Los administradores de Looker pueden administrar lo que un usuario o un grupo de usuarios puede ver y hacer en Looker especificando el siguiente acceso:
- Acceso al contenido, que controla si un usuario o un grupo de usuarios puede ver una carpeta o administrarla. Un usuario que puede ver una carpeta puede navegar a ella y ver las listas de los paneles y las miradas de la carpeta. Un usuario que puede administrar una carpeta puede manipular su contenido (copiar, mover, borrar y cambiar el nombre de los paneles y las vistas), organizar la carpeta en sí misma (cambiarle el nombre, moverla o borrarla), y otorgar acceso a la carpeta a otros usuarios y grupos. Los administradores de Looker administran el acceso al contenido en el panel Administrador o, si se permite, los usuarios individuales desde la carpeta.
- Acceso a los datos, que controla los datos que un usuario puede ver. El acceso a los datos se administra principalmente a través de los conjuntos de modelos, que conforman la mitad de un rol de Looker. Luego, estos roles se aplican a los usuarios y grupos. El acceso a los datos puede restringirse aún más dentro de un modelo con filtros de acceso para limitar las filas de datos que puede ver, como si hubiera un filtro automático en sus consultas. También puedes restringir el acceso a Exploraciones, combinaciones, vistas o campos específicos con otorgamientos de acceso.
- Acceso a funciones, que controla los tipos de acciones que un usuario puede realizar en Looker, como ver datos y contenido guardado, cambiar los modelos de LookML, administrar Looker, etcétera. Los conjuntos de permisos administran el acceso a los atributos, que conforman la otra mitad de un rol de Looker. Algunos de estos permisos se aplican a toda la instancia de Looker, como poder ver todas las programaciones de envío de datos. La mayoría de los permisos se aplican a conjuntos de modelos específicos, como poder ver paneles definidos por el usuario basados en esos modelos.
El acceso a los datos, el acceso a funciones y el acceso al contenido para usuarios y grupos se combinan para especificar lo que los usuarios pueden hacer y ver en Looker.
Usuarios y grupos
En Looker, hay usuarios individuales y grupos de usuarios. Los usuarios se administran en la página Usuarios del panel Administrador de Looker, mientras que los grupos se administran en la página Grupos del panel Administrador de Looker.
La práctica recomendada es usar grupos para evitar el tedio de asignar, ajustar y quitar controles para usuarios de forma individual. Normalmente, la combinación de actividades que permite a un usuario se puede organizar haciendo que este pertenezca a uno o más grupos. Si ninguna combinación de grupos es suficiente, considera crear un grupo con un solo usuario, lo que te permitirá expandirlo a más personas en el futuro. Para los filtros de acceso, considera usar atributos de usuario, ya que puedes asignar atributos de usuario a grupos.
Controla el acceso de los usuarios al contenido
Las carpetas de Looker te permiten organizar conjuntos de paneles y vistas. También pueden contener otras carpetas, lo que facilita una jerarquía de organización anidada.
Las carpetas te permiten establecer niveles de acceso que determinan qué usuarios pueden editar el contenido de las carpetas (como las Vistas y los paneles), ver su contenido y cambiar la configuración:
Un usuario debe tener, como mínimo, el nivel de acceso Ver a una carpeta para ver que existe, para ver las vistas y los paneles que contiene, y para copiarlos.
Un usuario debe tener el nivel de acceso Administrar el acceso, editar para que una carpeta administre el acceso a ella y edite la carpeta y su contenido (lo que incluye cambiar el nombre de las carpetas, mover contenido y borrar las vistas y los paneles).
De lo contrario, las carpetas no controlan lo que los usuarios pueden hacer en la plataforma de Looker ni qué datos pueden usar para crear su propio contenido. Para administrar ese nivel de acceso, consulta la sección Controla el acceso a las funciones y los datos en esta página.
Las instrucciones paso a paso para ajustar los niveles de acceso a las carpetas para los usuarios que exploran contenido en Looker se analizan en nuestra página de documentación Organiza y administra el acceso al contenido. Los administradores de Looker también pueden ajustar los niveles de acceso a las carpetas de todos los grupos y usuarios en la página Acceso al contenido de Looker. También puedes consultar la página de documentación Diseña y configura un sistema de niveles de acceso para obtener información sobre el diseño de niveles de acceso para toda la instancia.
Aunque el acceso al contenido se administra por separado del acceso a las funciones, el rol que se asigna a un usuario puede afectar si puede ver los informes y los paneles que aparecen en una carpeta, ver un informe o un panel, o administrar una carpeta. En la sección Cómo interactúan el acceso al contenido y los permisos de esta página, se describe con más detalle cómo el acceso a las funciones afecta el acceso al contenido.
Controla el acceso a los datos y a las funciones
Para controlar el acceso a las funciones y los datos en Looker, por lo general, se crea un grupo de usuarios (esto es opcional, pero se recomienda) y se asigna ese grupo a un rol. Un rol vincula un conjunto de permisos con un conjunto de modelos de LookML. Los modelos definen qué campos y datos están disponibles.
Puedes aplicar límites de datos específicos a usuarios determinados con los filtros de acceso. Además, puedes limitar a los desarrolladores de Looker para que trabajen con modelos basados en bases de datos particulares usando proyectos.
También puedes controlar el acceso a Exploraciones, combinaciones, vistas o campos específicos mediante la creación de otorgamientos de acceso. El acceso otorga un límite de acceso solo a los usuarios a los que se les asignaron valores específicos de atributos de usuario.
| Si quieres lograr esto ... | Estos son los pasos básicos que debes seguir ... |
|---|---|
| Controlar las acciones que puede realizar un usuario | Crear un conjunto de permisos con los permisos adecuados y, luego, asignar un grupo o usuario a un rol con ese conjunto de permisos |
| Controla a qué campos puede acceder un usuario | Crea un modelo con los campos adecuados y, luego, asigna un grupo o un usuario a un rol con ese modelo. |
| Controla a qué datos puede acceder un usuario | Crea un modelo con las limitaciones de datos adecuadas y, luego, asigna un grupo o un usuario a un rol con ese modelo.- o -Usa filtros de acceso para limitar a un usuario a los datos adecuados.- o -Usa atributos de usuario para proporcionar credenciales de base de datos diferentes a un grupo o usuario.- o -Usa atributos de usuario con otorgamientos de acceso para restringir el acceso a exploraciones, combinaciones, vistas o campos específicos. |
| Controla a qué conexiones de bases de datos puede acceder un desarrollador de Looker | Crear un proyecto con las conexiones adecuadas, asociarlo a un conjunto de modelos y, luego, asignar un grupo o usuario a un rol con esos modelos |
El acceso a las funciones también puede afectar el acceso al contenido. Consulta la sección Cómo interactúan el acceso al contenido y los permisos de esta página para obtener más detalles sobre cómo el acceso a los datos y a las funciones afectan el acceso al contenido.
Componentes básicos que debes comprender
Funciones
Un rol es una combinación de un conjunto de permisos y un conjunto de modelos. Un conjunto de permisos se compone de uno o más permisos y define lo que el rol puede hacer. Un conjunto de modelos se compone de uno o más modelos y define a qué modelos de LookML se aplica el rol.
Después de crear un rol, puedes asignarle un usuario individual o un grupo de usuarios. Si agregas algunos roles a un usuario individual y otros a un grupo al que pertenece, el usuario heredará todos esos roles juntos.
Algunos permisos son relevantes para toda tu instancia de Looker, otros solo se aplican a los modelos dentro del mismo rol. Consulta la página de documentación de Roles para obtener más información.
Proyectos
Los proyectos te permiten restringir qué conexiones de bases de datos pueden usar cada modelo. Esto puede ayudarte a controlar con qué conjuntos de datos pueden interactuar tus desarrolladores de Looker cuando crean modelos. Un proyecto puede contener uno o más modelos y se puede configurar para usar una o más conexiones.
Esta restricción definida a través de los proyectos también se transmite al Ejecutor de SQL de Looker, lo que garantiza que tus desarrolladores no puedan obtener acceso a conexiones de bases de datos prohibidas mediante el Ejecutor de SQL.
Atributos de usuario
Los atributos de usuario te permiten asignar valores arbitrarios a grupos de usuarios o usuarios individuales. Luego, estos valores se usan como entradas en varias partes de Looker, lo que permite personalizar las experiencias para cada usuario.
Una de las formas en que los atributos de usuario controlan el acceso es parametrizar las credenciales de la base de datos de modo que sean específicas para cada usuario. Esto solo tiene valor si tu base de datos tiene múltiples usuarios con acceso variable a los datos. Consulta la página de documentación Atributos de usuario para obtener más información.
Otra forma en que los atributos del usuario controlan el acceso es como parte de los filtros de acceso. Los filtros de acceso te permiten utilizar uno o más atributos de usuario como filtros de datos. Por ejemplo, es posible que desees asignar un nombre de empresa a cada usuario y, luego, asegurarte de que el contenido que vea esté filtrado por ese nombre. Para obtener una descripción de cómo aplicar filtros de acceso, consulta la página de documentación de Atributos del usuario y la página de documentación del parámetro access_filter.
Los atributos del usuario también controlan los otorgamientos de acceso. Un otorgamiento de acceso especifica un atributo de usuario y define valores permitidos en ese atributo para otorgar acceso a una exploración, una unión, una vista o un campo. Luego, usa el parámetro required_access_grants a nivel Explorar, unir, vista o campo para restringir el acceso a esas estructuras de LookML solo a los usuarios que tengan los valores de atributos de usuario permitidos. Por ejemplo, puedes usar una concesión de acceso para limitar el acceso a la dimensión salary solo a los usuarios que tengan el valor payroll en su atributo de usuario department. Para obtener una descripción de cómo definir los otorgamientos de acceso, consulta la página de documentación del parámetro access_grant.
Cómo usar los componentes básicos
Cómo controlar el acceso a las funciones
Los permisos controlan los tipos de actividades que puede realizar un usuario o un grupo. De esta manera, un usuario puede obtener permisos:
- La práctica recomendada es identificar uno o más grupos de usuarios que deberían tener un conjunto de permisos y, si es necesario, crear un grupo. Si lo deseas, puedes otorgar permisos a usuarios individuales.
- Crea un conjunto de permisos que contenga los permisos adecuados.
- Si algunos de los permisos que se asignarán son específicos del modelo, crea o identifica un conjunto de modelos existente.
- Crea un rol que combine el conjunto de permisos y, si es necesario, el conjunto de modelos.
- Asigna el rol desde la página Roles. Después de que exista el rol, también puedes asignarlo a un usuario en la página Usuarios.
Puedes asignar varios roles a un usuario o grupo. En ese caso, los usuarios tendrán todos los permisos de todos los roles que tengan. Por ejemplo:
- El rol 1 permite ver los paneles en el modelo 1.
- Role2 permite ver los paneles y explorar en Model2.
Si asignas ambos roles al mismo grupo de usuarios, estos podrán ver paneles en el Model1 y el Model2, pero solo podrán explorar en Model2.
Controla el acceso de los usuarios a los campos de Looker
Los campos con los que puede trabajar un usuario están controlados por los modelos a los que puede acceder. Así es como un usuario puede obtener acceso de campo:
- Crear un modelo de LookML (o una combinación de modelos de LookML) que contenga solo los campos a los que un usuario debe tener acceso
- Ve a Administrador > Usuarios > Roles.
- En la página Roles, crea un conjunto de modelos que contenga esos modelos y, luego, asígnale un rol.
- Para trabajar con grupos de usuarios, lo que generalmente se considera una práctica recomendada, crea un grupo en la página Grupos de Looker. Luego, asigna ese grupo a los roles adecuados en la página Roles.
- Para trabajar con usuarios individuales, asígnales funciones desde las páginas Usuarios o Funciones.
Puedes asignar varios roles a un usuario o grupo. Luego, los usuarios pueden trabajar con todos los modelos de todos los roles que tengan.
Es importante tener en cuenta que el parámetro hidden para los campos está diseñado para crear experiencias más limpias para los usuarios, no para controlar el acceso al campo. El parámetro hidden oculta campos del selector de campos, pero no evitará que el usuario los use nunca. Si alguien le envía un vínculo que usa ese campo, podrá verlo, y se seguirá mostrando en otras partes de Looker.
Controla el acceso de los usuarios a los datos
Existen varias formas de controlar el acceso de un usuario a los datos, según el caso de uso:
- Para prohibir que los usuarios vean ciertas columnas de datos, controla los campos a los que pueden acceder, como se describe en la sección Controla el acceso de los usuarios a los campos de Looker. Mientras un usuario no pueda desarrollar ni usar SQL Runner, estará limitado por los campos a los que tiene acceso.
- Para prohibir que los usuarios vean ciertas filas de datos, aplica campos de filtro de acceso, como se describe en la página de documentación del parámetro
access_filter. - Para limitar el acceso a exploraciones, uniones, vistas o campos específicos, crea otorgamientos de acceso que limiten el acceso solo a los usuarios a los que se les asignaron los valores de atributos de usuario permitidos, como se describe en la página de documentación de parámetros de
access_grant. - Para limitar los usuarios de Looker a la ejecución de consultas sobre un usuario específico de la base de datos, que el equipo de tu base de datos configuró para limitar el acceso a los datos, usa los atributos de usuario. Te permiten parametrizar la conexión de tu base de datos para que un grupo de usuarios o usuarios individuales ejecuten sus consultas con credenciales de base de datos específicas. También deberías considerar limitar a los usuarios a los campos de Looker adecuados. De lo contrario, el usuario de Looker puede intentar consultar un campo al que su usuario de base de datos no tiene acceso y recibirá un error.
Al igual que el parámetro de campo hidden no está diseñado para controlar el acceso a los campos, el parámetro hidden de las exploraciones no impide que todos los usuarios las vean. El parámetro hidden quita la función Explorar del menú, pero, si un usuario guardó contenido que hace referencia a una exploración oculta, seguirá teniendo acceso a sus datos.
Si usas incorporaciones firmadas, asegúrate de configurar los controles de acceso a los datos a través de la URL de incorporación firmada.
Controla el acceso de los desarrolladores a las conexiones de bases de datos
A diferencia de los usuarios normales, los desarrolladores de Looker no están completamente limitados por los modelos y los filtros de acceso, porque pueden simplemente hacer adiciones o cambios en los modelos de LookML. Sin embargo, los administradores aún pueden limitar a los desarrolladores de Looker a ciertas conexiones de bases de datos mediante proyectos. Para ello, deberás hacer lo siguiente:
- Crea un proyecto que restrinja una cantidad determinada de modelos a una cantidad determinada de conexiones de bases de datos. Para ello, ve a la página Administrar proyectos de Looker.
- Ve a Administrador > Usuarios > Roles.
- En la página Roles, crea un conjunto de modelos que contenga al menos uno de los modelos del proyecto y, luego, asígnale un rol.
- Para trabajar con grupos de usuarios, que se considera una práctica recomendada, crea un grupo en la página Grupos de Looker. A continuación, asigna los roles adecuados en la página Roles.
- Para trabajar con usuarios individuales, asígnales roles desde la página Usuarios o Roles.
Si un desarrollador de Looker puede ver cualquier modelo que forme parte de un proyecto, podrá ver todos los modelos que forman parte de ese proyecto. Por ejemplo, esto podría suceder si asignaste a un desarrollador de Looker un rol con un solo modelo, pero ese modelo era parte de un proyecto que contenía otros modelos.
Cómo interactúan el acceso al contenido y los permisos
El acceso al contenido lo administran los usuarios cuando están viendo una carpeta, o lo gestiona un administrador de Looker en la página Acceso al contenido del panel Administrador. Los roles que se asignan a un usuario determinan las funciones y el acceso a los datos del usuario. Esto afecta lo que el usuario puede hacer en una carpeta y si puede ver las Vistas y los paneles.
Visualiza datos en las Vistas y los paneles
Para ver los datos de una Vista o un panel, el usuario debe tener, como mínimo, acceso de Ver a la carpeta en la que se almacena el contenido.
Los usuarios deben tener los permisos access_data y see_looks para seleccionar un aspecto y ver sus datos. Los usuarios deben tener los permisos access_data y see_user_dashboards para seleccionar un panel y ver sus datos.
Para ver los datos de una tarjeta de aspecto o panel, el usuario debe tener acceso a esos datos. Sin el acceso a los datos necesario, ocurrirá lo siguiente:
- Incluso si el usuario puede ver una vista incluida en una carpeta y navegar a ella, no se ejecutará la consulta de la vista y el usuario no podrá ver sus datos.
- Incluso si el usuario puede ver un panel en una carpeta y puede navegar a él, cualquier tarjeta a la que no tenga acceso se mostrará en blanco. Si un panel tiene tarjetas creadas a partir de varios modelos, el usuario podrá ver las tarjetas asociadas con los modelos a los que tiene acceso, y las tarjetas de otros modelos mostrarán un error.
Por ejemplo, un usuario que tiene acceso de Visualización a una carpeta, acceso a los datos subyacentes a todas las tablas de la carpeta y permisos de access_data y see_looks puede ver una lista de todas las tablas de la carpeta y también puede ver esas tablas. Si este usuario no tiene acceso para ver LookML o paneles definidos por el usuario, no verá ningún panel que pueda existir en la carpeta.
Visualiza una carpeta y listas de Vistas y paneles
Un usuario necesita al menos el nivel de acceso Ver a una carpeta para verla y ver la lista de contenido almacenado en ella.
Los usuarios que también tienen al menos el permiso see_looks pueden ver los títulos de los looks en la carpeta. Los usuarios que también tienen al menos el permiso see_user_dashboards pueden ver los títulos de los paneles en la carpeta. Sin embargo, esto no implica que puedan ver los datos de los aspectos visuales ni los paneles.
Por ejemplo, un usuario que tiene el permiso see_looks, pero no tiene el permiso access_data, puede ver los títulos de los looks, pero no puede ver los datos de los looks.
Los usuarios que tienen el permiso access_data, pero no tienen see_looks ni see_user_dashboards, no pueden ver ninguna carpeta ni contenido.
Cómo modificar una carpeta
Un usuario debe tener el nivel de acceso Administrar acceso, Editar para una carpeta para poder organizarla, lo que incluye copiar y mover contenido, cambiar el nombre de las carpetas y moverlas, y realizar acciones similares. Los usuarios también deben tener el permiso manage_spaces para crear, editar, mover y borrar carpetas.
Hacer uso de la infraestructura de permisos del usuario (LDAP, SAML y OpenID Connect)
Si ya tienes una infraestructura de LDAP, SAML o OpenID configurada, puedes usar ese sistema para administrar los accesos de los usuarios. Las instrucciones para configurar LDAP se encuentran en la página Autenticación de LDAP. Puedes encontrar las instrucciones para configurar SAML en la página de documentación de autenticación de SAML. Puedes encontrar las instrucciones para configurar OpenID Connect en la página de documentación de autenticación de OpenID Connect.
Si configuraste grupos en tu implementación de LDAP, OpenID Connect o SAML, también puedes usar esos grupos en Looker. Sin embargo, debes tener en cuenta lo siguiente:
- Los grupos que hayas creado se transferirán automáticamente a Looker y se mostrarán en la página Grupos. Se creará un grupo de Looker para cada grupo de OpenID Connect, LDAP o SAML, y el nombre del grupo de Looker replicará el nombre del grupo de LDAP, OpenID Connect o SAML.
- Podrás usar estos grupos de Looker para asignar niveles de acceso a las carpetas y atributos de usuario a los miembros de los grupos.
- No podrás usar los grupos de Looker para configurar roles como lo harías con un grupo creado de forma manual. En su lugar, asignarás tus grupos de LDAP, SAML o OpenID Connect a roles de Looker durante el proceso de configuración y solo podrás cambiar los roles asignados desde las páginas de configuración de LDAP, SAML o OpenID Connect. Requerimos este enfoque para que tus grupos de LDAP, OpenID Connect o LDAP sigan siendo tu única fuente de información. Sin esta restricción, la asignación de grupo a rol podría diferir de la función prevista en tu esquema de OpenID Connect, LDAP o SAML.
También puedes usar LDAP para aplicar conexiones de bases de datos específicas de usuarios a consultas de Looker, como se describe en la página de documentación de autenticación LDAP.