Mit verschiedenen Zugriffsebenen für Inhalt wird festgelegt, welche Nutzer in Looker-Ordnern Inhalt anzeigen und bearbeiten können. Während Berechtigungen einem Nutzer entsprechend der Rolle der Person zugewiesen werden, ist der Zugriff auf Inhalte mit einem Ordner verknüpft und definiert, wie geöffnet der Ordner für Nutzer auf verschiedenen Ebenen ist.
Zugriffsarten für Ordner
Jedem Looker-Nutzer oder jeder Gruppe kann für jeden Ordner eine von zwei Zugriffsebenen zugewiesen werden:
View (Ansicht): Mit dieser Zugriffsebene können Nutzer sehen, dass der Ordner vorhanden ist, die darin enthaltenen Looks und Dashboards ansehen und die Looks und Dashboards in den Ordner kopieren.
Zugriff verwalten, bearbeiten: Mit dieser Zugriffsebene können Nutzer alle Aktionen der Zugriffsebene Ansicht ausführen und außerdem folgende Änderungen am Ordner vornehmen:
Weitere Informationen zu Zugriff und Berechtigungen für Inhalte finden Sie unter Zugriff auf Nutzerinhalte steuern und Zugriff und Berechtigungen für Inhalte.
Offene und geschlossene Systeme für den Zugriff auf Ordner
Mit den Looker-Einstellungen können Sie den Nutzerzugriff basierend auf den Richtlinien Ihres Unternehmens und den Benutzertypen strukturieren, die mit Ihren Ordnern interagieren. Grundsätzlich ist das von Ihnen erstellte System einen von drei grundsätzlichen Kategorien zuzuordnen: vollständig offen, offen mit Einschränkungen oder geschlossen.
| Zugriffsebenen für Ordner | Beschreibung | Empfohlene Verwendung |
|---|---|---|
| Vollständig offen | Alle Benutzer können alle geteilten Inhalte anzeigen und bearbeiten. Dies ist die Standardkonfiguration von Looker. | Ein offenes System wird für kleine Unternehmen oder Teams empfohlen, die mit Looker arbeiten, für Unternehmen mit offenen Datenrichtlinien und Unternehmen, in denen die Freigabe bearbeitbarer Berichte im Vordergrund steht. |
| Offen mit Einschränkungen | Der Zugriff auf geteilte Inhalte wird auf irgendeine Weise beschränkt, sodass nur bestimmte Personen bestimmte Inhalte bearbeiten können oder dass bestimmte Inhalte für bestimmte Personen nicht sichtbar sind. | Ein offenes System mit Einschränkungen wird für mittelgroße oder größere Teams und Unternehmen empfohlen, die über einen stark diversifizierten Benutzerstamm verfügen und wo nicht alle Berichte für alle Personen relevant sind, oder aber für Unternehmen, deren Inhalte zwar für alle sichtbar aber nur für einige bearbeitbar sein sollen. |
| Geschlossen | Dieses System wird auch als Multi-Tenant-Installation bezeichnet. Hier werden Inhalte nach bestimmten Gruppen in Silos zusammengefasst, und es wird verhindert, dass sich Benutzer aus verschiedenen Gruppen untereinander kennen. | Zum Schutz der privaten Daten geschützt sind, empfehlen wir dringend die Verwendung eines geschlossenen Systems für Private-Label- und signierte eingebettete Anwendungsfälle, bei denen Kunden Clients in das System hosten, die zu verschiedenen Unternehmen oder Gruppen gehören können und nichts voneinander wissen sollten. |
Nachdem Sie das gewünschte System festgelegt haben, finden Sie auf dieser Seite die notwendigen Schritte zur Konfiguration. Für die Ersteinrichtung empfehlen wir den Bereich Zugriff auf Inhalte im Bereich Verwaltung, da Sie dort alle Ordner auf einmal ändern können.
So wirkt sich der Zugriff auf einen Ordner auf die untergeordneten Ordner aus
Bevor Sie entscheiden, wie offen oder geschlossen Ihr System sein soll, müssen Sie wissen, wie sich die Zugriffsebenen, die Sie in übergeordneten Ordnern festlegen, auf die untergeordneten Ordner auswirken und was Sie auf unteren Ebenen in der Hierarchie ändern können und was nicht.
| Zugriffsart | Vererbungsmuster | Beschreibung |
|---|---|---|
| Zugriff verwalten und bearbeiten | Wandert die gesamte Ordnerhierarchie nach unten | Nachdem Sie einem Nutzer Zugriff auf Zugriff verwalten, bearbeiten in einem Ordner gewährt haben, behält er diese Zugriffsebene für alle Looks, Dashboards und Unterordner in diesem Ordner bei. Sie können den Zugriff dieser Person nicht an einem unteren Teil der Ordnerhierarchie sperren. |
| Ansehen | Kann an jeder Stelle in der Hierarchie des Ordners entfernt werden | Wenn Sie den Zugriff Ansicht auf Ordnerebene entfernen, kann ein Nutzer diesen Ordner und seinen gesamten Inhalt nicht mehr sehen. Sie können den Zugriff Ansicht auch an einer niedrigeren Stelle in der Hierarchie entfernen, um zu verhindern, dass Nutzer bestimmte Looks, Dashboards oder Unterordner in einem ansonsten sichtbaren Ordner ansehen können. |
Looker-Administratoren haben die Zugriffsrechte Zugriff verwalten, Bearbeiten für alle Ordner und somit auf alle Inhalte. So können sie das System verwalten, jeglichen verwaisten Inhalt verhindern und Benutzern bei Problemen helfen.
Vollständig offene Systeme konfigurieren
Die Standardkonfiguration von Looker ermöglicht vollständig offenen Zugriff auf alle Ordner. Der Gruppe Alle Nutzer wird die Zugriffsebene Zugriff verwalten, Bearbeiten für den freigegebenen Ordner zugewiesen. Diese Zugriffsebene wird dann auf alle Unterordner im freigegebenen Ordner angewendet. Sie können diese Einstellung im Bereich Admin unter Zugriff auf Inhalte verwalten.
Sobald ein Nutzer die Berechtigung Zugriff verwalten, bearbeiten auf einen Ordner hat, hat er auch die Berechtigung Zugriff verwalten, bearbeiten auf den gesamten Inhalt dieses Ordners, einschließlich aller Unterordner. Das heißt, es gibt in diesem System keinerlei Beschränkungen für den Zugriff auf Inhalte.
Persönliche Ordner haben eine eigene Hierarchie und verfügen über Standardeinstellungen. Die Gruppe Alle Nutzer ist für alle persönlichen Ordner auf Ansehen eingestellt. Jeder Nutzer kann diese Gruppe aus seinem persönlichen Ordner entfernen, wenn sein persönlicher Ordner privat bleiben soll.
Offene Systeme mit Einschränkungen konfigurieren
Mit diesen Schritten können Sie ein offenes System mit Einschränkungen konfigurieren:
- Planen Sie Ihre Struktur.
- Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
- Ändern Sie den Zugriff der Gruppe Alle Nutzer in Ansehen für den freigegebenen Ordner.
- Entfernen Sie Alle Nutzer aus allen Ordnern, die nicht für das gesamte Unternehmen sichtbar sein sollen.
Planen Sie Ihre Struktur
Wer soll bestimmte Ordner anzeigen und bearbeiten können? Sie machen sich das Leben leichter, wenn Sie Ihren Plan bevor Sie mit der Konfiguration des Zugriffs beginnen, skizzieren. Auf diese Weise haben Sie auch die Möglichkeit, Änderungen im Laufe des Prozesses abzuhaken, damit Sie nicht noch einmal die verschiedenen Ordner überprüfen müssen. Durch das Einteilen von Nutzern in Gruppen können Sie den Zugriff verschiedener Abteilungen oder Teams innerhalb Ihres Unternehmens leichter verwalten.
Eine der häufigsten Konfigurationen besteht aus einem Ordner pro Abteilung oder Team. Das sieht dann ungefähr so aus:
- Erstellen Sie in Ihrem geteilten Ordner einen Ordner für eine Abteilung, ein Team oder ein Projekt. In diesem Abschnitt verwenden wir das Beispiel eines Finanzteams.
- Gewähren Sie dem CFO (oder dem Hauptanalysten für die Finanzabteilung) die Zugriffsrechte Zugriff verwalten, bearbeiten für diesen Ordner. Weisen Sie dem Rest des Teams den Zugriff Ansicht zu.
- Erstellen Sie zwei Unterordner: einen für bearbeitbaren Inhalt und einen für schreibgeschützten Inhalt. Fügen Sie gegebenenfalls einen dritten untergeordneten Ordner für privaten Inhalt hinzu.
- Gewähren Sie dem gesamten Team der Finanzabteilung im Unterordner für bearbeitbare Inhalte die Zugriffsberechtigung Zugriff verwalten, bearbeiten. Wenn Sie der Gruppe „Finanzen“ diese Zugriffsebene gegeben haben, können alle darin enthaltenen Mitglieder Inhalt in diesem untergeordneten Ordner hinzufügen, löschen oder ändern.
- Gewähren Sie im untergeordneten Ordner für schreibgeschützten Inhalt der gesamten Gruppe „Finanzen“ den Zugriff Ansicht. Der CFO kann weiterhin Zugriff verwalten, Bearbeiten in diesem Ordner, da er diesen Zugriff vom Haupt-Finanzordner erbt.
- Entfernen Sie im (optionalen) privaten untergeordneten Ordner die Gruppe „Finanzen“ vollständig. Nur der CFO kann diesen Ordner sehen beziehungsweise dessen Inhalt verwalten.
Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
Wenn Sie beabsichtigen, den Zugriff auf Inhalte einzuschränken, können Looker-Gruppen dies erheblich vereinfachen. Gruppen können genauso Zugriff auf Ordner und untergeordnete Ordner erhalten wie Benutzer. Gruppen können zudem wiederum andere Gruppen enthalten. Informationen zum Konfigurieren von Gruppen finden Sie auf der Seite „Gruppen“.
Legen Sie zuerst Zugriff für einzelne untergeordnete Ordner fest und arbeiten Sie sich dann weiter nach oben vor, indem Sie Zugriff für den gesamten geteilten Ordner festlegen. Da der Zugriff in der Ordnerhierarchie nach unten verläuft, ist es am sichersten, den Zugriff auf die Unterordner mit der niedrigsten Ebene einzeln zu bearbeiten. Anschließend können Sie durch Ordner auf übergeordneter Ebene nach oben blättern, ihnen die gewünschte Zugriffsebene zuweisen und sicherstellen, dass Ihre Änderungen nicht mit Entscheidungen in Konflikt stehen, die Sie auf den unteren Ebenen getroffen haben.
In diesem Beispiel beginnen wir mit den untergeordneten Ordnern innerhalb des geteilten Ordners. Sie können diese Einstellungen im Bereich Zugriff auf Inhalte des Steuerfelds Admin verwalten:
- Legen Sie für jeden Ordner im freigegebenen Ordner die Option Benutzerdefinierte Liste von Nutzern fest.
Weisen Sie den Nutzern und Gruppen, die Inhalte bearbeiten können sollen, die Berechtigung Zugriff verwalten, bearbeiten zu.
Weisen Sie den Nutzern und Gruppen, die nur Lesezugriff haben sollen, den Zugriffstyp Anzeigen zu.
Solange Sie die Einstellungen für den freigegebenen Ordner auf oberster Ebene nicht ändern, werden diese Änderungen nicht wirksam. Die Zugriffsebene für die Gruppe Alle Nutzer ist im freigegebenen Ordner auf Zugriff verwalten, bearbeiten festgelegt und verläuft durch alle einzelnen Unterordner. Sie können die Einstellungen für Alle Nutzer in einzelnen Unterordnern erst ändern, wenn die Zugriffsebene für diese Gruppe im freigegebenen Ordner geändert wurde.
Klicken Sie auf den Ordner, den Sie konfigurieren möchten, und dann auf Zugriff verwalten.
Ändern Sie den Zugriff der Gruppe Alle Nutzer in Ansehen für den freigegebenen Ordner.
Ihrer Änderungen werden nun wirksam. Denken Sie daran, den Plan für Ihre Struktur zu lesen.
Sofern Sie nicht möchten, dass alle Nutzer Bearbeitungszugriff auf alle Inhalte in Ihrem System haben, klicken Sie für den freigegebenen Ordner auf Zugriff verwalten und ändern Sie die Option Alle Nutzer von Zugriff verwalten, Bearbeiten zu Ansehen.
Wenn Sie dann bestimmte Unterordner nur für bestimmte Gruppen anzeigen möchten, fahren Sie mit dem folgenden Abschnitt fort.
Entfernen Sie die Gruppe Alle Nutzer aus Ordnern, die nicht sichtbar sein sollen.
Wenn Sie einen Ordner nur für eine bestimmte Nutzergruppe als privat kennzeichnen möchten, entfernen Sie Alle Nutzer vollständig aus diesem Ordner. Verwenden Sie dazu das X rechts neben der Zugriffsebene des Ordners. Der Ordner ist jetzt nur für Nutzer und Gruppen sichtbar, die Sie ausdrücklich angeben.
Geschlossene Systeme konfigurieren
Looker bietet die Option Geschlossenes System, mit der folgende Änderungen vorgenommen werden:
- Die Gruppe Alle Nutzer wird entfernt. Es gibt keine Möglichkeit, sich auf alle Benutzer im System als eine Gruppe zu beziehen. Stattdessen sollten Looker-Administratoren eine Gruppe pro Mandanten oder Kunden erstellen, wie im Abschnitt Gruppen für einen detaillierten Zugriff konfigurieren erläutert. In diesen Ausführungen gehen wir davon aus, dass es sich bei jedem Kunden um ein Unternehmen handelt.
- Alle Benutzerordner werden standardmäßig als privat definiert. Benutzer können weiterhin Inhalte in ihren Ordnern mit anderen Mitgliedern ihrer Gruppe teilen.
Es wird verhindert, dass Benutzer andere Benutzer sehen, die nicht ihrer Gruppe angehören. Wenn also ein Benutzer Mitglied der Gruppe „Unternehmen C“ ist, sieht er nur andere Mitglieder von „Unternehmen C“. Die Mitglieder der Gruppen „Unternehmen A“ und „Unternehmen B“ sieht er nicht.
Die Startseite: Zuletzt angesehene Inhalte ist ein Beispiel für eine Stelle in Looker, an der der Nutzer nur andere Mitglieder von „Unternehmen C“ und deren Inhalte sieht.
Mit diesen Schritten können Sie ein geschlossenes System konfigurieren:
- Bitten Sie um die Option Closed System.
- Planen Sie Ihre Struktur.
- Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
- Aktivieren Sie das geschlossene System im Bereich Verwaltung.
- Geben Sie jeder Unternehmensgruppe in Ihrem System Ansichtszugriff für den freigegebenen Ordner.
- Konfigurieren Sie Zugriffsebenen für jeden Unterordner der freigegebenen Ordner.
- Migrieren Sie Inhalte in Unterordner.
Bei diesen Schritten wird davon ausgegangen, dass sich keine Inhalte für mehrinstanzenfähige Nutzer in den freigegebenen Ordnern befinden. Um Inhalte unter einem geschlossenen System in Silos zu organisieren und zu verhindern, dass Kunden der anderen Gruppen sich gegenseitig sehen, verschieben Sie vor der Ausführung der nachstehenden Schritte solche Inhalte aus dem geteilten Ordner in einzelne untergeordnete Ordner.
Bitten Sie um Verfügbarkeit der Option „Closed System“.
Wenn Sie möchten, dass die Option Geschlossenes System für Ihre Instanz aktiviert wird, wenden Sie sich an einen Google Cloud-Vertriebsexperten oder stellen Sie eine Supportanfrage.
Planen Sie Ihre Struktur
Wenn Sie Ihren Plan im Voraus erstellen, ist die Konfiguration Ihres Systems im Folgenden wesentlich einfacher. Dabei sind zwei Hauptbereiche besonders zu berücksichtigen:
Erstens, erstellen Sie für jedes Unternehmen eine eigene Gruppe. In einer Unternehmensgruppe sind alle Benutzer aus dem jeweiligen Unternehmen zusammengefasst und diese Benutzer werden von anderen Unternehmen getrennt behandelt.
Zweitens: Überlegen Sie, ob mehrere Unternehmen denselben Ordner sehen sollen, z. B. für Dashboards, die für alle Unternehmen relevant sind, oder ob Sie einen Ordner auf oberster Ebene für jedes Unternehmen erstellen möchten (für unterschiedliche Inhalte, die nur für ein Unternehmen gelten).
Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
Es sollte zumindest eine Gruppe pro Unternehmen geben, diese Gruppe kann jedoch wiederum Untergruppen enthalten. Sollen einige Nutzer in einem Unternehmen die Berechtigung zum Bearbeiten und Verwalten von Inhalten haben und andere Inhalte nur sehen dürfen, können Sie separate Untergruppen für die verschiedenen Benutzertypen erstellen. Sie können beispielsweise damit beginnen, Unternehmen A als übergeordnete Gruppe zu erstellen und dieser zwei Untergruppen hinzuzufügen: Bearbeiter bei Unternehmen A und Betrachter bei Unternehmen A.
Informationen zum Konfigurieren von Gruppen finden Sie auf der Dokumentationsseite Gruppen.
Aktivieren Sie die Option „Closed System“ im Bereich Verwaltung.
Es empfiehlt sich, die Option Geschlossenes System zu aktivieren, bevor Sie Zugriffssteuerungen für Ordner einrichten, da durch die Aktivierung der Option Geschlossenes System Änderungen an Ihrem System vorgenommen werden (siehe Einführung in die Konfiguration eines geschlossenen Systems auf dieser Seite). Sie finden diese Option im Bereich Verwaltung in Looker unter Einstellungen im Bereich Allgemein.
Gewähren Sie jeder Unternehmensgruppe den Zugriff Ansicht für den geteilten Ordner
Gewähren Sie jeder Unternehmensgruppe die Zugriffsberechtigung Ansehen für die freigegebenen Ordner. Somit können Mitglieder dieser Gruppen auf den geteilten Ordner zugreifen und den Ordner ihres eigenen Unternehmens darin sehen. Hat eine Gruppe keinen Lesezugriff auf die freigegebenen Ordner, kann die Gruppe die Ordner ihres eigenen Unternehmens nicht sehen. Sie können diese Einstellungen im Bereich Admin unter Zugriff auf Inhalte verwalten.
Zugriffsebenen für jeden untergeordneten Ordner konfigurieren
Legen Sie Zugriffsebenen fest, um zu definieren, wer Inhalte in den einzelnen untergeordneten Ordnern sehen oder bearbeiten kann. Bei Unterordnern sind standardmäßig die so lange auf die Einstellungen zugreifen, bis Sie sie ändern. Das bedeutet, dass ein Unternehmen mit Ansicht-Zugriff auf den geteilten Ordner Inhalte im untergeordneten Ordner eines anderen Unternehmens sehen kann, bis Sie den Zugriff auf diesen untergeordneten Ordner einschränken. Prüfen Sie jeden untergeordneten Ordner und schränken Sie den Zugriff entsprechend ein.
Inhalt in untergeordnete Ordner migrieren
Verfügt Ihr Unternehmen über Benutzer, die zum Anzeigen ihres eigenen Ordners und anderer persönlicher Ordner berechtigt sind, wird die Migration von allen Inhalten aus diesen persönlichen Ordnern in die entsprechenden Ordner in der geteilten Haupthierarchie empfohlen.