不同级别的内容访问权限决定了哪些用户可以查看和编辑 Looker 文件夹中的内容。权限是根据用户的角色与用户相关联的,而内容访问权限与文件夹相关联,并定义了文件夹对各个级别的用户的开放程度。
文件夹访问权限类型
您可以为任何给定文件夹的每个 Looker 用户或群组分配两种访问权限级别之一:
查看:拥有此访问权限级别,用户可以查看该文件夹是否存在,可以查看其中的 Look 和信息中心,还可以复制文件夹中的 Look 和信息中心。
管理访问权限、修改:此访问权限级别允许用户执行查看访问权限级别的所有操作,还可以对文件夹进行更改,例如:
有关内容访问权限和权限的更多讨论,请参阅控制用户内容访问权限和内容访问权限和权限的交互方式。
开放和封闭式文件夹访问系统
Looker 的设置可帮助您根据贵公司的政策以及将与您的文件夹互动的用户类型来构建用户访问权限。一般来说,您所设计的系统可分为三大类:完全开放、有限制的开放或封闭。
| 对文件夹的访问权限级别 | 说明 | 推荐用途 |
|---|---|---|
| 完全打开 | 所有用户都可以查看和修改所有共享的内容。这是 Looker 的默认配置。 | 对于使用 Looker 的小型公司或团队、对数据采取开放政策的公司,以及主要使用场景是共享可修改报告的公司,建议使用开放的系统。 |
| 打开但有限制 | 对共享内容的访问受到了一定程度的限制,因此要么只有部分人可以编辑某些内容,要么是对某些人完全看不到部分内容。 | 建议大中型团队和公司使用具有限制的开放系统、高度多样化的用户群(其中报告并非与所有人相关),或者希望内容对所有人都可见但只有少数人可以编辑的公司。 |
| 已关闭 | 这种系统也称为多租户安装,将内容孤立给特定群组,并阻止不同群组的用户相互了解。 | 为了保护客户的隐私信息,我们强烈建议您针对私有品牌和签名嵌入用例使用封闭系统,在这些用例中,客户将来自不同公司或群组的客户托管到系统中,而彼此应该互不相识。 |
在您确定了所需的系统类型后,此页面会引导您完成配置步骤。对于初始设置,我们建议您使用管理面板的内容访问权限部分,因为您可以在此集中更改每个文件夹。
对文件夹的访问权限对其子文件夹有何影响
在您决定系统对系统的开放或关闭程度之前,请务必先了解您在父级文件夹中设置的访问权限级别将如何影响其子文件夹,以及在层次结构的较低级别可以和无法更改哪些访问权限级别。
| 访问类型 | 继承模式 | 说明 |
|---|---|---|
| 管理访问权限、修改 | 一直向下流经文件夹层次结构 | 您向用户授予对某个文件夹中的管理访问权限、修改的访问权限后,他们将保留对该文件夹中的所有 Look、信息中心和子文件夹的访问权限级别。您无法将这些用户的访问权限锁定在文件夹层次结构的较低部分。 |
| 查看 | 可在文件夹层次结构中任何层级移除 | 移除文件夹级别的查看权限会撤消用户对该文件夹及其所有内容的查看权限。您还可以移除层次结构中任何较低层级的查看权限,以限制用户查看其他可查看的文件夹内的特定 Look、信息中心或子文件夹。 |
Looker 管理员拥有对所有文件夹及所有内容的管理、修改权限。这样可以确保这类用户能够管理系统、防止出现孤立内容,以及协助遇到问题的任何用户。
配置完全开放的系统
Looker 的默认配置允许对所有文件夹的完全开放访问。系统会向所有用户群组分配共享文件夹的管理访问权限、修改权限,而共享文件夹中的所有子文件夹都会继承该群组的访问权限。您可以在管理面板的内容访问权限部分管理此设置。
如果用户拥有某个文件夹的管理访问权限、修改权限,那么他们也将对该文件夹中的所有内容(包括该文件夹下的所有子文件夹)拥有管理访问权限、修改权限。这意味着在该系统中对内容访问没有任何限制。
个人文件夹位于单独的层次结构中,并且还具有默认设置。并将“所有用户”群组设为针对所有个人文件夹的查看。如果每位用户想要将自己的个人文件夹设为不公开,则可以选择将此群组从个人文件夹中移除。
配置有限制的开放系统
以下步骤将帮助您配置具有限制的开放系统:
规划您的结构
您想允许谁查看和修改特定文件夹?如果在开始配置访问权限之前就已草拟出计划,将使您的工作更轻松。这也为您提供了一个在执行过程中检查更改的地方,这样您就不必回头检查各个文件夹了。将用户添加到群组有助于您管理公司内不同部门或团队的访问权限。
最常见的一种配置是为每个部门或团队设置一个文件夹,如下所示:
- 在共享文件夹中,为部门、团队或项目创建一个文件夹。在本部分中,我们将以财务团队为例。
- 向 CFO(或财务部门的主要分析师)授予该文件夹的管理访问权限、修改权限。向其余团队成员授予查看权限。
- 创建两个子文件夹:一个用于编辑内容,另一个用于只读内容。如有需要,请为私享内容添加第三个子文件夹。
- 在包含可编辑内容的子文件夹中,使用财务群组向整个财务团队授予管理、修改权限。向“财务”群组授予该级别的访问权限后,该群组的所有成员都可以在该子文件夹中添加、删除或更改内容。
- 在包含只读内容的子文件夹中,向整个“财务”群组授予查看权限。CFO 仍然可以在此文件夹中管理访问权限、修改内容,因为他们是从主“财务”文件夹继承该访问权限。
- 在(可选)私有子文件夹中,彻底移除“财务”群组。只有 CFO 可以查看此文件夹或管理其中的内容。
配置群组以提供精细访问权限
如果您打算限制对内容的访问权限,可以使用 Looker 群组,让操作变得更加轻松。您可以像用户一样向群组授予文件夹和子文件夹的访问权限,群组可以包含其他群组。要了解如何配置群组,请参阅“群组”页面。
请先设置用户对各个子文件夹的访问权限,然后再设置对整个“共享文件夹”的访问权限。由于访问权限是按照文件夹的层次结构向下延伸的,因此最安全的做法是:分别控制对最低级别子文件夹的访问权限。然后,您可以向上级在父级文件夹内移动,向其授予所需的访问权限级别,并确保您所做的更改不会与您在较低级别所做的决定发生冲突。
在本示例中,我们将从共享文件夹中的子文件夹开始。您可以在管理面板的内容访问权限部分管理这些设置:
- 将共享文件夹中的每个文件夹设为自定义用户列表。
向您希望拥有修改内容的用户和群组分配管理访问权限、修改权限。
向您希望授予只读权限的用户和群组分配查看权限。
在您更改顶级共享文件夹的设置之前,不会生效。所有用户群组的访问权限级别设为“共享文件夹”中的管理访问权限、修改,并向下流经各个子文件夹。您无法修改各个子文件夹中所有用户的设置,除非在“共享文件夹”中更改相应群组的访问权限级别。
点击您要配置的文件夹,然后点击管理访问权限。
将所有用户群组对共享文件夹的访问权限更改为查看
您的更改将在此生效。请务必参阅结构方案。
首先,除非您希望每个人都拥有您系统中所有内容的编辑权限,否则请点击共享文件夹的管理访问权限,并将所有用户从管理访问权限、修改更改为查看。
如果您计划仅向特定群组显示某些子文件夹,请继续学习下一部分。
将所有用户群组从您不希望其查看的文件夹中移除
要将文件夹设为仅对特定用户群组使用,请使用文件夹访问权限级别右侧的 X 将所有用户从这些文件夹中完全移除。现在,系统只会在您明确列出的用户和群组中显示该文件夹。
配置封闭系统
Looker 提供封闭系统选项,用于进行以下更改:
- 移除所有用户群组。没有办法将系统中的所有用户称为一个组。Looker 管理员应为每个租户或客户创建一个群组,如下所述。对于此讨论,我们假定每位客户都是一家公司。
- 默认情况下将所有用户文件夹设为不公开。用户仍然可以选择与其群组中的其他成员共享自己文件夹中的内容。
禁止用户查看其他用户,除非他们共享了群组。因此,如果某个用户是 C 公司群组的成员,则该用户只能看到 C 公司的其他成员,而不会看到 A 公司和 B 公司的成员。
首页:近期查看的内容就是 Looker 中的一个位置,在该位置,用户只能看到 C 公司的其他成员及其内容。
以下步骤可帮助您配置封闭式系统:
- 选择封闭系统选项。
- 规划您的结构。
- 配置群组以提供精细访问权限。
- 在管理面板中启用封闭式系统。
- 向系统中的每个公司群组授予对共享文件夹的查看权限。
- 为共享文件夹的每个子文件夹配置访问权限级别。
- 将内容迁移到子文件夹。
以下步骤假定共享文件夹中目前没有包含多租户用户的内容。如要将内容存储在封闭系统之下,并避免客户或其他群组相互看到对方,请先将任何此类内容从共享文件夹移至单独的子文件夹中,然后再开始执行以下步骤。
要求使用封闭系统选项
如需请求为您的实例启用封闭系统选项,请与 Google Cloud 销售专员联系或提交支持请求。
规划您的结构
如果您提前设置了计划,设置将大大简化。您需要考虑两个主要方面:
首先,请务必为每家公司创建一个群组。公司群组会将每家公司的所有用户关联在一起,并将这些用户与其他公司区分开来。
其次,考虑您是希望让多家公司查看同一个文件夹(例如,与所有公司相关的信息中心),还是需要为每家公司创建一个顶级文件夹(用于只应用于一家公司的不同内容)。
配置群组以提供精细访问权限
虽然每个公司应该至少有一个群组,但这个更大的群组内也可以有子群组。如果您想允许公司的部分用户编辑和管理内容,而只允许其他用户查看内容,您可以为不同类型的用户创建单独的子群组。例如,您可以先创建“A 公司”作为伞式群组,然后添加两个子群组:“A 公司的编辑者”和“A 公司的查看者”。
如需了解如何配置群组,请参阅群组文档页面。
在管理面板中启用“封闭系统”选项
对文件夹设置任何访问权限控制之前,最好先启用封闭系统选项,因为启用封闭系统选项会更改系统(请参阅本页面上的配置封闭系统部分)。此选项位于 Looker 管理部分中常规面板的设置部分。
向每个公司群组授予对共享文件夹的查看权限
向每个公司群组授予对共享文件夹的查看权限。这将允许这些群组的成员访问共享文件夹,并查看其中自己公司的文件夹。如果群组没有共享文件夹的查看权限,则无法查看自己公司的文件夹。您可以在管理面板的内容访问权限部分管理这些设置。
为每个子文件夹配置访问权限级别
设置访问权限级别以确定哪些人可以查看或编辑每个子文件夹中的内容。除非您更改子文件夹的访问权限设置,否则子文件夹会默认使用其上级单位的访问权限设置。也就是说,拥有共享文件夹查看权限的公司可以查看其他公司的子文件夹中的内容,除非您限制了对该子文件夹的访问权限。请检查每个子文件夹,并相应地限制访问权限。
将内容迁移到子文件夹
如果您的公司已允许用户查看自己的文件夹和其他个人文件夹,我们建议将这些个人文件夹中的所有内容迁移到主共享层次结构中的相应文件夹中。