Gli amministratori di Looker possono gestire le informazioni e le azioni che un utente o un gruppo di utenti può visualizzare e fare in Looker specificando il seguente accesso:
- Accesso ai contenuti, che consente di stabilire se un utente o un gruppo di utenti può visualizzare o gestire una cartella. Un utente che dispone dell'autorizzazione per visualizzare una cartella può navigare all'interno di essa e visualizzare gli elenchi delle dashboard e dei Look al suo interno. Un utente che può gestire una cartella può manipolarne i contenuti (copiare, spostare, eliminare e rinominare dashboard e Look), organizzare la cartella stessa (rinominarla, spostarla o eliminarla) e concederne l'accesso ad altri utenti e gruppi. L'accesso ai contenuti è gestito dagli amministratori di Looker nel pannello Amministrazione o, se consentito, da singoli utenti dall'interno della cartella.
- Accesso ai dati, che controlla quali dati possono essere visualizzati da un utente. L'accesso ai dati è gestito principalmente tramite set di modelli, che costituiscono la metà di un ruolo di Looker. Questi ruoli vengono quindi applicati a utenti e gruppi. L'accesso ai dati può essere ulteriormente limitato all'interno di un modello utilizzando i filtri di accesso, che stabiliscono quali righe di dati possono essere visualizzate da ciascun utente e funzionano come dei filtri automatici sulle query. Puoi anche limitare l'accesso a specifici Explore, join, visualizzazioni o campi utilizzando le concessioni di accesso.
- Accesso alle funzionalità, che controlla il tipo di azioni concesse a un utente in Looker, come la visualizzazione dei dati e dei contenuti salvati, la modifica dei modelli LookML, l'amministrazione di Looker e così via. L'accesso alle funzionalità è gestito dai set di autorizzazioni, che costituiscono l'altra metà di un ruolo di Looker. Alcune di queste autorizzazioni si applicano all'intera istanza di Looker, come la possibilità di visualizzare tutte le programmazioni per l'invio dei dati. La maggior parte delle autorizzazioni si applica a set di modelli specifici, come la possibilità di visualizzare dashboard definite dall'utente in base a tali modelli.
L'accesso ai dati, alle funzionalità e ai contenuti di utenti e gruppi si combinano per specificare cosa sia possibile fare e vedere in Looker.
Utenti e gruppi
In Looker esistono sia utenti individuali che gruppi di utenti. Gli utenti sono gestiti nella pagina Utenti del pannello Amministrazione di Looker, mentre i gruppi sono gestiti nella pagina Gruppi del pannello Amministrazione di Looker.
La best practice è utilizzare i gruppi per evitare di dover assegnare, modificare e rimuovere i controlli a livello individuale per ciascun utente. Di solito è possibile riunire in uno o più gruppi gli utenti che sono autorizzati a eseguire determinate combinazioni di attività. Se nessuna combinazione di gruppi è sufficiente, valuta la possibilità di creare un gruppo con un solo utente, per poter potenzialmente espandere il gruppo a più persone in futuro. Per i filtri di accesso, valuta la possibilità di utilizzare gli attributi utente, poiché puoi assegnarli ai gruppi.
Controllo dell'accesso ai contenuti degli utenti
Le cartelle di Looker ti consentono di organizzare set di dashboard e Look. Possono anche contenere altre cartelle, per facilitare una gerarchia di organizzazione nidificata.
Le cartelle ti consentono di impostare livelli di accesso che determinano quali utenti possono modificare i contenuti delle cartelle (come Look e dashboard), visualizzare i contenuti e modificare le impostazioni:
Un utente deve disporre almeno del livello di accesso Visualizza per una cartella per vedere che la cartella esiste, visualizzare i look e le dashboard al suo interno e copiare i look e le dashboard nella cartella.
Un utente deve disporre del livello di accesso Gestisci accesso, Modifica perché una cartella possa gestirne l'accesso e modificare la cartella e i suoi contenuti (incluse la ridenominazione delle cartelle, lo spostamento di contenuti ed l'eliminazione di Look e dashboard).
L'accesso alle cartelle non permette di controllare altri elementi della piattaforma Looker o stabilire quali dati possano essere utilizzati dagli utenti per creare contenuti. Per gestire il livello di accesso, consulta la sezione Controllo dell'accesso a funzionalità e dati in questa pagina.
Puoi ottenere istruzioni dettagliate per modificare i livelli di accesso delle cartelle degli utenti che sfogliano i contenuti su Looker consultando la pagina della documentazione relativa a organizzazione e gestione dell'accesso ai contenuti. Gli amministratori di Looker possono anche regolare i livelli di accesso alle cartelle per tutti i gruppi e gli utenti dalla pagina Accesso ai contenuti di Looker. Puoi anche consultare la pagina della documentazione relativa a progettazione e configurazione di un sistema di livelli di accesso per informazioni sulla progettazione dei livelli di accesso di una singola istanza.
Sebbene l'accesso ai contenuti sia gestito separatamente dall'accesso alle funzionalità, il ruolo assegnato a un utente può influire sulla visualizzazione dei Look e delle dashboard elencati in una cartella, di un Look o di una dashboard o di gestire una cartella. La sezione Modalità di interazione tra autorizzazioni e accesso ai contenuti di questa pagina descrive in modo più dettagliato in che modo l'accesso alle funzionalità influisce sull'accesso ai contenuti.
Controllo dell'accesso a funzionalità e dati
Per controllare l'accesso a funzionalità e dati in Looker, in genere puoi creare un gruppo di utenti (facoltativo, ma consigliato) e assegnarlo a un ruolo. Un ruolo collega un insieme di autorizzazioni a un set di modelli LookML. I modelli stessi definiscono quali campi e dati sono disponibili.
Puoi applicare limiti dati specifici a utenti specifici con i filtri di accesso. Puoi limitare la capacità degli sviluppatori di Looker di lavorare con modelli basati su database particolari utilizzando i progetti.
Puoi anche controllare l'accesso a esplorazioni, join, viste o campi specifici creando delle concessioni di accesso. Le concessioni di accesso consentono l'accesso solo a utenti a cui sono stati assegnati specifici valori dell'attributo utente.
| Se vuoi raggiungere questo obiettivo ... | Questi sono i passaggi di base da seguire… |
|---|---|
| Controllare le azioni che può eseguire un utente | Crea un set di autorizzazioni che contenga le autorizzazioni appropriate, poi assegna il gruppo o l'utente a un ruolo con quel set di autorizzazioni |
| Controllare i campi a cui può accedere un utente | Crea un modello con i campi appropriati, poi assegna il gruppo o l'utente a un ruolo con quel modello |
| Controllare a quali dati può accedere un utente | Crea un modello con i limiti dati appropriati, poi assegna il gruppo o l'utente a un ruolo con quel modello- oppure -Utilizza i filtri di accesso per limitare l'accesso di un utente ai dati appropriati- oppure -Utilizza gli attributi utente per fornire credenziali di database diverse a un gruppo o un utente- oppure -Utilizza gli attributi utente con le concessioni di accesso per limitare l'accesso a specifici Explore, join, visualizzazioni o campi |
| Controllare le connessioni ai database a cui ha accesso uno sviluppatore di Looker | Crea un progetto con le connessioni appropriate, associalo a un set di modelli, poi assegna il gruppo o l'utente a un ruolo con quei modelli |
Anche l'accesso alle funzionalità può condizionare l'accesso ai contenuti. Per ulteriori dettagli su come l'accesso ai dati e l'accesso alle funzionalità influiscono sull'accesso ai contenuti, consulta la sezione Modalità di interazione tra autorizzazioni e accesso ai contenuti di questa pagina.
Componenti di base da comprendere
Ruoli
Un ruolo è una combinazione di un set di autorizzazioni e un set di modelli. Un set di autorizzazioni è composto da una o più autorizzazioni e definisce le azioni che può svolgere il ruolo. Un set di modelli è composto da uno o più modelli e definisce a quali modelli LookML si applica il ruolo.
Dopo che lo hai creato, puoi assegnare al ruolo un singolo utente o un gruppo di utenti. Se aggiungi alcuni ruoli a un singolo utente e altri a un gruppo a cui l'utente appartiene, quest'ultimo erediterà tutti i ruoli.
Alcune autorizzazioni sono pertinenti all'intera istanza di Looker, altre si applicano solo ai modelli all'interno dello stesso ruolo. Per ulteriori informazioni, consulta la pagina della documentazione relativa ai ruoli.
Progetti
I progetti ti consentono di limitare le connessioni ai database utilizzabili all'interno dei modelli. In questo modo puoi controllare con quali set di dati gli sviluppatori di Looker possono interagire quando creano i modelli. Un progetto può contenere uno o più modelli e può essere configurato per utilizzare una o più connessioni.
Questa limitazione definita tramite i progetti confluisce anche in Looker SQL Runner, che garantisce che gli sviluppatori non possano accedere a connessioni ai database vietate utilizzando SQL Runner.
Attributi utente
Gli attributi utente consentono di assegnare valori arbitrari a gruppi di utenti o singoli utenti. Questi valori vengono poi utilizzati come input in varie parti di Looker per personalizzare l'esperienza di ciascun utente.
Uno dei modi per controllare l'accesso tramite gli attributi utente è fissare i parametri delle credenziali del database in modo che siano specifici per ciascun utente. Questo metodo è utilizzabile soltanto se esistono più utenti con diversi accessi ai dati del database. Per ulteriori informazioni, consulta la pagina della documentazione relativa agli attributi utente.
Un altro modo in cui gli attributi utente controllano l'accesso è l'uso dei filtri di accesso. I filtri di accesso permettono di utilizzare uno o più attributi utente come filtri di dati. Ad esempio, questa operazione può essere opportuna quando vuoi assegnare a ciascun utente un nome aziendale e filtrare per quel nome tutti i contenuti che possono visualizzare. Per una descrizione di come applicare i filtri di accesso, consulta la pagina della documentazione relativa agli attributi utente e la pagina della documentazione relativa al parametro access_filter.
Gli attributi utente controllano anche le concessioni di accesso. Una concessione di accesso specifica un attributo utente e definisce i valori che tale attributo deve possedere per accedere a Explore, join, visualizzazioni o campi. Puoi quindi utilizzare il parametro required_access_grants a livello di Esplorazione, join, visualizzazione o campo per limitare l'accesso alle strutture LookML soltanto agli utenti che possiedono i valori dell'attributo consentiti. Ad esempio, puoi utilizzare una concessione di accesso per limitare l'accesso alla dimensione salary solo agli utenti che hanno il valore payroll nell'attributo utente department. Per una descrizione di come definire le concessioni dell'accesso, consulta la pagina della documentazione sul parametro access_grant.
Utilizzare i componenti di base
Controllare l'accesso alle funzionalità
Le autorizzazioni controllano i tipi di attività che un utente o un gruppo può svolgere. La procedura per concedere le autorizzazioni è descritta di seguito:
- La best practice consiste nell'identificare uno o più gruppi di utenti che devono avere un set di autorizzazioni, creando un gruppo se necessario. Se vuoi, puoi concedere le autorizzazioni a singoli utenti.
- Crea un set di autorizzazioni che contenga le autorizzazioni appropriate.
- Se alcune delle autorizzazioni da assegnare sono specifiche per determinati modelli, crea o individua un set di modelli esistente.
- Crea un ruolo che unisca il set di autorizzazioni e, se necessario, il set di modelli.
- Assegna il ruolo dalla pagina Ruoli. Dopo che hai creato il ruolo, puoi anche assegnarlo a un utente dalla pagina Utenti.
Puoi assegnare più ruoli a un utente o gruppo. In quel caso, gli utenti disporranno delle autorizzazioni relative a tutti i ruoli a loro assegnati. Ad esempio:
- Ruolo 1 consente di visualizzare le dashboard sul modello 1.
- Il ruolo 2 consente di visualizzare le dashboard e di eseguire esplorazioni nel modello 2.
Se assegni entrambi i ruoli allo stesso gruppo di utenti, questi ultimi potranno visualizzare le dashboard dei modelli 1 e 2, ma potranno esplorare solo quelle del modello 2.
Controllare l'accesso degli utenti ai campi di Looker
I campi su cui un utente può lavorare sono controllati dai modelli a cui può accedere. La procedura per concedere l'accesso ai campi è descritta di seguito:
- Crea un modello LookML (o una combinazione di modelli LookML) che contenga solo i campi a cui l'utente deve avere accesso.
- Vai ad Amministrazione > Utenti > Ruoli.
- Nella pagina Ruoli, crea un set di modelli che contenga i modelli creati e assegnalo a un ruolo.
- Per lavorare con gruppi di utenti, soluzione generalmente considerata una best practice, crea un gruppo nella pagina Gruppi di Looker. Ora puoi assegnare il gruppo ai ruoli appropriati nella pagina Ruoli.
- Per lavorare con singoli utenti, assegna i ruoli a ciascun utente dalla pagina Utenti o da quella Ruoli.
Puoi assegnare più ruoli a un utente o gruppo. Gli utenti possono quindi lavorare con tutti i modelli di tutti i ruoli a loro assegnati.
È importante sottolineare che il parametro hidden dei campi è progettato per creare un'esperienza migliore per gli utenti, non per controllare l'accesso ai campi. Il parametro hidden nasconde i campi dal selettore campi, ma non impedisce all'utente di utilizzarlo. Se un utente invia un link che utilizza quel campo, potrà vederlo e il campo verrà comunque visualizzato in altre posizioni in Looker.
Controllare l'accesso degli utenti ai dati
Esistono diversi modi per controllare l'accesso di un utente ai dati, a seconda del caso d'uso:
- Per impedire agli utenti di visualizzare determinate colonne di dati, controlla i campi a cui possono accedere, come descritto nella sezione Controllare l'accesso degli utenti ai campi di Looker. A patto che l'utente non possa sviluppare e non possa utilizzare SQL Runner, potrà utilizzare solo i campi a cui ha accesso.
- Per impedire agli utenti di visualizzare determinate righe di dati, applica i campi del filtro di accesso, come descritto nella pagina della documentazione relativa al parametro
access_filter. - Per limitare l'accesso a specifici Explore, join, visualizzazioni o campi, crea concessioni di accesso che limitino l'accesso solo agli utenti a cui sono assegnati i valori dell'attributo utente consentiti, come descritto nella pagina della documentazione del parametro
access_grant. - Per limitare gli utenti di Looker all'esecuzione di query su un utente del database specifico per cui il tuo team del database ha limitato l'accesso ai dati, utilizza gli attributi utente. Questi attributi permettono di parametrizzare la connessione al database in modo che un gruppo di utenti o utenti singoli debbano eseguire le query con credenziali del database specifiche. Inoltre, ti consigliamo di limitare gli utenti ai campi Looker appropriati. In caso contrario, l'utente di Looker potrebbe tentare di eseguire query su un campo a cui l'utente del database non ha accesso e riceverà un errore.
Così come il parametro campo hidden non è destinato a controllare l'accesso ai campi, il parametro hidden per le esplorazioni non impedisce a tutti gli utenti di visualizzare un'esplorazione. Il parametro hidden rimuove l'esplorazione dal menu Esplora, ma se un utente ha salvato dei contenuti che fanno riferimento a un'esplorazione nascosta, ha comunque accesso ai dati di quell'esplorazione.
Se utilizzi l'incorporamento firmato, assicurati di configurare i controlli di accesso ai dati tramite l'URL di incorporamento firmato.
Controllare l'accesso degli sviluppatori alle connessioni ai database
A differenza degli utenti normali, gli sviluppatori di Looker non sono completamente vincolati da modelli e filtri di accesso, perché possono semplicemente apportare aggiunte o modifiche ai modelli LookML. Tuttavia, gli amministratori possono comunque limitare le connessioni al database degli sviluppatori di Looker utilizzando i progetti. Ecco come fare:
- Crea un progetto che limiti un certo numero di modelli a un determinato numero di connessioni ai database. Per farlo, accedi alla pagina Gestisci progetti di Looker.
- Vai ad Amministrazione > Utenti > Ruoli.
- Nella pagina Ruoli, crea un set di modelli che contenga almeno uno dei modelli presenti nel progetto, quindi assegnalo a un ruolo.
- Per lavorare con gruppi di utenti, che è generalmente considerata una best practice, crea un gruppo nella pagina Gruppi di Looker. Ora puoi assegnare il gruppo ai ruoli appropriati nella pagina Ruoli.
- Per lavorare con singoli utenti, assegna i ruoli a ciascun utente dalla pagina Utenti o da quella Ruoli.
Se uno sviluppatore Looker può vedere qualsiasi modello all'interno di un progetto, potrà visualizzare tutti i modelli che fanno parte del progetto. Ad esempio, è possibile che tu abbia assegnato uno sviluppatore Looker a un ruolo con un solo modello, che però faceva parte di un progetto che conteneva altri modelli.
Modalità di interazione tra l'accesso ai contenuti e le autorizzazioni
L'accesso ai contenuti è gestito dagli utenti quando visualizzano una cartella o da un amministratore di Looker nella pagina Accesso ai contenuti del pannello Amministrazione. I ruoli assegnati a un utente determinano le modalità del suo accesso a funzionalità e dati. Ciò influisce su ciò che l'utente può fare in una cartella e sulla possibilità di visualizzare Look e dashboard.
Visualizzare i dati in Look e dashboard
Per visualizzare i dati di un Look o di una dashboard, l'utente deve disporre almeno del livello di accesso che consente la visualizzazione alla cartella in cui sono archiviati i contenuti.
Gli utenti devono disporre delle autorizzazioni access_data e see_looks per selezionare un Look e visualizzarne i dati. Per selezionare una dashboard e visualizzarne i dati, l'utente deve disporre delle autorizzazioni access_data e see_user_dashboards.
Per visualizzare i dati in un riquadro di un Look o di una dashboard, l'utente deve avere accesso a quei dati. Senza l'accesso ai dati richiesto:
- Anche se l'utente può visualizzare un Look elencato in una cartella e può passare al Look, la query del Look non viene eseguita e l'utente non può visualizzare i dati del Look.
- Anche nel caso in cui l'utente veda una dashboard elencata in una cartella e possa raggiungerla, i riquadri a cui non ha accesso verranno visualizzati come vuoti. Se una dashboard contiene riquadri creati da più modelli, l'utente potrà visualizzare i riquadri associati ai modelli a cui ha accesso e quelli associati ad altri modelli mostreranno un errore.
Ad esempio, un utente che dispone dell'accesso Visualizza per una cartella, dell'accesso ai dati per i dati alla base di tutti i Look nella cartella e delle autorizzazioni access_data e see_looks può visualizzare un elenco di tutti i Look nella cartella e può anche visualizzare i singoli Look. Se questo utente non dispone delle autorizzazioni per visualizzare le dashboard LookML o definite dall'utente, non vedrà le dashboard eventualmente presenti nella cartella.
Visualizzazione di una cartella e di elenchi di Look e dashboard
Un utente che voglia visualizzare una cartella e accedere all'elenco dei suoi contenuti deve disporre almeno del livello di accesso che consente la visualizzazione.
Gli utenti che dispongono anche dell'autorizzazione see_looks possono visualizzare i titoli dei Look nella cartella. Gli utenti che dispongono anche dell'autorizzazione see_user_dashboards possono visualizzare i titoli delle dashboard nella cartella. Tuttavia, ciò non implica la possibilità di visualizzare i dati di Look o dashboard.
Ad esempio, un utente che dispone dell'autorizzazione see_looks, ma non dell'autorizzazione access_data, può vedere i titoli dei Look ma non può visualizzare i relativi dati.
Gli utenti che hanno l'autorizzazione access_data, ma non hanno l'autorizzazione see_looks o see_user_dashboards, non possono visualizzare le cartelle o i contenuti.
Modifica di una cartella
Un utente che voglia organizzare una cartella, ossia ad esempio copiarne e spostarne i contenuti, rinominarla e spostarla, deve disporre del livello di accesso Gestione accesso, Modifica per quella cartella. Gli utenti devono anche disporre dell'autorizzazione manage_spaces per creare, modificare, spostare ed eliminare le cartelle.
Utilizzo dell'infrastruttura delle autorizzazioni utente (LDAP, SAML e OpenID Connect)
Se disponi già di una configurazione dell'infrastruttura LDAP, SAML o OpenID, puoi utilizzare questo sistema per gestire gli accessi degli utenti. Le istruzioni per la configurazione del protocollo LDAP sono disponibili nella pagina dell'autenticazione LDAP. Le istruzioni per configurare l'infrastruttura SAML sono disponibili nella pagina della documentazione relativa all'autenticazione SAML. Le istruzioni per la configurazione di OpenID Connect sono disponibili nella pagina della documentazione relativa all'autenticazione OpenID Connect.
Se hai configurato dei gruppi nell'implementazione LDAP, SAML o OpenID Connect, puoi utilizzare questi gruppi anche in Looker. Tuttavia, devi tenere a mente alcuni aspetti:
- Tutti i gruppi che hai creato vengono trasferiti automaticamente in Looker e saranno visibili nella pagina Gruppi. Verrà creato un gruppo Looker per ogni gruppo LDAP, SAML o OpenID Connect e il nome del gruppo Looker rispecchierà quello del gruppo LDAP, SAML o OpenID Connect.
- Potrai utilizzare questi gruppi di Looker per assegnare livelli di accesso per le cartelle e attributi utente ai membri dei gruppi.
- Non potrai utilizzare i gruppi Looker per configurare i ruoli come faresti con un gruppo creato manualmente. Dovrai invece mappare i gruppi LDAP, SAML o OpenID Connect ai ruoli di Looker durante il processo di configurazione e potrai modificare i ruoli assegnati solo dalle pagine di configurazione di LDAP, SAML o OpenID Connect. Abbiamo stabilito questa procedura per fare in modo che i gruppi LDAP, SAML o OpenID Connect rimangano la tua unica fonte di riferimento. Senza questa limitazione, la mappatura tra gruppi potrebbe differire dalla funzione prevista nello schema LDAP, SAML o OpenID Connect.
Puoi anche utilizzare LDAP per applicare connessioni al database specifiche per utente alle query di Looker, come descritto nella pagina della documentazione sull'autenticazione LDAP.