Looker 管理員可以指定下列存取權,管理使用者或使用者群組在 Looker 中可查看及執行的操作:
- 內容存取權:控管使用者或使用者群組是否可以查看或管理資料夾。有權查看資料夾的使用者可以前往該資料夾,並查看資料夾中的資訊主頁和 Look 清單。如果使用者可以管理資料夾,就能操作資料夾內容 (複製、移動、刪除及重新命名資訊主頁和 LookML)、整理資料夾本身 (重新命名、移動或刪除資料夾),以及授予其他使用者和群組資料夾存取權。內容存取權由 Looker 管理員在「管理」面板中管理,或由個別使用者在資料夾中管理 (如獲允許)。
- 資料存取權:控管使用者可查看的資料。資料存取權主要透過模型集管理,模型集是 Looker 角色的一半。然後將這些角色套用至使用者和群組。您可以使用存取權篩選器,進一步限制模型中的資料存取權,限制使用者可查看的資料列,就像查詢中設有自動篩選器一樣。您也可以使用存取權授權,限制對特定探索、聯結、檢視區塊或欄位的存取權。
- 功能存取權:控管使用者在 Looker 中可執行的動作類型,包括查看資料和已儲存的內容、變更 LookML 模型、管理 Looker 等。功能存取權是由權限集管理,權限集是 Looker 角色的另一半。其中部分權限適用於整個 Looker 執行個體,例如查看所有資料傳送排程。大多數權限都會套用至特定模型集,例如根據這些模型查看使用者定義的資訊主頁。
使用者和群組的資料存取權、功能存取權和內容存取權會合併,指定使用者在 Looker 中可執行的動作和可查看的內容。
使用者和群組
在 Looker 中,使用者分為個別使用者和使用者群組。使用者是在 Looker「管理」面板的「使用者」頁面中管理,群組則是在 Looker「管理」面板的「群組」頁面中管理。
最佳做法是使用群組,避免逐一為使用者指派、調整及移除控制項的繁瑣作業。通常,只要讓使用者加入一或多個群組,就能安排允許使用者執行的活動組合。如果沒有足夠的群組組合,請考慮建立只有一位使用者的群組,日後或許能將該群組擴展至更多人。如果是存取權篩選器,建議使用使用者屬性,因為您可以將使用者屬性指派給群組。
控管使用者內容存取權
Looker 資料夾可讓您整理資訊主頁和 Look 圖表。資料夾也可以包含其他資料夾,方便您建立巢狀的機構階層。
您可以透過資料夾設定存取層級,決定哪些使用者可以編輯資料夾內容 (例如 Look 和資訊主頁)、查看資料夾內容,以及變更設定:
使用者必須至少擁有資料夾的「檢視」存取層級,才能查看資料夾是否存在、檢視其中的 Look 和資訊主頁,以及複製資料夾中的 Look 和資訊主頁。
使用者必須具備資料夾的「管理存取權、編輯」存取層級,才能管理資料夾的存取權,以及編輯資料夾和其中的內容 (包括重新命名資料夾、移動內容,以及刪除 Look 和資訊主頁)。
資料夾不會控管使用者在 Looker 平台上的操作,也不會控管使用者可使用哪些資料建立自己的內容。如要管理該層級的存取權,請參閱本頁的「控管功能和資料存取權」一節。
如需逐步操作說明,瞭解如何為在 Looker 中瀏覽內容的使用者調整資料夾存取層級,請參閱「整理及管理內容存取權」說明文件頁面。Looker 管理員也可以透過 Looker 的「內容存取權」頁面,調整所有群組和使用者的資料夾存取層級。如要瞭解執行個體層級的存取層級設計,請參閱「設計及設定存取層級系統」說明文件頁面。
雖然內容存取權與功能存取權是分開管理的,但指派給使用者的角色可能會影響使用者是否能查看資料夾中列出的 Look 和資訊主頁、查看 Look 或資訊主頁,或是管理資料夾。本頁面的「內容存取權和權限的互動方式」一節,會更詳細地說明功能存取權如何影響內容存取權。
控管功能和資料存取權
如要控管 Looker 中的功能和資料存取權,通常會建立使用者群組 (選用,但建議這麼做),然後將該群組指派給角色。角色會將一組權限與一組 LookML 模型綁在一起。模型本身會定義可用的欄位和資料。
您可以使用存取篩選器,為特定使用者設定資料限制。此外,您也可以使用專案,限制 Looker 開發人員只能使用特定資料庫的模型。
您也可以建立存取權授權,控管特定探索、聯結、檢視畫面或欄位的存取權。存取權授予功能會限制只有已指派特定使用者屬性值的使用者才能存取。
| 如要達成這個目標,請按照下列步驟操作: | 以下是您要執行的基本步驟: |
|---|---|
| 控管使用者可執行的動作 | 建立具有適當權限的權限集,然後將群組或使用者指派給具有該權限集的角色 |
| 控管使用者可存取的欄位 | 建立含有適當欄位的模型,然後將群組或使用者指派給具有該模型的角色 |
| 控管使用者可存取的資料 | 建立具有適當資料限制的模型,然後將群組或使用者指派給具有該模型的角色- 或是 -使用存取篩選器,只讓使用者存取適當的資料- 或是 -使用使用者屬性為群組或使用者提供不同的資料庫憑證- 或是 -使用使用者屬性和存取權授予,限制特定探索、聯結、檢視或欄位的存取權 |
| 控管 Looker 開發人員可存取哪些資料庫連線 | 建立專案並建立適當的連線、將專案與一組模型建立關聯,然後將群組或使用者指派給具有這些模型的角色 |
功能存取權也可能影響內容存取權。如要進一步瞭解資料存取權和功能存取權如何影響內容存取權,請參閱本頁面的「內容存取權和權限的互動方式」一節。
您需要瞭解的建構區塊
角色
角色是「權限集」和「模型集」的組合。權限集包含一或多個權限,可定義角色可執行的操作。模型集包含一或多個模型,可定義角色適用的 LookML 模型。
建立角色後,您可以將該角色指派給個別使用者或使用者群組。如果您為個別使用者新增某些角色,並為使用者所屬的群組新增其他角色,使用者會一併沿用所有這些角色。
部分權限與整個 Looker 執行個體相關,其他權限則只適用於同一角色中的模型。詳情請參閱角色說明文件頁面。
專案
專案可讓您限制哪些模型可使用哪些資料庫連線。這有助於控管 Looker 開發人員建立模型時可互動的資料集。專案可包含一或多個模型,且可設定為使用一或多個連線。
透過專案定義的這項限制也會傳遞至 Looker SQL Runner,確保開發人員無法使用 SQL Runner 存取禁止的資料庫連線。
使用者屬性
使用者屬性可讓您為使用者群組或個別使用者指派任意值。這些值隨後會做為 Looker 各部分的輸入內容,為每位使用者打造專屬體驗。
使用者屬性控管存取權的方式之一,是將資料庫憑證參數化,讓每個使用者都有專屬憑證。只有在資料庫有多位使用者,且資料存取權各不相同時,這項功能才有價值。詳情請參閱「使用者屬性」說明文件頁面。
使用者屬性控管存取權的另一種方式,是做為存取權篩選器的一部分。存取權篩選器可讓您將一或多個使用者屬性做為資料篩選器。舉例來說,您可能會想為每位使用者指派公司名稱,然後確保他們看到的任何內容都會依該名稱篩選。如要瞭解如何套用存取權篩選器,請參閱「使用者屬性」說明文件頁面和 access_filter 參數說明文件頁面。
使用者屬性也會控管存取權授予。存取權授予會指定使用者屬性,並定義該使用者屬性中允許的值,以授予探索、加入、檢視或欄位的存取權。然後在「探索」、「聯結」、「檢視」或「欄位」層級使用 required_access_grants 參數,限制只有具備允許使用者屬性值的使用者,才能存取這些 LookML 結構。舉例來說,您可以透過存取權授予,限制只有在 department 使用者屬性中具有 payroll 值的使用者,才能存取 salary 維度。如要瞭解如何定義存取權授權,請參閱 access_grant 參數說明文件頁面。
使用構成元素
控管功能存取權
權限可控管使用者或群組可執行的活動類型。使用者可透過下列方式取得權限:
- 最佳做法是找出應具備權限集的一或多個使用者群組,並視需要建立群組。您可以選擇授予個別使用者權限。
- 建立包含適當權限的權限集。
- 如果要指派的某些權限是模型專屬,請建立或找出現有的模型集。
- 建立角色,結合權限集和模型集 (如有必要)。
- 從「角色」頁面指派角色。角色建立完成後,您也可以在「使用者」頁面將角色指派給使用者。
您可以將多個角色指派給使用者或群組。在這種情況下,使用者會擁有所有角色的所有權限。例如:
- 角色 1 可查看模型 1 的資訊主頁。
- 角色 2 可查看資訊主頁,並探索模型 2。
如果將這兩個角色指派給同一群使用者,他們就能在 Model1 和 Model2 上查看資訊主頁,但只能在 Model2 上探索。
控管使用者對 Looker 欄位的存取權
使用者可使用的欄位取決於使用者可存取的模型。使用者可透過下列方式取得欄位存取權:
- 建立 LookML 模型 (或 LookML 模型組合),其中只包含使用者應有權存取的欄位。
- 依序前往「管理員」>「使用者」>「角色」。
- 在「角色」頁面上,建立包含這些模型的模型集,然後指派給角色。
- 如要處理使用者群組 (一般認為這是最佳做法),請在 Looker 的「群組」頁面建立群組。然後在「角色」頁面中,將該群組指派給適當的角色。
- 如要處理個別使用者,請從「使用者」頁面或「角色」頁面指派角色給這些使用者。
您可以將多個角色指派給使用者或群組。使用者就能透過所有角色使用所有模型。
請注意,欄位的 hidden 參數旨在為使用者打造更簡潔的體驗,而非控管欄位存取權。hidden 參數會從欄位挑選器隱藏欄位,但不會禁止使用者使用該欄位。如果有人傳送使用該欄位的連結給他們,他們就能看到該欄位,且 Looker 中的其他位置仍會顯示該欄位。
控管使用者資料存取權
您可以根據使用情況,透過下列幾種方式控管使用者資料存取權:
- 如要禁止使用者查看特定資料欄,請控管他們可存取的欄位,詳情請參閱「控管使用者對 Looker 欄位的存取權」一節。只要使用者無法開發及使用 SQL Runner,他們能存取的欄位就會受到限制。
- 如要禁止使用者查看特定資料列,請套用存取權篩選器欄位,詳情請參閱
access_filter參數說明文件頁面。 - 如要限制特定探索、聯結、檢視或欄位的存取權,請建立存取權授予,限制只有獲派允許使用者屬性值的使用者才能存取,詳情請參閱
access_grant參數說明文件頁面。 - 如要限制 Looker 使用者只能對特定資料庫使用者執行查詢 (資料庫團隊已設定限制資料存取權),請使用使用者屬性。您可以藉此為資料庫連線設定參數,讓使用者群組或個別使用者透過特定資料庫憑證執行查詢。您也應考慮限制使用者只能存取適當的 Looker 欄位。否則,Looker 使用者可能會嘗試查詢資料庫使用者無權存取的欄位,並收到錯誤訊息。
如同 hidden 欄位參數並非用於控管欄位存取權,Explore 的 hidden 參數也不會禁止所有使用者查看 Explore。hidden 參數會從「探索」選單中移除「探索」,但如果使用者已儲存參照隱藏「探索」的內容,他們仍可存取「探索」的資料。
如果您使用已簽署的嵌入網址,請務必透過該網址設定資料存取權控管。
控管開發人員的資料庫連線存取權
與一般使用者不同,Looker 開發人員不會完全受模型和存取篩選器限制,因為他們可以新增或變更 LookML 模型。不過,管理員仍可使用專案,限制 Looker 開發人員只能存取特定資料庫連線。方法如下:
- 建立專案,將特定數量的模型限制為特定數量的資料庫連線。在 Looker 的「管理專案」頁面中即可完成這項操作。
- 依序前往「管理員」>「使用者」>「角色」。
- 在「角色」頁面中,建立至少包含專案中一個模型的模型集,然後指派給角色。
- 如要處理使用者群組 (一般認為這是最佳做法),請在 Looker 的「群組」頁面建立群組。然後在「角色」頁面中,將該群組指派給適當的角色。
- 如要處理個別使用者,請從「使用者」頁面或「角色」頁面指派角色給這些使用者。
如果 Looker 開發人員可以查看專案中的任何模型,就能查看該專案中的所有模型。舉例來說,如果您只將一個模型的角色指派給 Looker 開發人員,但該模型剛好是包含其他模型的專案的一部分,就可能發生這種情況。
內容存取權和權限的互動方式
內容存取權由使用者管理 (查看資料夾時),或由 Looker 管理員在「管理」面板的「內容存取權」頁面管理。指派給使用者的角色會決定使用者可存取的功能和資料。這會影響使用者在資料夾中的操作,以及是否能查看 Look 和資訊主頁。
在 Look 和資訊主頁中查看資料
如要查看 Look 或資訊主頁的資料,使用者必須至少具備內容儲存資料夾的「檢視」存取權。
使用者必須具備 access_data 和 see_looks 權限,才能選取 Look 並查看資料。使用者必須具備 access_data 和 see_user_dashboards 權限,才能選取並查看資料。
如要查看 Look 或資訊主頁圖塊中的資料,使用者必須有權存取該資料。如果沒有必要的資料存取權:
- 即使使用者可以在資料夾中看到 Look,並前往該 Look,系統也不會執行 Look 的查詢,使用者也無法查看 Look 的資料。
- 即使使用者可以查看資料夾中列出的資訊主頁,並前往該資訊主頁,但凡是使用者沒有存取權的動態磚,都會顯示為空白。如果資訊主頁的動態磚是從多個模型建立,使用者只能看到與自己有權存取的模型相關聯的動態磚,其他模型的動態磚則會顯示錯誤。
舉例來說,如果使用者擁有資料夾的「查看」存取權、資料夾中所有 Look 的基礎資料存取權,以及 access_data 和 see_looks 權限,就能查看資料夾中的所有 Look 清單,以及這些 Look。如果使用者沒有權限查看 LookML 或使用者定義的資訊主頁,就不會看到資料夾中可能有的任何資訊主頁。
查看資料夾,以及 Look 和資訊主頁清單
使用者必須至少擁有資料夾的「檢視」存取層級,才能查看該資料夾,並查看資料夾內儲存的內容清單。
如果使用者也具備至少 see_looks 權限,就能查看資料夾中的 Look 標題。如果使用者也具備至少 see_user_dashboards 權限,就能查看資料夾中的資訊主頁標題。不過,這並不代表他們可以查看 Look 或資訊主頁的資料。
舉例來說,如果使用者擁有 see_looks 權限,但沒有 access_data 權限,則可查看 Look 的標題,但無法查看 Look 的資料。
如果使用者擁有 access_data 權限,但沒有 see_looks 或 see_user_dashboards 權限,就無法查看任何資料夾或內容。
修改資料夾
使用者必須具備資料夾的「管理存取權」和「編輯」存取層級,才能整理該資料夾,包括複製及移動內容、重新命名及移動資料夾,以及執行類似動作。使用者也必須具備 manage_spaces 權限,才能建立、編輯、移動及刪除資料夾。
運用使用者權限基礎架構 (LDAP、SAML 和 OpenID Connect)
如果您已設定 LDAP、SAML 或 OpenID 基礎架構,可以使用該系統管理使用者登入作業。如需設定 LDAP 的操作說明,請參閱「LDAP 驗證」頁面。如需設定 SAML 的操作說明,請參閱「SAML 驗證」說明文件頁面。如需設定 OpenID Connect 的操作說明,請參閱 OpenID Connect 驗證說明文件頁面。
如果您已在 LDAP、SAML 或 OpenID Connect 實作中設定群組,也可以在 Looker 中使用這些群組。不過請留意下列事項:
- 您建立的群組會自動轉移至 Looker,並顯示在「群組」頁面。系統會為每個 LDAP、SAML 或 OpenID Connect 群組建立一個 Looker 群組,且 Looker 群組名稱會與 LDAP、SAML 或 OpenID Connect 群組名稱相同。
- 您可以使用這些 Looker 群組,為群組成員指派資料夾存取層級和使用者屬性。
- 您無法使用 Looker 群組設定角色,就像手動建立的群組一樣。您會在設定程序中將 LDAP、SAML 或 OpenID Connect 群組對應至 Looker 角色,且只能從 LDAP、SAML 或 OpenID Connect 設定頁面變更指派的角色。我們要求採用這種做法,是為了確保 LDAP、SAML 或 OpenID Connect 群組仍是單一資料來源。如果沒有這項限制,群組對應角色可能會與 LDAP、SAML 或 OpenID Connect 結構定義中的預期功能不同。
您也可以使用 LDAP,將使用者專屬的資料庫連線套用至 Looker 查詢,詳情請參閱 LDAP 驗證說明文件頁面。