不同的内容访问权限级别决定了哪些用户可以在 Looker 文件夹中查看和修改内容。权限是根据用户的角色与用户相关联的,而内容访问权限则与文件夹相关联,用于定义文件夹对不同级别的用户的开放程度。
文件夹访问权限的类型
您可以为任何指定文件夹中的每个 Looker 用户或群组分配以下两种访问权限级别之一:
查看:具有此访问权限级别的用户可以查看相应文件夹是否存在,可以查看其中的 Look 和信息中心,还可以复制文件夹中的 Look 和信息中心。
管理访问权限、修改:此访问权限级别允许用户执行查看访问权限级别允许的所有操作,还可以对文件夹进行更改,例如:
如需进一步了解内容访问权限和许可权,请参阅控制用户内容访问权限和内容访问权限和许可权如何相互影响。
文件夹的开放式和封闭式访问系统
Looker 的设置可帮助您根据公司政策和与文件夹互动的用户类型来设置用户访问权限。一般来说,您设计的系统将属于以下三大类之一:完全开放、开放但有限制或封闭。
| 文件夹访问权限级别 | 说明 | 建议用途 |
|---|---|---|
| 完全打开 | 所有用户都可以查看和修改所有共享内容。这是 Looker 的默认配置。 | 建议使用 Looker 的小型公司或团队、对数据采取开放政策的公司以及将共享可修改的报告作为主要使用场景的公司使用开放系统。 |
| 开放,但有限制 | 对共享内容的访问权限受到某种限制,因此只有部分人员可以修改特定内容,或者某些内容对特定人员完全不可见。 | 对于中型或大型团队和公司、用户群高度多样化(报告不适合所有人)的公司,或者希望所有人都能查看内容但只有少数人能修改内容的公司,建议使用受限的开放系统。 |
| 已关闭 | 这种系统也称为多租户安装,可将内容隔离到特定群组,并防止不同群组的用户相互了解。 | 为了保护客户的私人信息,我们强烈建议在以下用例中使用封闭式系统:自有品牌和签名嵌入,客户将来自不同公司或群组的客户端托管到系统中,这些客户彼此之间不应了解对方的信息。 |
确定要使用的系统类型后,本页将引导您完成配置步骤。对于初始设置,我们建议您使用管理面板的内容访问权限部分,因为您可以在一个位置更改每个文件夹的设置。
对文件夹的访问权限如何影响其子文件夹
在决定要将系统设置为开放还是封闭之前,请务必了解您在父文件夹中设置的访问权限级别会如何影响其子文件夹,以及您可以在层次结构中的较低级别更改哪些内容,又无法更改哪些内容。
| 访问类型 | 遗传模式 | 说明 |
|---|---|---|
| 管理访问权限、修改 | 一直向下传递到文件夹层次结构的底部 | 一旦您向用户授予文件夹中管理访问权限、修改的访问权限,他们将保留对该文件夹中的所有 Look、信息中心和子文件夹的相应访问权限级别。您将无法在文件夹层次结构的较低层锁定其访问权限。 |
| 查看 | 可以在文件夹层次结构中的任何位置移除 | 在文件夹级层移除查看权限会撤消用户查看相应文件夹及其所有内容的权限。您还可以在层次结构中较低的任何位置移除查看权限,以限制用户查看可查看文件夹中的特定 Look、信息中心或子文件夹。 |
Looker 管理员拥有对所有文件夹(以及所有内容)的管理访问权限、修改权限。这样可确保他们能够管理系统、防止出现孤立内容,并帮助遇到问题的用户。
配置完全开放的系统
Looker 的默认配置允许完全开放地访问所有文件夹。为“共享”文件夹分配了所有用户群组的管理访问权限、修改权限,并且“共享”文件夹中的所有子文件夹都将继承该访问权限。您可以在管理面板的内容访问权限部分管理此设置。
用户对某个文件夹拥有管理访问权限、编辑权限后,也对该文件夹中的所有内容(包括其下的所有子文件夹)拥有管理访问权限、编辑权限。这意味着,此系统中的内容访问权限不受任何限制。
个人文件夹位于单独的层次结构中,并且也有默认设置。所有用户群组对所有个人文件夹的权限都设置为查看。如果用户希望自己的个人文件夹保持私密状态,可以选择从个人文件夹中移除此群组。
配置具有限制的开放系统
以下步骤将帮助您配置受限的开放系统:
规划结构
您希望允许哪些人查看和修改特定文件夹?如果您在开始配置访问权限之前先大致规划一下,那么后续操作会更轻松。您还可以在完成相应步骤后勾选更改,这样就无需返回查看各个文件夹。将用户归入群组有助于您管理公司内不同部门或团队的访问权限。
最常见的配置之一是为每个部门或团队创建一个文件夹,如下所示:
- 在“共享”文件夹中,为部门、团队或项目创建一个文件夹。在本部分中,我们将以财务团队为例。
- 向 CFO(或财务部门的主要分析师)授予该文件夹的管理访问权限、编辑权限。为团队的其他成员授予查看权限。
- 创建两个子文件夹:一个用于可修改的内容,另一个用于只读内容。如果需要,请添加第三个子文件夹来存放私人内容。
- 在可修改内容的子文件夹中,使用财务群组向整个财务团队授予管理访问权限、修改权限。向财务群组授予该级别的访问权限后,该群组的所有成员都可以添加、删除或更改相应子文件夹中的内容。
- 在只读内容对应的子文件夹中,向整个财务群组授予查看权限。由于 CFO 从主“财务”文件夹继承了相应访问权限,因此仍可管理访问权限、修改此文件夹中的内容。
- 在(可选)私密子文件夹中,完全移除“财务”群组。只有 CFO 可以查看此文件夹或管理其内容。
配置群组以提供精细的访问权限
如果您打算限制对内容的访问权限,Looker 群组可让您轻松实现这一目标。您可以像授予用户文件夹和子文件夹的访问权限一样,授予群组相应权限,并且群组可以包含其他群组。如需了解如何配置群组,请参阅“群组”页面。
首先为各个子文件夹设置访问权限,然后逐步为整个共享文件夹设置访问权限。由于访问权限会沿文件夹层次结构向下传递,因此最安全的做法是先单独操作最低级子文件夹的访问权限。然后,您可以逐级向上移动到父级文件夹,为它们设置所需的访问权限级别,并确保您的更改不会与您在较低级别做出的决定相冲突。
在此示例中,我们将从“共享”文件夹中的子文件夹开始。您可以在管理面板的内容访问权限部分管理这些设置:
- 将“共享”文件夹中的每个文件夹设置为自定义用户列表。
为需要能够修改内容的用户和群组分配管理访问权限、修改访问权限。
为要拥有只读权限的用户和群组分配查看权限。
在您更改顶级共享文件夹的设置之前,任何设置都不会生效。“所有用户”群组的访问权限级别在共享文件夹中设置为“管理访问权限、修改”,并向下传递到所有各个子文件夹。在共享文件夹中更改所有用户群组的访问权限级别之前,您无法修改各个子文件夹中该群组的设置。
点击要配置的文件夹,然后点击管理访问权限。
将所有用户群组对共享文件夹的访问权限更改为查看
这是您的更改生效的时间。请务必参考您所在结构的方案。
首先,除非您希望所有人都能编辑系统中的所有内容,否则请点击“共享”文件夹的管理访问权限,然后将所有用户的权限从管理访问权限、编辑更改为查看。
然后,如果您打算仅向特定群组显示某些子文件夹,请继续阅读下一部分。
从您不想公开的文件夹中移除所有用户群组
如需将某个文件夹设为仅对特定用户子群组私密,请使用文件夹访问权限级别右侧的 X 从相应文件夹中完全移除所有用户。现在,只有您明确列出的用户和群组才能看到相应文件夹。
配置封闭式系统
Looker 提供封闭式系统选项,可进行以下更改:
- 移除所有用户群组。您将无法将系统中的所有用户视为一个群组。相反,Looker 管理员应为每个租户(或客户)创建一个群组,如配置群组以提供精细的访问权限部分中所述。在此讨论中,我们将假设每位客户都是一家公司。
- 默认情况下,将所有用户文件夹设为不公开。用户仍然可以选择与群组的其他成员共享其文件夹中的内容。
防止用户看到其他用户,除非他们同属一个群组。因此,如果某个用户是公司 C 群组的成员,那么该用户将只能看到公司 C 的其他成员,而无法看到公司 A 和公司 B 的成员。
首页:最近查看的内容是 Looker 中的一个示例,在该页面中,用户只会看到公司 C 的其他成员及其内容。
以下步骤将帮助您配置封闭式系统:
- 要求使用封闭式系统选项。
- 规划结构。
- 配置群组以提供精细的访问权限。
- 在管理面板中启用封闭式系统。
- 为系统中的每个公司群组授予共享文件夹的查看权限。
- 为“共享文件夹”的每个子文件夹配置访问权限级别。
- 将内容迁移到子文件夹中。
这些步骤假定,多租户用户没有任何内容存储在共享文件夹中。如需在封闭式系统中隔离内容,并防止客户或其他群组看到彼此的内容,请在开始执行以下步骤之前,将所有此类内容移出“共享”文件夹,并移入单独的子文件夹中。
询问封闭式系统选项
如需为您的实例请求启用封闭系统选项,请与 Google Cloud 销售专员联系或提交支持请求。
规划结构
如果您已提前设置好方案,则可以更轻松地设置系统。您需要考虑以下两个主要方面:
首先,请务必为每家公司创建一个群组。公司群组会将每家公司的所有用户关联在一起,并使这些用户与其他公司的用户分开。
其次,考虑您是否希望让多家公司查看同一文件夹(例如,对于与所有公司相关的信息中心),或者是否希望为每家公司设置一个顶级文件夹(对于仅适用于单个公司的不同内容)。
配置群组以提供精细的访问权限
虽然每家公司至少应有一个群组,但该群组内也可能包含子群组。如果您想允许公司中的某些用户修改和管理内容,同时只允许其他用户查看内容,则可以为不同类型的用户创建单独的子群组。例如,您可以先创建公司 A 作为父群组,然后添加两个子群组:公司 A 的编辑者和公司 A 的查看者。
如需了解如何配置群组,请参阅群组文档页面。
在管理面板中启用“封闭式系统”选项
最好在设置任何文件夹访问控制之前启用封闭系统选项,因为启用封闭系统选项会更改您的系统(请参阅本页上的配置封闭系统简介)。此选项位于 Looker 的管理部分的常规面板中的设置部分。
为每个公司群组授予共享文件夹的“查看”访问权限
为每个公司群组授予对共享文件夹的查看权限。这样,这些群组的成员就可以访问“共享”文件夹,并查看其中自己公司的文件夹。如果群组没有共享文件夹的查看权限,则无法查看自己公司的文件夹。您可以在管理面板的内容访问权限部分管理这些设置。
为每个子文件夹配置访问权限级别
设置访问权限级别,以确定哪些人可以查看或修改每个子文件夹中的内容。在您更改子文件夹的访问权限设置之前,子文件夹默认采用其父文件夹的访问权限设置。这意味着,如果某公司对共享文件夹拥有查看权限,则可以查看另一公司子文件夹中的内容,除非您限制对该子文件夹的访问权限。查看每个子文件夹,并根据需要限制访问权限。
将内容迁移到子文件夹中
如果贵公司允许用户查看自己的文件夹和其他个人文件夹,我们建议您将这些个人文件夹中的所有内容迁移到主共享层次结构中的相应文件夹。