Diferentes níveis de acesso ao conteúdo determinam quais usuários podem acessar e editar o conteúdo nas pastas do Looker. Enquanto as permissões estão associadas a um usuário de acordo com o papel dessa pessoa, o acesso ao conteúdo está associado a uma pasta e define o nível de abertura da pasta para os usuários em vários níveis.
Tipos de acesso a pastas
É possível atribuir um dos dois níveis de acesso a cada usuário ou grupo do Looker em uma pasta:
Visualização: com esse nível de acesso, o usuário pode ver que a pasta existe, visualizar os Looks e dashboards dentro dela e copiar os Looks e dashboards da pasta.
Gerenciar acesso, editar: este nível de acesso permite que um usuário realize as mesmas ações que o nível de acesso Visualização, além de fazer alterações na pasta, como:
Para ver uma discussão adicional sobre acesso e permissões ao conteúdo, consulte Como controlar o acesso ao conteúdo do usuário e Como o acesso ao conteúdo e as permissões interagem.
Sistemas abertos e fechados de acesso a pastas
As configurações do Looker ajudam a estruturar o acesso dos usuários com base nas políticas da sua empresa e nos tipos de usuários que vão interagir com as pastas. Em geral, o sistema que você cria se enquadra em uma destas três categorias amplas: completamente aberto, aberto com restrições ou fechado.
| Nível de acesso às pastas | Descrição | Uso recomendado |
|---|---|---|
| Completamente aberto | Todos os usuários podem visualizar e modificar todo o conteúdo compartilhado. Essa é a configuração padrão do Looker. | O sistema aberto é recomendado para pequenas empresas ou equipes que usam o Looker, empresas com políticas abertas sobre dados e empresas em que o compartilhamento de relatórios editáveis é um caso de uso principal. |
| Abrir com restrições | O acesso ao conteúdo compartilhado é restrito de alguma forma, ou seja, apenas algumas pessoas podem editar determinado conteúdo ou algum conteúdo fica totalmente invisível para certas pessoas. | Um sistema aberto com restrições é recomendado para equipes e empresas de médio ou grande porte, bases de usuários altamente diversificadas em que os relatórios não são relevantes para todos ou empresas que querem que o conteúdo possa ser visualizado por todos, mas editado por apenas alguns. |
| Fechado | Também chamado de instalação multilocatária, esse sistema agrupa conteúdo em silos para certos grupos e impede que usuários de grupos diferentes saibam um sobre o outro. | Para proteger as informações particulares dos seus clientes, recomendamos o uso de um sistema fechado para casos de uso de marca própria e de incorporação assinada, em que os clientes hospedam no sistema clientes que podem ser de diferentes empresas ou grupos e que não deveriam ter conhecimento uns dos outros. |
Depois de determinar o tipo de sistema desejado, esta página vai mostrar as etapas para configurá-lo. Para a configuração inicial, recomendamos usar a seção Acesso ao conteúdo do painel Administrador, já que ele é um local único para fazer alterações em cada pasta.
Como o acesso a uma pasta afeta as subpastas
Antes de definir o nível de abertura ou fechamento do sistema, é importante entender como os níveis de acesso definidos nas pastas principais afetarão as subpastas e o que você pode ou não alterar nos níveis inferiores da hierarquia.
| Tipo de acesso | Padrão de herança | Descrição |
|---|---|---|
| Gerenciar acesso, editar | Fluxos em toda a hierarquia de pastas | Depois de conceder a um usuário acesso a Gerenciar acesso, editar em uma pasta, ele vai manter esse nível de acesso a todos os Looks, dashboards e subpastas nessa pasta. Não é possível bloquear o acesso deles em uma parte inferior da hierarquia de pastas. |
| View | Podem ser removidas a qualquer momento na hierarquia de pastas | Remover o acesso de Visualização no nível da pasta revoga a capacidade de um usuário de ver a pasta e todo o conteúdo dela. Também é possível remover o acesso de Visualização em qualquer ponto inferior na hierarquia para impedir que os usuários visualizem Looks, dashboards ou subpastas específicos dentro de uma pasta visível. |
Os administradores do Looker têm acesso para gerenciar acesso e editar a todas as pastas e, portanto, a todo o conteúdo. Isso garante a capacidade de gerenciar o sistema, evitar conteúdos órfãos e ajudar qualquer usuário com problemas.
Configurar um sistema completamente aberto
A configuração padrão do Looker permite acesso completamente aberto a todas as pastas. O grupo Todos os usuários é atribuído a Gerenciar acesso, Editar na pasta compartilhada, e todas as subpastas dentro dela herdarão esse acesso. Gerencie essa configuração na seção Acesso ao conteúdo do painel Administrador.
Com o acesso Gerenciar acesso, edição a uma pasta, o usuário também terá acesso Gerenciar acesso, edição a todo o conteúdo da pasta, inclusive às subpastas. Isso significa que não há restrições de acesso ao conteúdo nesse sistema.
As pastas pessoais ficam em uma hierarquia separada e também têm configurações padrão. O grupo Todos os usuários está definido como Ver em todas as pastas pessoais. Cada usuário pode remover esse grupo da pasta pessoal se quiser que a pasta pessoal seja particular.
Configurar um sistema aberto com restrições
Estas etapas ajudarão você a configurar um sistema aberto com restrições:
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Altere o acesso do grupo Todos os usuários para Visualização na pasta compartilhada.
- Remova Todos os usuários das pastas que você não quer que fiquem visíveis para toda a empresa.
Planejar sua estrutura
Quem você quer que tenha permissão para visualizar e editar pastas específicas? Para facilitar sua vida, esboce o plano antes de configurar o acesso. Isso também lhe dá um lugar para marcar as alterações à medida que você passa pelo processo, de modo que você não tenha que voltar para verificar várias pastas. Colocar usuários em grupos ajuda você a gerenciar o acesso de diferentes departamentos ou equipes na sua empresa.
Uma das configurações mais comuns é ter uma pasta por departamento ou equipe, que é semelhante a esta:
- Na pasta "Compartilhados", crie uma pasta para um departamento, equipe ou projeto. Usaremos o exemplo de uma equipe financeira nesta seção.
- Conceda ao CFO (ou ao analista principal de Finanças) o acesso Gerenciar acesso, edição nessa pasta. Conceda ao restante da equipe acesso de Visualização.
- Crie duas subpastas: uma para conteúdo editável e outra para conteúdo somente leitura. Se necessário, adicione uma terceira subpasta para conteúdo particular.
- Na subpasta de conteúdo editável, use um grupo "Finanças" para conceder o acesso Gerenciar acesso, edição a toda a equipe financeira. Depois de conceder esse nível de acesso ao grupo Finanças, todos os membros dele poderão adicionar, excluir ou alterar o conteúdo da subpasta.
- Na subpasta de conteúdo somente leitura, conceda acesso de Visualização a todo o grupo financeiro. O CFO ainda pode gerenciar o acesso e a edição do conteúdo desta pasta porque ele herda o acesso da pasta principal de finanças.
- Na subpasta privada (opcional), remova completamente o grupo Finanças. Apenas o CFO pode ver essa pasta ou gerenciar o conteúdo dela.
Configurar grupos para fornecer acesso granular
Se você pretende restringir o acesso ao conteúdo, os grupos do Looker facilitam muito o processo. Os grupos podem receber acesso a pastas e subpastas da mesma forma que os usuários, e os grupos podem conter outros grupos. Para informações sobre como configurar grupos, consulte a página Grupos.
Comece configurando o acesso a subpastas individuais primeiro e depois configure o acesso para toda a pasta "Compartilhados". Como o acesso flui pela hierarquia de pastas, é mais seguro começar manipulando o acesso individualmente às subpastas mais baixas. Em seguida, você pode avançar pelas pastas principais, concedendo a elas o nível de acesso desejado e garantindo que as alterações não entrem em conflito com decisões tomadas nos níveis mais baixos.
Neste exemplo, começaremos com as subpastas dentro da pasta "Compartilhados". Gerencie essas configurações na seção Acesso ao conteúdo do painel Administrador:
- Defina cada pasta na pasta compartilhada como Uma lista personalizada de usuários.
Atribua o acesso Gerenciar acesso, edição aos usuários e grupos que terão permissão para editar conteúdo.
Atribua o acesso de Visualização aos usuários e grupos que terão acesso somente leitura.
Até que você altere as configurações da pasta compartilhada de nível superior, nada entrará em vigor. O nível de acesso do grupo Todos os usuários está definido como Gerenciar acesso, edição na pasta "Compartilhados" e flui para todas as subpastas individuais. Não é possível modificar as configurações de Todos os usuários em subpastas individuais até que o nível de acesso desse grupo seja alterado na pasta "Compartilhados".
Clique na pasta que você quer configurar e selecione Gerenciar acesso.
Alterar o acesso do grupo Todos os usuários para Visualização na pasta compartilhada
É quando suas alterações entram em vigor. Lembre-se de consultar o plano para sua estrutura.
Primeiro, a menos que você queira que todos tenham acesso para edição a todo o conteúdo do sistema, clique em Gerenciar acesso para a pasta compartilhada e altere Todos os usuários de Gerenciar acesso, edição para Visualizar.
Caso seu plano seja exibir determinadas subpastas apenas para grupos específicos, leia a próxima seção.
Remova o grupo Todos os usuários das pastas que você não quer que fiquem visíveis.
Para tornar uma pasta particular para um determinado subgrupo de usuários, remova Todos os usuários completamente dessa pasta usando o X à direita do nível de acesso da pasta. Agora a pasta só aparecerá para os usuários e grupos que você listar explicitamente.
Configurar um sistema fechado
O Looker oferece uma opção de sistema fechado que faz as seguintes mudanças:
- Remove o grupo All Users. Não será possível se referir a todos os usuários no sistema como um único grupo. Em vez disso, os administradores do Looker devem criar um grupo por locatário ou cliente, conforme discutido na seção Configurar grupos para fornecer acesso granular. Para esta discussão, vamos supor que cada cliente é uma empresa.
- Torna todas as pastas de usuário particulares por padrão. Os usuários ainda poderão compartilhar o conteúdo das pastas com outros participantes dos grupos.
Impede que usuários vejam outros usuários, a menos que compartilhem um grupo. Portanto, se um usuário for membro do grupo da Empresa C, ele verá apenas outros membros da Empresa C, e não os membros das Empresas A e B.
A Página inicial: conteúdo acessado recentemente é um exemplo de local no Looker em que o usuário só encontra outros membros da Empresa C e o conteúdo deles.
Estas etapas ajudarão você a configurar um sistema fechado:
- Solicite a opção Sistema fechado.
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Ative o sistema fechado no painel do Administrador.
- Conceda a cada grupo da empresa no seu sistema acesso de Visualização da pasta compartilhada.
- Configure níveis de acesso para cada subpasta das pastas compartilhadas.
- Migre conteúdo para subpastas.
Estas etapas pressupõem que nenhum conteúdo para usuários multilocatários está hospedado nas pastas compartilhadas. Para isolar o conteúdo em um sistema fechado e evitar que clientes ou outros grupos vejam uns aos outros, mova esse conteúdo para fora da pasta "Compartilhados" e coloque-o em subpastas separadas antes de iniciar as próximas etapas.
Solicitar a opção Closed System
Para solicitar a ativação da opção Sistema fechado para sua instância, entre em contato com um especialista em vendas do Google Cloud ou abra uma solicitação de suporte.
Planejar sua estrutura
Isso vai facilitar muito a configuração do sistema se você tiver definido o plano com antecedência. Há duas áreas principais a serem consideradas:
Primeiro, crie um grupo para cada empresa. Um grupo de empresas associa todos os usuários de cada empresa e mantém esses usuários separados de outras empresas.
Em segundo lugar, considere se você quer ter várias empresas consultando a mesma pasta (por exemplo, para painéis que são relevantes para todas as empresas) ou se você quer uma pasta de nível superior para cada empresa (para conteúdo distinto que se aplica somente a uma empresa).
Configurar grupos para fornecer acesso granular
Deve haver pelo menos um grupo por empresa, mas também pode haver subgrupos dentro desse grupo maior. Se quiser permitir que alguns usuários de uma empresa editem e gerenciem conteúdo e que outros só visualizem o conteúdo, crie subgrupos separados para cada tipo de usuário. Por exemplo, você pode começar criando a Empresa A como o grupo geral e depois adicionar dois subgrupos: Editores da Empresa A e Leitores na Empresa A.
Para informações sobre como configurar grupos, consulte a página de documentação Grupos.
Ativar a opção "Sistema fechado" no painel Administrador
É melhor ativar a opção Sistema fechado antes de configurar qualquer controle de acesso nas pastas, pois ativar a opção Sistema fechado altera seu sistema. Consulte a introdução a Como configurar um sistema fechado nesta página. Essa opção está localizada na seção Configurações do painel Geral na seção Administrador do Looker.
Conceder acesso de visualização a cada grupo da empresa para a pasta compartilhada
Conceda acesso de Visualização a cada grupo da empresa para as pastas compartilhadas. Isso permite que os membros desses grupos acessem a pasta compartilhada e vejam a pasta da própria empresa dentro dela. Se um grupo não tiver acesso de Visualização às pastas compartilhadas, ele não poderá ver as pastas da própria empresa. Gerencie essas configurações na seção Acesso ao conteúdo do painel Administrador.
Configurar níveis de acesso para cada subpasta
Defina níveis de acesso para estabelecer quem pode visualizar ou editar o conteúdo em cada subpasta. As subpastas são padronizadas para as configurações de acesso dos pais até que você as altere. Isso significa que uma empresa com acesso de Visualização à pasta compartilhada poderá visualizar o conteúdo na subpasta de outra empresa, a menos que você restrinja o acesso a essa subpasta. Revise cada subpasta e restrinja o acesso adequadamente.
Migrar conteúdo para subpastas
Se sua empresa tiver permitido que os usuários acessem suas pastas e outras pastas pessoais, recomendamos migrar o conteúdo dessas pastas pessoais para as pastas apropriadas na hierarquia compartilhada principal.