Diferentes níveis de acesso ao conteúdo determinam quais usuários podem acessar e editar o conteúdo nas pastas do Looker. Enquanto as permissões estão associadas a um usuário de acordo com o papel dessa pessoa, o acesso ao conteúdo está associado a uma pasta e define o nível de abertura da pasta para os usuários em vários níveis.
Tipos de acesso a pastas
É possível atribuir um dos dois níveis de acesso a cada usuário ou grupo do Looker em uma pasta:
Visualização: com esse nível de acesso, o usuário pode ver que a pasta existe, visualizar os Looks e dashboards dentro dela e copiar os Looks e dashboards da pasta.
Gerenciar acesso, editar: este nível de acesso permite que um usuário realize as mesmas ações que o nível de acesso Visualização, além de fazer alterações na pasta, como:
Para ver uma discussão adicional sobre acesso e permissões ao conteúdo, consulte Como controlar o acesso ao conteúdo do usuário e Como o acesso ao conteúdo e as permissões interagem.
Sistemas abertos e fechados de acesso a pastas
As configurações do Looker ajudam a estruturar o acesso dos usuários com base nas políticas da sua empresa e nos tipos de usuários que vão interagir com as pastas. Em geral, o sistema que você cria se enquadra em uma destas três categorias amplas: completamente aberto, aberto com restrições ou fechado.
| Nível de acesso às pastas | Descrição | Uso recomendado |
|---|---|---|
| Totalmente aberto | Todos os usuários podem conferir e modificar todo o conteúdo compartilhado. Essa é a configuração padrão do Looker. | Um sistema aberto é recomendado para pequenas empresas ou equipes que usam o Looker, empresas com políticas abertas sobre dados e empresas em que o compartilhamento de relatórios editáveis é um caso de uso principal. |
| Abrir com restrições | O acesso ao conteúdo compartilhado é restrito de alguma forma, ou seja, apenas algumas pessoas podem editar determinado conteúdo ou algum conteúdo fica totalmente invisível para certas pessoas. | Um sistema aberto com restrições é recomendado para equipes e empresas de médio porte ou maiores, bases de usuários altamente diversificadas em que os relatórios não são relevantes para todos ou empresas que querem que o conteúdo seja visível para todos, mas editável apenas por alguns. |
| Fechado | Também chamado de instalação multilocatária, esse sistema agrupa conteúdo em silos para certos grupos e impede que usuários de grupos diferentes saibam um sobre o outro. | Para proteger as informações particulares dos seus clientes, recomendamos o uso de um sistema fechado para marca própria e casos de uso de incorporação assinada em que os clientes hospedam clientes no sistema que podem ser de diferentes empresas ou grupos e que não se conhecem. |
Depois de determinar o tipo de sistema desejado, esta página vai mostrar as etapas para configurá-lo. Para a configuração inicial, recomendamos usar a seção Acesso ao conteúdo do painel Administrador, já que é um único lugar para fazer mudanças em cada pasta.
Como o acesso a uma pasta afeta as subpastas
Antes de definir o nível de abertura ou fechamento do sistema, é importante entender como os níveis de acesso definidos nas pastas principais afetarão as subpastas e o que você pode ou não alterar nos níveis inferiores da hierarquia.
| Tipo de acesso | Padrão de herança | Descrição |
|---|---|---|
| Gerenciar acesso, editar | Fluxos em toda a hierarquia de pastas | Depois que você conceder a um usuário o acesso a Gerenciar acesso, Editar em uma pasta, ele vai manter esse nível de acesso a todos os Looks, painéis e subpastas dessa pasta. Não é possível bloquear o acesso deles em uma parte inferior da hierarquia de pastas. |
| Ver | Podem ser removidas a qualquer momento na hierarquia de pastas | A remoção do acesso de visualização no nível da pasta revoga a capacidade de um usuário de acessar essa pasta e todo o conteúdo dela. Também é possível remover o acesso Visualizar em qualquer ponto abaixo na hierarquia para restringir a visualização de Looks, painéis ou subpastas específicos em uma pasta que seria visível. |
Os administradores do Looker têm acesso Gerenciar acesso, Editar a todas as pastas e, portanto, a todo o conteúdo. Isso garante a capacidade de gerenciar o sistema, evitar conteúdos órfãos e ajudar qualquer usuário com problemas.
Configurar um sistema completamente aberto
A configuração padrão do Looker permite acesso completamente aberto a todas as pastas. O grupo Todos os usuários é atribuído a Gerenciar acesso, Editar na pasta compartilhada, e todas as subpastas dentro dela herdam esse acesso. Gerencie essa configuração na seção Acesso ao conteúdo do painel Administrador.
Quando um usuário tem acesso de Gerenciar acesso, editar a uma pasta, ele também tem acesso de Gerenciar acesso, editar a todo o conteúdo dessa pasta, incluindo todas as subpastas dela. Isso significa que não há restrições ao acesso ao conteúdo nesse sistema.
As pastas pessoais ficam em uma hierarquia separada e também têm configurações padrão. O grupo Todos os usuários está definido como Ver em todas as pastas pessoais. Cada usuário pode remover esse grupo da pasta pessoal se quiser que a pasta pessoal seja particular.
Configurar um sistema aberto com restrições
Estas etapas vão ajudar você a configurar um sistema aberto com restrições:
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Altere o acesso do grupo Todos os usuários para Visualização na pasta compartilhada.
- Remova Todos os usuários das pastas que você não quer que fiquem visíveis para toda a empresa.
Planejar sua estrutura
Quem você quer que tenha permissão para visualizar e editar pastas específicas? Para facilitar, desenhe o plano antes de começar a configurar o acesso. Isso também oferece um lugar para você marcar as mudanças à medida que avança no processo, para que não seja necessário voltar para verificar várias pastas. Colocar usuários em grupos ajuda você a gerenciar o acesso de diferentes departamentos ou equipes na sua empresa.
Uma das configurações mais comuns é ter uma pasta por departamento ou equipe, que fica mais ou menos assim:
- Na pasta "Compartilhada", crie uma pasta para um departamento, uma equipe ou um projeto. Usaremos o exemplo de uma equipe financeira nesta seção.
- Conceda ao CFO (ou ao analista principal de Finanças) o acesso Gerenciar acesso, edição nessa pasta. Conceda ao restante da equipe acesso de Visualização.
- Crie duas subpastas: uma para conteúdo editável e outra para conteúdo somente leitura. Se necessário, adicione uma terceira subpasta para conteúdo particular.
- Na subpasta de conteúdo editável, use um grupo "Finanças" para conceder o acesso Gerenciar acesso, edição a toda a equipe financeira. Depois de conceder esse nível de acesso ao grupo Finanças, todos os membros dele poderão adicionar, excluir ou alterar o conteúdo dessa subpasta.
- Na subpasta de conteúdo somente leitura, conceda acesso de Visualização a todo o grupo financeiro. O CFO ainda pode gerenciar o acesso e a edição do conteúdo desta pasta porque ele herda o acesso da pasta principal de finanças.
- Na subpasta privada (opcional), remova completamente o grupo Finanças. Somente o CFO pode acessar essa pasta ou gerenciar o conteúdo dela.
Configurar grupos para fornecer acesso granular
Se você planeja restringir o acesso ao conteúdo, os grupos do Looker facilitam muito as coisas. Os grupos podem receber acesso a pastas e subpastas da mesma forma que os usuários, e podem conter outros grupos. Para saber como configurar grupos, consulte a página "Grupos".
Comece definindo o acesso a subpastas individuais e depois avance para definir o acesso a toda a pasta compartilhada. Como o acesso flui pela hierarquia de pastas, é mais seguro começar manipulando o acesso individualmente às subpastas mais baixas. Em seguida, você pode avançar pelas pastas principais, concedendo a elas o nível de acesso desejado e garantindo que as alterações não entrem em conflito com decisões tomadas nos níveis mais baixos.
Neste exemplo, começaremos com as subpastas dentro da pasta "Compartilhados". Gerencie essas configurações na seção Acesso ao conteúdo do painel Administrador:
- Defina cada pasta na pasta compartilhada como Uma lista personalizada de usuários.
Atribua o acesso Gerenciar acesso, Editar aos usuários e grupos que você quer que editem o conteúdo.
Atribua o acesso de Visualização aos usuários e grupos que terão acesso somente leitura.
Até que você altere as configurações da pasta compartilhada de nível superior, nada entrará em vigor. O nível de acesso do grupo Todos os usuários está definido como Gerenciar acesso, edição na pasta "Compartilhados" e flui para todas as subpastas individuais. Não é possível modificar as configurações para Todos os usuários em subpastas individuais até que o nível de acesso desse grupo seja alterado na pasta "Compartilhados".
Clique na pasta que você quer configurar e selecione Gerenciar acesso.
Mude o acesso do grupo Todos os usuários para Visualizar na pasta compartilhada
É quando as mudanças entram em vigor. Consulte o plano da sua estrutura.
Primeiro, a menos que você queira que todos tenham acesso para edição a todo o conteúdo do sistema, clique em Gerenciar acesso para a pasta compartilhada e altere Todos os usuários de Gerenciar acesso, edição para Visualizar.
Caso seu plano seja exibir determinadas subpastas apenas para grupos específicos, leia a próxima seção.
Remova o grupo Todos os usuários das pastas que você não quer que fiquem visíveis.
Para tornar uma pasta particular para um determinado subgrupo de usuários, remova Todos os usuários completamente dessa pasta usando o X à direita do nível de acesso da pasta. Agora a pasta só vai aparecer para usuários e grupos listados explicitamente.
Como configurar um sistema fechado
O Looker oferece uma opção de sistema fechado que faz as seguintes mudanças:
- Remove o grupo Todos os usuários. Não será possível se referir a todos os usuários do sistema como um grupo. Em vez disso, os administradores do Looker devem criar um grupo por locatário ou cliente, conforme discutido na seção Configurar grupos para fornecer acesso granular. Para esta discussão, vamos supor que cada cliente seja uma empresa.
- Torna todas as pastas de usuário privadas por padrão. Os usuários ainda poderão compartilhar o conteúdo das pastas com outros participantes dos grupos.
Impede que usuários vejam outros usuários, a menos que compartilhem um grupo. Portanto, se um usuário for membro do grupo da Empresa C, ele verá apenas outros membros da Empresa C, e não os membros das Empresas A e B.
A Página inicial: conteúdo acessado recentemente é um exemplo de local no Looker em que o usuário só encontra outros membros da Empresa C e o conteúdo deles.
Estas etapas vão ajudar você a configurar um sistema fechado:
- Solicite a opção Sistema fechado.
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Ative o sistema fechado no painel do Administrador.
- Conceda a cada grupo da empresa no seu sistema acesso de Visualização da pasta compartilhada.
- Configure os níveis de acesso para cada subpasta das pastas compartilhadas.
- Migrar conteúdo para subpastas.
Estas etapas pressupõem que nenhum conteúdo para usuários multilocatários esteja armazenado nas pastas compartilhadas. Para isolar o conteúdo em um sistema fechado e impedir que clientes ou outros grupos se encontrem, mova esse conteúdo da pasta "Compartilhada" para subpastas separadas antes de iniciar as etapas a seguir.
Pedir a opção de sistema fechado
Para solicitar que a opção Sistema fechado seja ativada para sua instância, entre em contato com um especialista em vendas do Google Cloud ou abra uma solicitação de suporte.
Planejar sua estrutura
Isso vai facilitar muito a configuração do sistema se você tiver definido o plano com antecedência. Há duas áreas principais a considerar:
Primeiro, crie um grupo para cada empresa. Um grupo de empresas associa todos os usuários de cada empresa e os mantém separados das outras empresas.
Em segundo lugar, considere se você quer ter várias empresas consultando a mesma pasta (por exemplo, para painéis que são relevantes para todas as empresas) ou se você quer uma pasta de nível superior para cada empresa (para conteúdo distinto que se aplica somente a uma empresa).
Configurar grupos para fornecer acesso granular
Embora seja necessário ter pelo menos um grupo por empresa, também pode haver subgrupos dentro desse grupo maior. Se você quiser permitir que alguns usuários de uma empresa editem e gerenciem o conteúdo, enquanto outros podem apenas visualizar, crie subgrupos separados para os diferentes tipos de usuários. Por exemplo, você pode começar criando a Empresa A como o grupo geral e depois adicionar dois subgrupos: Editores da Empresa A e Leitores na Empresa A.
Para saber como configurar grupos, consulte a página de documentação Grupos.
Ative a opção "Sistema fechado" no painel Administrador.
É melhor ativar a opção Sistema fechado antes de configurar qualquer controle de acesso nas pastas, pois ativar a opção Sistema fechado altera o sistema. Consulte a introdução a Como configurar um sistema fechado nesta página. Essa opção está na seção Configurações do painel Geral na seção Administrador do Looker.
Conceder acesso de visualização a cada grupo da empresa para a pasta compartilhada
Conceda acesso de Visualização a cada grupo da empresa para as pastas compartilhadas. Isso permite que os membros desses grupos acessem a pasta compartilhada e vejam a pasta da própria empresa dentro dela. Se um grupo não tiver acesso de Visualização às pastas compartilhadas, ele não poderá ver as pastas da própria empresa. Gerenciar essas configurações na seção Acesso ao conteúdo do painel Administrador.
Configurar os níveis de acesso para cada subpasta
Defina níveis de acesso para estabelecer quem pode visualizar ou editar o conteúdo em cada subpasta. Por padrão, as subpastas são as configurações de acesso até que você as altere. Isso significa que uma empresa com acesso de leitura à pasta compartilhada pode acessar o conteúdo na subpasta de outra empresa, a menos que você restrinja o acesso a essa subpasta. Analise cada subpasta e restrinja o acesso de forma adequada.
Migrar conteúdo para subpastas
Se a sua empresa permitiu que os usuários acessem as pastas pessoais deles e de outras pessoas, recomendamos migrar o conteúdo dessas pastas para as pastas adequadas na hierarquia principal "Compartilhado".