Como projetar e configurar um sistema de níveis de acesso

Diferentes níveis de acesso ao conteúdo determinam quais usuários podem visualizar e editar conteúdo nas pastas do Looker. Enquanto as permissões são associadas a um usuário de acordo com a função dele, o acesso ao conteúdo é associado a uma pasta e define o nível de abertura da pasta para usuários em vários níveis.

Tipos de acesso a pastas

Um de dois níveis de acesso pode ser atribuído a cada usuário ou grupo do Looker em qualquer pasta:

Para mais informações sobre acesso e permissões de conteúdo, consulte Controlar o acesso do usuário ao conteúdo e Como o acesso e as permissões de conteúdo interagem.

Sistemas de acesso a pastas abertos e fechados

As configurações do Looker ajudam a estruturar o acesso do usuário com base nas políticas da empresa e nos tipos de usuários que vão interagir com as pastas. Em geral, o sistema que você criar vai se enquadrar em uma destas três categorias: completamente aberto, aberto com restrições ou fechado.

Nível de acesso às pastas Descrição Uso recomendado
Completamente aberto Todos os usuários podem ver e modificar todo o conteúdo compartilhado. Essa é a configuração padrão do Looker. Um sistema aberto é recomendado para pequenas empresas ou equipes que usam o Looker, empresas com políticas abertas sobre dados e empresas em que o compartilhamento de relatórios editáveis é um caso de uso principal.
Abrir com restrições O acesso ao conteúdo compartilhado é restrito de alguma forma para que apenas algumas pessoas possam editar determinado conteúdo ou para que alguns conteúdos sejam totalmente invisíveis para determinadas pessoas. Um sistema aberto com restrições é recomendado para equipes e empresas de médio ou grande porte, bases de usuários altamente diversificadas em que os relatórios não são relevantes para todos ou empresas que querem que o conteúdo seja visível para todos, mas editável apenas por alguns.
Fechado Também chamada de instalação multitenant, esse sistema isola o conteúdo para determinados grupos e impede que usuários de grupos diferentes se conheçam. Para proteger as informações particulares dos seus clientes, recomendamos o uso de um sistema fechado para casos de uso de marca própria e incorporação assinada em que os clientes hospedam clientes no sistema que podem ser de diferentes empresas ou grupos e que não devem se conhecer.

Depois de determinar o tipo de sistema que você quer, esta página vai orientar você pelas etapas de configuração. Para a configuração inicial, recomendamos usar a seção Acesso ao conteúdo do painel Administrador, já que é um único lugar para fazer mudanças em cada pasta.

Como o acesso a uma pasta afeta as subpastas dela

Antes de decidir o nível de abertura ou fechamento do sistema, é importante entender como os níveis de acesso definidos nas pastas principais afetam as subpastas, além do que pode e não pode ser alterado em níveis mais baixos da hierarquia.

Tipo de acesso Padrão de herança Descrição
Gerenciar acesso, editar Flui por toda a hierarquia de pastas Depois de conceder a um usuário acesso a Gerenciar acesso, Editar em uma pasta, ele vai manter esse nível de acesso a todos os Looks, painéis e subpastas dentro dela. Não será possível bloquear o acesso em uma parte inferior da hierarquia de pastas.
Ver Pode ser removido a qualquer momento na hierarquia de pastas Remover o acesso de visualização no nível da pasta revoga a capacidade de um usuário de ver essa pasta e todo o conteúdo dela. Você também pode remover o acesso de Visualização em qualquer ponto mais abaixo na hierarquia para impedir que os usuários vejam Looks, painéis ou subpastas específicos em uma pasta que pode ser visualizada.

Os administradores do Looker têm acesso de Gerenciar acesso, Editar a todas as pastas e, portanto, a todo o conteúdo. Isso garante a capacidade de gerenciar o sistema, evitar conteúdo órfão e ajudar qualquer usuário que tenha problemas.

Como configurar um sistema completamente aberto

A configuração padrão do Looker permite acesso totalmente aberto a todas as pastas. O grupo Todos os usuários tem a função Gerenciar acesso, Editar na pasta "Compartilhada", e todas as subpastas dentro dela herdam esse acesso. Gerencie essa configuração na seção Acesso ao conteúdo do painel Administrador.

Quando um usuário tem acesso de Gerenciar acesso, Editar a uma pasta, ele também tem acesso de Gerenciar acesso, Editar a todo o conteúdo dessa pasta, incluindo todas as subpastas. Isso significa que não há restrições de acesso ao conteúdo nesse sistema.

As pastas pessoais existem em uma hierarquia separada e também têm configurações padrão. O grupo Todos os usuários está definido como Visualizar em todas as pastas pessoais. Cada usuário pode remover esse grupo da pasta pessoal se quiser que ela seja privada.

Configurar um sistema aberto com restrições

Estas etapas ajudam você a configurar um sistema aberto com restrições:

  1. Planeje sua estrutura.
  2. Configure grupos para fornecer acesso granular.
  3. Mude o acesso do grupo Todos os usuários para Visualizar na pasta compartilhada.
  4. Remova Todos os usuários de qualquer pasta que você não quer que seja visível para toda a empresa.

Planejar a estrutura

Quem você quer permitir que veja e edite pastas específicas? É mais fácil esboçar seu plano antes de começar a configurar o acesso. Assim, você pode marcar as mudanças à medida que avança no processo, sem precisar voltar para verificar várias pastas. Colocar usuários em grupos ajuda a gerenciar o acesso de diferentes departamentos ou equipes na sua empresa.

Uma das configurações mais comuns é ter uma pasta por departamento ou equipe, que se parece com isto:

  • Na pasta "Compartilhada", crie uma pasta para um departamento, uma equipe ou um projeto. Nesta seção, vamos usar o exemplo de uma equipe de finanças.
  • Conceda ao CFO (ou ao analista principal de finanças) o acesso Gerenciar acesso, Editar nessa pasta. Conceda ao restante da equipe acesso de Leitura.
  • Crie duas subpastas: uma para conteúdo editável e outra para conteúdo somente leitura. Se necessário, adicione uma terceira subpasta para conteúdo particular.
  • Na subpasta do conteúdo editável, conceda acesso de Gerenciar acesso, editar a toda a equipe de finanças usando um grupo de finanças. Depois de conceder esse nível de acesso ao grupo de finanças, todos os membros poderão adicionar, excluir ou mudar o conteúdo dessa subpasta.
  • Na subpasta de conteúdo somente leitura, conceda acesso de Leitura a todo o grupo de finanças. O CFO ainda pode gerenciar o acesso e editar o conteúdo dessa pasta porque herda o acesso da pasta principal de finanças.
  • Na subpasta particular (opcional), remova o grupo "Finanças" completamente. Somente o CFO pode acessar essa pasta ou gerenciar o conteúdo dela.

Configurar grupos para oferecer acesso granular

Se você planeja restringir o acesso ao conteúdo, os grupos do Looker facilitam muito as coisas. Os grupos podem receber acesso a pastas e subpastas da mesma forma que os usuários, e podem conter outros grupos. Para informações sobre como configurar grupos, consulte a página "Grupos".

Comece definindo o acesso a subpastas individuais e, em seguida, defina o acesso para toda a pasta compartilhada. Como o acesso flui pela hierarquia de pastas, é mais seguro começar manipulando o acesso às subpastas mais baixas individualmente. Em seguida, avance pelas pastas de nível principal, atribuindo a elas o nível de acesso desejado e garantindo que as mudanças não entrem em conflito com as decisões tomadas nos níveis mais baixos.

Neste exemplo, vamos começar com as subpastas dentro da pasta "Compartilhada". Gerencie essas configurações na seção Acesso ao conteúdo do painel Administrador:

  1. Defina cada pasta na pasta "Compartilhada" como Uma lista personalizada de usuários.
  2. Atribua acesso de Gerenciar acesso, Editar aos usuários e grupos que precisam editar o conteúdo.

  3. Atribua acesso de Visualização aos usuários e grupos que precisam de acesso somente leitura.

Até que você mude as configurações da pasta compartilhada de nível superior, nada vai entrar em vigor. O nível de acesso do grupo Todos os usuários está definido como Gerenciar acesso, Editar na pasta compartilhada e é aplicado a todas as subpastas individuais. Não é possível modificar as configurações de Todos os usuários em subpastas individuais até que o nível de acesso desse grupo seja alterado na pasta compartilhada.

Clique na pasta que você quer configurar e em Gerenciar acesso.

Mude o acesso do grupo Todos os usuários para Visualizar na pasta compartilhada.

É quando as mudanças entram em vigor. Consulte o plano da sua estrutura.

Primeiro, a menos que você queira que todos tenham acesso de edição a todo o conteúdo do seu sistema, clique em Gerenciar acesso na pasta compartilhada e mude Todos os usuários de Gerenciar acesso, Editar para Visualizar.

Em seguida, se você planeja mostrar determinadas subpastas apenas para alguns grupos, continue na próxima seção.

Remova o grupo Todos os usuários das pastas que você não quer que sejam visíveis.

Para tornar uma pasta particular para um determinado subgrupo de usuários, remova Todos os usuários completamente dessas pastas usando o X à direita do nível de acesso da pasta. Agora a pasta só vai aparecer para os usuários e grupos que você listar explicitamente.

Como configurar um sistema fechado

O Looker oferece uma opção de sistema fechado que faz as seguintes mudanças:

  • Remove o grupo Todos os usuários. Não será possível se referir a todos os usuários do sistema como um grupo. Em vez disso, os administradores do Looker precisam criar um grupo por locatário ou cliente, conforme discutido na seção Configurar grupos para oferecer acesso granular. Para esta discussão, vamos presumir que cada cliente é uma empresa.
  • Torna todas as pastas de usuários privadas por padrão. Os usuários ainda podem compartilhar conteúdo nas pastas com outros membros dos grupos.
  • Impede que os usuários vejam outros usuários, a menos que compartilhem um grupo. Assim, se um usuário for membro do grupo da Empresa C, ele só vai ver outros membros da Empresa C, e não os membros das Empresas A e B.

    A página inicial: conteúdo visualizado recentemente é um exemplo de lugar no Looker em que esse usuário só vai ver outros membros da Empresa C e o conteúdo deles.

Estas etapas ajudam você a configurar um sistema fechado:

  1. Peça a opção Sistema fechado.
  2. Planeje sua estrutura.
  3. Configure grupos para fornecer acesso granular.
  4. Ative o sistema fechado no painel Administrador.
  5. Dê a cada grupo de empresas no seu sistema acesso de visualização à pasta compartilhada.
  6. Configure os níveis de acesso para cada subpasta das pastas compartilhadas.
  7. Migre o conteúdo para subpastas.

Estas etapas pressupõem que nenhum conteúdo de usuários multitenant esteja nas pastas compartilhadas. Para isolar o conteúdo em um sistema fechado e impedir que clientes ou outros grupos se vejam, mova esse conteúdo da pasta compartilhada para subpastas separadas antes de seguir as etapas abaixo.

Peça a opção "Sistema fechado".

Para solicitar que a opção Sistema fechado seja ativada na sua instância, entre em contato com um especialista em vendas do Google Cloud ou abra uma solicitação de suporte.

Planejar a estrutura

É muito mais fácil configurar o sistema se você tiver planejado tudo com antecedência. Há duas áreas principais a serem consideradas:

Primeiro, crie um grupo para cada empresa. Um grupo de empresas associa todos os usuários de cada empresa e os mantém separados de outras empresas.

Em segundo lugar, considere se você quer que várias empresas analisem a mesma pasta (por exemplo, para painéis relevantes para todas as empresas) ou se quer uma pasta de nível superior para cada empresa (para conteúdo distinto que se aplica apenas a uma empresa).

Configurar grupos para oferecer acesso granular

Embora deva haver pelo menos um grupo por empresa, também pode haver subgrupos dentro desse grupo maior. Se você quiser permitir que alguns usuários de uma empresa editem e gerenciem conteúdo, enquanto outros só podem visualizar, crie subgrupos separados para os diferentes tipos de usuários. Por exemplo, você pode começar criando Empresa A como o grupo principal e adicionar dois subgrupos: Editores da Empresa A e Leitores da Empresa A.

Para informações sobre como configurar grupos, consulte a página de documentação Grupos.

Ative a opção "Sistema fechado" no painel Administrador.

É melhor ativar a opção Sistema fechado antes de configurar qualquer controle de acesso em pastas, já que a ativação dessa opção faz mudanças no sistema. Consulte a introdução de Configurar um sistema fechado nesta página. Essa opção está localizada na seção Configurações do painel Geral na seção Administrador do Looker.

Conceda a cada grupo de empresas acesso de leitura à pasta compartilhada.

Conceda acesso de Visualização a cada grupo de empresas nas pastas compartilhadas. Assim, os participantes desses grupos podem acessar a pasta compartilhada e ver a pasta da própria empresa nela. Se um grupo não tiver acesso de Visualização às pastas compartilhadas, ele não poderá ver as pastas da própria empresa. Gerencie essas configurações na seção Acesso ao conteúdo do painel Administrador.

Configurar níveis de acesso para cada subpasta

Defina níveis de acesso para estabelecer quem pode visualizar ou editar o conteúdo em cada subpasta. Por padrão, as subpastas usam as configurações de acesso das pastas principais até que você as mude. Isso significa que uma empresa com acesso de Leitor à pasta compartilhada pode ver o conteúdo na subpasta de outra empresa, a menos que você restrinja o acesso a ela. Analise cada subpasta e restrinja o acesso conforme necessário.

Migrar conteúdo para subpastas

Se a empresa permitir que os usuários vejam a própria pasta e outras pastas pessoais, recomendamos migrar o conteúdo dessas pastas para as pastas adequadas na hierarquia compartilhada principal.