Diferentes níveis de acesso ao conteúdo determinam quais usuários podem acessar e editar o conteúdo nas pastas do Looker. Enquanto as permissões são associadas a um usuário de acordo com a função da pessoa, o acesso ao conteúdo é associado a uma pasta e define como ela será aberta para os usuários em vários níveis.
Tipos de acesso a pastas
Um dos dois níveis de acesso pode ser atribuído a cada usuário ou grupo do Looker em qualquer pasta:
Visualização: com esse nível de acesso, o usuário pode ver que a pasta existe, visualizar os Looks e os dashboards dentro dela e copiar os Looks e os dashboards na pasta.
Gerenciar acesso, editar: este nível de acesso permite que o usuário realize as mesmas ações que o nível de acesso de Visualização, além de fazer alterações na pasta, como as seguintes:
Veja uma discussão adicional sobre acesso e permissões ao conteúdo em Como controlar o acesso ao conteúdo do usuário e Como o acesso ao conteúdo e as permissões interagem.
Sistemas abertos e fechados de acesso a pastas
As configurações do Looker ajudam a estruturar o acesso dos usuários com base nas políticas da sua empresa e nos tipos de usuários que vão interagir com suas pastas. Em geral, o sistema que você definir se enquadrará em uma destas três categorias amplas: completamente aberto, aberto com restrições ou fechado.
| Nível de acesso às pastas | Descrição | Uso recomendado |
|---|---|---|
| Completamente aberto | Todos os usuários podem visualizar e modificar todo o conteúdo compartilhado. Essa é a configuração padrão do Looker. | Um sistema aberto é recomendado para pequenas empresas ou equipes que usam o Looker, empresas com políticas abertas sobre dados e empresas em que o compartilhamento de relatórios editáveis é o principal caso de uso. |
| Aberto com restrições | O acesso ao conteúdo compartilhado é restrito de alguma forma, ou seja, apenas algumas pessoas podem editar um conteúdo específico ou que ele não fica visível para determinadas pessoas. | Um sistema aberto com restrições é recomendado para equipes e empresas de médio ou grande porte, bases de usuários altamente diversificadas, em que os relatórios não são relevantes para todos, ou empresas que desejam que o conteúdo seja visível para todos, mas possa ser editado por apenas alguns. |
| Fechado | Também chamada de instalação multilocatária, esse sistema separa o conteúdo em silos para determinados grupos e impede que usuários de grupos diferentes saibam uns dos outros. | Para proteger as informações particulares dos seus clientes, recomendamos o uso de um sistema fechado para casos de uso de marca própria e de incorporação assinada em que os clientes hospedam no sistema clientes que podem ser de diferentes empresas ou grupos e que não devem saber sobre os outros. |
Depois de determinar o tipo de sistema que você quer usar, confira nesta página as etapas para configurá-lo. Para a configuração inicial, recomendamos usar a seção Acesso ao conteúdo do painel Administrador, que é um local único para fazer alterações em cada pasta.
Como o acesso a uma pasta afeta as subpastas
Antes de decidir se o sistema será aberto ou fechado, é importante entender como os níveis de acesso definidos nas pastas mãe afetarão as subpastas delas, além do que você pode ou não mudar nos níveis mais baixos da hierarquia.
| Tipo de acesso | Padrão de herança | Descrição |
|---|---|---|
| Gerenciar acesso, editar | Desce até toda a hierarquia de pastas | Depois de conceder a um usuário acesso aos recursos Gerenciar acesso e edição em uma pasta, ele vai manter esse nível de acesso a todos os Looks, dashboards e subpastas dentro da pasta. Não será possível bloquear o acesso a uma parte inferior da hierarquia de pastas. |
| View | Pode ser removida a qualquer momento na hierarquia de pastas | A remoção do acesso de Visualização no nível da pasta revoga a capacidade de um usuário de ver essa pasta e todo o conteúdo dela. Também é possível remover o acesso de Visualização em qualquer ponto inferior na hierarquia para restringir os usuários de acessar Looks, dashboards ou subpastas específicos dentro de uma pasta visualizável. |
Os administradores do Looker têm acesso para Gerenciar acesso e editar a todas as pastas e, portanto, a todo o conteúdo. Isso garante a capacidade de gerenciar o sistema, evitar conteúdo órfão e ajudar qualquer usuário que tenha problemas.
Configurar um sistema completamente aberto
A configuração padrão do Looker permite acesso completamente aberto a todas as pastas. O grupo Todos os usuários é atribuído a Gerenciar acesso, Editar na pasta compartilhada, e todas as subpastas dentro da pasta compartilhada herdarão esse acesso dele. Gerencie essa configuração na seção Acesso ao conteúdo do painel Administrador.
Depois que um usuário tem acesso para Gerenciar acesso, editar a uma pasta, ele também tem acesso Gerenciar acesso, editar a todo o conteúdo dessa pasta, incluindo todas as subpastas. Isso significa que não há restrições de acesso ao conteúdo nesse sistema.
As pastas pessoais existem em uma hierarquia separada e também têm configurações padrão. O grupo Todos os usuários é definido como Ver em todas as pastas pessoais. Cada usuário pode optar por remover este grupo da sua pasta pessoal se quiser que a pasta seja particular.
Como configurar um sistema aberto com restrições
Estas etapas vão ajudar você a configurar um sistema aberto com restrições:
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Altere o acesso do grupo Todos os usuários para Visualizar na pasta compartilhada.
- Remova Todos os usuários de todas as pastas que você não quer que sejam visíveis para toda a empresa.
Planejar sua estrutura
Quem você quer que tenha permissão para visualizar e editar pastas específicas? Isso facilitará sua vida se você esboçar seu plano antes de começar a configurar o acesso. Isso também lhe dá um lugar para marcar as alterações conforme você avança pelo processo, para que não precise voltar e verificar várias pastas. Colocar os usuários em grupos ajuda você a gerenciar o acesso de diferentes departamentos ou equipes na sua empresa.
Uma das configurações mais comuns é ter uma pasta por departamento ou equipe, que tem esta aparência:
- Na pasta compartilhada, crie uma pasta para um departamento, equipe ou projeto. Usaremos o exemplo de uma equipe financeira nesta seção.
- Conceda ao CFO (ou ao analista principal de finanças) o acesso para gerenciar acesso, edição nessa pasta. Conceda o acesso de visualização ao restante da equipe.
- Crie duas subpastas: uma para conteúdo editável e outra para conteúdo somente leitura. Se necessário, adicione uma terceira subpasta para conteúdo privado.
- Na subpasta de conteúdo editável, conceda o acesso Gerenciar acesso, Editar para toda a equipe financeira usando um grupo do Google Finanças. Depois de conceder esse nível de acesso ao grupo Finanças, todos os membros poderão adicionar, excluir ou alterar o conteúdo nessa subpasta.
- Na subpasta de conteúdo somente leitura, conceda acesso de visualização a todo o grupo de finanças. O CFO ainda pode gerenciar acesso e editar o conteúdo nessa pasta porque ele herda o acesso da pasta principal "Finanças".
- Na subpasta privada (opcional), remova o grupo "Finanças" por completo. Só o CFO pode acessar essa pasta ou gerenciar o conteúdo dela.
Configurar grupos para fornecer acesso granular
Se você quer restringir o acesso ao conteúdo, os grupos do Looker facilitam muito a tarefa. Os grupos podem receber acesso a pastas e subpastas da mesma forma que os usuários, e os grupos podem conter outros grupos. Para informações sobre como configurar grupos, consulte a página Grupos.
Comece configurando o acesso a subpastas individuais e depois configure o acesso para toda a pasta compartilhada. Como o acesso flui pela hierarquia de pastas, é mais seguro começar manipulando o acesso às subpastas mais baixas individualmente. Em seguida, é possível passar pelas pastas mãe, fornecendo a elas o nível de acesso desejado e garantindo que as alterações não entrem em conflito com as decisões tomadas nos níveis inferiores.
Neste exemplo, começaremos com as subpastas dentro da pasta compartilhada. Gerencie essas configurações na seção Acesso ao conteúdo do painel Administrador:
- Defina cada pasta na pasta compartilhada como Uma lista personalizada de usuários.
Atribua acesso de gerenciamento de acesso e edição aos usuários e grupos em que você quer permitir a edição de conteúdo.
Atribua acesso de Visualização aos usuários e grupos a que você quer conceder acesso somente leitura.
Nada vai entrar em vigor até que as configurações da pasta compartilhada de nível superior sejam alteradas. O nível de acesso para o grupo Todos os usuários é definido como Gerenciar acesso, editar na pasta "Compartilhado" e flui para todas as subpastas individuais. Não é possível modificar as configurações de Todos os usuários em subpastas individuais até que o nível de acesso do grupo seja alterado na pasta Compartilhada.
Clique na pasta que você quer configurar e depois em Gerenciar acesso.
Altere o acesso do grupo Todos os usuários para Visualizar na pasta compartilhada
É aí que as mudanças entram em vigor. Lembre-se de consultar o plano para sua estrutura.
Primeiro, a menos que você queira que todos tenham acesso para editar todo o conteúdo no sistema, clique em Gerenciar acesso na pasta compartilhada e altere Todos os usuários de Gerenciar acesso, editar para Visualizar.
Em seguida, para exibir determinadas subpastas apenas para grupos específicos, prossiga para a seção a seguir.
Remova o grupo Todos os usuários das pastas que você não quer exibir.
Para tornar uma pasta particular para um subgrupo de usuários, remova Todos os usuários completamente dessa pasta usando o X à direita do nível de acesso da pasta. Agora a pasta só aparecerá para usuários e grupos que você listar explicitamente.
Como configurar um sistema fechado
O Looker oferece uma opção de Sistema fechado que faz as seguintes alterações:
- Remove o grupo All Users. Não será possível se referir a todos os usuários no sistema como um único grupo. Em vez disso, os administradores do Looker precisam criar um grupo por locatário ou cliente, conforme discutido abaixo. Para esta discussão, vamos supor que cada cliente é uma empresa.
- Torna todas as pastas do usuário particulares por padrão. Os usuários ainda poderão compartilhar o conteúdo das pastas com outros membros dos grupos.
Impede que os usuários vejam outros usuários, a menos que compartilhem um grupo. Portanto, se um usuário for membro do grupo da Empresa C, ele verá apenas os outros membros da Empresa C, e não os membros das Empresas A e B.
A página inicial: conteúdo acessado recentemente é um exemplo de lugar no Looker em que o usuário só vai ter acesso a outros membros da Empresa C e o conteúdo deles.
Estas etapas ajudarão você a configurar um sistema fechado:
- Peça a opção Sistema fechado.
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Ative o sistema fechado no painel Administrador.
- Conceda a cada grupo de empresas no sistema o acesso de Visualização à pasta compartilhada.
- Configure os níveis de acesso de cada subpasta das pastas compartilhadas.
- Migre conteúdo para subpastas.
Essas etapas pressupõem que nenhum conteúdo para usuários multilocatários está hospedado nas pastas compartilhadas. Para armazenar o conteúdo em silos em um sistema fechado e impedir que clientes ou outros grupos vejam uns aos outros, mova esse conteúdo para fora da pasta compartilhada e para subpastas separadas antes de iniciar as etapas abaixo.
Solicite a opção de sistema fechado
Para solicitar que a opção Sistema fechado seja ativada para sua instância, entre em contato com um especialista em vendas do Google Cloud ou abra uma solicitação de suporte.
Planejar sua estrutura
A configuração do sistema fica muito mais fácil se você tiver configurado seu plano com antecedência. Há duas áreas principais a se pensar:
Primeiro, crie um grupo para cada empresa. Um grupo de empresas associa todos os usuários de cada empresa e os mantém separados de outras empresas.
Segundo, considere se você quer que várias empresas analisem a mesma pasta (por exemplo, para painéis relevantes para todas as empresas) ou se quer uma pasta de nível superior para cada empresa (para conteúdos distintos que só se aplicam a uma única empresa).
Configurar grupos para fornecer acesso granular
Embora deva haver pelo menos um grupo por empresa, é possível que também existam subgrupos dentro desse grupo maior. Se quiser permitir que alguns usuários de uma empresa editem e gerenciem o conteúdo e que outros visualizem somente o conteúdo, crie subgrupos separados para os diferentes tipos de usuários. Por exemplo, é possível começar criando a Empresa A como o grupo geral e depois adicionar dois subgrupos: Editores da Empresa A e Leitores na Empresa A.
Para mais informações sobre como configurar grupos, consulte a página de documentação Grupos.
Ativar a opção "Sistema fechado" no painel Administrador
É melhor ativar a opção Sistema fechado antes de configurar qualquer controle de acesso em pastas, já que ativar a opção Sistema fechado faz alterações no seu sistema. Consulte a introdução a Como configurar um sistema fechado nesta página. Essa opção está localizada na seção Configurações do painel Geral na seção Administrador do Looker.
Conceder a cada grupo da empresa acesso de visualização à pasta compartilhada
Conceda acesso de visualização a cada grupo da empresa para as pastas compartilhadas. Isso permite que os membros desses grupos acessem a pasta compartilhada e vejam a pasta da própria empresa dentro dela. Se um grupo não tiver acesso de Visualização às pastas compartilhadas, ele não poderá ver as pastas da própria empresa. Gerencie essas configurações na seção Acesso ao conteúdo do painel Administrador.
Configurar níveis de acesso para cada subpasta
Defina níveis de acesso para estabelecer quem pode ver ou editar conteúdo em cada subpasta. Por padrão, as subpastas usam as configurações de acesso dos pais, a menos que você as altere. Isso significa que uma empresa com acesso de Visualização à pasta compartilhada pode visualizar o conteúdo na subpasta de outra empresa, a menos que você restrinja o acesso a essa subpasta. Analise cada subpasta e restrinja o acesso adequadamente.
Migrar conteúdo para subpastas
Se sua empresa permitiu que os usuários vejam suas próprias pastas e outras pastas pessoais, recomendamos migrar todo o conteúdo dessas pastas pessoais para as pastas apropriadas na hierarquia compartilhada principal.