Welche Nutzer Inhalte in Looker-Ordnern aufrufen und bearbeiten dürfen, hängt von unterschiedlichen Zugriffsebenen für Inhalte ab. Während Berechtigungen einem Nutzer entsprechend der Rolle dieser Person zugewiesen werden, ist der Zugriff auf Inhalte mit einem Ordner verknüpft und definiert, wie geöffnet der Ordner für Nutzer auf verschiedenen Ebenen ist.
Zugriffsarten für Ordner
Jedem Looker-Nutzer oder jeder Looker-Gruppe kann für jeden Ordner eine von zwei Zugriffsebenen zugewiesen werden:
View (Ansicht): Mit dieser Zugriffsebene können Nutzer sehen, dass der Ordner vorhanden ist, die darin enthaltenen Looks und Dashboards ansehen und die Looks und Dashboards in den Ordner kopieren.
Zugriff verwalten, bearbeiten: Mit dieser Zugriffsebene können Nutzer alle Aktionen der Zugriffsebene Ansicht ausführen und außerdem folgende Änderungen am Ordner vornehmen:
Weitere Informationen zum Zugriff auf Inhalte und zu Berechtigungen finden Sie unter Zugriff auf Nutzerinhalte steuern und Zusammenspiel von Zugriff auf Inhalte und Berechtigungen.
Offene und geschlossene Systeme für den Zugriff auf Ordner
Mit den Looker-Einstellungen können Sie den Benutzerzugriff basierend auf den Richtlinien Ihres Unternehmens und der Art der Benutzer, die mit Ihren Ordnern interagieren werden, strukturieren. Grundsätzlich ist das von Ihnen erstellte System einen von drei grundsätzlichen Kategorien zuzuordnen: vollständig offen, offen mit Einschränkungen oder geschlossen.
| Zugriffsebenen für Ordner | Beschreibung | Empfohlene Verwendung |
|---|---|---|
| Vollständig offen | Alle Benutzer können alle geteilten Inhalte anzeigen und bearbeiten. Dies ist die Standardkonfiguration von Looker. | Ein offenes System wird für kleine Unternehmen oder Teams empfohlen, die mit Looker arbeiten, für Unternehmen mit offenen Datenrichtlinien und Unternehmen, in denen die Freigabe bearbeitbarer Berichte im Vordergrund steht. |
| Offen mit Einschränkungen | Der Zugriff auf freigegebene Inhalte wird in irgendeiner Weise eingeschränkt, sodass entweder nur einige Personen bestimmte Inhalte bearbeiten können oder einige Inhalte für bestimmte Personen nicht sichtbar sind. | Ein offenes System mit Einschränkungen wird für mittelgroße oder größere Teams und Unternehmen, für stark diversifizierte Nutzergruppen, bei denen Berichte nicht für alle Nutzer relevant sind, oder Unternehmen empfohlen, die möchten, dass Inhalte für alle sichtbar, aber nur von wenigen bearbeitbar sind. |
| Abgeschlossen | Dieses System wird auch als Multi-Tenant-Installation bezeichnet. Hier werden Inhalte nach bestimmten Gruppen in Silos zusammengefasst, und es wird verhindert, dass sich Benutzer aus verschiedenen Gruppen untereinander kennen. | Zum Schutz der privaten Informationen Ihrer Kunden empfehlen wir dringend, ein geschlossenes System für Private-Label- und signierte Einbettungen zu verwenden, bei denen Kunden Clients in das System hosten, die möglicherweise zu verschiedenen Unternehmen oder Gruppen gehören und nichts voneinander wissen sollten. |
Nachdem Sie das gewünschte System festgelegt haben, finden Sie auf dieser Seite die notwendigen Schritte zur Konfiguration. Für die Ersteinrichtung empfehlen wir, im Bereich Verwaltung den Bereich Zugriff auf Inhalte zu verwenden, da er ein zentraler Ort für Änderungen an den einzelnen Ordnern ist.
So wirkt sich der Zugriff auf einen Ordner auf die untergeordneten Ordner aus
Bevor Sie entscheiden, wie offen oder geschlossen Ihr System sein soll, sollten Sie wissen, wie sich die Zugriffsebenen, die Sie in den übergeordneten Ordnern festlegen, auf die untergeordneten Ordner auswirken und was Sie auf niedrigeren Ebenen in der Hierarchie ändern können und was nicht.
| Zugriffstyp | Vererbungsmuster | Beschreibung |
|---|---|---|
| Zugriff verwalten und bearbeiten | Wandert die gesamte Ordnerhierarchie nach unten | Nachdem Sie einem Nutzer Zugriff auf Zugriff verwalten, bearbeiten in einem Ordner gewährt haben, behält er diese Zugriffsebene für alle Looks, Dashboards und Unterordner in diesem Ordner bei. Sie können den Zugriff dieser Person nicht an einem unteren Teil der Ordnerhierarchie sperren. |
| Ansehen | Kann an jeder Stelle in der Hierarchie des Ordners entfernt werden | Wenn Sie den Zugriff Ansicht auf Ordnerebene entfernen, kann ein Nutzer diesen Ordner und seinen gesamten Inhalt nicht mehr sehen. Sie können den Zugriff View auch an einer niedrigeren Stelle in der Hierarchie entfernen, um zu verhindern, dass Nutzer bestimmte Looks, Dashboards oder Unterordner in einem ansonsten sichtbaren Ordner ansehen können. |
Looker-Administratoren haben die Berechtigung Zugriff verwalten, bearbeiten auf alle Ordner und damit auf alle Inhalte. So können sie das System verwalten, jeglichen verwaisten Inhalt verhindern und Benutzern bei Problemen helfen.
Vollständig offene Systeme konfigurieren
Die Standardkonfiguration von Looker ermöglicht vollständig offenen Zugriff auf alle Ordner. Die Gruppe Alle Nutzer ist der Gruppe Zugriff verwalten, bearbeiten für den freigegebenen Ordner zugewiesen und alle Unterordner innerhalb des freigegebenen Ordners übernehmen diesen Zugriff von diesem. Sie können diese Einstellung im Bereich Admin unter Zugriff auf Inhalte verwalten.
Sobald ein Nutzer die Berechtigung Zugriff verwalten, bearbeiten auf einen Ordner hat, hat er auch die Berechtigung Zugriff verwalten, bearbeiten auf den gesamten Inhalt dieses Ordners, einschließlich aller Unterordner. Das heißt, es gibt in diesem System keinerlei Beschränkungen für den Zugriff auf Inhalte.
Persönliche Ordner haben eine eigene Hierarchie und verfügen über Standardeinstellungen. Die Gruppe Alle Nutzer ist für alle persönlichen Ordner auf Ansehen eingestellt. Jeder Nutzer kann diese Gruppe aus seinem persönlichen Ordner entfernen, wenn sein persönlicher Ordner privat bleiben soll.
Offene Systeme mit Einschränkungen konfigurieren
Mit diesen Schritten können Sie ein offenes System mit Einschränkungen konfigurieren:
- Planen Sie Ihre Struktur.
- Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
- Ändern Sie den Zugriff der Gruppe Alle Nutzer in Ansehen für den freigegebenen Ordner.
- Entfernen Sie Alle Nutzer aus allen Ordnern, die nicht für das gesamte Unternehmen sichtbar sein sollen.
Planen Sie Ihre Struktur
Wer soll bestimmte Ordner anzeigen und bearbeiten können? Es wird Ihnen die Arbeit erleichtern, wenn Sie Ihren Plan skizzieren, bevor Sie mit der Konfiguration des Zugriffs beginnen. Auf diese Weise haben Sie auch die Möglichkeit, Änderungen im Laufe des Prozesses abzuhaken, damit Sie nicht noch einmal die verschiedenen Ordner überprüfen müssen. Durch das Einteilen von Nutzern in Gruppen können Sie den Zugriff verschiedener Abteilungen oder Teams innerhalb Ihres Unternehmens leichter verwalten.
Eine der häufigsten Konfigurationen besteht aus einem Ordner pro Abteilung oder Team. Das sieht dann ungefähr so aus:
- Erstellen Sie in Ihrem geteilten Ordner einen Ordner für eine Abteilung, ein Team oder ein Projekt. In diesem Abschnitt verwenden wir das Beispiel eines Finanzteams.
- Gewähren Sie dem CFO (oder dem Hauptanalysten für die Finanzabteilung) die Zugriffsrechte Zugriff verwalten, bearbeiten für diesen Ordner. Gewähren Sie dem Rest des Teams Lesezugriff.
- Erstellen Sie zwei Unterordner: einen für bearbeitbaren Inhalt und einen für schreibgeschützten Inhalt. Fügen Sie gegebenenfalls einen dritten untergeordneten Ordner für privaten Inhalt hinzu.
- Gewähren Sie im Unterordner für bearbeitbare Inhalte dem gesamten Finanzteam mithilfe einer Gruppe „Finanzen“ die Zugriffsrechte Zugriff verwalten, bearbeiten. Wenn Sie der Gruppe „Finanzen“ diese Zugriffsebene gegeben haben, können alle darin enthaltenen Mitglieder Inhalt in diesem untergeordneten Ordner hinzufügen, löschen oder ändern.
- Gewähren Sie der gesamten Gruppe „Finanzen“ im Unterordner für schreibgeschützte Inhalte Lesezugriff. Der CFO kann weiterhin Inhalte in diesem Ordner verwalten und bearbeiten, da er diesen Zugriff vom Hauptordner „Finanzen“ übernimmt.
- Entfernen Sie im (optionalen) privaten untergeordneten Ordner die Gruppe „Finanzen“ vollständig. Nur der CFO kann diesen Ordner sehen beziehungsweise dessen Inhalt verwalten.
Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
Wenn Sie den Zugriff auf Inhalte einschränken möchten, erleichtern Looker-Gruppen die Arbeit. Gruppen können genauso Zugriff auf Ordner und untergeordnete Ordner erhalten wie Benutzer. Gruppen können zudem wiederum andere Gruppen enthalten. Informationen zum Konfigurieren von Gruppen finden Sie auf der Seite Gruppen.
Legen Sie zuerst den Zugriff auf einzelne Unterordner fest und gehen Sie dann weiter nach oben, um den Zugriff für den gesamten freigegebenen Ordner festzulegen. Da der Zugriff in der Ordnerhierarchie nach unten verläuft, ist es am sichersten, den Zugriff auf die Unterordner mit der niedrigsten Ebene einzeln zu bearbeiten. Anschließend können Sie durch Ordner auf übergeordneter Ebene nach oben blättern, ihnen die gewünschte Zugriffsebene zuweisen und sicherstellen, dass Ihre Änderungen nicht mit Entscheidungen in Konflikt stehen, die Sie auf den unteren Ebenen getroffen haben.
In diesem Beispiel beginnen wir mit den Unterordnern innerhalb des freigegebenen Ordners. Sie können diese Einstellungen im Bereich Zugriff auf Inhalte des Steuerfelds Admin verwalten:
- Legen Sie für jeden Ordner im freigegebenen Ordner die Option Benutzerdefinierte Liste von Nutzern fest.
Weisen Sie den Nutzern und Gruppen, die Inhalte bearbeiten können sollen, die Berechtigung Zugriff verwalten, bearbeiten zu.
Weisen Sie den Nutzern und Gruppen, die schreibgeschützten Zugriff haben sollen, die Berechtigung Lesezugriff zu.
Solange Sie die Einstellungen für den freigegebenen Ordner auf oberster Ebene nicht ändern, werden diese Änderungen nicht wirksam. Die Zugriffsebene für die Gruppe Alle Nutzer ist im freigegebenen Ordner auf Zugriff verwalten, bearbeiten festgelegt und verläuft durch alle einzelnen Unterordner. Sie können die Einstellungen für Alle Nutzer in einzelnen Unterordnern erst ändern, wenn die Zugriffsebene für diese Gruppe im freigegebenen Ordner geändert wurde.
Klicken Sie auf den Ordner, den Sie konfigurieren möchten, und dann auf Zugriff verwalten.
Ändern Sie den Zugriff der Gruppe Alle Nutzer in Ansehen für den freigegebenen Ordner.
Ihrer Änderungen werden nun wirksam. Denken Sie daran, den Plan für Ihre Struktur zu lesen.
Sofern Sie nicht möchten, dass alle Nutzer Bearbeitungszugriff auf alle Inhalte in Ihrem System haben, klicken Sie für den freigegebenen Ordner auf Zugriff verwalten und ändern Sie die Option Alle Nutzer von Zugriff verwalten, Bearbeiten zu Ansehen.
Wenn Sie dann bestimmte Unterordner nur für bestimmte Gruppen anzeigen möchten, fahren Sie mit dem folgenden Abschnitt fort.
Entfernen Sie die Gruppe Alle Nutzer aus Ordnern, die nicht sichtbar sein sollen.
Wenn Sie einen Ordner nur für eine bestimmte Nutzergruppe als privat kennzeichnen möchten, entfernen Sie Alle Nutzer vollständig aus diesem Ordner. Verwenden Sie dazu das X rechts neben der Zugriffsebene des Ordners. Jetzt wird der Ordner nur für Nutzer und Gruppen angezeigt, die Sie explizit auflisten.
Geschlossene Systeme konfigurieren
Looker bietet die Option Geschlossenes System, mit der folgende Änderungen vorgenommen werden:
- Die Gruppe Alle Nutzer wird entfernt. Es gibt keine Möglichkeit, sich auf alle Benutzer im System als eine Gruppe zu beziehen. Stattdessen sollten Looker-Administratoren eine Gruppe pro Mandanten oder Kunde erstellen, wie im Abschnitt Gruppen für detaillierten Zugriff konfigurieren beschrieben. Im Rahmen dieser Diskussion gehen wir davon aus, dass es sich bei jedem Kunden um ein Unternehmen handelt.
- Alle Benutzerordner werden standardmäßig als privat definiert. Benutzer können weiterhin Inhalte in ihren Ordnern mit anderen Mitgliedern ihrer Gruppe teilen.
Es wird verhindert, dass Benutzer andere Benutzer sehen, die nicht ihrer Gruppe angehören. Wenn also ein Benutzer Mitglied der Gruppe „Unternehmen C“ ist, sieht er nur andere Mitglieder von „Unternehmen C“. Die Mitglieder der Gruppen „Unternehmen A“ und „Unternehmen B“ sieht er nicht.
Die Startseite: Zuletzt angesehene Inhalte ist ein Beispiel für einen Ort in Looker, an dem dieser Nutzer nur andere Mitglieder von Unternehmen C und deren Inhalte sieht.
Mit diesen Schritten können Sie ein geschlossenes System konfigurieren:
- Fragen Sie nach der Option Closed System.
- Planen Sie Ihre Struktur.
- Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
- Aktivieren Sie das geschlossene System im Admin-Bereich.
- Gewähren Sie jeder Unternehmensgruppe in Ihrem System die Berechtigung Ansicht für den freigegebenen Ordner.
- Konfigurieren Sie Zugriffsebenen für jeden Unterordner der freigegebenen Ordner.
- Migrieren Sie Inhalte in Unterordner.
Bei diesen Schritten wird davon ausgegangen, dass sich keine Inhalte für mehrinstanzenfähige Nutzer in den freigegebenen Ordnern befinden. Um Inhalte in einem geschlossenen System in Silos zu speichern und zu verhindern, dass Kunden oder andere Gruppen sich gegenseitig sehen, verschieben Sie diese Inhalte aus dem freigegebenen Ordner in separate Unterordner, bevor Sie mit den folgenden Schritten beginnen.
Bitten Sie um Verfügbarkeit der Option „Closed System“.
Wenn Sie möchten, dass die Option Geschlossenes System für Ihre Instanz aktiviert wird, wenden Sie sich an einen Google Cloud-Vertriebsexperten oder stellen Sie eine Supportanfrage.
Planen Sie Ihre Struktur
Wenn Sie Ihren Plan im Voraus erstellen, ist die Konfiguration Ihres Systems im Folgenden wesentlich einfacher. Dabei sind zwei Hauptbereiche besonders zu berücksichtigen:
Erstens, erstellen Sie für jedes Unternehmen eine eigene Gruppe. In einer Unternehmensgruppe sind alle Benutzer aus dem jeweiligen Unternehmen zusammengefasst und diese Benutzer werden von anderen Unternehmen getrennt behandelt.
Zweitens: Überlegen Sie, ob mehrere Unternehmen denselben Ordner sehen sollen, z. B. für Dashboards, die für alle Unternehmen relevant sind, oder ob Sie einen Ordner auf oberster Ebene für jedes Unternehmen erstellen möchten (für unterschiedliche Inhalte, die nur für ein Unternehmen gelten).
Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
Es sollte zwar mindestens eine Gruppe pro Unternehmen geben, diese größere Gruppe kann aber auch Untergruppen enthalten. Wenn Sie einigen Nutzern in einem Unternehmen erlauben möchten, Inhalte zu bearbeiten und zu verwalten, während andere nur Inhalte anzeigen dürfen, können Sie separate Untergruppen für die verschiedenen Nutzertypen erstellen. Sie können beispielsweise zuerst Unternehmen A als Dachgruppe erstellen und dann zwei Untergruppen hinzufügen: Bearbeiter in Unternehmen A und Betrachter in Unternehmen A.
Informationen zum Konfigurieren von Gruppen finden Sie auf der Dokumentationsseite Gruppen.
Aktivieren Sie im Bereich Admin die Option „Geschlossenes System“.
Es empfiehlt sich, die Option Geschlossenes System zu aktivieren, bevor Sie Zugriffssteuerungen für Ordner einrichten, da durch das Aktivieren der Option Geschlossenes System Änderungen an Ihrem System vorgenommen werden (siehe die Einführung in Geschlossenes System konfigurieren auf dieser Seite). Diese Option befindet sich in Looker im Bereich Admin im Bereich Allgemein unter Einstellungen.
Gewähren Sie jeder Unternehmensgruppe den Zugriff Ansicht für den geteilten Ordner
Gewähren Sie jeder Unternehmensgruppe Lesezugriff für die freigegebenen Ordner. Dadurch können die Mitglieder dieser Gruppen auf den freigegebenen Ordner zugreifen und den Ordner ihres eigenen Unternehmens darin sehen. Hat eine Gruppe keinen Lesezugriff auf die freigegebenen Ordner, kann die Gruppe die Ordner ihres eigenen Unternehmens nicht sehen. Sie können diese Einstellungen im Bereich Admin unter Zugriff auf Inhalte verwalten.
Zugriffsebenen für jeden untergeordneten Ordner konfigurieren
Legen Sie Zugriffsebenen fest, um zu definieren, wer Inhalte in den einzelnen untergeordneten Ordnern sehen oder bearbeiten kann. Für Unterordner gelten standardmäßig die Zugriffseinstellungen der übergeordneten Ordner, bis Sie diese ändern. Das bedeutet, dass ein Unternehmen mit Lesezugriff auf den freigegebenen Ordner Inhalte im Unterordner eines anderen Unternehmens ansehen kann, sofern Sie den Zugriff auf diesen Unterordner nicht einschränken. Überprüfen Sie jeden Unterordner und schränken Sie den Zugriff entsprechend ein.
Inhalt in untergeordnete Ordner migrieren
Verfügt Ihr Unternehmen über Benutzer, die zum Anzeigen ihres eigenen Ordners und anderer persönlicher Ordner berechtigt sind, wird die Migration von allen Inhalten aus diesen persönlichen Ordnern in die entsprechenden Ordner in der geteilten Haupthierarchie empfohlen.