不同级别的内容访问权限决定了哪些用户有权查看和修改 Looker 文件夹中的内容。权限是根据用户的角色与其关联的,而内容访问权限与文件夹相关联,规定了文件夹对各级别用户的开放程度。
对文件夹的访问权限类型
对于任何给定文件夹,您可以将以下任一访问权限级别分配给 Looker 用户或群组:
查看:拥有此访问权限级别的用户可以看到该文件夹的存在,可以查看其中的 Look 和信息中心,还可以复制文件夹中的 Look 和信息中心。
管理访问权限、修改:此访问权限级别允许用户执行查看访问权限级别所能执行的所有操作,此外还可以更改文件夹,例如:
如需查看有关内容访问权限和权限的详细介绍,请参阅控制用户内容访问权限以及内容访问权限与权限如何交互。
开放和封闭的文件夹访问系统
Looker 的设置可帮助您根据贵公司的政策以及将与您的文件夹互动的用户类型来构建用户访问权限。一般来说,您设计的系统可分为三大类:完全开放、有限制的开放或封闭。
| 对文件夹的访问权限级别 | 说明 | 推荐用途 |
|---|---|---|
| 完全打开 | 所有用户都可以查看和修改所有共享内容。这是 Looker 的默认配置。 | 我们建议以下对象使用开放式系统:使用 Looker 的小型公司或团队、制定数据开放政策的公司,以及共享可修改报告的主要用例的公司。 |
| 打开但有限制 | 我们在一定程度上限制了对所分享内容的访问权限,以便确保只有部分人可以编辑特定内容,或者部分内容对某些人完全不可见。 | 我们建议中型或大型的团队和公司、高度多样化的用户群(其中报告并非与所有人相关)或公司希望所有人都能查看内容但只有少数人可以编辑内容,建议使用设有限制的开放系统。 |
| 已关闭 | 该系统也称为多租户安装,系统会将内容孤岛到特定群组,并防止来自不同群组的用户彼此了解。 | 为保护您客户的隐私信息,我们强烈建议您针对私有品牌和有签名的嵌入用例使用封闭式系统,在这些用例中,客户将来自不同公司或群组且不应该知道彼此的客户托管到系统中。 |
确定了所需的系统类型后,本页将引导您完成该系统的配置步骤。在初始设置过程中,我们建议您使用管理面板的内容访问权限部分,因为您可以在此位置更改各个文件夹。
对文件夹的访问权限对其子文件夹有何影响
在决定系统所需的开放或关闭程度之前,请务必先了解您在父级文件夹中设置的访问权限级别将如何影响子文件夹,以及在层次结构的较低级别可以更改和无法更改哪些内容。
| 访问类型 | 继承模式 | 说明 |
|---|---|---|
| 管理访问权限、修改 | 一直向下延伸到文件夹层次结构 | 您为某位用户授予文件夹中管理访问权限、修改的访问权限后,该用户将保留对该文件夹中的所有 Look、信息中心和子文件夹拥有的访问权限级别。您将无法在文件夹层次结构的较低部分锁定这些用户的访问权限。 |
| 查看 | 可在文件夹层次结构中的任意位置移除 | 如果移除文件夹级别的查看权限,则用户将无法再查看该文件夹及其所有内容。您还可以在层次结构中的任意较低位置移除查看访问权限,以限制用户查看其他可查看文件夹中的特定 Look、信息中心或子文件夹。 |
Looker 管理员拥有对所有文件夹及其内容的管理访问权限、修改权限。这样可确保用户能够管理系统、防止出现孤立内容,并帮助遇到问题的用户。
配置完全开放的系统
Looker 的默认配置允许完全开放式地访问所有文件夹。系统会将“所有用户”群组分配给共享文件夹的“管理访问权限、修改”权限,该共享文件夹中的所有子文件夹都将继承其访问权限。您可以在管理面板的内容访问权限部分管理此设置。
用户拥有某个文件夹的管理访问权限、修改权限后,也会对该文件夹中的所有内容(包括该文件夹下的所有子文件夹)拥有管理访问权限、修改权限。这意味着此系统对内容访问权限没有任何限制。
个人文件夹位于单独的层次结构中,并且还有默认设置。系统会将所有个人文件夹的所有用户群组设为查看。如果希望将个人文件夹设为不公开,每个用户都可以选择从个人文件夹中移除此群组。
配置有限制的开放系统
以下步骤将帮助您配置一个设有限制的开放系统:
规划您的结构
您希望允许哪些人查看和修改特定文件夹?您可以在开始配置访问权限之前先草拟方案,让工作更轻松。这也为您提供了一个检查更改过程的位置,这样您就不必返回查看各个文件夹了。将用户放入群组有助于您管理公司内不同部门或团队的访问权限。
最常见的一种配置是为每个部门或团队设置一个文件夹,如下所示:
- 在共享文件夹中,为部门、团队或项目创建一个文件夹。在本部分中,我们将以财务团队为例。
- 向 CFO(或财务部门的主要分析师)授予该文件夹的管理访问权限、修改权限。向团队中的其余成员授予查看权限。
- 创建两个子文件夹:一个用于存放可编辑内容,另一个用于存放只读内容。如果需要,还可以再添加一个子文件夹,用于存放不公开内容。
- 在可修改内容的子文件夹中,使用“财务”群组向整个财务团队授予管理访问权限、修改权限。向“财务”群组授予该访问权限级别后,该群组的所有成员都可以在该子文件夹中添加、删除或更改内容。
- 在只读内容的子文件夹中,向整个“财务”群组授予查看权限。CFO 仍可此文件夹中的管理访问权限、修改内容,因为其继承主“财务”文件夹的权限。
- 在(可选)私人子文件夹中,彻底移除“财务”群组。只有 CFO 才能查看此文件夹或管理其内容。
配置群组以提供精细的访问权限
如果您打算限制对内容的访问权限,Looker 群组会大大简化相关操作。您可以向群组授予文件夹和子文件夹的访问权限,就像向用户授予的访问权限,群组可以包含其他群组。如需了解如何配置群组,请参阅群组页面。
首先设置对各个子文件夹的访问权限,然后再设置对整个共享文件夹的访问权限。由于访问权限沿文件夹层次结构向下流动,因此最安全的做法是分别操控对最低层级的子文件夹的访问权限。然后,您可以在父级文件夹中向上移动文件夹,为文件夹提供您所需的访问权限级别,并确保您所做的更改不会与您在较低级别所做的决定冲突。
在此例中,我们将从共享文件夹中的子文件夹开始。您可以在管理面板的内容访问权限部分管理这些设置:
- 将共享文件夹中的每个文件夹都设置为自定义用户列表。
为您希望拥有内容修改权限的用户和群组分配管理访问权限、修改权限。
为您要授予其只读权限的用户和群组分配“查看”权限。
更改顶级共享文件夹的设置之前,一切都不会生效。“所有用户”群组的访问权限级别设置为“共享文件夹”中的管理访问权限,修改,并向下流经所有子文件夹。您无法在单个子文件夹中修改“所有用户”的设置,除非在共享文件夹中更改了相应群组的访问权限级别。
点击要配置的文件夹,然后点击管理访问权限。
将所有用户群组对共享文件夹的查看权限更改为
您的更改会在此时生效。请务必参阅适用于您的结构的方案。
首先,除非您希望所有人都拥有您系统中所有内容的编辑权限,否则请点击共享文件夹的管理访问权限,然后将所有用户从管理访问权限、修改更改为查看。
然后,如果您计划仅向特定群组显示某些子文件夹,请继续阅读下一部分。
从您不希望查看的文件夹中移除“所有用户”群组
如需将某个文件夹设为仅对特定子群组的用户可见,请使用该文件夹访问权限级别右侧的 X 从这些文件夹中彻底移除所有用户。现在,该文件夹将只对您明确列出的用户和群组显示。
配置封闭式系统
Looker 提供了一个封闭式系统选项,可用于进行以下更改:
- 移除“所有用户”组。您无法将系统中的所有用户称为一个群组。Looker 管理员应为每个租户或客户创建一个群组,如下所述。在本讨论中,我们假设每位客户都是一家公司。
- 默认情况下,将所有用户文件夹设为不公开。用户仍然可以选择与其群组中的其他成员共享自己文件夹中的内容。
阻止用户查看其他用户,除非他们共享同一群组。因此,如果某位用户是 C 公司的成员,该用户将只能看到 C 公司的其他成员,而不会看到 A 公司和 B 公司的成员。
首页:近期查看的内容是 Looker 中一个位置的示例,在该位置,用户只能看到 C 公司的其他成员及其内容。
以下步骤将帮助您配置封闭式系统:
- 要求启用 Closed System 选项。
- 规划您的结构。
- 配置群组以提供精细访问权限。
- 在管理面板中启用封闭式系统。
- 向系统中的每个公司群组授予共享文件夹的查看权限。
- 为“共享文件夹”的每个子文件夹配置访问权限级别。
- 将内容迁移到子文件夹。
以下步骤假定“共享文件夹”中当前未存放多租户用户的内容。若要将内容存放在封闭系统下,并禁止客户或其他群组互相看到内容,请将所有此类内容移出共享文件夹,并移到单独的子文件夹中,然后再开始执行以下步骤。
请求“封闭式系统”选项
如需申请为您的实例启用封闭式系统选项,请与 Google Cloud 销售专家联系或提交支持请求。
规划您的结构
如果您提前设置了套餐,就可以更轻松地设置系统。您需要考虑两个主要方面:
首先,请务必为每家公司分别创建一个群组。公司群组会将每家公司的所有用户关联起来,并将这些用户与其他公司的用户分开。
其次,考虑您是希望让多家公司查看同一个文件夹(例如,用于与所有公司相关的信息中心),还是需要为每家公司创建一个顶级文件夹(包含仅适用于一家公司的不同内容)。
配置群组以提供精细的访问权限
每个公司应该至少有一个群组,但这个大型群组中也可能包含子群组。如果您希望允许公司的一些用户编辑和管理内容,而允许其他用户仅查看内容,则可以为不同类型的用户创建单独的子群组。例如,您可以先创建 A 公司作为综合性群组,然后添加两个子群组:A 公司的编辑者和 A 公司的查看者。
如需了解如何配置群组,请参阅群组文档页面。
在管理面板中启用“封闭系统”选项
最好在为文件夹设置访问权限控制之前,先启用封闭系统选项,因为启用封闭系统选项会更改系统(请参阅本页中配置封闭式系统简介)。此选项位于 Looker 管理部分中常规面板的设置部分内。
为每个公司群组授予共享文件夹的查看权限
向每个公司群组授予对共享文件夹的查看权限。这样,这些群组的成员就可以访问共享文件夹,并在其中查看自己公司的文件夹。如果群组对共享文件夹没有查看权限,就无法查看自己公司的文件夹。您可以在管理面板的内容访问权限部分管理这些设置。
为每个子文件夹配置访问权限级别
设置访问权限级别,以确定哪些人可以查看或编辑每个子文件夹中的内容。子文件夹默认采用其父级的访问权限设置,除非您更改子文件夹。也就是说,对共享文件夹拥有查看权限的公司可以查看其他公司的子文件夹中的内容,除非您限制对该子文件夹的访问权限。查看每个子文件夹并适当限制访问权限。
将内容迁移到子文件夹
如果您的公司已允许用户查看他们自己的文件夹和其他个人文件夹,我们建议您将这些个人文件夹中的任何内容迁移到共享主层次结构中的相应文件夹中。