Controllo dell'accesso e gestione delle autorizzazioni

Gli amministratori di Looker possono gestire ciò che un utente o un gruppo di utenti può vedere e fare in Looker specificando il seguente accesso:

• Accesso ai contenuti, che consente di stabilire se un utente o un gruppo di utenti può visualizzarla o gestirla. Un utente che dispone dell'autorizzazione per visualizzare una cartella può navigare all'interno di essa e visualizzare gli elenchi delle dashboard e dei Look al suo interno. Un utente che può gestire una cartella può manipolarne i contenuti (copiarla, spostare, eliminare e rinominare dashboard e Look), organizzare la cartella stessa (rinominarla, spostarla o eliminarla) e concederla ad altri utenti e gruppi. L'accesso ai contenuti è gestito dagli amministratori di Looker nel riquadro Amministrazione o, se consentito, da singoli utenti dall'interno della cartella.
• Accesso ai dati, che consente di controllare i dati che un utente è autorizzato a visualizzare. L'accesso ai dati è gestito principalmente tramite set di modelli, che costituiscono la metà di un ruolo di Looker. Questi ruoli vengono quindi applicati a utenti e gruppi. L'accesso ai dati può essere ulteriormente limitato all'interno di un modello utilizzando i filtri di accesso, in modo da limitare le righe di dati che l'utente può visualizzare, come se fosse presente un filtro automatico per le query. Puoi anche limitare l'accesso a esplorazioni, unioni, visualizzazioni o campi specifici utilizzando le concessioni di accesso.
• Accesso alle funzionalità, che controlla i tipi di azioni che un utente può eseguire in Looker, tra cui la visualizzazione di dati e contenuti salvati, la modifica dei modelli LookML, l'amministrazione di Looker e così via. L'accesso alle funzionalità è gestito dagli insiemi di autorizzazioni, che costituiscono l'altra metà di un ruolo di Looker. Alcune di queste autorizzazioni si applicano all'intera istanza di Looker, ad esempio possono visualizzare tutte le pianificazioni per l'invio di dati. La maggior parte delle autorizzazioni viene applicata a set di modelli specifici, ad esempio la possibilità di visualizzare le dashboard definite dall'utente in base a questi modelli.

L'accesso ai dati e alle funzionalità per utenti e gruppi si combinano per specificare cosa gli utenti possono fare e vedere in Looker.

Utenti e gruppi

In Looker sono presenti sia singoli utenti sia gruppi di utenti. Gli utenti sono gestiti nella pagina Utenti del riquadro Amministrazione di Looker, mentre i gruppi sono gestiti nella pagina Gruppi del pannello Amministrazione di Looker.

La best practice è utilizzare i gruppi per evitare la noia di assegnare, modificare e rimuovere i controlli per i singoli utenti. In genere, la combinazione di attività da consentire a un utente può essere organizzata facendo appartenere a uno o più gruppi. Se nessuna combinazione di gruppi è sufficiente, valuta la possibilità di creare un gruppo con un solo utente, in modo da espandere potenzialmente il gruppo ad altre persone in futuro. Per i filtri di accesso, valuta la possibilità di utilizzare gli attributi utente poiché puoi assegnare attributi utente ai gruppi.

Controllo dell'accesso ai contenuti degli utenti

Le cartelle di Looker consentono di organizzare insiemi di dashboard e Look. Possono contenere anche altre cartelle, il che facilita una gerarchia nidificata dell'organizzazione.

Le cartelle ti consentono di impostare livelli di accesso che determinano quali utenti possono modificare i contenuti delle cartelle (ad esempio Look e dashboard), visualizzarne i contenuti e modificare le impostazioni:

• Un utente deve disporre almeno del livello di accesso Visualizzazione a una cartella per verificarne l'esistenza, per visualizzare i Look e le dashboard al suo interno e per copiare i Look e le dashboard al suo interno.

• Un utente deve disporre del livello di accesso Gestione accesso, modifica per una cartella al fine di gestire l'accesso alla cartella e modificare quest'ultima e i suoi contenuti (ad esempio ridenominazione delle cartelle, spostamento di contenuti ed eliminazione di Look e dashboard).

Le cartelle non controllano in altro modo ciò che gli utenti possono fare sulla piattaforma Looker o quali dati possono utilizzare per creare i propri contenuti. Per gestire quel livello di accesso, consulta la sezione Controllo dell'accesso a funzionalità e dati in questa pagina.

Le istruzioni dettagliate per la regolazione dei livelli di accesso alle cartelle per gli utenti che esplorano i contenuti in Looker sono disponibili nella pagina della documentazione Organizzazione e gestione dell'accesso ai contenuti. Gli amministratori di Looker possono anche modificare i livelli di accesso alle cartelle per tutti i gruppi e gli utenti dalla pagina Accesso ai contenuti di Looker. Per informazioni sulla progettazione del livello di accesso a livello di istanza, puoi anche consultare la pagina della documentazione relativa alla progettazione e alla configurazione di un sistema di livelli di accesso.

Sebbene l'accesso ai contenuti sia gestito separatamente dall'accesso alle funzionalità, il ruolo assegnato a un utente può influire sulla possibilità di visualizzare Look e dashboard elencati in una cartella, visualizzare un Look o una dashboard o gestire una cartella. La sezione Modalità di interazione tra accesso ai contenuti e autorizzazioni di questa pagina descrive in modo più dettagliato in che modo l'accesso alle funzionalità influisce sull'accesso ai contenuti.

Controllo dell'accesso alle funzionalità e ai dati

Per controllare l'accesso alle funzionalità e ai dati in Looker, devi creare un gruppo di utenti (facoltativo, ma consigliato) e assegnare il gruppo a un ruolo. Un ruolo collega un insieme di autorizzazioni a un insieme di modelli LookML. I modelli definiscono i campi e i dati disponibili.

Puoi applicare limiti dati specifici a utenti specifici con i filtri di accesso. Inoltre, puoi limitare gli sviluppatori di Looker a lavorare con modelli basati su database specifici utilizzando progetti.

Puoi anche controllare l'accesso a specifici esplorazioni, unioni, visualizzazioni o campi creando concessioni di accesso. Le concessioni di accesso limitano l'accesso ai soli utenti a cui sono stati assegnati valori specifici degli attributi utente.

Se vuoi ottenere questo ...	Questi sono i passaggi di base da seguire ...
Controlla le azioni che un utente può eseguire	Crea un set di autorizzazioni con le autorizzazioni appropriate, quindi assegna un gruppo o un utente a un ruolo con quel set di autorizzazioni
Controllare i campi a cui un utente può accedere	Crea un modello con i campi appropriati, quindi assegna un gruppo o un utente a un ruolo con quel modello
Controllare a quali dati può accedere un utente	Crea un modello con le limitazioni dei dati appropriate, quindi assegna un gruppo o un utente a un ruolo con quel modello - oppure - Utilizza i filtri di accesso per limitare l'accesso di un utente ai dati appropriati - oppure - Utilizza gli attributi utente per fornire credenziali del database diverse a un gruppo o a un utente - oppure - Utilizza gli attributi utente con concessioni di accesso per limitare l'accesso a esplorazioni, unioni, visualizzazioni o campi specifici
Controllare a quali connessioni al database può accedere uno sviluppatore Looker	Crea un progetto con le connessioni appropriate, associa il progetto a un insieme di modelli, quindi assegna un gruppo o un utente a un ruolo con questi modelli

L'accesso alle funzionalità può influire anche sull'accesso ai contenuti. Per maggiori dettagli su come l'accesso ai dati e alle funzionalità influiscono sull'accesso ai contenuti, consulta la sezione Modalità di interazione tra accesso ai contenuti e autorizzazioni di questa pagina.

Componenti di base che devi conoscere

Ruoli

Un ruolo è la combinazione di un set di autorizzazioni e di un set di modelli. Un set di autorizzazioni è composto da una o più autorizzazioni e definisce le possibili azioni del ruolo. Un set di modelli è composto da uno o più modelli e definisce a quali modelli LookML si applica il ruolo.

Dopo aver creato un ruolo, puoi assegnargli un singolo utente o un gruppo di utenti. Se aggiungi alcuni ruoli a un singolo utente e altri ruoli a un gruppo a cui appartiene l'utente, l'utente erediterà tutti questi ruoli.

Alcune autorizzazioni sono pertinenti all'intera istanza di Looker, altre si applicano solo ai modelli all'interno dello stesso ruolo. Per ulteriori informazioni, consulta la pagina della documentazione Ruoli.

Progetti

I progetti consentono di limitare le connessioni ai database che possono essere utilizzate in base ai modelli. In questo modo, puoi controllare i set di dati con cui gli sviluppatori di Looker possono interagire durante la creazione dei modelli. Un progetto può contenere uno o più modelli e può essere configurato per utilizzare una o più connessioni.

Questa limitazione definita tramite i progetti passa anche in SQL Runner di Looker, per garantire che gli sviluppatori non possano accedere a connessioni ai database vietate utilizzando SQL Runner.

Attributi utente

Gli attributi utente consentono di assegnare valori arbitrari a gruppi di utenti o singoli utenti. Questi valori vengono quindi utilizzati come input per varie parti di Looker, personalizzando esperienze per ogni utente.

Un modo per controllare l'accesso tramite gli attributi utente consiste nel parametrizzare le credenziali del database in modo che siano specifiche per ciascun utente. Questo metodo è utilizzabile soltanto se esistono più utenti con diversi accessi ai dati del database. Per ulteriori informazioni, consulta la pagina della documentazione Attributi utente.

Un altro modo in cui gli attributi utente controllano l'accesso è l'ambito dei filtri di accesso. I filtri di accesso permettono di utilizzare uno o più attributi utente come filtri di dati. Ad esempio, questa operazione può essere opportuna quando vuoi assegnare a ciascun utente un nome aziendale e filtrare per quel nome tutti i contenuti che possono visualizzare. Per una descrizione di come applicare i filtri di accesso, consulta la pagina della documentazione Attributi utente e la pagina della documentazione del parametro access_filter.

Gli attributi utente controllano anche le concessioni di accesso. Una concessione di accesso specifica un attributo utente e definisce i valori che tale attributo deve possedere per accedere a Explore, join, visualizzazioni o campi. Successivamente, utilizzerai il parametro required_access_grants a livello di esplorazione, join, vista o campo per limitare l'accesso a queste strutture LookML solo agli utenti che hanno i valori degli attributi utente consentiti. Ad esempio, puoi utilizzare una concessione dell'accesso per limitare l'accesso alla dimensione salary solo agli utenti che hanno il valore payroll nell'attributo utente department. Per una descrizione di come definire le concessioni dell'accesso, consulta la pagina della documentazione del parametro access_grant.

Utilizzo dei componenti di base

Controlla l'accesso alle funzionalità

Le autorizzazioni controllano i tipi di attività che un utente o un gruppo può svolgere. Ecco come un utente può ottenere le autorizzazioni:

1. La best practice consiste nell'identificare uno o più gruppi di utenti che dovrebbero disporre di un set di autorizzazioni, creando un gruppo se necessario. Se vuoi, puoi concedere autorizzazioni ai singoli utenti.
2. Crea un set di autorizzazioni contenente le autorizzazioni appropriate.
3. Se alcune delle autorizzazioni da assegnare sono specifiche per un modello, crea o identifica un set di modelli esistente.
4. Crea un ruolo che combini il set di autorizzazioni e, se necessario, il set di modelli.
5. Assegna il ruolo dalla pagina Ruoli. Dopo aver creato il ruolo, puoi anche assegnarlo a un utente nella pagina Utenti.

Puoi assegnare più ruoli a un utente o gruppo. In quel caso, gli utenti disporranno delle autorizzazioni relative a tutti i ruoli a loro assegnati. Ad esempio:

• Role1 permette di visualizzare le dashboard su Model1.
• Role2 permette di vedere le dashboard e di esplorarle su Model2.

Se assegni entrambi i ruoli allo stesso gruppo di utenti, questi potranno visualizzare le dashboard sia sul modello 1 che sul modello 2, ma solo esplorarlo.

Controlla l'accesso degli utenti ai campi di Looker

I campi con cui un utente può lavorare sono controllati dai modelli a cui l'utente può accedere. Ecco come un utente può ottenere l'accesso ai campi:

1. Crea un modello LookML (o una combinazione di modelli LookML) contenente solo i campi a cui un utente deve avere accesso.
2. Crea un set di modelli contenente quei modelli e assegnalo a un ruolo. Per farlo, accedi alla pagina Ruoli di Looker.
3. Per lavorare con gruppi di utenti, che di solito è il nostro suggerimento, crea un gruppo nella pagina Gruppi di Looker. Quindi assegna il gruppo ai ruoli appropriati nella pagina Ruoli.
4. Per lavorare con i singoli utenti, assegna i ruoli a questi utenti dalla pagina Utenti o dalla pagina Ruoli.

Puoi assegnare più ruoli a un utente o gruppo. Gli utenti possono quindi lavorare con tutti i modelli da tutti i ruoli di cui dispongono.

È importante notare che il parametro hidden per i campi è progettato per creare un'esperienza più pulita per gli utenti, non per controllare l'accesso ai campi. Il parametro hidden nasconde i campi dal selettore campi, ma non impedisce all'utente di utilizzarli. Se qualcuno invia un link che utilizza quel campo, può vederlo, mentre altre posizioni in Looker continueranno a mostrare il campo.

Controlla l'accesso degli utenti ai dati

Esistono diversi modi per controllare l'accesso di un utente ai dati, a seconda del caso d'uso:

• Per impedire agli utenti di visualizzare determinate colonne di dati, controlla i campi a cui possono accedere, come descritto sopra. Finché un utente non può sviluppare e non può utilizzare SQL Runner, viene vincolato dai campi a cui ha accesso.
• Per impedire agli utenti di visualizzare determinate righe di dati, applica i campi del filtro di accesso, come descritto nella pagina della documentazione relativa al parametro access_filter.
• Per limitare l'accesso a esplorazioni, unioni, viste o campi specifici, crea concessioni di accesso che limitino l'accesso solo agli utenti a cui sono stati assegnati i valori consentiti degli attributi, come descritto nella pagina della documentazione relativa al parametro access_grant.
• Per limitare gli utenti di Looker all'esecuzione di query su uno specifico utente del database, che il team del tuo database ha configurato per limitare l'accesso ai dati, utilizza gli attributi utente. Questi attributi permettono di parametrizzare la connessione al database in modo che un gruppo di utenti o utenti singoli debbano eseguire le query con credenziali del database specifiche. Inoltre, ti consigliamo di limitare gli utenti ai campi Looker appropriati. In caso contrario, l'utente di Looker potrebbe provare a eseguire una query su un campo a cui l'utente del database non ha accesso e visualizzerà un errore.

Così come il parametro del campo hidden non è destinato a controllare l'accesso al campo, il parametro hidden per le esplorazioni non impedisce a tutti gli utenti di visualizzare un'esplorazione. Il parametro hidden rimuove l'esplorazione dal menu Esplora, ma se un utente ha salvato contenuti che fanno riferimento a un'esplorazione nascosta, avrà comunque accesso ai dati dell'esplorazione.

Se utilizzi l'incorporamento firmato, assicurati di configurare i controlli di accesso ai dati tramite l'URL incorporato firmato.

Controlla l'accesso degli sviluppatori alle connessioni ai database

A differenza degli utenti normali, gli sviluppatori di Looker non sono completamente vincolati da modelli e filtri di accesso, perché possono semplicemente apportare aggiunte o modifiche ai modelli LookML. Tuttavia, gli amministratori possono comunque limitare gli sviluppatori di Looker a determinate connessioni ai database utilizzando i progetti. Ecco come fare:

1. Crea un progetto che limiti un determinato numero di modelli a un certo numero di connessioni ai database. Puoi farlo nella pagina Gestisci progetti di Looker.
2. Crea un set di modelli contenente almeno uno dei modelli del progetto e assegnalo a un ruolo. Per farlo, accedi alla pagina Ruoli di Looker.
3. Per lavorare con gruppi di utenti, che di solito è il nostro suggerimento, crea un gruppo nella pagina Gruppi di Looker. Quindi assegna il gruppo ai ruoli appropriati nella pagina Ruoli.
4. Per lavorare con i singoli utenti, assegna i ruoli a questi utenti dalla pagina Utenti o dalla pagina Ruoli.

Se uno sviluppatore Looker può visualizzare qualsiasi modello che fa parte di un progetto, potrà visualizzare tutti i modelli che fanno parte di quel progetto. Ad esempio, questo può accadere se hai assegnato a uno sviluppatore Looker un ruolo con un solo modello, ma questo modello fa parte di un progetto che conteneva altri modelli.

Come interagiscono l'accesso ai contenuti e le autorizzazioni

L'accesso ai contenuti è gestito dagli utenti quando visualizzano una cartella oppure gestito da un amministratore di Looker nella pagina Accesso ai contenuti del riquadro Amministrazione. I ruoli assegnati a un utente determinano l'accesso alle funzionalità e ai dati da parte dell'utente. Questo influisce sulle azioni che l'utente può eseguire in una cartella e sulla possibilità di visualizzare Look e dashboard.

Visualizzazione dei dati in Look e dashboard

Per visualizzare i dati di un Look o di una dashboard, l'utente deve disporre almeno dell'accesso in visualizzazione per la cartella in cui sono archiviati i contenuti.

Gli utenti devono disporre delle autorizzazioni access_data e see_looks per selezionare un Look e visualizzarne i dati. Gli utenti devono disporre delle autorizzazioni access_data e see_user_dashboards per selezionare una dashboard e visualizzarne i dati.

Per visualizzare i dati in un Look o nel riquadro della dashboard, l'utente deve avere accesso a questi dati. Senza l'accesso ai dati necessario:

• Anche se l'utente può visualizzare un Look elencato in una cartella e può accedervi, la query del Look non viene eseguita e l'utente non può visualizzare i relativi dati.
• Anche se l'utente può visualizzare una dashboard elencata in una cartella e accederci, i riquadri a cui l'utente non ha accesso vengono visualizzati come vuoti. Se una dashboard contiene riquadri creati da più modelli, un utente sarà in grado di visualizzare i riquadri associati ai modelli a cui ha accesso e i riquadri di altri modelli mostreranno un errore.

Ad esempio, un utente che ha accesso di tipo Visualizzazione per una cartella e accesso ai dati per i dati alla base di tutti i Look nella cartella e le autorizzazioni access_data e see_looks possono visualizzare un elenco di tutti i Look nella cartella e anche visualizzare i relativi Look. Se questo utente non dispone dell'accesso per visualizzare LookML o dashboard definite dall'utente, non vedrebbe alcuna dashboard che potrebbe esistere nella cartella.

Visualizzazione di una cartella e di elenchi di Look e dashboard

Un utente deve disporre almeno del livello di accesso Visualizzazione per una cartella per poter vedere la cartella e l'elenco dei contenuti archiviati al suo interno.

Gli utenti che hanno anche almeno l'autorizzazione see_looks possono visualizzare i titoli dei Look nella cartella. Gli utenti che hanno anche almeno l'autorizzazione see_user_dashboards possono visualizzare i titoli delle dashboard nella cartella. Tuttavia, ciò non significa che possano visualizzare i dati dei Look o delle dashboard.

Ad esempio, un utente che ha l'autorizzazione see_looks, ma non ha l'autorizzazione access_data può vedere i titoli dei Look, ma non può visualizzare i dati del Look.

Gli utenti che hanno l'autorizzazione access_data, ma non see_looks o see_user_dashboards, non possono visualizzare nessuna cartella o contenuto.

Modifica di una cartella

Un utente deve disporre del livello di accesso Gestione accesso, modifica affinché una cartella possa organizzarla, ad esempio copiare e spostare contenuti, rinominare e spostare cartelle e azioni simili. Gli utenti devono inoltre disporre dell'autorizzazione manage_spaces per creare, modificare, spostare ed eliminare cartelle.

Utilizzo dell'infrastruttura delle autorizzazioni degli utenti (LDAP, SAML e OpenID Connect)

Se hai già configurato un'infrastruttura LDAP, SAML o OpenID, puoi utilizzare questo sistema per gestire gli accessi degli utenti. Le istruzioni per la configurazione di LDAP sono disponibili nella pagina Autenticazione LDAP. Le istruzioni per configurare SAML sono disponibili nella pagina della documentazione relativa all'autenticazione SAML. Le istruzioni per la configurazione di OpenID Connect sono disponibili nella pagina della documentazione relativa all'autenticazione OpenID Connect.

Se hai configurato dei gruppi nell'implementazione LDAP, SAML o OpenID Connect, puoi utilizzare questi gruppi anche all'interno di Looker. Tuttavia, ci sono alcuni aspetti da tenere presente:

• Tutti i gruppi che hai creato vengono trasferiti automaticamente in Looker e saranno visibili nella pagina Gruppi. Verrà creato un gruppo Looker per ogni gruppo LDAP, SAML o OpenID Connect e il nome del gruppo Looker rispecchierà il nome del gruppo LDAP, SAML o OpenID Connect.
• Potrai utilizzare questi gruppi Looker per assegnare livelli di accesso per le cartelle e attributi utente ai membri dei gruppi.
• Non potrai utilizzare i gruppi Looker per configurare i ruoli, come faresti per un gruppo creato manualmente. Dovrai invece mappare i gruppi LDAP, SAML o OpenID Connect ai ruoli Looker durante il processo di configurazione e potrai modificare i ruoli assegnati solo dalle pagine di configurazione LDAP, SAML o OpenID Connect. Abbiamo richiesto questo approccio in modo che i gruppi LDAP, SAML o OpenID Connect rimangano la tua unica fonte di riferimento. Senza questa limitazione, la mappatura dei gruppi ai ruoli potrebbe divergere dalla funzione prevista nello schema LDAP, SAML o OpenID Connect.

Puoi anche utilizzare LDAP per applicare connessioni ai database specifiche dell'utente alle query di Looker, come descritto nella pagina della documentazione relativa all'autenticazione LDAP.