コンテンツ アクセスのレベルによって、Looker のフォルダ内のコンテンツを表示および編集できるユーザーが決まります。権限は、ユーザーのロールに従ってユーザーに関連付けられますが、コンテンツ アクセスはフォルダに関連付けられ、さまざまなレベルのユーザーに対するフォルダのオープン度が定義されます。
フォルダへのアクセスのタイプ
任意のフォルダの Looker ユーザーまたはグループのいずれかに、2 つのアクセスレベルのいずれかを割り当てることができます。
View: このアクセスレベルでは、フォルダが存在することの確認、フォルダ内の Look とダッシュボードの表示、フォルダ内の Look とダッシュボードのコピーができます。
Manage Access, Edit: このアクセスレベルにより、ユーザーは View アクセスレベルのすべての操作に加えて、次のようなフォルダを変更できます。
コンテンツ アクセスと権限の詳細については、ユーザー コンテンツ アクセスの制御とコンテンツ アクセスと権限の関係をご覧ください。
フォルダへのアクセスのオープンシステムとクローズドシステム
Looker の設定では、会社のポリシーや、フォルダを操作するユーザーの種類に基づいて、ユーザーアクセスを構築できます。一般に、作成するシステムは、完全オープン、制限付きオープン、クローズドという3つの主なカテゴリに分類されます。
| フォルダへのアクセスのレベル | 説明 | 推奨される使い方 |
|---|---|---|
| 完全にオープン | すべてのユーザーが、すべての共有コンテンツを表示および変更できます。 これが Looker のデフォルト構成です。 | オープンなシステムは、Lookerを使用する小規模企業やチーム、データに関してオープンなポリシーを持つ企業、編集可能なレポートの共有が主に必要な企業に推奨されます。 |
| 制限付きオープン | 共有コンテンツへのアクセスをなんらかの方法で制限して、特定のユーザーのみが特定のコンテンツを編集できるようにするか、特定のコンテンツを特定のユーザーがまったく表示できないようにします。 | 制限付きオープン システムが推奨されるのは、大規模または中規模のチームや会社においてユーザーベースが多様で、ユーザー全員にレポートが関連するわけではない場合、または、ユーザー全員にコンテンツを閲覧可能にする一方で、編集できるユーザーを少人数に抑える必要がある場合です。 |
| クローズド | マルチテナントインストールとも呼ばれるこのシステムでは、コンテンツを特定のグループにサイロ化し、異なるグループのユーザー間では情報を共有しません。 | 顧客の個人情報を保護するために、非公開ラベルや署名付き埋め込みのユースケースではクローズド システムを使用することを強くおすすめします。これらのユースケースでは、お客様がさまざまな会社やグループに所属するクライアントをシステムでホストすることから、互いの情報を入手できないようにする必要があるためです。 |
必要なシステムの種類が決まったら、このページで説明する手順に従って設定を進めることができます。 初期設定では、[管理] パネルの [コンテンツ アクセス] セクションを使用することをおすすめします。このセクションを使用すれば 1 か所で各フォルダを変更できます。
フォルダへのアクセスがサブフォルダに与える影響
システムをどの程度オープンまたはクローズにするかを決定する前に、親フォルダで設定したアクセスレベルがサブフォルダにどう影響するか、また階層内の下位レベルで変更できることとできないことを理解しておく必要があります。
| アクセスタイプ | 継承パターン | 説明 |
|---|---|---|
| Manage Access, Edit | フォルダ階層の最下位まで適用される | フォルダ内でユーザーに [Manage Access, Edit] へのアクセス権を付与すると、そのフォルダ内のすべての Look、ダッシュボード、サブフォルダへのアクセス権が維持されます。フォルダ階層の下位部分でこのアクセス権をロックすることはできません。 |
| 表示 | フォルダ階層の任意の部分で削除可能 | フォルダレベルで [View] アクセス権を削除すると、ユーザーはそのフォルダとそのすべてのコンテンツにアクセスできなくなります。階層の下位にある任意の時点で [View] アクセス権を削除することで、閲覧可能なフォルダ内の特定の Look、ダッシュボード、サブフォルダをユーザーが表示できないようにすることもできます。 |
Looker 管理者には、すべてのフォルダおよびすべてのコンテンツに対する [Manage Access, Edit] アクセス権があります。Look管理者はこの権限を持っているので、システムを管理し、コンテンツの孤立を防止し、問題を抱えているユーザーを支援することができます。
完全にオープンなシステムの設定
Looker のデフォルト設定を使用すると、すべてのフォルダへのアクセスは完全にオープンになります。すべてのユーザー グループが共有フォルダの [Manage Access, Edit] に割り当てられ、共有フォルダ内のすべてのサブフォルダがそこからアクセスを継承します。この設定は、[管理者] パネルの [コンテンツ アクセス] セクションで管理します。
フォルダに対する [Manage Access, Edit] アクセス権を取得すると、そのフォルダ内のすべてのサブフォルダを含む、すべてのコンテンツに対する [Manage Access, Edit] アクセス権も付与されます。つまり、このシステムではコンテンツのアクセスに制限がありません。
個人のフォルダは別の階層にあり、これにもデフォルトの設定があります。 [すべてのユーザー] グループは、すべての個人フォルダで [View] に設定されています。各ユーザーは、自身の個人用フォルダを限定公開にする場合は、個人用フォルダからこのグループを削除できます。
制限付きオープンのシステムの設定
制限付きオープンのシステムを設定する手順は、以下の通りです。
- 構造のプランを作成する
- グループを構成して、アクセス権限を細かく指定します。
- 共有フォルダの [すべてのユーザー] グループのアクセス権を [VIew] に変更します。
- 会社全体で表示したくないフォルダから、[すべてのユーザー] を削除します。
構造のプランを作成する
特定のフォルダの表示や編集をだれに対して許可しますか。 アクセス権の構成を開始する前に大まかなプランを決めておくと、その後の作業が非常に楽になります。また、変更箇所をチェックしながら手順を進めることができるので、さまざまなフォルダを何度もチェックし直す必要がなくなります。ユーザーをグループにまとめると、社内のさまざまな部門やチームのアクセスを管理しやすくなります。
最も一般的な設定方法は、部門やチームごとに1つのフォルダを設置することです。例えば、次のようにします。
- 共有フォルダ内に、部門、チームまたはプロジェクトのフォルダを作成します。 このセクションでは、財務チームを例にします。
- CFO(または財務担当メイン アナリスト)に、このフォルダに対する [Manage Access, Edit] の権限を付与します。チームメンバーに [View] 権限を付与します。
- 2 つのサブフォルダを作成します。1 つは編集可能なコンテンツ用、もう 1 つは読み取り専用コンテンツ用です。必要に応じて、プライベートコンテンツ用に3つ目のサブフォルダを追加します。
- 編集可能なコンテンツのサブフォルダで、Finance グループを使用して、財務チーム全体に対する [Manage Access, Edit] アクセス権を付与します。Financeグループにこのレベルのアクセス権を付与すると、グループのメンバーすべてがそのサブフォルダ内のコンテンツを追加、削除、変更できます。
- 読み取り専用コンテンツのサブフォルダで、財務グループ全体に対する [VIew] アクセス権を付与します。CFO はメインの Finance フォルダからアクセス権を継承するため、引き続きこのフォルダ内のコンテンツに対してもアクセス権の管理、編集を行うことができます。
- (オプションの)プライベートサブフォルダから、Financeグループを完全に削除します。 CFOだけがこのフォルダを表示し、そのコンテンツを管理できます。
グループを設定して、アクセス権限を細かく指定します。
コンテンツへのアクセスを制限する場合、Looker のグループを使うと作業を簡単に行えます。グループには、ユーザーの場合と同じようにして、フォルダとサブフォルダにアクセス権を付与することができます。グループ内には他のグループを含めることができます。 グループの構成方法については、グループページをご覧ください。
まず個々のサブフォルダへのアクセス権を設定してから、共有フォルダ全体のアクセス権を設定します。これは、フォルダの上位階層のアクセス権が下位にも適用されるため、先に最下位のサブフォルダのアクセス権を個別に設定しておくと安全だからです。その後、上位に移動して親レベルのフォルダに必要なアクセスレベルを設定し、その変更が下位レベルで行った設定と競合していないことを確認します。
この例では、共有フォルダ内にあるサブフォルダから始めます。これらの設定は、[管理者] パネルの [コンテンツ アクセス] セクションで管理します。
- 共有フォルダ内の各フォルダを [ユーザーのカスタムリスト] に設定します。
コンテンツの編集を許可するユーザーとグループに、[アクセスを管理、編集] アクセス権を割り当てます。
読み取り専用アクセス権を付与するユーザーとグループに、[View] アクセス権を割り当てます。
最上位の共有フォルダの設定を変更するまでは、どの設定も有効になりません。全ユーザーグループのアクセスレベルが共有フォルダで [Manage Access, Edit] に設定されると、下位にある個々のサブフォルダすべてに適用されます。共有フォルダで対象グループのアクセスレベルを変更するまで、個々のサブフォルダの [すべてのユーザー] の設定を変更することはできません。
構成するフォルダをクリックし、[アクセスを管理] をクリックします。
共有フォルダの [すべてのユーザー] グループのアクセス権を [View] に変更します
この時点で変更が有効になります。 構造のプランを確認してください。
まず、システム内のすべてのコンテンツに対する編集アクセス権をすべてのユーザーに付与するのではない限り、共有フォルダの [アクセスの管理] をクリックし、全ユーザーを [アクセスの管理、編集] から [View] に変更します。
特定のサブフォルダを特定のグループのみに表示する予定の場合は、次のセクションに進みます。
表示を許可しないすべてのユーザー グループをフォルダから削除する
フォルダを特定のユーザーのサブグループに限定公開するには、フォルダのアクセスレベルの右側にある X を使用して、フォルダから [すべてのユーザー] を完全に削除します。フォルダは、明示的に指定したユーザーとグループにのみ表示されます。
クローズドシステムの設定
Looker のクローズド システム オプションを使って、次の変更を行うことができます。
- すべてのユーザー グループが削除されます。したがって、システムのすべてのユーザーを 1 つのグループとして参照する手段がなくなります。代わりに、Looker管理者は、以下で説明するように、テナント(つまり顧客)ごとに1つのグループを作成する必要があります。 以下の説明では、各顧客が会社であるとします。
- デフォルトですべてのユーザーフォルダをプライベートにする。 ただし、ユーザーは自分のフォルダ内のコンテンツをグループの他のメンバーと共有することはできます。
ユーザーがグループを共有しない限り、他のユーザーが表示されないようにする。 例えば、ユーザーがC社グループのメンバーである場合、そのユーザーに表示されるのはC社の他のメンバーのみで、A社とB社のメンバーは表示されません。
ホームページ: 最近表示したコンテンツは、Looker でユーザーに C 社のメンバーとそのコンテンツのみを表示する例です。
クローズドシステムを設定する手順は、以下の通りです。
- クローズド システム オプションを依頼します。
- 構造のプランを作成します。
- グループを構成して、アクセス権限を細かく指定します。
- [管理者] パネルでクローズド システム オプションを有効にします。
- システムの各会社グループに共有フォルダの [View] アクセス権を付与します。
- 共有フォルダの各サブフォルダのアクセスレベルを構成します。
- コンテンツをサブフォルダに移行します。
これらの手順では、マルチテナント ユーザー用のコンテンツが共有フォルダに現在格納されていないことを前提としています。クローズド システムでコンテンツをサイロ化し、顧客や他のグループが自分以外のコンテンツを表示できないようにするには、まずコンテンツを共有フォルダから別のサブフォルダに移動してから以下の手順を行います。
クローズドシステムオプションを依頼する
インスタンスでクローズド システム オプションを有効にするには、Google Cloud セールス スペシャリストにお問い合わせいただくか、サポート リクエストを開きます。
構造のプランを作成する
プランを事前に設定しておけば、システムの設定を簡単に行うことができます。 ここで次の2つの重要な点を考えます。
まず、会社ごとにグループを作成します。 会社グループは会社ごとにすべてのユーザーをまとめて関連付けたもので、各会社のユーザーを他の会社と分けて管理します。
次に、複数の会社が同じフォルダを表示できるようにするか(すべての会社に関連する Dashboard など)、または会社ごとに最上位フォルダを 1 つずつ設置するか(1 つの会社のみに該当する個別コンテンツの場合など)を検討します。
グループを設定して、アクセス権限を細かく指定します。
会社ごとに少なくとも 1 つのグループが必要ですが、そのサイズが大きなグループ内にサブグループを作成することもできます。ある会社の一部のユーザーにコンテンツの編集と管理を許可し、他のユーザーにコンテンツの表示のみを許可する場合は、異なるユーザータイプに別のサブグループを作成できます。例えば、A 社を最上位組織として作成してから、A 社の編集者および A 社の閲覧者の 2 つのサブグループを追加することができます。
グループの構成方法については、グループのドキュメント ページをご覧ください。
[管理者] パネルでクローズド システム オプションを有効にする
[クローズド システム] オプションを有効にすると、システムが変更されるため、フォルダのアクセス制御を設定する前に、[クローズド システム] オプションを有効にすることをおすすめします(詳しくは、クローズド システムの構成の導入部をご覧ください)。このオプションは、Looker の [管理者] セクションにある [一般] パネルの [設定] セクションにあります。
各会社グループに、共有フォルダの[View]アクセス権限を付与する
共有フォルダの各会社グループに [View] アクセス権を付与します。こうすることで、グループのメンバーは共有フォルダにアクセスして、その中にある自社のフォルダを表示できます。共有フォルダに対する [View] アクセス権がないグループは、会社のフォルダを表示できません。これらの設定は、[管理者] パネルの [コンテンツ アクセス] セクションで管理します。
各サブフォルダのアクセスレベルの設定
各サブフォルダ内のコンテンツを表示または編集できるユーザーを指定するため、アクセスレベルを設定します。 変更しない限り、サブフォルダには親のアクセス設定がデフォルトで設定されます。つまり、共有フォルダに対する [View] アクセス権がある会社は、そのサブフォルダへのアクセスを制限しない限り、別の会社のサブフォルダのコンテンツを表示できます。各サブフォルダを確認して、アクセスを適切に制限してください。
コンテンツをサブフォルダに移行する
ユーザーが自分のフォルダや他の個人用フォルダを表示できるようにする場合は、その個人用フォルダのコンテンツを、メインの共有階層内の適切なフォルダに移行することをお勧めします。