Diferentes níveis de acesso ao conteúdo determinam quais usuários podem acessar e editar conteúdo nas pastas do Looker. Enquanto as permissões são associadas a um usuário de acordo com a função da pessoa, o acesso ao conteúdo é associado a uma pasta e define o nível de abertura da pasta para os usuários.
Tipos de acesso a pastas
É possível atribuir um dos dois níveis de acesso a cada usuário ou grupo do Looker para qualquer pasta:
Visualizar: com esse nível de acesso, o usuário pode conferir a existência da pasta, acessar os Looks e os painéis nela e copiar esses itens.
Gerenciar acesso, editar: nesse nível, o usuário pode fazer tudo o que o nível de acesso Visualizar permite, além de fazer alterações na pasta, como:
Para mais informações sobre o acesso e as permissões de conteúdo, consulte Como controlar o acesso de usuários ao conteúdo e Como o acesso e as permissões de conteúdo interagem.
Sistemas abertos e fechados de acesso a pastas
As configurações do Looker ajudam a estruturar o acesso do usuário com base nas políticas da empresa e nos tipos de usuários que vão interagir com as pastas. Em geral, o sistema que você cria se encaixa em uma das três categorias amplas: totalmente aberto, aberto com restrições ou fechado.
| Nível de acesso às pastas | Descrição | Uso recomendado |
|---|---|---|
| Totalmente aberto | Todos os usuários podem conferir e modificar todo o conteúdo compartilhado. Essa é a configuração padrão do Looker. | Um sistema aberto é recomendado para pequenas empresas ou equipes que usam o Looker, empresas com políticas abertas sobre dados e empresas em que o compartilhamento de relatórios editáveis é um caso de uso principal. |
| Abrir com restrições | O acesso ao conteúdo compartilhado é restrito de alguma forma, de modo que apenas algumas pessoas podem editar determinado conteúdo ou alguns conteúdos são totalmente invisíveis para algumas pessoas. | Um sistema aberto com restrições é recomendado para equipes e empresas de médio porte ou maiores, bases de usuários altamente diversificadas em que os relatórios não são relevantes para todos ou empresas que querem que o conteúdo seja visível para todos, mas editável apenas por alguns. |
| Fechado | Também chamada de instalação multissetorial, esse sistema isola o conteúdo em determinados grupos e impede que usuários de grupos diferentes saibam uns dos outros. | Para proteger as informações particulares dos seus clientes, recomendamos o uso de um sistema fechado para marca própria e casos de uso de incorporação assinada em que os clientes hospedam clientes no sistema que podem ser de diferentes empresas ou grupos e que não se conhecem. |
Depois de determinar o tipo de sistema que você quer, esta página vai orientar você nas etapas de configuração. Para a configuração inicial, recomendamos usar a seção Acesso ao conteúdo do painel Administrador, já que é um único lugar para fazer mudanças em cada pasta.
Como o acesso a uma pasta afeta as subpastas dela
Antes de decidir o nível de abertura ou fechamento do sistema, é importante entender como os níveis de acesso definidos nas pastas mães afetam as subpastas, além do que pode e do que não pode ser alterado em níveis mais baixos na hierarquia.
| Tipo de acesso | Padrão de herança | Descrição |
|---|---|---|
| Gerenciar acesso, editar | Flui por toda a hierarquia de pastas | Depois que você conceder a um usuário o acesso a Gerenciar acesso, Editar em uma pasta, ele vai manter esse nível de acesso a todos os Looks, painéis e subpastas dessa pasta. Não será possível bloquear o acesso deles em uma parte inferior da hierarquia de pastas. |
| Ver | Podem ser removidos em qualquer ponto da hierarquia de pastas | A remoção do acesso de visualização na pasta revoga a capacidade de um usuário de acessar essa pasta e todo o conteúdo dela. Também é possível remover o acesso Visualizar em qualquer ponto abaixo na hierarquia para impedir que os usuários acessem Looks, painéis ou subpastas específicos em uma pasta que seria visível. |
Os administradores do Looker têm acesso Gerenciar acesso, Editar a todas as pastas e, portanto, a todo o conteúdo. Isso garante que eles possam gerenciar o sistema, evitar conteúdo órfão e ajudar qualquer usuário que tenha problemas.
Como configurar um sistema completamente aberto
A configuração padrão do Looker permite o acesso totalmente aberto a todas as pastas. O grupo Todos os usuários é atribuído a Gerenciar acesso, Editar na pasta compartilhada, e todas as subpastas dentro dela herdam esse acesso. Gerencie essa configuração na seção Acesso ao conteúdo do painel Administrador.
Quando um usuário tem acesso de Gerenciar acesso, editar a uma pasta, ele também tem acesso de Gerenciar acesso, editar a todo o conteúdo dessa pasta, incluindo todas as subpastas dela. Isso significa que não há restrições ao acesso ao conteúdo nesse sistema.
As pastas pessoais estão em uma hierarquia separada e também têm configurações padrão. O grupo Todos os usuários está definido como Visualizar em todas as pastas pessoais. Cada usuário pode remover esse grupo da pasta pessoal se quiser que ela seja privada.
Como configurar um sistema aberto com restrições
Estas etapas vão ajudar você a configurar um sistema aberto com restrições:
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Mude o acesso do grupo Todos os usuários para Visualizar na pasta compartilhada.
- Remova Todos os usuários de qualquer pasta que não deva ser visível para toda a empresa.
Planejar sua estrutura
Quem você quer que tenha acesso a determinadas pastas? Para facilitar sua vida, desenhe o plano antes de começar a configurar o acesso. Isso também oferece um lugar para você verificar as mudanças ao longo do processo, para que não seja necessário voltar para verificar várias pastas. Colocar os usuários em grupos ajuda a gerenciar o acesso de diferentes departamentos ou equipes da empresa.
Uma das configurações mais comuns é ter uma pasta por departamento ou equipe, que fica assim:
- Na pasta "Compartilhada", crie uma pasta para um departamento, uma equipe ou um projeto. Nesta seção, vamos usar o exemplo de uma equipe de finanças.
- Dê ao CFO (ou ao principal analista de finanças) o acesso Gerenciar acesso, Editar nessa pasta. Conceda acesso de leitura ao restante da equipe.
- Crie duas subpastas: uma para conteúdo editável e outra para conteúdo somente leitura. Se necessário, adicione uma terceira subpasta para conteúdo particular.
- Na subpasta de conteúdo editável, conceda Gerenciar acesso, Editar a toda a equipe de finanças usando um grupo de finanças. Depois de conceder esse nível de acesso ao grupo Finanças, todos os membros dele poderão adicionar, excluir ou alterar o conteúdo dessa subpasta.
- Na subpasta de conteúdo somente leitura, conceda acesso de leitura a todo o grupo de finanças. O CFO ainda pode Gerenciar acesso, editar o conteúdo nessa pasta, porque ele herda esse acesso da pasta principal de Finanças.
- Na subpasta particular (opcional), remova o grupo Finanças completamente. Somente o CFO pode acessar essa pasta ou gerenciar o conteúdo dela.
Configurar grupos para fornecer acesso granular
Se você planeja restringir o acesso ao conteúdo, os grupos do Looker facilitam muito as coisas. Os grupos podem receber acesso a pastas e subpastas da mesma forma que os usuários, e podem conter outros grupos. Para saber como configurar grupos, consulte a página "Grupos".
Comece definindo o acesso a subpastas individuais e depois avance para definir o acesso a toda a pasta compartilhada. Como o acesso flui para baixo na hierarquia de pastas, é mais seguro começar manipulando o acesso às subpastas mais baixas individualmente. Depois, você pode subir pelas pastas principais, atribuindo o nível de acesso que quiser e garantindo que as mudanças não entrem em conflito com as decisões tomadas nos níveis mais baixos.
Neste exemplo, vamos começar com as subpastas dentro da pasta "Compartilhada". Gerenciar essas configurações na seção Acesso ao conteúdo do painel Administrador:
- Defina cada pasta na pasta compartilhada como Uma lista personalizada de usuários.
Atribua o acesso Gerenciar acesso, Editar aos usuários e grupos que você quer que editem o conteúdo.
Atribua acesso de leitura aos usuários e grupos que você quer que tenham acesso somente leitura.
Até que você mude as configurações da pasta "Compartilhada" de nível superior, nada vai entrar em vigor. O nível de acesso do grupo Todos os usuários é definido como Gerenciar acesso, Editar na pasta "Compartilhada" e é aplicado a todas as subpastas individuais. Não é possível modificar as configurações de Todos os usuários em subpastas individuais até que o nível de acesso desse grupo seja alterado na pasta compartilhada.
Clique na pasta que você quer configurar e em Gerenciar acesso.
Mude o acesso do grupo Todos os usuários para Visualizar na pasta compartilhada
É quando as mudanças entram em vigor. Consulte o plano da sua estrutura.
Primeiro, a menos que você queira que todos tenham acesso de edição a todo o conteúdo do sistema, clique em Gerenciar acesso na pasta compartilhada e altere Todos os usuários de Gerenciar acesso, Editar para Visualizar.
Se o seu plano for mostrar determinadas subpastas apenas para determinados grupos, continue na próxima seção.
Remova o grupo Todos os usuários das pastas que você não quer que sejam acessíveis
Para tornar uma pasta particular para um determinado subgrupo de usuários, remova Todos os usuários completamente dessas pastas usando o X à direita do nível de acesso da pasta. Agora a pasta só vai aparecer para usuários e grupos listados explicitamente.
Como configurar um sistema fechado
O Looker oferece uma opção de sistema fechado que faz as seguintes mudanças:
- Remove o grupo Todos os usuários. Não será possível se referir a todos os usuários do sistema como um grupo. Em vez disso, os administradores do Looker precisam criar um grupo por locatário ou cliente, conforme discutido na seção Configurar grupos para fornecer acesso granular. Para esta discussão, vamos supor que cada cliente seja uma empresa.
- Torna todas as pastas do usuário privadas por padrão. Os usuários ainda podem compartilhar o conteúdo das pastas com outros membros dos grupos.
Impedem que os usuários vejam outros usuários, a menos que eles compartilhem um grupo. Portanto, se um usuário for membro do grupo da Empresa C, ele só vai ter acesso a outros membros da Empresa C, e não aos membros das Empresas A e B.
A Página inicial: conteúdo visualizado recentemente é um exemplo de lugar no Looker em que o usuário só vai encontrar outros membros da Empresa C e o conteúdo deles.
Estas etapas vão ajudar você a configurar um sistema fechado:
- Peça a opção Sistema fechado.
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Ative o sistema fechado no painel Administrador.
- Dê a cada grupo de empresas no seu sistema acesso de leitura à pasta compartilhada.
- Configure os níveis de acesso para cada subpasta das pastas compartilhadas.
- Migrar conteúdo para subpastas.
Estas etapas pressupõem que nenhum conteúdo para usuários multilocatários esteja armazenado nas pastas compartilhadas. Para isolar o conteúdo em um sistema fechado e impedir que clientes ou outros grupos se encontrem, mova esse conteúdo da pasta "Compartilhada" para subpastas separadas antes de iniciar as etapas a seguir.
Pedir a opção de sistema fechado
Para solicitar que a opção Sistema fechado seja ativada para sua instância, entre em contato com um especialista em vendas do Google Cloud ou abra uma solicitação de suporte.
Planejar sua estrutura
A configuração antecipada do plano facilita muito a configuração do sistema. Há duas áreas principais a considerar:
Primeiro, crie um grupo para cada empresa. Um grupo de empresas associa todos os usuários de cada empresa e mantém esses usuários separados de outras empresas.
Em segundo lugar, considere se você quer que várias empresas acessem a mesma pasta (por exemplo, para painéis relevantes para todas as empresas) ou se você quer uma pasta de nível superior para cada empresa (para conteúdo distinto que se aplica apenas a uma única empresa).
Configurar grupos para fornecer acesso granular
Embora seja necessário ter pelo menos um grupo por empresa, também pode haver subgrupos dentro desse grupo maior. Se você quiser permitir que alguns usuários de uma empresa editem e gerenciem o conteúdo, enquanto outros podem apenas visualizar, crie subgrupos separados para os diferentes tipos de usuários. Por exemplo, você pode começar criando a Empresa A como o grupo guarda-chuva e adicionar dois subgrupos: Editores da Empresa A e Leitores da Empresa A.
Para saber como configurar grupos, consulte a página de documentação Grupos.
Ative a opção "Sistema fechado" no painel Administrador.
É melhor ativar a opção Sistema fechado antes de configurar controles de acesso em pastas, já que a opção Sistema fechado faz mudanças no sistema. Consulte a introdução em Configurar um sistema fechado nesta página. Essa opção está na seção Configurações do painel Geral na seção Administrador do Looker.
Conceder acesso de leitura a cada grupo da empresa à pasta compartilhada
Conceda acesso de leitura a cada grupo de empresas para as pastas compartilhadas. Assim, os membros desses grupos podem acessar a pasta "Shared" e conferir a pasta da própria empresa. Se um grupo não tiver acesso de leitura às pastas compartilhadas, ele não vai conseguir acessar as pastas da própria empresa. Gerencie essas configurações na seção Acesso ao conteúdo do painel Administrador.
Configurar os níveis de acesso para cada subpasta
Defina os níveis de acesso para estabelecer quem pode visualizar ou editar o conteúdo em cada subpasta. As subpastas usam as configurações de acesso das pastas mãe até que você as mude. Isso significa que uma empresa com acesso de leitura à pasta compartilhada pode acessar o conteúdo na subpasta de outra empresa, a menos que você restrinja o acesso a essa subpasta. Revise cada subpasta e restrinja o acesso de forma adequada.
Migrar conteúdo para subpastas
Se a sua empresa permitiu que os usuários acessem a própria pasta e outras pastas pessoais, recomendamos migrar o conteúdo dessas pastas para as pastas adequadas na hierarquia principal "Compartilhado".