itens.
Um usuário precisa ter o nível de acesso Gerenciar acesso, Editar para gerenciar o acesso a uma pasta e editar a pasta e o conteúdo dela, incluindo renomear pastas, mover conteúdo e excluir Looks e painéis.

As pastas não controlam o que os usuários podem fazer na plataforma do Looker ou quais dados eles podem usar para criar o próprio conteúdo. Para gerenciar esse nível de acesso, consulte a seção Como controlar o acesso a recursos e dados nesta página.

As instruções detalhadas para ajustar os níveis de acesso às pastas para usuários que estão navegando pelo conteúdo no Looker estão na página de documentação Organizar e gerenciar o acesso ao conteúdo. Os administradores do Looker também podem ajustar os níveis de acesso às pastas para todos os grupos e usuários na página Acesso ao conteúdo do Looker. Consulte também a página de documentação Como projetar e configurar um sistema de níveis de acesso para informações sobre o design do nível de acesso em toda a instância.

Embora o acesso ao conteúdo seja gerenciado separadamente do acesso aos recursos, a função atribuída a um usuário pode afetar se ele pode acessar os Looks e painéis listados em uma pasta, visualizar um Look ou painel ou gerenciar uma pasta. A seção Como o acesso a conteúdo e as permissões interagem desta página descreve como o acesso a recursos afeta o acesso a conteúdo com mais detalhes.

Como controlar o acesso a recursos e dados

Para controlar o acesso a recursos e dados no Looker, geralmente você cria um grupo de usuários (isso é opcional, mas recomendado) e atribui esse grupo a uma função. Um papel vincula um conjunto de permissões a um conjunto de modelos do LookML. Os modelos definem quais campos e dados estão disponíveis.

É possível aplicar limites de dados específicos a usuários específicos com filtros de acesso. Além disso, é possível limitar os desenvolvedores do Looker a trabalhar com modelos baseados em bancos de dados específicos usando projetos.

Também é possível controlar o acesso a análises detalhadas, mesclagens, visualizações ou campos específicos criando permissões de acesso. As permissões de acesso limitam o acesso apenas a usuários que receberam valores específicos do atributo do usuário.

Se você quiser fazer isso ...	Estas são as etapas básicas que você vai seguir:
Controlar as ações que um usuário pode realizar	Crie um conjunto de permissões com as permissões adequadas e atribua um grupo ou usuário a uma função com esse conjunto
Controlar quais campos um usuário pode acessar	Crie um modelo com os campos apropriados e atribua um grupo ou usuário a um papel com esse modelo
Controlar quais dados um usuário pode acessar	Crie um modelo com as limitações de dados adequadas e atribua um grupo ou usuário a uma função com esse modelo - ou - Use filtros de acesso para limitar um usuário aos dados adequados - ou - Use atributos do usuário para fornecer credenciais de banco de dados diferentes a um grupo ou usuário - ou - Use atributos do usuário com permissões de acesso para restringir o acesso a análises detalhadas, mesclagens, visualizações ou campos específicos.
Controlar quais conexões de banco de dados um desenvolvedor do Looker pode acessar	Crie um projeto com as conexões adequadas, associe o projeto a um conjunto de modelos e atribua um grupo ou usuário a uma função com esses modelos

O acesso a recursos também pode afetar o acesso ao conteúdo. Consulte a seção Como o acesso a conteúdo e as permissões interagem desta página para saber mais sobre como o acesso a dados e a recursos afetam o acesso a conteúdo.

Elementos básicos que você precisa entender

Papéis

Um papel é uma combinação de um conjunto de permissões e um conjunto de modelos. Um conjunto de permissões é composto por uma ou mais permissões e define o que o papel pode fazer. Um conjunto de modelos é composto por um ou mais modelos e define a quais modelos do LookML o papel se aplica.

Depois de criar uma função, você pode atribuir um usuário individual ou um grupo de usuários a ela. Se você adicionar algumas funções a um usuário individual e outras a um grupo ao qual ele pertence, o usuário vai herdar todas essas funções juntas.

Algumas permissões são relevantes para toda a instância do Looker, outras se aplicam apenas aos modelos na mesma função. Consulte a página de documentação sobre papéis para mais informações.

Projetos

Os projetos permitem restringir quais conexões de banco de dados podem ser usadas por quais modelos. Isso pode ajudar você a controlar quais conjuntos de dados os desenvolvedores do Looker podem usar ao criar modelos. Um projeto pode conter um ou mais modelos e ser configurado para usar uma ou mais conexões.

Essa restrição definida pelos projetos também é aplicada ao Looker SQL Runner, que garante que os desenvolvedores não tenham acesso a conexões de banco de dados proibidas usando o SQL Runner.

Atributos do usuário

Os atributos do usuário permitem atribuir valores arbitrários a grupos de usuários ou usuários individuais. Esses valores são usados como entradas em várias partes do Looker, personalizando as experiências para cada usuário.

Uma maneira de controlar o acesso aos atributos do usuário é parametrizando as credenciais do banco de dados para serem específicas de cada usuário. Isso só tem valor se o banco de dados tiver vários usuários com acesso a dados diferentes. Consulte a página de documentação Atributos do usuário para mais informações.

Outra maneira de os atributos do usuário controlarem o acesso é como parte dos filtros de acesso. Os filtros de acesso permitem usar um ou mais atributos do usuário como filtro de dados. Por exemplo, você pode atribuir um nome de empresa a cada usuário e filtrar o conteúdo que ele acessa por esse nome. Para saber como aplicar filtros de acesso, consulte a página de documentação Atributos do usuário e a página de documentação do parâmetro access_filter.

Os atributos do usuário também controlam as permissões de acesso. Uma concessão de acesso especifica um atributo do usuário e define os valores permitidos nesse atributo para conceder acesso a uma seção "Explorar", uma associação, uma visualização ou um campo. Em seguida, use o parâmetro required_access_grants no nível Explorar, juntar, visualização ou campo para restringir o acesso a essas estruturas do LookML apenas aos usuários que têm os valores de atributo de usuário permitidos. Por exemplo, é possível usar uma concessão de acesso para limitar o acesso à dimensão salary apenas aos usuários que têm o valor payroll no atributo de usuário department. Para saber como definir permissões de acesso, consulte a página de documentação do parâmetro access_grant.

Como usar os elementos básicos

Controlar o acesso a recursos

As permissões controlam os tipos de atividades que um usuário ou grupo pode realizar. Confira como um usuário pode receber permissões:

A prática recomendada é identificar um ou mais grupos de usuários que precisam ter um conjunto de permissões, criando um grupo, se necessário. Você pode conceder permissões a usuários individuais, se quiser.
Crie um conjunto de permissões que contenha as permissões adequadas.
Se algumas das permissões a serem atribuídas forem específicas do modelo, crie ou identifique um conjunto de modelos.
Crie uma função que combine o conjunto de permissões e, se necessário, o conjunto de modelos.
Atribua o papel na página Papéis. Depois que a função for criada, você também poderá atribuir a função a um usuário na página Usuários.

É possível atribuir várias funções a um usuário ou grupo. Nesse caso, os usuários terão todas as permissões de todos os papéis que tiverem. Exemplo:

A função 1 permite visualizar painéis no Modelo1.
A função2 permite acessar painéis e fazer análises no Modelo2.

Se você atribuir as duas funções ao mesmo grupo de usuários, eles poderão acessar os painéis do Modelo1 e do Modelo2, mas só poderão fazer análises no Modelo2.

Controlar o acesso dos usuários aos campos do Looker

Os campos com que um usuário pode trabalhar são controlados pelos modelos que ele pode acessar. Veja como um usuário pode ter acesso ao campo:

Crie um modelo do LookML (ou uma combinação de modelos do LookML) que contenha apenas os campos a que um usuário precisa ter acesso.
Acesse Administrador > Usuários > Funções.
Na página Papéis, crie um conjunto de modelos que contenha esses modelos e atribua a um papel.
Para trabalhar com grupos de usuários, o que geralmente é considerado uma prática recomendada, crie um grupo na página Grupos do Looker. Em seguida, atribua esse grupo aos papéis apropriados na página Papéis.
Para trabalhar com usuários individuais, atribua funções a eles na página Usuários ou Funções.

É possível atribuir várias funções a um usuário ou grupo. Os usuários podem trabalhar com todos os modelos de todos os papéis que têm.

É importante observar que o parâmetro hidden para campos foi criado para criar experiências mais claras para os usuários, não para controlar o acesso a campos. O parâmetro hidden oculta campos do seletor de campos, mas não impede que um usuário use esse campo. Se alguém enviar um link que usa esse campo, ele vai aparecer, e outros lugares no Looker ainda vão mostrar o campo.

Controlar o acesso dos usuários aos dados

Há várias maneiras de controlar o acesso de um usuário aos dados, dependendo do caso de uso:

Para impedir que os usuários acessem determinadas colunas de dados, controle os campos que eles podem acessar, conforme descrito na seção Controlar o acesso dos usuários aos campos do Looker. Enquanto um usuário não puder desenvolver e usar o SQL Runner, ele será limitado pelos campos a que tem acesso.
Para impedir que os usuários acessem determinadas linhas de dados, aplique campos de filtro de acesso, conforme descrito na página de documentação do parâmetro access_filter.
Para limitar o acesso a análises detalhadas, mesclagens, visualizações ou campos específicos, crie permissões que limitem o acesso apenas aos usuários que receberam os valores de atributo de usuário permitidos, conforme descrito na página de documentação do parâmetro access_grant.
Para limitar os usuários do Looker a consultas em um usuário específico do banco de dados, que a equipe de banco de dados configurou para limitar o acesso aos dados, use os atributos do usuário. Elas permitem que você parametrize a conexão do banco de dados para que um grupo de usuários ou usuários individuais executem consultas com credenciais específicas do banco de dados. Você também deve considerar limitar os usuários aos campos apropriados do Looker. Caso contrário, o usuário do Looker poderá tentar consultar um campo a que o usuário do banco de dados não tem acesso e vai receber um erro.

Assim como o parâmetro de campo hidden não tem como objetivo controlar o acesso a campos, o parâmetro hidden para Análises não impede que todos os usuários acessem uma Análise. O parâmetro hidden remove a Análise do menu "Análise", mas se um usuário tiver salvo conteúdo que faz referência a uma Análise oculta, ele ainda terá acesso aos dados dela.

Se você estiver usando a incorporação assinada, configure os controles de acesso aos dados pelo URL de incorporação assinado.

Controlar o acesso dos desenvolvedores às conexões de banco de dados

Ao contrário dos usuários comuns, os desenvolvedores do Looker não são totalmente restritos por modelos e filtros de acesso, porque podem fazer adições ou mudanças nos modelos do LookML. No entanto, os administradores ainda podem limitar os desenvolvedores do Looker a determinadas conexões de banco de dados usando projetos. Para fazer isso, siga estas etapas:

Crie um projeto que restrinja um determinado número de modelos a um determinado número de conexões de banco de dados. Isso é feito na página Gerenciar projetos do Looker.
Acesse Administrador > Usuários > Funções.
Na página Funções, crie um conjunto de modelos que contenha pelo menos um dos modelos do projeto e atribua a uma função.
Para trabalhar com grupos de usuários, o que geralmente é considerado uma prática recomendada, crie um grupo na página Grupos do Looker. Em seguida, atribua esse grupo aos papéis apropriados na página Papéis.
Para trabalhar com usuários individuais, atribua funções a eles na página Usuários ou Funções.

Se um desenvolvedor do Looker puder acessar qualquer modelo que faça parte de um projeto, ele poderá acessar todos os modelos que fazem parte desse projeto. Isso pode acontecer se você atribuir um desenvolvedor do Looker a um papel com apenas um modelo, mas esse modelo faz parte de um projeto que contém outros modelos.

Como o acesso ao conteúdo e as permissões interagem

O acesso ao conteúdo é gerenciado pelos usuários quando eles estão visualizando uma pasta ou por um administrador do Looker na página Acesso ao conteúdo no painel Administrador. As funções atribuídas a um usuário determinam o acesso a recursos e dados. Isso afeta o que o usuário pode fazer em uma pasta e se ele pode acessar os painéis e os Looks.

Como conferir dados em painéis e Looks

Para acessar os dados de um Look ou painel, o usuário precisa ter pelo menos acesso de leitura à pasta em que o conteúdo está armazenado.

Os usuários precisam ter as permissões access_data e see_looks para selecionar um visual e acessar os dados dele. Os usuários precisam ter as permissões access_data e see_user_dashboards para selecionar um painel e acessar os dados dele.

Para acessar os dados em um Bloco de pesquisa ou painel, o usuário precisa ter acesso a eles. Sem o acesso necessário aos dados:

Mesmo que o usuário consiga acessar um look listado em uma pasta e navegar até ele, a consulta do look não é executada e o usuário não consegue acessar os dados do look.
Mesmo que o usuário consiga acessar um painel listado em uma pasta e navegar até ele, qualquer bloco em que o usuário não tenha acesso aparece em branco. Se um painel tiver blocos criados com base em vários modelos, o usuário poderá acessar os blocos associados aos modelos a que ele tem acesso, e os blocos de outros modelos vão mostrar um erro.

Por exemplo, um usuário que tem acesso de leitura a uma pasta, acesso de dados aos dados subjacentes a todos os Looks na pasta e as permissões access_data e see_looks pode acessar uma lista de todos os Looks na pasta e também pode acessar esses Looks. Se esse usuário não tiver acesso aos dashboards do LookML ou definidos pelo usuário, ele não vai encontrar nenhum dashboard na pasta.

Como visualizar uma pasta e listas de Looks e painéis

O usuário precisa ter pelo menos o nível de acesso Visualizar para acessar a lista de conteúdo armazenado em uma pasta.

Os usuários que também têm pelo menos a permissão see_looks podem ver os títulos dos Looks na pasta. Os usuários que também têm pelo menos a permissão see_user_dashboards podem ver os títulos dos painéis na pasta. No entanto, isso não implica que eles possam acessar os dados dos Looks ou painéis.

Por exemplo, um usuário que tem a permissão see_looks, mas não tem a permissão access_data, pode ver os títulos dos Looks, mas não os dados deles.

Os usuários que têm a permissão access_data, mas não têm see_looks ou see_user_dashboards, não conseguem acessar pastas ou conteúdo.

Como modificar uma pasta

Um usuário precisa ter o nível de acesso Gerenciar acesso, Editar para organizar uma pasta, incluindo copiar e mover conteúdo, renomear e mover pastas e ações semelhantes. Os usuários também precisam ter a permissão manage_spaces para criar, editar, mover e excluir pastas.

Como usar sua infraestrutura de permissão de usuário (LDAP, SAML e OpenID Connect)

Se você já tiver uma configuração de infraestrutura LDAP, SAML ou OpenID, poderá usar esse sistema para gerenciar os logins dos usuários. As instruções para configurar o LDAP estão disponíveis na página Autenticação LDAP. As instruções para configurar o SAML podem ser encontradas na página de documentação Autenticação SAML. As instruções para configurar o OpenID Connect podem ser encontradas na página de documentação da autenticação do OpenID Connect.

Se você configurou grupos na sua implementação do LDAP, SAML ou OpenID Connect, também pode usar esses grupos no Looker. No entanto, alguns pontos merecem atenção:

Todos os grupos que você criou são transferidos automaticamente para o Looker e ficam visíveis na página Grupos. Um grupo do Looker será criado para cada grupo LDAP, SAML ou OpenID Connect, e o nome do grupo do Looker vai refletir o nome do grupo LDAP, SAML ou OpenID Connect.
Você poderá usar esses grupos do Looker para atribuir níveis de acesso a pastas e atributos do usuário aos membros dos grupos.
Não é possível usar grupos do Looker para configurar funções como faria com um grupo criado manualmente. Em vez disso, você vai mapear seus grupos LDAP, SAML ou OpenID Connect para as funções do Looker durante o processo de configuração e só vai poder mudar as funções atribuídas nas páginas de configuração do LDAP, SAML ou OpenID Connect. Exigimos essa abordagem para que seus grupos LDAP, SAML ou OpenID Connect continuem sendo sua única fonte da verdade. Sem essa restrição, o mapeamento de grupo para função pode divergir da função pretendida no esquema LDAP, SAML ou OpenID Connect.

Você também pode usar o LDAP para aplicar conexões de banco de dados específicas do usuário às consultas do Looker, conforme descrito na página de documentação Autenticação LDAP.