设计和配置访问权限级别系统

不同的内容访问权限级别决定了哪些用户可以查看和修改 Looker 文件夹中的内容。权限会根据用户的角色与用户相关联,而内容访问权限会与文件夹相关联,并定义文件夹对不同级别用户的开放方式。

对文件夹的访问权限类型

您可以为任何给定文件夹的每个 Looker 用户群组分配以下两种访问权限级别之一:

有关内容访问权限和权限的更多讨论,请参阅控制用户内容访问权限以及内容访问权限和权限的交互方式

文件夹访问权限的开放式和封闭式系统

Looker 的设置可帮助您根据贵公司的政策以及将与您的文件夹互动的用户类型来构建用户访问权限。一般来说,您设计的系统将属于以下三类之一:完全开放、有限制的开放或封闭。

对文件夹的访问权限级别 说明 推荐用途
完全打开 所有用户都可以查看和修改所有共享内容。这是 Looker 的默认配置。 建议使用 Looker 的小型公司或团队、对数据采用开放政策的公司,以及将共享可修改的报告作为主要用例的公司采用开放式系统。
打开但有限制 对共享内容的访问受到了一定程度的限制,因此要么只有部分人可以编辑某些内容,要么是对某些人完全看不到部分内容。 对于中型或大型团队和公司、用户群高度多元化(报告对部分用户不相关)的公司,或者希望所有人都能查看内容,但只有少数人可以修改内容的公司,建议采用带有限制的开放式系统。
已关闭 这种系统也称为多租户安装,它会将内容分隔到特定群组,并阻止不同群组的用户互相了解。 为了保护客户的私密信息,我们强烈建议您在以下用例中使用封闭系统:客户将可能来自不同公司或组织且不应相互了解的客户托管到系统中,以便实现自有品牌和已签名嵌入。

确定您所需的系统类型后,此页面会引导您完成配置步骤。对于初始设置,我们建议您使用管理面板的内容访问权限部分,因为您可以在此集中更改每个文件夹。

对文件夹的访问权限对其子文件夹有何影响

在您决定系统对系统的开放或关闭程度之前,请务必先了解您在父级文件夹中设置的访问权限级别将如何影响其子文件夹,以及在层次结构的较低级别可以和无法更改哪些访问权限级别。

访问类型 继承模式 说明
管理访问权限、修改 一直向下流经文件夹层次结构 您向用户授予对某个文件夹中的管理访问权限、修改的访问权限后,他们将保留对该文件夹中的所有 Look、信息中心和子文件夹的访问权限级别。您无法将这些用户的访问权限锁定在文件夹层次结构的较低部分。
查看 可在文件夹层次结构下方的任何位置移除 在文件夹级别移除查看访问权限后,用户将无法再查看该文件夹及其所有内容。您还可以移除层次结构中任何较低层级的查看权限,以限制用户查看其他可查看的文件夹内的特定 Look、信息中心或子文件夹。

Looker 管理员拥有对所有文件夹及所有内容的管理、修改权限。这样一来,他们就可以管理系统、防止内容孤岛,并协助遇到问题的用户。

配置完全开放的系统

Looker 的默认配置允许对所有文件夹完全开放访问权限。所有用户群组被分配了共享文件夹的管理访问权限、修改权限,共享文件夹中的所有子文件夹都将继承该访问权限。您可以在管理面板的内容访问权限部分管理此设置。

用户对某个文件夹拥有管理访问权限、修改权限后,还会对该文件夹中的所有内容(包括其下的所有子文件夹)拥有管理访问权限、修改权限。这意味着,此系统中的内容访问没有任何限制。

个人文件夹位于单独的层次结构中,并且还具有默认设置。并将“所有用户”群组设为针对所有个人文件夹的查看如果用户希望自己的个人文件夹设为私享,可以选择从个人文件夹中移除此群组。

配置受限的开放式系统

以下步骤可帮助您配置受限的开放式系统:

  1. 规划您的结构。
  2. 配置群组以提供精细访问权限
  3. 将“所有用户”群组的访问权限更改为共享文件夹的查看权限。
  4. 从您不希望全公司用户查看的任何文件夹中移除所有用户

规划结构

您想允许谁查看和修改特定文件夹?在开始配置访问权限之前,最好先草拟出方案。这也为您提供了一个在执行过程中检查更改的地方,这样您就不必回头检查各个文件夹了。将用户划分到群组有助于您管理贵公司不同部门或团队的访问权限。

最常见的一种配置是为每个部门或团队设置一个文件夹,如下所示:

  • 在“共享”文件夹中,为部门、团队或项目创建文件夹。在本部分中,我们将以财务团队为例。
  • 向 CFO(或财务部门的主要分析师)授予对该文件夹的管理访问权限、修改权限。向团队的其余成员授予查看权限。
  • 创建两个子文件夹:一个用于可修改内容,另一个用于只读内容。如果需要,请为私密内容添加第三个子文件夹。
  • 在可修改内容的子文件夹中,使用“财务”群组向整个财务团队授予管理访问权限、修改权限。向“财务”群组授予该级别的访问权限后,该群组的所有成员都可以在该子文件夹中添加、删除或更改内容。
  • 在包含只读内容的子文件夹中,向整个“财务”群组授予查看权限。首席财务官仍可以管理访问权限、修改此文件夹中的内容,因为他们从“财务”主文件夹继承了相应访问权限。
  • 在(可选)私有子文件夹中,完全移除“财务”群组。只有 CFO 才能查看此文件夹或管理其内容。

配置群组以提供精细的访问权限

如果您打算限制对内容的访问权限,Looker 组可让您轻松实现这一目标。您可以像用户一样向群组授予文件夹和子文件夹的访问权限,群组可以包含其他群组。如需了解如何配置组,请参阅“组”页面

首先设置对各个子文件夹的访问权限,然后再设置对整个“共享”文件夹的访问权限。由于访问权限是沿着文件夹的层次结构向下延伸的,因此最安全的做法是分别控制对最低级别子文件夹的访问权限。然后,您可以向上移动到父级文件夹,为其授予所需的访问权限级别,并确保所做的更改不会与您在较低级别做出的决定冲突。

在本示例中,我们将从共享文件夹中的子文件夹开始。在管理面板的内容访问部分中管理这些设置:

  1. 将“共享”文件夹中的每个文件夹都设为自定义用户列表
  2. 向您希望拥有修改内容的用户和群组分配管理访问权限、修改权限。

  3. 向您希望拥有只读权限的用户和群组分配查看权限。

在您更改顶级共享文件夹的设置之前,不会生效。所有用户群组的访问权限级别被设为共享文件夹中的管理访问权限、修改,并向下流经各个子文件夹。您无法修改各个子文件夹中的所有用户的设置,除非在“共享文件夹”中更改相应群组的访问权限级别。

点击您要配置的文件夹,然后点击管理访问权限

所有用户群组对共享文件夹的访问权限更改为查看

您的更改将在此生效。请务必参阅结构方案

首先,除非您希望每个人都拥有您系统中所有内容的编辑权限,否则请点击共享文件夹的管理访问权限,并将所有用户管理访问权限、修改更改为查看

然后,如果您打算仅向特定群组显示特定子文件夹,请继续阅读下一部分

所有用户群组从您不希望其查看的文件夹中移除

要将文件夹设为仅对特定用户群组使用,请使用文件夹访问权限级别右侧的 X所有用户从这些文件夹中完全移除。现在,系统只会在您明确列出的用户和群组中显示该文件夹。

配置封闭系统

Looker 提供封闭系统选项,可进行以下更改:

  • 移除所有用户群组。您将无法将系统中的所有用户视为一个群组。如配置群组以提供精细访问权限部分所述,Looker 管理员应为每个租户或客户创建一个群组。对于此讨论,我们假定每位客户都是一家公司。
  • 默认情况下将所有用户文件夹设为不公开。用户仍然可以选择与其群组中的其他成员共享自己文件夹中的内容。
  • 阻止用户查看除自己以外的其他用户,除非他们与自己同属一个群组。因此,如果用户是公司 C 群组的成员,则该用户只会看到公司 C 的其他成员,而不会看到公司 A 和 B 的成员。

    首页:近期查看的内容就是 Looker 中的一个位置,在该位置,用户只能看到 C 公司的其他成员及其内容。

以下步骤将帮助您配置封闭系统:

  1. 选择封闭系统选项。
  2. 规划您的结构。
  3. 配置群组以提供精细的访问权限。
  4. 管理面板中启用封闭式系统。
  5. 向系统中的每个公司群组授予对共享文件夹的查看权限。
  6. 为共享文件夹的每个子文件夹配置访问权限级别。
  7. 将内容迁移到子文件夹中。

以下步骤假定共享文件夹中没有包含多租户用户的内容。如要将内容存储在封闭系统之下,并避免客户或其他群组相互看到对方,请先将任何此类内容从共享文件夹移至单独的子文件夹中,然后再开始执行以下步骤。

询问“封闭式系统”选项

如需请求为您的实例启用封闭式系统选项,请与 Google Cloud 销售专员联系创建支持请求

规划您的结构

如果您提前设置了计划,设置将大大简化。需要考虑以下两个主要方面:

首先,请务必为每家公司创建一个群组。公司群组会将每家公司的所有用户关联在一起,并将这些用户与其他公司区分开来。

其次,考虑您是希望让多家公司查看同一个文件夹(例如,与所有公司相关的信息中心),还是需要为每家公司创建一个顶级文件夹(用于只应用于一家公司的不同内容)。

配置群组以提供精细的访问权限

虽然每个公司都应至少有一个组,但该大组中可能还包含子组。如果您想允许公司的部分用户编辑和管理内容,而让其他用户只能查看内容,您可以为不同类型的用户创建单独的子群组。例如,您可以先创建“A 公司”作为伞式群组,然后添加两个子群组:“A 公司的编辑者”和“A 公司的查看者”。

如需了解如何配置组,请参阅文档页面。

管理面板中启用“封闭式系统”选项

最好先启用封闭系统选项,然后再为文件夹设置任何访问控制,因为启用封闭系统选项会更改系统(请参阅本页面上配置封闭系统的简介)。此选项位于 Looker 管理部分的常规面板的设置部分。

向每个公司群组授予对共享文件夹的查看权限

向每个公司群组授予对共享文件夹的查看权限。这将允许这些群组的成员访问共享文件夹,并查看其中自己公司的文件夹。如果群组没有共享文件夹的查看权限,则无法查看自己公司的文件夹。您可以在管理面板的内容访问权限部分管理这些设置。

为每个子文件夹配置访问权限级别

设置访问权限级别以确定哪些人可以查看或编辑每个子文件夹中的内容。在您更改设置之前,子文件夹会默认采用其父级文件夹的访问权限设置。也就是说,拥有共享文件夹查看权限的公司可以查看其他公司的子文件夹中的内容,除非您限制了对该子文件夹的访问权限。请检查每个子文件夹,并相应地限制访问权限。

将内容迁移到子文件夹

如果您的公司已允许用户查看自己的文件夹和其他个人文件夹,我们建议将这些个人文件夹中的所有内容迁移到主共享层次结构中的相应文件夹中。