I vari livelli di accesso ai contenuti determinano quali utenti possono visualizzare e modificare i contenuti nelle cartelle di Looker. Mentre le autorizzazioni sono associate a un utente in base al suo ruolo, l'accesso ai contenuti è associato a una cartella e definisce il livello di accessibilità della cartella per gli utenti ai vari livelli.
Tipi di accesso alle cartelle
A ogni utente o gruppo di Looker è possibile assegnare uno dei due livelli di accesso per una determinata cartella:
Visualizza: con questo livello di accesso, un utente può vedere che la cartella esiste, visualizzare i Look e le dashboard al suo interno e copiarli.
Gestione accesso, Modifica: questo livello di accesso consente a un utente di fare tutto ciò che è permesso con il livello di accesso Visualizzazione, nonché apportare modifiche alla cartella, ad esempio:
Per ulteriori informazioni sull'accesso ai contenuti e sulle autorizzazioni, vedi Controllare l'accesso ai contenuti degli utenti e Modalità di interazione tra l'accesso ai contenuti e le autorizzazioni.
Sistemi aperti e chiusi per l'accesso alle cartelle
Le impostazioni di Looker ti aiuteranno a strutturare l'accesso utente in base ai criteri aziendali e ai tipi di utenti che interagiranno con le cartelle. In generale, il sistema che concepirai rientrerà in tre grandi categorie: completamente aperto, aperto con restrizioni o chiuso.
| Livello di accesso alle cartelle | Descrizione | Uso consigliato |
|---|---|---|
| Completamente aperto | Tutti gli utenti possono visualizzare e modificare tutti i contenuti condivisi. Questa è la configurazione predefinita di Looker. | Un sistema aperto è consigliato per aziende o team di piccole dimensioni che utilizzano Looker, aziende con criteri aperti in merito ai dati e aziende in cui la condivisione di report modificabili è un caso d'uso primario. |
| Apri con restrizioni | L'accesso ai contenuti condivisi è sottoposto a qualche restrizione, in modo che solo specifiche persone possano modificare determinati contenuti oppure che determinati contenuti siano completamente invisibili a persone specifiche. | Un sistema aperto con restrizioni è consigliato per team e aziende di medie o grandi dimensioni, per basi utenti altamente diversificate in cui i report non sono rilevanti per tutti o per aziende dove i contenuti devono essere visibili a tutti, ma modificabili solo da alcuni. |
| Chiuso | Questo sistema, detto anche installazione multitenant, isola i contenuti per certi gruppi e impedisce agli utenti di gruppi diversi di avere informazioni sugli altri. | Per salvaguardare le informazioni private dei clienti, consigliamo vivamente di utilizzare un sistema chiuso per i casi d'uso di private label e di incorporamento firmato, nei quali i clienti ospitano nel sistema dei client che potrebbero appartenere ad aziende o gruppi diversi e che non devono essere a conoscenza gli uni degli altri. |
Una volta stabilito quale tipo di sistema vuoi usare, questa pagina ti guiderà nella procedura di configurazione. Per la configurazione iniziale, consigliamo di usare la sezione Accesso ai contenuti del riquadro Amministrazione perché permette di apportare modifiche alle singole cartelle da un unico punto.
Effetto dell'accesso a una cartella sulle relative sottocartelle
Prima di decidere quanto deve essere aperto o chiuso il sistema, è importante comprendere l'effetto che i livelli di accesso configurati nelle cartelle padre possono avere sulle relative sottocartelle e che cosa si può o non si può modificare nei livelli inferiori della gerarchia.
| Tipo di accesso | Modello di ereditarietà | Descrizione |
|---|---|---|
| Gestisci accesso, modifica | Viene ereditato da tutti i livelli inferiori nella gerarchia di cartelle | Quando un utente dispone dell'accesso Gestione accesso, Modifica in una cartella, avrà lo stesso livello di accesso per tutti i look, le dashboard e le sottocartelle all'interno di quella cartella. Non potrai bloccare il suo accesso a un livello inferiore della gerarchia di cartelle. |
| Visualizza | Può essere rimosso in qualsiasi punto all'interno della gerarchia di cartelle | La rimozione dell'accesso Visualizza a livello di cartella comporta che l'utente non sarà più in grado di vedere la cartella e tutti i suoi contenuti. Puoi anche rimuovere l'accesso Visualizza in qualsiasi punto più in basso nella gerarchia per impedire agli utenti di visualizzare determinati look, dashboard o sottocartelle all'interno di una cartella altrimenti visibile. |
Gli amministratori di Looker hanno l'accesso Gestisci accesso, Modifica a tutte le cartelle e pertanto a tutti i contenuti. In questo modo possono gestire il sistema, evitare contenuti orfani e fornire assistenza agli utenti che riscontrano problemi.
Configurazione di un sistema completamente aperto
La configurazione predefinita di Looker consente l'accesso completamente aperto a tutte le cartelle. Al gruppo Tutti gli utenti è assegnato l'accesso Gestione accesso, Modifica nella cartella Shared (Condivisa) e tutte le sottocartelle al suo interno erediteranno quell'accesso. Questa impostazione può essere gestita dalla sezione Accesso ai contenuti del riquadro Amministrazione.
Quando un utente dispone dell'accesso Manage Access, Edit (Gestione accesso, Modifica) a una cartella, avrà lo stesso accesso anche su tutti i contenuti della cartella, comprese le relative sottocartelle. Ciò significa che non ci sono restrizioni per l'accesso ai contenuti in questo sistema.
Le cartelle personali sono presenti in una gerarchia separata e dispongono anch'esse di impostazioni predefinite. Il gruppo Tutti gli utenti è impostato su Visualizza in tutte le cartelle personali. Ogni utente può scegliere di rimuovere questo gruppo dalla propria cartella personale se vuole che sia privata.
Configurazione di un sistema aperto con restrizioni
Questi passaggi ti aiuteranno a configurare un sistema aperto con restrizioni:
- Pianificare la struttura.
- Configurare i gruppi per un accesso granulare.
- Impostare l'accesso del gruppo Tutti gli utenti su Visualizza nella cartella Condivisa.
- Rimuovi Tutti gli utenti da qualsiasi cartella che non vuoi che sia visibile all'intera azienda.
Pianificare la struttura
A chi vuoi consentire di visualizzare e modificare determinate cartelle? Sarà tutto più semplice se delinei il piano prima di iniziare a configurare l'accesso. Inoltre, avrai un punto in cui segnare le modifiche man mano che procedi, evitando così di tornare indietro per eseguire il controllo in varie cartelle. Suddividere gli utenti in gruppi ti aiuterà a gestire l'accesso per diversi reparti o team all'interno dell'azienda.
Una delle configurazioni più comuni prevede una cartella per reparto o team, in modo simile a questo:
- All'interno della cartella Condivisa, crea una cartella per un reparto, un team o un progetto. In questa sezione useremo il team Finance (Finanza) come esempio.
- Concedi al CFO, o all'analista principale del team Finance (Finanza), l'accesso Gestisci accesso, Modifica su quella cartella. Al resto del team concedi l'accesso Visualizza.
- Crea due sottocartelle, una per i contenuti modificabili e una per i contenuti di sola lettura. Se necessario, aggiungi una terza sottocartella per i contenuti privati.
- Nella sottocartella per i contenuti modificabili, concedi l'accesso Gestione accesso, Modifica all'intero team Finance (Finanza) utilizzando un gruppo Finance (Finanza). Una volta assegnato il livello di accesso al gruppo Finanza, tutti i suoi membri potranno aggiungere, eliminare o modificare i contenuti della sottocartella.
- Nella sottocartella per i contenuti di sola lettura, concedi l'accesso Visualizza all'intero gruppo Finanza. Il CFO potrà comunque gestire l'accesso e modificare i contenuti di questa cartella perché lo eredita dalla cartella Finance (Finanza) principale.
- Nella sottocartella privata (facoltativa), rimuovi del tutto il gruppo Finance (Finanza). Solo il CFO può vedere questa cartella o gestirne i contenuti.
Configurare i gruppi per un accesso granulare
Se intendi limitare l'accesso ai contenuti, i gruppi Looker ti saranno di grande aiuto. Ai gruppi è possibile concedere l'accesso alle cartelle e alle sottocartelle così come accade per gli utenti; inoltre, i gruppi possono contenere altri gruppi. Per informazioni su come configurare i gruppi, vedi la pagina Gruppi.
Prima di tutto, imposta l'accesso per le singole sottocartelle, poi passa ai livelli superiori per impostare l'accesso per l'intera cartella Shared (Condivisa). Dato che l'accesso viene ereditato dai livelli inferiori della gerarchia di cartelle, è più sicuro iniziare modificando l'accesso alle singole sottocartelle di livello più basso. Quindi puoi passare alle cartelle di livello padre, concedendo loro il livello di accesso che vuoi e assicurandoti che le modifiche non siano in conflitto con le decisioni che hai preso ai livelli inferiori.
In questo esempio inizieremo dalle sottocartelle della cartella Condivisa. Queste impostazioni possono essere gestite dalla sezione Accesso ai contenuti del riquadro Amministrazione:
- Imposta ogni cartella all'interno della cartella Shared (Condivisa) su Un elenco personalizzato di utenti.
Assegna l'accesso Gestisci accesso, Modifica agli utenti e ai gruppi che vuoi che possano modificare i contenuti.
Assegna l'accesso Visualizza agli utenti e ai gruppi a cui vuoi concedere l'accesso di sola lettura.
Finché non modifichi le impostazioni per la cartella Shared (Condivisa) di primo livello, non viene applicato nulla. Il livello di accesso per il gruppo Tutti gli utenti è impostato su Gestione accesso, Modifica nella cartella Shared (Condivisa) e viene ereditato da tutte le sottocartelle. Non è possibile modificare le impostazioni per Tutti gli utenti nelle singole sottocartelle finché non si modifica il livello di accesso per quel gruppo nella cartella Condivisa.
Fai clic sulla cartella che vuoi configurare, quindi su Gestisci accesso.
Modificare l'accesso del gruppo Tutti gli utenti su Visualizza nella cartella Condivisa
Questa è la fase in cui le modifiche vengono applicate. Ricordati di consultare il piano per la struttura.
Innanzitutto, a meno che tu non voglia che tutti abbiano accesso a tutti i contenuti nel sistema, fai clic su Gestisci accesso per la cartella Condivisa e cambia l'impostazione per Tutti gli utenti da Gestisci accesso, Modifica a Visualizza.
Quindi, se il tuo piano prevede che alcune sottocartelle siano visibili solo per alcuni gruppi, passa alla sezione successiva.
Rimuovi il gruppo Tutti gli utenti dalle cartelle che non devono essere visibili
Per rendere una cartella privata per un determinato sottogruppo di utenti, rimuovi completamente Tutti gli utenti da quella cartella utilizzando il pulsante X a destra del livello di accesso della cartella. Ora la cartella verrà visualizzata solo per gli utenti e i gruppi che elenchi esplicitamente.
Configurazione di un sistema chiuso
Looker offre un'opzione Sistema chiuso che apporta le seguenti modifiche:
- Viene rimosso il gruppo Tutti gli utenti. Non sarà possibile in alcun modo fare riferimento a tutti gli utenti nel sistema come gruppo. Gli amministratori di Looker, invece, devono creare un gruppo per tenant, o per cliente, come illustrato nella sezione Configurare i gruppi per fornire un accesso granulare. In questo contesto, supponiamo che ogni cliente sia un'azienda.
- Rende private tutte le cartelle degli utenti per impostazione predefinita. Gli utenti possono comunque scegliere di condividere i contenuti presenti nelle loro cartelle con altri membri dei gruppi di cui fanno parte.
Impedisce agli utenti di vedere gli altri utenti, a meno che non condividano un gruppo. Quindi, se un utente fa parte del gruppo Company C (Azienda C), vedrà solo gli altri membri di quell'azienda, ma non i membri delle aziende A e B.
Home page: contenuti visualizzati di recente è un esempio di un punto in Looker in cui l'utente vedrà solo gli altri membri della Company C e i relativi contenuti.
Questi passaggi ti aiuteranno a configurare un sistema chiuso:
- Richiedi l'opzione Sistema chiuso.
- Pianificare la struttura.
- Configurare i gruppi per un accesso granulare.
- Abilita il sistema chiuso nel riquadro Amministrazione.
- Assegnare l'accesso Visualizza per la cartella Shared (Condivisa) a tutti i gruppi aziendali nel sistema.
- Configurare i livelli di accesso per ogni sottocartella delle cartelle Shared (Condivisa).
- Eseguire la migrazione dei contenuti in sottocartelle.
Questi passaggi presuppongono che nelle cartelle Shared (Condivisa) non siano attualmente ospitati contenuti per gli utenti multitenant. Per isolare i contenuti in un sistema chiuso e impedire ai clienti e ad altri gruppi di vedersi tra loro, sposta tutti quei contenuti dalla cartella Condivisa in sottocartelle separate prima di iniziare il passaggio seguente.
Richiedere l'opzione Sistema chiuso
Per richiedere l'abilitazione dell'opzione Sistema chiuso per la tua istanza, contatta un esperto delle vendite di Google Cloud o apri una richiesta di assistenza.
Pianificare la struttura
Se definisci un piano in anticipo, la configurazione del sistema risulterà notevolmente più semplice. Ci sono due aspetti principali da considerare:
Prima di tutto, è importante creare un gruppo per ogni azienda. Un gruppo aziendale collega tutti gli utenti di ogni azienda e li tiene separati dalle altre aziende.
In secondo luogo, decidi se consentire che più aziende visualizzino la stessa cartella (ad esempio per le dashboard che interessano tutte le aziende) oppure se preferisci avere una cartella di primo livello per ogni azienda (per contenuti specifici che interessano una sola azienda).
Configurare i gruppi per un accesso granulare
Per ogni azienda ci deve essere almeno un gruppo, ma all'interno di quel gruppo più grande possono esistere anche sottogruppi. Se vuoi consentire ad alcuni utenti di un'azienda di modificare e gestire i contenuti e ad altri solo di visualizzarli, puoi creare sottogruppi separati per i vari tipi di utenti. Ad esempio, puoi iniziare creando Azienda A come gruppo principale e poi aggiungere due sottogruppi: Editor in Azienda A e Visualizzatori in Azienda A.
Per informazioni su come configurare i gruppi, consulta la pagina della documentazione relativa ai gruppi.
Attiva l'opzione Sistema chiuso nel riquadro Amministrazione
È preferibile abilitare l'opzione Sistema chiuso prima di configurare i controlli dell'accesso sulle cartelle perché, una volta abilitata, questa opzione apporta modifiche al sistema (vedi l'introduzione a Configurazione di un sistema chiuso in questa pagina). Questa opzione si trova nella sezione Impostazioni del riquadro Generale nella sezione Amministrazione di Looker.
Assegnare l'accesso View (Visualizzazione) per la cartella Shared (Condivisa) a tutti i gruppi aziendali
A ogni gruppo aziendale assegna l'accesso Visualizza per le cartelle Shared (Condivisa). In questo modo, tutti i membri di quei gruppi potranno accedere alla cartella Shared (Condivisa) e vedere la cartella della propria azienda al suo interno. Se un gruppo non dispone dell'accesso Visualizza alle cartelle condivise, non potrà vedere le cartelle della propria azienda. Queste impostazioni possono essere gestite dalla sezione Accesso ai contenuti del riquadro Amministrazione.
Configurare i livelli di accesso per ogni sottocartella
Imposta i livelli di accesso per stabilire chi può visualizzare o modificare i contenuti in ogni sottocartella. Per impostazione predefinita, le sottocartelle utilizzano le impostazioni di accesso delle cartelle padre finché non le modifichi. Ciò significa che un'azienda con accesso Visualizza alla cartella Condivisa potrebbe visualizzare i contenuti in una sottocartella di un'altra azienda, a meno che non limiti l'accesso a quella sottocartella. Esamina le singole sottocartelle e limita l'accesso nel modo appropriato.
Eseguire la migrazione dei contenuti in sottocartelle
Se la tua azienda ha consentito agli utenti di vedere altre cartelle personali oltre alla propria, ti consigliamo di eseguire la migrazione dei contenuti di quelle cartelle personali nelle cartelle appropriate nella gerarchia Shared (Condivisa) principale.