Progettazione e configurazione di un sistema di livelli di accesso

Diversi livelli di accesso ai contenuti determinano quali utenti possono visualizzare e modificare i contenuti nelle cartelle di Looker. Mentre le autorizzazioni vengono associate a un utente in base al suo ruolo, l'accesso ai contenuti è associato a una cartella e ne definisce l'apertura per gli utenti a vari livelli.

Tipi di accesso alle cartelle

Puoi assegnare uno dei due livelli di accesso a ciascun utente o gruppo di Looker per qualsiasi cartella specifica:

Per ulteriori informazioni sull'accesso ai contenuti e sulle autorizzazioni, vedi Controllo dell'accesso ai contenuti degli utenti e Modalità di interazione delle autorizzazioni e dell'accesso ai contenuti.

Sistemi aperti e chiusi per l'accesso alle cartelle

Le impostazioni di Looker ti aiuteranno a strutturare l'accesso degli utenti in base ai criteri della tua azienda e ai tipi di utenti che interagiranno con le tue cartelle. In generale, il sistema che concepirai rientrerà in tre grandi categorie: completamente aperto, aperto con restrizioni o chiuso.

Livello di accesso alle cartelle Descrizione Utilizzo consigliato
Completamente aperto Tutti gli utenti possono visualizzare e modificare tutti i contenuti condivisi. Questa è la configurazione predefinita di Looker. Un sistema aperto è consigliato per le piccole aziende o i team che utilizzano Looker, le aziende con criteri aperti sui dati e le aziende in cui la condivisione di report modificabili è un caso d'uso primario.
Apri con restrizioni L'accesso ai contenuti condivisi è sottoposto a qualche restrizione, in modo che solo specifiche persone possano modificare determinati contenuti oppure che determinati contenuti siano completamente invisibili a persone specifiche. Un sistema aperto con restrizioni è consigliato per team e aziende di medie o grandi dimensioni, per basi utenti altamente diversificate in cui i report non sono rilevanti per tutti o per aziende dove i contenuti devono essere visibili a tutti, ma modificabili solo da alcuni.
Chiuso Questo sistema, detto anche installazione multitenant, isola i contenuti per certi gruppi e impedisce agli utenti di gruppi diversi di avere informazioni sugli altri. Per salvaguardare le informazioni private dei clienti, consigliamo vivamente di utilizzare un sistema chiuso per i casi d'uso di private label e di incorporamento firmato, nei quali i clienti ospitano nel sistema dei client che potrebbero appartenere ad aziende o gruppi diversi e che non devono essere a conoscenza gli uni degli altri.

Una volta stabilito il tipo di impianto desiderato, in questa pagina verranno illustrati i passaggi per la configurazione. Per la configurazione iniziale, ti consigliamo di usare la sezione Accesso ai contenuti del riquadro Amministrazione, che consente di apportare modifiche a ogni cartella in un'unica posizione.

In che modo l'accesso a una cartella influisce sulle relative sottocartelle

Prima di decidere quanto vuoi che il sistema sia aperto o chiuso, è importante capire in che modo i livelli di accesso impostati nelle cartelle principali influiscono sulle relative sottocartelle, nonché cosa puoi e non puoi modificare ai livelli inferiori della gerarchia.

Tipo di accesso Pattern di ereditarietà Descrizione
Gestisci accesso, modifica Flussi fino alla fine della gerarchia di cartelle Quando un utente dispone dell'accesso Gestione accesso, Modifica in una cartella, avrà lo stesso livello di accesso per tutti i look, le dashboard e le sottocartelle all'interno di quella cartella. Non potrai bloccarne l'accesso in una parte inferiore della gerarchia di cartelle.
Visualizza Può essere rimosso in qualsiasi punto della gerarchia di cartelle La rimozione dell'accesso Visualizzazione a livello di cartella impedisce all'utente di vedere quella cartella e tutti i suoi contenuti. Puoi anche rimuovere l'accesso Visualizza in qualsiasi punto più in basso nella gerarchia per impedire agli utenti di visualizzare determinati look, dashboard o sottocartelle all'interno di una cartella altrimenti visibile.

Gli amministratori di Looker hanno l'accesso Gestione accesso, Modifica a tutte le cartelle e pertanto a tutti i contenuti. In questo modo possono gestire il sistema, prevenire la pubblicazione di contenuti orfani e assistere gli utenti che riscontrano problemi.

Configurare un sistema completamente aperto

La configurazione predefinita di Looker consente l'accesso completamente aperto a tutte le cartelle. Al gruppo Tutti gli utenti è assegnato il ruolo Gestisci accesso, modifica nella cartella Shared (Condivisa) e tutte le sottocartelle al suo interno erediteranno quell'accesso. Puoi gestire questa impostazione dalla sezione Accesso ai contenuti del riquadro Amministrazione.

Quando un utente dispone dell'accesso Manage Access, Edit (Gestione accesso, Modifica) a una cartella, avrà lo stesso accesso anche su tutti i contenuti della cartella, comprese le relative sottocartelle. Ciò significa che non ci sono restrizioni per l'accesso ai contenuti in questo sistema.

Le cartelle personali esistono in una gerarchia separata e hanno anche impostazioni predefinite. Il gruppo Tutti gli utenti è impostato su Visualizza in tutte le cartelle personali. Ciascun utente può scegliere di rimuovere questo gruppo dalla propria cartella personale se vuole che la propria cartella sia privata.

Configurazione di un sistema aperto con restrizioni

Questi passaggi ti aiuteranno a configurare un sistema aperto con restrizioni:

  1. Pianificare la struttura.
  2. Configurare i gruppi per un accesso granulare.
  3. Imposta l'accesso del gruppo Tutti gli utenti su Visualizza nella cartella Condivisa.
  4. Rimuovi Tutti gli utenti dalle cartelle che non vuoi che siano visibili all'intera azienda.

Pianifica la struttura

A chi vuoi consentire di visualizzare e modificare determinate cartelle? Sarà più semplice se abbozzi il tuo piano prima di iniziare a configurare l'accesso. In questo modo, inoltre, puoi spuntare le modifiche nel corso della procedura, in modo da non dover tornare indietro per controllare le varie cartelle. Suddividere gli utenti in gruppi ti aiuterà a gestire l'accesso per diversi reparti o team all'interno dell'azienda.

Una delle configurazioni più comuni è avere una cartella per reparto o team, con un aspetto simile al seguente:

  • All'interno della cartella Condivisi, crea una cartella per un reparto, un team o un progetto. In questa sezione useremo l'esempio del team Finanza.
  • Concedi al CFO, o all'analista principale del team Finance (Finanza), l'accesso Gestisci accesso, Modifica su quella cartella. Al resto del team concedi l'accesso Visualizza.
  • Crea due sottocartelle, una per i contenuti modificabili e una per i contenuti di sola lettura. Se necessario, aggiungi una terza sottocartella per i contenuti privati.
  • Nella sottocartella dei contenuti modificabili, concedi l'accesso Gestisci accesso, modifica all'intero team Finanza utilizzando un gruppo Finanza. Una volta concesso al gruppo Finanza quel livello di accesso, tutti i suoi membri potranno aggiungere, eliminare o modificare i contenuti della sottocartella.
  • Nella sottocartella per i contenuti di sola lettura, concedi l'accesso in Visualizzazione all'intero gruppo Finanza. Il CFO potrà comunque gestire l'accesso e modificare i contenuti di questa cartella perché lo eredita dalla cartella Finance (Finanza) principale.
  • Nella sottocartella privata (facoltativa), rimuovi completamente il gruppo Finanza. Solo il CFO può vedere questa cartella o gestirne i contenuti.

Configurare i gruppi per un accesso granulare

Se stai pianificando di limitare l'accesso ai contenuti, i gruppi di Looker semplificano le cose. Ai gruppi è possibile concedere l'accesso alle cartelle e alle sottocartelle così come accade per gli utenti; inoltre, i gruppi possono contenere altri gruppi. Per informazioni su come configurare i gruppi, vedi la pagina Gruppi.

Prima di tutto, imposta l'accesso per le singole sottocartelle, poi passa ai livelli superiori per impostare l'accesso per l'intera cartella Shared (Condivisa). Poiché l'accesso scorre verso il basso nella gerarchia delle cartelle, è più sicuro iniziare manipolando singolarmente l'accesso alle sottocartelle di livello inferiore. Quindi puoi passare alle cartelle di livello padre, concedendo loro il livello di accesso che vuoi e assicurandoti che le modifiche non siano in conflitto con le decisioni che hai preso ai livelli inferiori.

In questo esempio, inizieremo con le sottocartelle all'interno della cartella Shared (Condivisa). Puoi gestire queste impostazioni dalla sezione Accesso ai contenuti del riquadro Amministrazione:

  1. Imposta ogni cartella all'interno della cartella Shared (Condivisa) su Un elenco personalizzato di utenti.
  2. Assegna l'accesso Gestisci accesso, Modifica agli utenti e ai gruppi a cui vuoi consentire di modificare i contenuti.

  3. Assegna l'accesso Visualizza agli utenti e ai gruppi a cui vuoi concedere l'accesso di sola lettura.

Finché non cambi le impostazioni per la cartella Condivisa di primo livello, non succederà nulla. Il livello di accesso per il gruppo Tutti gli utenti è impostato su Gestisci accesso, Modifica nella cartella Condivisa e scorre verso il basso attraverso tutte le singole sottocartelle. Non è possibile modificare le impostazioni per Tutti gli utenti nelle singole sottocartelle finché non si modifica il livello di accesso per quel gruppo nella cartella Condivisa.

Fai clic sulla cartella che vuoi configurare, quindi fai clic su Gestisci accesso.

Modifica l'accesso del gruppo Tutti gli utenti in Visualizza nella cartella condivisa

Questa è la data in cui le modifiche entrano in vigore. Ricordati di consultare il piano per la struttura.

Innanzitutto, a meno che tu non voglia che tutti abbiano accesso a tutti i contenuti nel sistema, fai clic su Gestisci accesso per la cartella Condivisa e cambia l'impostazione per Tutti gli utenti da Gestisci accesso, Modifica a Visualizza.

Quindi, se il tuo piano prevede che alcune sottocartelle siano visibili solo per alcuni gruppi, passa alla sezione successiva.

Rimuovi il gruppo Tutti gli utenti dalle cartelle che non vuoi che siano visibili

Per rendere una cartella privata per un determinato sottogruppo di utenti, rimuovi completamente Tutti gli utenti da quella cartella utilizzando il pulsante X a destra del livello di accesso della cartella. Ora la cartella verrà visualizzata solo per gli utenti e i gruppi che elenchi esplicitamente.

Configurazione di un sistema chiuso

Looker offre un'opzione Sistema chiuso che apporta le seguenti modifiche:

  • Rimuove il gruppo Tutti gli utenti. Non sarà possibile in alcun modo fare riferimento a tutti gli utenti nel sistema come gruppo. Gli amministratori di Looker, invece, devono creare un gruppo per tenant, o per cliente, come illustrato nella sezione Configurare i gruppi per fornire un accesso granulare. In questa discussione, supponiamo che ogni cliente sia un'azienda.
  • Rende private tutte le cartelle degli utenti per impostazione predefinita. Gli utenti possono comunque scegliere di condividere i contenuti presenti nelle loro cartelle con altri membri dei gruppi di cui fanno parte.
  • Impedisce agli utenti di vedere gli altri utenti, a meno che non condividano un gruppo. Quindi, se un utente fa parte del gruppo Azienda C, vedrà solo gli altri membri di Azienda C e non i membri delle Società A e B.

    Home page: Contenuti visualizzati di recente è un esempio di un luogo in Looker in cui l'utente vedrà solo gli altri membri della Società C e i relativi contenuti.

Questi passaggi ti aiuteranno a configurare un sistema chiuso:

  1. Chiedi che selezioni l'opzione Sistema chiuso.
  2. Pianifica la struttura.
  3. Configura i gruppi per fornire un accesso granulare.
  4. Abilita il sistema chiuso nel riquadro Amministrazione.
  5. Assegnare l'accesso Visualizza per la cartella Shared (Condivisa) a tutti i gruppi aziendali nel sistema.
  6. Configurare i livelli di accesso per ogni sottocartella delle cartelle Shared (Condivisa).
  7. Eseguire la migrazione dei contenuti in sottocartelle.

Questi passaggi presuppongono che nelle cartelle Shared (Condivisa) non siano attualmente ospitati contenuti per gli utenti multitenant. Per isolare i contenuti in un sistema chiuso e impedire ai clienti o ad altri gruppi di vedersi a vicenda, sposta questi contenuti dalla cartella Shared (Condivisa) in sottocartelle separate prima di iniziare i passaggi successivi.

Chiedere l'opzione Closed System (Sistema chiuso)

Per richiedere l'abilitazione dell'opzione Sistema chiuso per la tua istanza, contatta un esperto delle vendite di Google Cloud o apri una richiesta di assistenza.

Pianifica la struttura

Se hai impostato un piano in anticipo, la configurazione dell'impianto sarà molto più semplice. Ci sono due aspetti principali da considerare:

Innanzitutto, assicurati di creare un gruppo per ogni azienda. Un gruppo aziendale collega tutti gli utenti di ogni azienda e li tiene separati dalle altre aziende.

In secondo luogo, valuta se preferisci che più aziende visualizzino la stessa cartella (ad esempio per le dashboard pertinenti per tutte le aziende) o se preferisci una cartella di primo livello per ogni azienda (per contenuti distinti che si applicano solo a una singola azienda).

Configurare i gruppi per un accesso granulare

Per ogni azienda ci deve essere almeno un gruppo, ma all'interno di quel gruppo più grande possono esistere anche sottogruppi. Se vuoi consentire ad alcuni utenti di un'azienda di modificare e gestire i contenuti e ad altri solo di visualizzarli, puoi creare sottogruppi separati per i vari tipi di utenti. Ad esempio, puoi iniziare creando l'Azienda A come gruppo principale e poi aggiungere due sottogruppi: Editors at Azienda A e Spettatori presso Azienda A.

Per informazioni su come configurare i gruppi, consulta la pagina della documentazione Gruppi.

Attiva l'opzione Sistema chiuso nel riquadro Amministrazione

È preferibile abilitare l'opzione Sistema chiuso prima di configurare i controlli dell'accesso sulle cartelle perché, una volta abilitata, questa opzione apporta modifiche al sistema (vedi l'introduzione a Configurazione di un sistema chiuso in questa pagina). Questa opzione si trova nella sezione Settings (Impostazioni) del riquadro General (Generale) nella sezione Admin (Amministrazione) di Looker.

Assegnare l'accesso View (Visualizzazione) per la cartella Shared (Condivisa) a tutti i gruppi aziendali

Concedi a ciascun gruppo aziendale l'accesso in visualizzazione per le cartelle condivise. In questo modo, tutti i membri di quei gruppi potranno accedere alla cartella Shared (Condivisa) e vedere la cartella della propria azienda al suo interno. Se un gruppo non dispone dell'accesso Visualizza alle cartelle Shared (Condivisa), non potrà vedere le cartelle della propria azienda. Puoi gestire queste impostazioni dalla sezione Accesso ai contenuti del riquadro Amministrazione.

Configurare i livelli di accesso per ogni sottocartella

Imposta i livelli di accesso per stabilire chi può visualizzare o modificare i contenuti in ogni sottocartella. Per impostazione predefinita, le sottocartelle utilizzano le cartelle principali impostazioni di accesso finché non le modifichi. Ciò significa che un'azienda con accesso Visualizza alla cartella Condivisa potrebbe visualizzare i contenuti in una sottocartella di un'altra azienda, a meno che non limiti l'accesso a quella sottocartella. Esamina ogni sottocartella e limita l'accesso in modo appropriato.

Eseguire la migrazione dei contenuti in sottocartelle

Se la tua azienda ha consentito agli utenti di visualizzare la propria cartella e altre cartelle personali, ti consigliamo di eseguire la migrazione di tutti i contenuti da queste cartelle personali a quelle appropriate nella gerarchia Condivisa principale.