Os administradores do Looker podem gerir o que um utilizador ou um grupo de utilizadores pode ver e fazer no Looker especificando o seguinte acesso:
- Acesso ao conteúdo, que controla se um utilizador ou um grupo de utilizadores pode ver uma pasta ou gerir a pasta. Um utilizador que pode ver uma pasta pode navegar para a pasta e ver as listas dos painéis de controlo e dos Looks na pasta. Um utilizador que pode gerir uma pasta pode manipular o conteúdo de uma pasta (copiar, mover, eliminar e mudar o nome de painéis de controlo e Looks), organizar a própria pasta (mudar o nome, mover ou eliminar a pasta) e conceder a outros utilizadores e grupos acesso à pasta. O acesso ao conteúdo é gerido pelos administradores do Looker no painel Administração ou, se permitido, pelos utilizadores individuais a partir da pasta.
- Acesso aos dados, que controla os dados que um utilizador tem autorização para ver. O acesso aos dados é gerido principalmente através de conjuntos de modelos, que constituem metade de uma função do Looker. Estas funções são, em seguida, aplicadas a utilizadores e grupos. O acesso aos dados pode ser ainda mais restrito num modelo através de filtros de acesso para limitar as linhas de dados que os utilizadores podem ver, como se existisse um filtro automático nas respetivas consultas. Também pode restringir o acesso a explorações, junções, visualizações ou campos específicos através de concessões de acesso.
- Acesso a funcionalidades, que controla os tipos de ações que um utilizador tem autorização para realizar no Looker, incluindo a visualização de dados e conteúdo guardado, a alteração dos modelos LookML, a administração do Looker e assim sucessivamente. O acesso às funcionalidades é gerido por conjuntos de autorizações, que constituem a outra metade de uma função do Looker. Algumas destas autorizações aplicam-se a toda a instância do Looker, como a capacidade de ver todos os agendamentos para o envio de dados. A maioria das autorizações é aplicada a conjuntos de modelos específicos, como a capacidade de ver painéis de controlo definidos pelo utilizador com base nesses modelos.
O acesso aos dados, às funcionalidades e ao conteúdo para utilizadores e grupos combina-se para especificar o que os utilizadores podem fazer e ver no Looker.
Utilizadores e grupos
No Looker, existem utilizadores individuais e grupos de utilizadores. Os utilizadores são geridos na página Utilizadores do painel Administração do Looker, enquanto os grupos são geridos na página Grupos do painel Administração do Looker.
A prática recomendada é usar grupos para evitar a dificuldade de atribuir, ajustar e remover controlos para utilizadores individualmente. Normalmente, a combinação de atividades a permitir para um utilizador pode ser organizada fazendo com que esse utilizador pertença a um ou mais grupos. Se nenhuma combinação de grupos for suficiente, pondere criar um grupo com apenas um utilizador, o que lhe permite expandir potencialmente esse grupo para mais pessoas no futuro. Para filtros de acesso, considere usar atributos do utilizador, uma vez que pode atribuir atributos do utilizador a grupos.
Controlar o acesso ao conteúdo do utilizador
As pastas do Looker permitem-lhe organizar conjuntos de painéis de controlo e Looks. Também podem conter outras pastas, o que facilita uma hierarquia aninhada de organização.
As pastas permitem-lhe definir níveis de acesso que determinam que utilizadores podem editar o conteúdo das pastas (como visuais e painéis de controlo), ver o conteúdo numa pasta e alterar as definições:
Um utilizador tem de ter, pelo menos, o nível de acesso Ver a uma pasta para ver que a pasta existe, ver os Looks e os painéis de controlo no respetivo interior e copiar os Looks e os painéis de controlo na pasta.
Um utilizador tem de ter o nível de acesso Gerir acesso, editar para uma pasta para gerir o acesso à pasta e editar a pasta e o respetivo conteúdo (incluindo mudar o nome das pastas, mover conteúdo e eliminar Looks e painéis de controlo).
As pastas não controlam o que os utilizadores podem fazer na plataforma Looker nem os dados que podem usar para criar o seu próprio conteúdo. Para gerir esse nível de acesso, consulte a secção Controlar o acesso a funcionalidades e dados nesta página.
As instruções passo a passo para ajustar os níveis de acesso às pastas para utilizadores que estão a explorar conteúdo no Looker são abordadas na nossa página de documentação Organizar e gerir o acesso ao conteúdo. Os administradores do Looker também podem ajustar os níveis de acesso às pastas para todos os grupos e utilizadores na página Acesso ao conteúdo do Looker. Também pode consultar a página de documentação Conceber e configurar um sistema de níveis de acesso para obter informações sobre a conceção de níveis de acesso ao nível da instância.
Embora o acesso ao conteúdo seja gerido separadamente do acesso às funcionalidades, a função atribuída a um utilizador pode afetar a capacidade de ver Looks e painéis de controlo listados numa pasta, ver um Look ou um painel de controlo, ou gerir uma pasta. A secção Como o acesso ao conteúdo e as autorizações interagem desta página descreve como o acesso às funcionalidades afeta o acesso ao conteúdo de forma mais detalhada.
Controlar o acesso a funcionalidades e dados
Para controlar o acesso a funcionalidades e dados no Looker, normalmente, cria um grupo de utilizadores (isto é opcional, mas recomendado) e atribui esse grupo a uma função. Uma função associa um conjunto de autorizações a um conjunto de modelos LookML. Os próprios modelos definem os campos e os dados disponíveis.
Pode aplicar limites de dados específicos a utilizadores específicos com filtros de acesso. Além disso, pode limitar os programadores do Looker a trabalhar com modelos baseados em bases de dados específicas através de projetos.
Também pode controlar o acesso a explorações, junções, visualizações ou campos específicos criando concessões de acesso. As concessões de acesso limitam o acesso apenas aos utilizadores aos quais foram atribuídos valores de atributos do utilizador específicos.
| Se quiser alcançar este objetivo… | Seguem-se os passos básicos que deve seguir… |
|---|---|
| Controlar as ações que um utilizador pode realizar | Crie um conjunto de autorizações com as autorizações adequadas e, em seguida, atribua um grupo ou um utilizador a uma função com esse conjunto de autorizações |
| Controlar os campos aos quais um utilizador pode aceder | Crie um modelo com os campos adequados e, em seguida, atribua um grupo ou um utilizador a uma função com esse modelo |
| Controle os dados aos quais um utilizador pode aceder | Crie um modelo com as limitações de dados adequadas e, em seguida, atribua um grupo ou um utilizador a uma função com esse modelo- ou -Use filtros de acesso para limitar um utilizador aos dados adequados- ou -Use atributos do utilizador para fornecer credenciais de base de dados diferentes a um grupo ou um utilizador- ou -Use atributos do utilizador com concessões de acesso para restringir o acesso a explorações, junções, vistas ou campos específicos |
| Controle as ligações à base de dados a que um programador do Looker pode aceder | Crie um projeto com as associações adequadas, associe o projeto a um conjunto de modelos e, em seguida, atribua um grupo ou um utilizador a uma função com esses modelos |
O acesso a funcionalidades também pode afetar o acesso ao conteúdo. Consulte a secção Como o acesso ao conteúdo e as autorizações interagem desta página para ver mais detalhes sobre como o acesso aos dados e o acesso a funcionalidades afetam o acesso ao conteúdo.
Elementos essenciais que tem de compreender
Funções
Uma função é uma combinação de um conjunto de autorizações e um conjunto de modelos. Um conjunto de autorizações é composto por uma ou mais autorizações e define o que a função pode fazer. Um conjunto de modelos é composto por um ou mais modelos e define a que modelos LookML a função se aplica.
Depois de criar uma função, pode atribuir um utilizador individual ou um grupo de utilizadores a essa função. Se adicionar algumas funções a um utilizador individual e outras funções a um grupo ao qual o utilizador pertence, o utilizador herda todas essas funções em conjunto.
Algumas autorizações são relevantes para toda a sua instância do Looker, enquanto outras só se aplicam aos modelos na mesma função. Consulte a página de documentação sobre funções para mais informações.
Projetos
Os projetos permitem-lhe restringir as associações de bases de dados que podem ser usadas por que modelos. Isto pode ajudar a controlar com que conjuntos de dados os seus programadores do Looker podem interagir quando estão a criar modelos. Um projeto pode conter um ou mais modelos e pode ser configurado para usar uma ou mais associações.
Esta restrição definida através de projetos também se aplica ao SQL Runner do Looker, o que garante que os seus programadores não podem aceder a ligações de bases de dados proibidas através do SQL Runner.
Atributos do utilizador
Os atributos do utilizador permitem-lhe atribuir valores arbitrários a grupos de utilizadores ou utilizadores individuais. Estes valores são, em seguida, usados como entradas em várias partes do Looker, personalizando as experiências para cada utilizador.
Uma forma de os atributos do utilizador controlarem o acesso é parametrizar as credenciais da base de dados para serem específicas de cada utilizador. Isto só tem valor se a sua base de dados tiver vários utilizadores com acesso a dados variável. Consulte a página de documentação Atributos do utilizador para mais informações.
Outra forma de os atributos do utilizador controlarem o acesso é como parte dos filtros de acesso. Os filtros de acesso permitem-lhe usar um ou mais atributos do utilizador como filtro de dados. Por exemplo, pode querer atribuir a cada utilizador um nome da empresa e, em seguida, certificar-se de que qualquer conteúdo que vejam é filtrado por esse nome. Para uma descrição de como aplicar filtros de acesso, consulte a página de documentação Atributos do utilizador e a página de documentação de parâmetros access_filter.
Os atributos do utilizador também controlam as concessões de acesso. Uma concessão de acesso especifica um atributo de utilizador e define valores permitidos nesse atributo de utilizador para conceder acesso a uma análise detalhada, uma junção, uma visualização ou um campo. Em seguida, usa o parâmetro required_access_grants ao nível de Explorar, join, view ou field para restringir o acesso a essas estruturas LookML apenas aos utilizadores que têm os valores de atributos de utilizador permitidos. Por exemplo, pode usar uma concessão de acesso para limitar o acesso à dimensão salary apenas aos utilizadores que tenham o valor payroll no respetivo atributo do utilizador department. Para uma descrição de como definir concessões de acesso, consulte a página de documentação do parâmetro access_grant.
Usar as bases
Controle o acesso a funcionalidades
As autorizações controlam os tipos de atividades que um utilizador ou um grupo pode realizar. Veja como um utilizador pode receber autorizações:
- A prática recomendada é identificar um ou mais grupos de utilizadores que devem ter um conjunto de autorizações, criando um grupo, se necessário. Se quiser, pode conceder autorizações a utilizadores individuais.
- Crie um conjunto de autorizações que contenha as autorizações adequadas.
- Se algumas das autorizações a atribuir forem específicas do modelo, crie ou identifique um conjunto de modelos existente.
- Crie uma função que combine o conjunto de autorizações e, se necessário, o conjunto de modelos.
- Atribua a função na página Funções. Depois de a função existir, também pode atribuí-la a um utilizador na página Utilizadores.
Pode atribuir várias funções a um utilizador ou um grupo. Nesse caso, os utilizadores têm todas as autorizações de todas as funções que têm. Por exemplo:
- A função 1 permite ver painéis de controlo no modelo 1.
- A função 2 permite ver painéis de controlo e explorar no modelo 2.
Se atribuir ambas as funções ao mesmo grupo de utilizadores, estes podem ver painéis de controlo no Modelo1 e no Modelo2, mas só podem explorar no Modelo2.
Controle o acesso dos utilizadores aos campos do Looker
Os campos com os quais um utilizador pode trabalhar são controlados pelos modelos aos quais o utilizador pode aceder. Veja como um utilizador pode obter acesso aos campos:
- Crie um modelo do LookML (ou uma combinação de modelos do LookML) que contenha apenas os campos aos quais um utilizador deve ter acesso.
- Aceda a Administração > Utilizadores > Funções.
- Na página Funções, crie um conjunto de modelos que contenha esses modelos e, em seguida, atribua-o a uma função.
- Para trabalhar com grupos de utilizadores, o que é geralmente considerado uma prática recomendada, crie um grupo na página Grupos do Looker. Em seguida, atribua esse grupo às funções adequadas na página Funções.
- Para trabalhar com utilizadores individuais, atribua funções a esses utilizadores a partir da página Utilizadores ou da página Funções.
Pode atribuir várias funções a um utilizador ou um grupo. Os utilizadores podem trabalhar com todos os modelos de todas as funções que têm.
É importante ter em atenção que o parâmetro hidden para campos foi concebido para criar experiências mais limpas para os utilizadores e não para controlar o acesso aos campos. O parâmetro hidden oculta campos do selecionador de campos, mas não impede que um utilizador use esse campo. Se alguém lhe enviar um link que use esse campo, a pessoa pode vê-lo, e outros locais no Looker continuam a mostrar o campo.
Controle o acesso dos utilizadores aos dados
Existem várias formas de controlar o acesso de um utilizador aos dados, consoante o exemplo de utilização:
- Para impedir que os utilizadores vejam determinadas colunas de dados, controle os campos aos quais podem aceder, conforme descrito na secção Controle o acesso dos utilizadores aos campos do Looker. Enquanto um utilizador não puder desenvolver nem usar o SQL Runner, está limitado pelos campos aos quais tem acesso.
- Para impedir que os utilizadores vejam determinadas linhas de dados, aplique campos de filtro de acesso, conforme descrito na página de documentação do parâmetro
access_filter. - Para limitar o acesso a explorações, junções, vistas ou campos específicos, crie concessões de acesso que limitem o acesso apenas aos utilizadores aos quais são atribuídos os valores de atributos de utilizador permitidos, conforme descrito na página de documentação de parâmetros
access_grant. - Para limitar os utilizadores do Looker à execução de consultas num utilizador da base de dados específico, que a sua equipa de base de dados configurou para limitar o acesso aos dados, use atributos do utilizador. Permitem-lhe parametrizar a ligação à base de dados para que um grupo de utilizadores ou utilizadores individuais executem as respetivas consultas com credenciais específicas da base de dados. Também deve considerar limitar os utilizadores aos campos do Looker adequados. Caso contrário, o utilizador do Looker pode tentar consultar um campo ao qual o utilizador da base de dados não tem acesso e recebe um erro.
Tal como o parâmetro de campo hidden não se destina a controlar o acesso aos campos, o parâmetro hidden para explorações não impede que todos os utilizadores vejam uma exploração. O parâmetro hidden remove a opção Explorar do menu Explorar, mas se um utilizador tiver guardado conteúdo que faça referência a uma opção Explorar oculta, continua a ter acesso aos dados da opção Explorar.
Se estiver a usar a incorporação assinada, certifique-se de que configura os controlos de acesso aos dados através do URL de incorporação assinado.
Controle o acesso dos programadores às ligações à base de dados
Ao contrário dos utilizadores normais, os programadores do Looker não estão totalmente limitados pelos modelos e pelos filtros de acesso, uma vez que podem fazer adições ou alterações aos modelos do LookML. No entanto, os administradores podem continuar a limitar os programadores do Looker a determinadas associações de bases de dados através de projetos. Para isso:
- Crie um projeto que restrinja um determinado número de modelos a um determinado número de ligações à base de dados. Isto é feito na página Gerir projetos do Looker.
- Aceda a Administração > Utilizadores > Funções.
- Na página Funções, crie um conjunto de modelos que contenha, pelo menos, um dos modelos no projeto e, em seguida, atribua-o a uma função.
- Para trabalhar com grupos de utilizadores, o que é geralmente considerado uma prática recomendada, crie um grupo na página Grupos do Looker. Em seguida, atribua esse grupo às funções adequadas na página Funções.
- Para trabalhar com utilizadores individuais, atribua funções a esses utilizadores a partir da página Utilizadores ou da página Funções.
Se um programador do Looker conseguir ver qualquer modelo que faça parte de um projeto, vai poder ver todos os modelos que fazem parte desse projeto. Por exemplo, isto pode acontecer se tiver atribuído um programador do Looker a uma função com apenas um modelo, mas esse modelo fizer parte de um projeto que contenha outros modelos.
Como a autorização e o acesso ao conteúdo interagem
O acesso ao conteúdo é gerido pelos utilizadores quando estão a ver uma pasta ou gerido por um administrador do Looker na página Acesso ao conteúdo no painel Administração. As funções atribuídas a um utilizador determinam o acesso do utilizador às funcionalidades e aos dados. Isto afeta o que o utilizador pode fazer numa pasta e se pode ver Looks e painéis de controlo.
Visualizar dados em Looks e painéis de controlo
Para ver os dados de um Look ou de um painel de controlo, o utilizador tem de ter, pelo menos, acesso de visualização à pasta onde o conteúdo está armazenado.
Os utilizadores têm de ter as autorizações access_data e see_looks para selecionar um relatório detalhado e ver os respetivos dados. Os utilizadores têm de ter as autorizações access_data e see_user_dashboards para selecionar um painel de controlo e ver os respetivos dados.
Para ver os dados num mosaico do Look ou do painel de controlo, o utilizador tem de ter acesso a esses dados. Sem o acesso aos dados necessário:
- Mesmo que o utilizador consiga ver um Look listado numa pasta e possa navegar para o Look, a consulta do Look não é executada e o utilizador não consegue ver os dados do Look.
- Mesmo que o utilizador possa ver um painel de controlo listado numa pasta e possa navegar para o painel de controlo, todos os mosaicos aos quais o utilizador não tem acesso são apresentados em branco. Se um painel de controlo tiver mosaicos criados a partir de vários modelos, um utilizador poderá ver os mosaicos associados aos modelos aos quais tem acesso, e os mosaicos de outros modelos vão apresentar um erro.
Por exemplo, um utilizador que tenha acesso de visualização a uma pasta, acesso aos dados subjacentes a todos os Looks na pasta e autorizações access_data e see_looks pode ver uma lista de todos os Looks na pasta e também pode ver esses Looks. Se este utilizador não tiver acesso para ver LookML ou painéis de controlo definidos pelo utilizador, não vê nenhum painel de controlo que possa existir na pasta.
Ver uma pasta e listas de Looks e painéis de controlo
Um utilizador precisa, pelo menos, do nível de acesso Ver a uma pasta para ver essa pasta e a lista de conteúdo armazenado na mesma.
Os utilizadores que também tenham, pelo menos, a autorização see_looks podem ver os títulos dos Looks na pasta. Os utilizadores que também tenham, pelo menos, a autorização see_user_dashboards podem ver os títulos dos painéis de controlo na pasta. No entanto, isto não implica que possam ver os dados dos Looks ou dos painéis de controlo.
Por exemplo, um utilizador que tenha a autorização see_looks, mas não tenha a autorização access_data, pode ver os títulos dos Looks, mas não pode ver os dados do Look.
Os utilizadores que têm a autorização access_data, mas não têm a autorização see_looks nem see_user_dashboards, não podem ver pastas nem conteúdo.
Modificar uma pasta
Um utilizador tem de ter o nível de acesso Gerir acesso, editar para poder organizar essa pasta, incluindo copiar e mover conteúdo, mudar o nome e mover pastas, bem como ações semelhantes. Os utilizadores também têm de ter a autorização manage_spaces para criar, editar, mover e eliminar pastas.
Tirar partido da sua infraestrutura de autorizações de utilizadores (LDAP, SAML e OpenID Connect)
Se já tiver uma configuração de infraestrutura LDAP, SAML ou OpenID, pode usar esse sistema para gerir os inícios de sessão dos utilizadores. Pode encontrar as instruções para configurar o LDAP na página Autenticação LDAP. Pode encontrar as instruções para configurar o SAML na página de documentação Autenticação SAML. Pode encontrar as instruções para configurar o OpenID Connect na página de documentação Autenticação OpenID Connect.
Se configurou grupos na sua implementação de LDAP, SAML ou OpenID Connect, também pode usar esses grupos no Looker. No entanto, existem alguns aspetos a ter em conta:
- Todos os grupos que criou são transferidos automaticamente para o Looker e ficam visíveis na página Grupos. É criado um grupo do Looker para cada grupo LDAP, SAML ou OpenID Connect, e o nome do grupo do Looker reflete o nome do grupo LDAP, SAML ou OpenID Connect.
- Pode usar estes grupos do Looker para atribuir níveis de acesso a pastas e atributos do utilizador aos membros dos grupos.
- Não pode usar grupos do Looker para configurar funções como faria com um grupo criado manualmente. Em alternativa, mapeia os seus grupos LDAP, SAML ou OpenID Connect para funções do Looker durante o processo de configuração e só pode alterar as funções atribuídas nas páginas de configuração do LDAP, SAML ou OpenID Connect. Exigimos esta abordagem para que os seus grupos LDAP, SAML ou OpenID Connect permaneçam a sua única fonte de informações verdadeiras. Sem esta restrição, o mapeamento de grupos para funções pode divergir da respetiva função pretendida no seu esquema LDAP, SAML ou OpenID Connect.
Também pode usar o LDAP para aplicar ligações de base de dados específicas do utilizador a consultas do Looker, conforme descrito na página de documentação Autenticação LDAP.