Tieni presente che stai visualizzando la documentazione di Looker. Per la documentazione di Looker Studio, visita https://support.google.com/looker-studio.

Questa pagina è stata tradotta dall'API Cloud Translation.

Controllo dell'accesso e gestione delle autorizzazioni

Gli amministratori di Looker possono gestire le informazioni e le azioni che un utente o un gruppo di utenti può visualizzare e fare in Looker specificando il seguente accesso:

Accesso ai contenuti, che consente di stabilire se un utente o un gruppo di utenti può visualizzare o gestire una cartella. Un utente che dispone dell'autorizzazione per visualizzare una cartella può navigare all'interno di essa e visualizzare gli elenchi delle dashboard e dei Look al suo interno. Un utente in grado di gestire una cartella può manipolarne i contenuti (copiare, spostare, eliminare e rinominare dashboard e Look), organizzare la cartella stessa (rinominarla, spostarla o eliminarla) e concederne l'accesso ad altri utenti e gruppi. L'accesso ai contenuti è gestito dagli amministratori di Looker nel riquadro Amministrazione o, se consentito, da singoli utenti dall'interno della cartella.
Accesso ai dati, che controlla quali dati possono essere visualizzati da un utente. L'accesso ai dati è gestito principalmente tramite set di modelli, che costituiscono la metà di un ruolo di Looker. Questi ruoli vengono quindi applicati a utenti e gruppi. L'accesso ai dati può essere ulteriormente limitato all'interno di un modello utilizzando i filtri di accesso per limitare le righe di dati che possono essere visualizzate, come se ci fosse un filtro automatico per le loro query. Puoi anche limitare l'accesso a esplorazioni, join, visualizzazioni o campi specifici utilizzando le concessioni di accesso.
Accesso alle funzionalità, che controlla i tipi di azioni che un utente è autorizzato a eseguire in Looker, tra cui la visualizzazione di dati e contenuti salvati, la modifica dei modelli LookML, l'amministrazione di Looker e così via. L'accesso alle funzionalità è gestito dai set di autorizzazioni, che costituiscono l'altra metà di un ruolo di Looker. Alcune di queste autorizzazioni si applicano all'intera istanza di Looker, ad esempio possono visualizzare tutte le pianificazioni per l'invio di dati. La maggior parte delle autorizzazioni viene applicata a set di modelli specifici, ad esempio la possibilità di visualizzare dashboard definite dall'utente in base a questi modelli.

L'accesso ai dati, alle funzionalità e ai contenuti per utenti e gruppi si combina per specificare ciò che gli utenti possono fare e visualizzare in Looker.

Utenti e gruppi

In Looker ci sono sia singoli utenti che gruppi di utenti. Gli utenti sono gestiti nella pagina Utenti del pannello Amministrazione di Looker, mentre i gruppi sono gestiti nella pagina Gruppi del pannello Amministrazione di Looker.

La best practice consiste nell'utilizzare i gruppi per evitare la noia di assegnazione, modifica e rimozione dei controlli per i singoli utenti. In genere la combinazione di attività da consentire a un utente può essere organizzata facendo in modo che l'utente appartenga a uno o più gruppi. Se nessuna combinazione di gruppi è sufficiente, valuta la possibilità di creare un gruppo con un solo utente, per poter potenzialmente espandere il gruppo a più persone in futuro. Per i filtri di accesso, puoi utilizzare gli attributi utente perché puoi assegnare gli attributi utente ai gruppi.

Controllo dell'accesso ai contenuti degli utenti

Le cartelle di Looker ti consentono di organizzare set di dashboard e Look. Possono anche contenere altre cartelle, per facilitare una gerarchia di organizzazione nidificata.

Le cartelle ti consentono di impostare livelli di accesso che determinano quali utenti possono modificare i contenuti delle cartelle (come Look e dashboard), visualizzare i contenuti e modificare le impostazioni:

Un utente deve disporre almeno del livello di accesso Visualizzazione a una cartella per verificare che la cartella esista, visualizzare i Look e le dashboard al suo interno e copiare i Look e le dashboard al suo interno.
Un utente deve disporre del livello di accesso Gestisci accesso, Modifica perché una cartella possa gestirne l'accesso e modificare la cartella e i suoi contenuti (incluse la ridenominazione delle cartelle, lo spostamento di contenuti ed l'eliminazione di Look e dashboard).

Le cartelle non controllano ciò che gli utenti possono fare sulla piattaforma Looker o quali dati possono utilizzare per creare i propri contenuti. Per gestire il livello di accesso, consulta la sezione Controllo dell'accesso a funzionalità e dati in questa pagina.

Le istruzioni dettagliate per regolare i livelli di accesso alle cartelle degli utenti che sfogliano i contenuti in Looker sono descritte nella pagina della documentazione Organizzazione e gestione dell'accesso ai contenuti. Gli amministratori di Looker possono anche regolare i livelli di accesso alle cartelle per tutti i gruppi e gli utenti dalla pagina Accesso ai contenuti di Looker. Puoi anche visualizzare la pagina della documentazione Progettazione e configurazione di un sistema di livelli di accesso per informazioni sulla progettazione del livello di accesso a livello di istanza.

Sebbene l'accesso ai contenuti sia gestito separatamente dall'accesso alle funzionalità, il ruolo assegnato a un utente può influire sulla visualizzazione dei Look e delle dashboard elencati in una cartella, di un Look o di una dashboard o di gestire una cartella. La sezione Modalità di interazione tra autorizzazioni e accesso ai contenuti di questa pagina descrive in modo più dettagliato in che modo l'accesso alle funzionalità influisce sull'accesso ai contenuti.

Controllo dell'accesso a funzionalità e dati

Per controllare l'accesso a funzionalità e dati in Looker, in genere puoi creare un gruppo di utenti (facoltativo, ma consigliato) e assegnarlo a un ruolo. Un ruolo collega un insieme di autorizzazioni a un set di modelli LookML. I modelli stessi definiscono quali campi e dati sono disponibili.

Puoi applicare limiti dati specifici a utenti specifici con i filtri di accesso. Inoltre, puoi limitare la possibilità agli sviluppatori di Looker di lavorare con modelli basati su database specifici utilizzando i progetti.

Puoi anche controllare l'accesso a esplorazioni, join, viste o campi specifici creando delle concessioni di accesso. Le concessioni di accesso limitano l'accesso solo agli utenti a cui sono stati assegnati valori degli attributi utente specifici.

Se vuoi raggiungere questo obiettivo ...	Questi sono i passaggi di base da seguire ...
Controllare le azioni che un utente può eseguire	Crea un set di autorizzazioni con le autorizzazioni appropriate, quindi assegna un gruppo o un utente a un ruolo con il set di autorizzazioni in questione.
Controllare a quali campi può accedere un utente	Crea un modello con i campi appropriati, quindi assegna un gruppo o un utente a un ruolo con quel modello
Controllare a quali dati può accedere un utente	Crea un modello con le limitazioni dei dati appropriate, quindi assegna un gruppo o un utente a un ruolo con quel modello - oppure - Utilizza i filtri di accesso per limitare l'accesso di un utente ai dati appropriati - oppure - Utilizza gli attributi utente per fornire credenziali di database diverse a un gruppo o un utente - oppure - Utilizza gli attributi utente con concessioni di accesso per limitare l'accesso a esplorazioni, join, viste o campi specifici
Controllare a quali connessioni al database può accedere uno sviluppatore Looker	Creare un progetto con le connessioni appropriate, associarlo a un set di modelli, quindi assegnare un gruppo o un utente a un ruolo con questi modelli

L'accesso alle funzionalità può influire anche sull'accesso ai contenuti. Per ulteriori dettagli su come l'accesso ai dati e l'accesso alle funzionalità influiscono sull'accesso ai contenuti, consulta la sezione Modalità di interazione tra autorizzazioni e accesso ai contenuti di questa pagina.

Componenti di base che devi conoscere

Ruoli

Un ruolo è una combinazione di un set di autorizzazioni e un set di modelli. Un set di autorizzazioni è composto da una o più autorizzazioni e definisce le azioni che può svolgere il ruolo. Un set di modelli è composto da uno o più modelli e definisce a quali modelli LookML si applica il ruolo.

Dopo aver creato un ruolo, puoi assegnarlo a un singolo utente o a un gruppo di utenti. Se aggiungi alcuni ruoli a un singolo utente e altri a un gruppo a cui appartiene l'utente, l'utente erediterà tutti questi ruoli insieme.

Alcune autorizzazioni sono pertinenti all'intera istanza di Looker, altre si applicano solo ai modelli all'interno dello stesso ruolo. Per ulteriori informazioni, consulta la pagina della documentazione relativa ai ruoli.

Progetti

I progetti ti consentono di limitare le connessioni al database utilizzabili da quali modelli. Questo può aiutarti a controllare con quali set di dati gli sviluppatori di Looker possono interagire durante la creazione dei modelli. Un progetto può contenere uno o più modelli e può essere configurato per utilizzare una o più connessioni.

Questa limitazione definita tramite i progetti confluisce anche in Looker SQL Runner, che garantisce che gli sviluppatori non possano accedere a connessioni ai database vietate utilizzando SQL Runner.

Attributi utente

Gli attributi utente consentono di assegnare valori arbitrari a gruppi di utenti o singoli utenti. Questi valori vengono quindi utilizzati come input in varie parti di Looker, personalizzando le esperienze per ciascun utente.

Un modo in cui gli attributi utente controllano l'accesso è parametrizzando le credenziali del database in modo che siano specifiche per ciascun utente. Questo metodo è utilizzabile soltanto se esistono più utenti con diversi accessi ai dati del database. Per ulteriori informazioni, consulta la pagina della documentazione Attributi utente.

Un altro modo in cui gli attributi utente controllano l'accesso è l'uso dei filtri di accesso. I filtri di accesso permettono di utilizzare uno o più attributi utente come filtri di dati. Ad esempio, questa operazione può essere opportuna quando vuoi assegnare a ciascun utente un nome aziendale e filtrare per quel nome tutti i contenuti che possono visualizzare. Per una descrizione di come applicare i filtri di accesso, consulta la pagina della documentazione sugli attributi utente e la pagina della documentazione sul parametro access_filter.

Gli attributi utente controllano anche le concessioni di accesso. Una concessione di accesso specifica un attributo utente e definisce i valori che tale attributo deve possedere per accedere a Explore, join, visualizzazioni o campi. Potrai quindi utilizzare il parametro required_access_grants a livello di Esplora, join, vista o campo per limitare l'accesso a queste strutture LookML solo agli utenti con i valori degli attributi utente consentiti. Ad esempio, puoi utilizzare una concessione dell'accesso per limitare l'accesso alla dimensione salary ai soli utenti che hanno il valore payroll nel proprio attributo utente department. Per una descrizione di come definire le concessioni dell'accesso, consulta la pagina della documentazione sul parametro access_grant.

Utilizzo dei componenti di base

Controllare l'accesso alle funzionalità

Le autorizzazioni controllano i tipi di attività che un utente o un gruppo può svolgere. In questo modo un utente può ottenere le autorizzazioni:

La best practice consiste nell'identificare uno o più gruppi di utenti che devono avere un set di autorizzazioni, creando un gruppo se necessario. Se vuoi, puoi concedere le autorizzazioni a singoli utenti.
Crea un set di autorizzazioni che contenga le autorizzazioni appropriate.
Se alcune autorizzazioni da assegnare sono specifiche per il modello, crea o identifica un set di modelli esistente.
Crea un ruolo che combini il set di autorizzazioni e, se necessario, il set di modelli.
Assegna il ruolo dalla pagina Ruoli. Una volta creato il ruolo, puoi anche assegnarlo a un utente nella pagina Utenti.

Puoi assegnare più ruoli a un utente o a un gruppo. In quel caso, gli utenti disporranno delle autorizzazioni relative a tutti i ruoli a loro assegnati. Ad esempio:

Ruolo 1 consente di visualizzare le dashboard del modello 1.
Ruolo 2 consente di visualizzare le dashboard e di esplorare il modello 2.

Se assegni entrambi i ruoli allo stesso gruppo di utenti, questi potranno visualizzare le dashboard sia nel Modello 1 che nel Modello 2, ma esplorare solo nel Modello 2.

Controllare l'accesso degli utenti ai campi di Looker

I campi con cui un utente può lavorare sono controllati dai modelli a cui l'utente può accedere. Ecco come un utente può ottenere l'accesso ai campi:

Crea un modello LookML (o una combinazione di modelli LookML) contenente solo i campi a cui l'utente deve avere accesso.
Vai ad Amministratore > Utenti > Ruoli.
Nella pagina Ruoli, crea un set di modelli che contenga quei modelli e assegnalo a un ruolo.
Per lavorare con gruppi di utenti, soluzione generalmente considerata una best practice, crea un gruppo nella pagina Gruppi di Looker. Quindi assegna quel gruppo ai ruoli appropriati sulla pagina Ruoli.
Per lavorare con singoli utenti, assegna loro dei ruoli dalla pagina Utenti o Ruoli.

Puoi assegnare più ruoli a un utente o a un gruppo. Gli utenti possono quindi lavorare con tutti i modelli da tutti i ruoli di cui dispongono.

È importante notare che il parametro hidden per i campi è progettato per creare esperienze più chiare per gli utenti, non per controllare l'accesso ai campi. Il parametro hidden nasconde i campi dal selettore campi, ma non impedisce all'utente di utilizzarlo. Se un utente invia un link che utilizza quel campo, potrà vederlo e il campo verrà comunque visualizzato in altre posizioni in Looker.

Controllare l'accesso degli utenti ai dati

Esistono diversi modi per controllare l'accesso di un utente ai dati, a seconda del caso d'uso:

Per impedire agli utenti di visualizzare determinate colonne di dati, controlla i campi a cui possono accedere, come descritto nella sezione Controllare l'accesso degli utenti ai campi di Looker. Finché un utente non può sviluppare e non può utilizzare SQL Runner, è vincolato dai campi a cui ha accesso.
Per impedire agli utenti di visualizzare determinate righe di dati, applica i campi del filtro di accesso, come descritto nella pagina della documentazione relativa al parametro access_filter.
Per limitare l'accesso a esplorazioni, join, visualizzazioni o campi specifici, crea permessi di accesso che limitino l'accesso solo agli utenti a cui vengono assegnati i valori degli attributi utente consentiti, come descritto nella pagina della documentazione relativa al parametro access_grant.
Per limitare gli utenti Looker all'esecuzione di query su uno specifico utente del database, che il team del database ha configurato per limitare l'accesso ai dati, utilizza gli attributi utente. Questi attributi permettono di parametrizzare la connessione al database in modo che un gruppo di utenti o utenti singoli debbano eseguire le query con credenziali del database specifiche. Inoltre, ti consigliamo di limitare gli utenti ai campi Looker appropriati. In caso contrario, l'utente di Looker potrebbe provare a eseguire una query su un campo a cui l'utente del database non ha accesso e riceverà un errore.

Così come il parametro campo hidden non è destinato a controllare l'accesso ai campi, il parametro hidden per le esplorazioni non impedisce a tutti gli utenti di visualizzare un'esplorazione. Il parametro hidden rimuove l'esplorazione dal menu Esplora, ma se un utente ha salvato contenuti che fanno riferimento a un'esplorazione nascosta, potrà comunque accedere ai dati dell'esplorazione.

Se utilizzi l'incorporamento firmato, assicurati di configurare i controlli di accesso ai dati tramite l'URL di incorporamento firmato.

Controlla l'accesso degli sviluppatori alle connessioni ai database

A differenza degli utenti normali, gli sviluppatori di Looker non sono completamente vincolati da modelli e filtri di accesso, perché possono semplicemente apportare aggiunte o modifiche ai modelli LookML. Tuttavia, gli amministratori possono comunque limitare le connessioni al database degli sviluppatori di Looker utilizzando i progetti. Ecco come fare:

Creare un progetto che limiti un certo numero di modelli a un certo numero di connessioni di database. Per farlo, accedi alla pagina Gestisci progetti di Looker.
Vai ad Amministratore > Utenti > Ruoli.
Nella pagina Ruoli, crea un set di modelli contenente almeno uno dei modelli presenti nel progetto, quindi assegnalo a un ruolo.
Per lavorare con gruppi di utenti, soluzione generalmente considerata una best practice, crea un gruppo nella pagina Gruppi di Looker. Quindi assegna quel gruppo ai ruoli appropriati sulla pagina Ruoli.
Per lavorare con singoli utenti, assegna loro dei ruoli dalla pagina Utenti o Ruoli.

Se uno sviluppatore di Looker può visualizzare qualsiasi modello che faccia parte di un progetto, potrà visualizzare tutti i modelli che fanno parte di quel progetto. Ad esempio, è possibile che tu abbia assegnato uno sviluppatore Looker a un ruolo con un solo modello, che però faceva parte di un progetto che conteneva altri modelli.

Come interagiscono l'accesso ai contenuti e le autorizzazioni

L'accesso ai contenuti è gestito dagli utenti quando visualizzano una cartella oppure gestito da un amministratore di Looker nella pagina Accesso ai contenuti del riquadro Amministrazione. I ruoli assegnati a un utente determinano la funzionalità e l'accesso ai dati dell'utente. Ciò influisce su ciò che l'utente può fare in una cartella e sulla possibilità di visualizzare Look e dashboard.

Visualizzazione dei dati in Look e dashboard

Per visualizzare i dati di un Look o di una dashboard, l'utente deve disporre almeno dell'accesso in visualizzazione alla cartella in cui sono archiviati i contenuti.

Gli utenti devono disporre delle autorizzazioni access_data e see_looks per selezionare un Look e visualizzarne i dati. Gli utenti devono disporre delle autorizzazioni access_data e see_user_dashboards per selezionare una dashboard e visualizzarne i dati.

Per visualizzare i dati in un Look o in un riquadro di una dashboard, l'utente deve disporre dell'accesso a tali dati. Senza l'accesso ai dati necessario:

Anche se l'utente può visualizzare un Look elencato in una cartella e può passare al Look, la query del Look non viene eseguita e l'utente non può visualizzare i dati del Look.
Anche se l'utente può visualizzare una dashboard elencata in una cartella e può accedere alla dashboard, qualsiasi riquadro a cui l'utente non ha accesso viene visualizzato come vuoto. Se una dashboard contiene riquadri creati da più modelli, un utente sarà in grado di visualizzare i riquadri associati ai modelli a cui ha accesso e i riquadri di altri modelli mostreranno un errore.

Ad esempio, un utente che dispone dell'accesso in Visualizzazione per una cartella, dell'accesso ai dati per i dati sottostanti di tutti i Look nella cartella e delle autorizzazioni access_data e see_looks può visualizzare un elenco di tutti i Look nella cartella e può anche visualizzarli. Se questo utente non dispone dell'accesso per visualizzare LookML o dashboard definite dall'utente, non vedrà nessuna dashboard esistente nella cartella.

Visualizzazione di una cartella e di elenchi di Look e dashboard

Per visualizzare una cartella e visualizzare l'elenco dei contenuti archiviati al suo interno, un utente deve disporre almeno del livello di accesso Visualizzazione.

Gli utenti che hanno anche almeno l'autorizzazione see_looks possono visualizzare i titoli dei Look nella cartella. Gli utenti che hanno anche almeno l'autorizzazione see_user_dashboards possono visualizzare i titoli delle dashboard nella cartella. Tuttavia, ciò non implica la possibilità di visualizzare i dati dei Look o delle dashboard.

Ad esempio, un utente che dispone dell'autorizzazione see_looks, ma non dell'autorizzazione access_data, può vedere i titoli dei Look ma non può visualizzare i relativi dati.

Gli utenti che hanno l'autorizzazione access_data, ma non hanno l'autorizzazione see_looks o see_user_dashboards, non possono visualizzare le cartelle o i contenuti.

Modifica di una cartella

Un utente deve disporre del livello di accesso Gestisci accesso, Modifica perché una cartella sia in grado di organizzarla, incluse la copia e lo spostamento dei contenuti, la ridenominazione e lo spostamento di cartelle e azioni simili. Gli utenti devono anche disporre dell'autorizzazione manage_spaces per creare, modificare, spostare ed eliminare le cartelle.

Utilizzo dell'infrastruttura delle autorizzazioni utente (LDAP, SAML e OpenID Connect)

Se hai già configurato un'infrastruttura LDAP, SAML o OpenID, puoi utilizzare questo sistema per gestire gli accessi degli utenti. Le istruzioni per la configurazione del protocollo LDAP sono disponibili nella pagina dell'autenticazione LDAP. Le istruzioni per la configurazione di SAML sono disponibili nella pagina della documentazione relativa all'autenticazione SAML. Le istruzioni per la configurazione di OpenID Connect sono disponibili nella pagina della documentazione relativa all'autenticazione OpenID Connect.

Se hai configurato dei gruppi nell'implementazione LDAP, SAML o OpenID Connect, puoi utilizzare questi gruppi anche in Looker. Tuttavia, tieni presente quanto segue:

Tutti i gruppi che hai creato vengono trasferiti automaticamente in Looker e saranno visibili nella pagina Gruppi. Verrà creato un gruppo Looker per ogni gruppo LDAP, SAML o OpenID Connect e il nome del gruppo Looker rispecchierà il nome del gruppo LDAP, SAML o OpenID Connect.
Potrai utilizzare questi gruppi di Looker per assegnare livelli di accesso per le cartelle e attributi utente ai membri dei gruppi.
Non potrai utilizzare i gruppi Looker per configurare i ruoli come faresti con un gruppo creato manualmente. Dovrai invece mappare i gruppi LDAP, SAML o OpenID Connect ai ruoli di Looker durante il processo di configurazione e potrai modificare i ruoli assegnati solo dalle pagine di configurazione di LDAP, SAML o OpenID Connect. Abbiamo bisogno di questo approccio in modo che i gruppi LDAP, SAML o OpenID Connect rimangano la tua unica fonte attendibile. Senza questa limitazione, la mappatura tra gruppi potrebbe differire dalla funzione prevista nello schema LDAP, SAML o OpenID Connect.

Puoi anche utilizzare LDAP per applicare connessioni di database specifiche dell'utente alle query di Looker, come descritto nella pagina della documentazione sull'autenticazione LDAP.