不同的内容访问权限级别决定了哪些用户可以查看和修改 Looker 文件夹中的内容。权限会根据用户的角色与用户相关联,而内容访问权限则与文件夹相关联,用于定义文件夹对不同级别用户的开放方式。
对文件夹的访问权限类型
您可以为任何给定文件夹为每位 Looker 用户或群组分配以下两种访问权限级别之一:
查看:拥有此访问权限级别的用户可以看到文件夹的存在情况,可以查看其中的 Look 和信息中心,还可以复制文件夹中的 Look 和信息中心。
管理访问权限、修改:用户拥有此访问权限级别后,可以执行查看访问权限级别的所有操作,还可以更改文件夹,例如执行以下操作:
如需详细了解内容访问权限和权限,请参阅控制用户内容访问权限和内容访问权限和权限的相互作用。
对文件夹的访问权限的开放式和封闭式系统
Looker 的设置可帮助您根据公司政策以及与文件夹互动的用户类型来设置用户访问权限。一般来说,您设计的系统将属于以下三类之一:完全开放、有限制的开放或封闭。
| 对文件夹的访问权限级别 | 说明 | 建议用途 |
|---|---|---|
| 完全打开 | 所有用户都可以查看和修改所有共享内容。这是 Looker 的默认配置。 | 建议使用 Looker 的小型公司或团队、对数据采用开放政策的公司,以及将共享可修改的报告作为主要用例的公司采用开放式系统。 |
| 开放,但有限制 | 以某种方式限制对共享内容的访问,以便只有部分人可以修改某些内容,或者某些内容对某些用户完全不可见。 | 对于中型或大型团队和公司、用户群非常多元化且报告对所有用户而言并不相关的情况,或者希望所有用户都能查看内容,但只有少数用户可以修改内容的情况,建议使用带有限制的开放式系统。 |
| 已关闭 | 这种系统也称为多租户安装,它会将内容分隔到特定群组,并阻止不同群组的用户互相了解。 | 为了保护客户的私密信息,我们强烈建议您在以下用例中使用封闭系统:客户将可能来自不同公司或组织且不应相互了解的客户端托管到系统中,以实现自有品牌和已签名嵌入。 |
确定所需的系统类型后,本页将引导您完成配置步骤。对于初始设置,我们建议您使用管理面板的内容访问部分,因为您可以在此处对每个文件夹进行更改。
对文件夹的访问权限对其子文件夹有何影响
在决定您希望系统的开放程度之前,请务必了解您在父文件夹中设置的访问权限级别将如何影响其子文件夹,以及您可以在层次结构的更低级别执行哪些更改,哪些更改无法执行。
| 访问类型 | 继承模式 | 说明 |
|---|---|---|
| 管理访问权限、修改 | 一直向下流经文件夹层次结构 | 向用户授予文件夹中的管理访问权限、修改访问权限后,该用户将保留对该文件夹内所有 Look、信息中心和子文件夹的该访问权限级别。您将无法限制对方对文件夹层次结构中较低级别文件夹的访问权限。 |
| 查看 | 可在文件夹层次结构中的任意位置移除 | 在文件夹级别移除查看访问权限后,用户将无法再查看该文件夹及其所有内容。您还可以在层次结构中更低级别的任意位置移除查看权限,以限制用户查看原本可供查看的文件夹中的特定 Look、信息中心或子文件夹。 |
Looker 管理员对所有文件夹(因此对所有内容)拥有管理访问权限、修改权限。这样一来,他们就可以管理系统、防止内容孤岛,并协助遇到问题的用户。
配置完全开放的系统
Looker 的默认配置允许对所有文件夹完全开放访问权限。所有用户群组被分配了共享文件夹的管理访问权限、修改权限,共享文件夹中的所有子文件夹都将继承该访问权限。您可以在管理面板的内容访问部分管理此设置。
用户对某个文件夹拥有管理访问权限、修改权限后,还会对该文件夹中的所有内容(包括其下的所有子文件夹)拥有管理访问权限、修改权限。也就是说,此系统中的内容访问没有任何限制。
个人文件夹位于单独的层次结构中,并且也具有默认设置。所有用户群组对所有个人文件夹的权限均设为查看。如果用户希望自己的个人文件夹设为私享,可以选择从个人文件夹中移除此群组。
配置受限的开放式系统
以下步骤可帮助您配置受限的开放式系统:
规划结构
您希望允许哪些人查看和修改特定文件夹?在开始配置访问权限之前,最好先草拟出方案。这样,您还可以在处理过程中勾选所做更改,这样就不必回头检查各种文件夹。将用户划分到群组有助于您管理贵公司不同部门或团队的访问权限。
最常见的配置之一是为每个部门或团队创建一个文件夹,如下所示:
- 在“共享”文件夹中,为部门、团队或项目创建文件夹。在本部分中,我们将使用财务团队的示例。
- 向 CFO(或财务部门的主要分析师)授予对该文件夹的管理访问权限、修改权限。向团队的其余成员授予查看权限。
- 创建两个子文件夹:一个用于可修改内容,另一个用于只读内容。如果需要,请为私密内容添加第三个子文件夹。
- 在可修改内容的子文件夹中,使用“财务”群组向整个财务团队授予管理访问权限、修改权限。向“财务”群组授予该级别的访问权限后,该群组的所有成员都可以添加、删除或更改该子文件夹中的内容。
- 在只读内容的子文件夹中,向整个“Finance”组授予查看权限。首席财务官仍可以管理访问权限、修改此文件夹中的内容,因为他们从“财务”主文件夹继承了相应访问权限。
- 在(可选)的私密子文件夹中,彻底移除“财务”组。只有 CFO 才能查看此文件夹或管理其内容。
配置群组以提供精细的访问权限
如果您打算限制对内容的访问权限,Looker 组可让您轻松实现这一目标。您可以像授予用户访问权限一样授予群组访问文件夹和子文件夹的权限,并且群组可以包含其他群组。如需了解如何配置组,请参阅“组”页面。
首先设置对各个子文件夹的访问权限,然后再设置对整个“共享”文件夹的访问权限。由于访问权限会沿文件夹层次结构向下传递,因此最安全的方法是先单独操控对最底层子文件夹的访问权限。然后,您可以向上移动到父级文件夹,为其授予所需的访问权限级别,并确保所做的更改不会与您在较低级别做出的决定冲突。
在本例中,我们将从“共享”文件夹内的子文件夹开始。在管理面板的内容访问部分中管理这些设置:
- 将“共享”文件夹中的每个文件夹都设为自定义用户列表。
向您希望能够修改内容的用户和群组分配管理访问权限、修改访问权限。
向您希望拥有只读权限的用户和群组分配查看权限。
除非您更改顶级“共享”文件夹的设置,否则所有设置都不会生效。所有用户群组的访问权限级别在“共享”文件夹中设为管理访问权限、修改,并向下传递到所有各个子文件夹。在“共享”文件夹中更改该群组的访问权限级别之前,您无法修改各个子文件夹中所有用户的设置。
点击要配置的文件夹,然后点击管理访问权限。
将所有用户群组对共享文件夹的访问权限更改为查看
您的更改将在此日期生效。请务必查看结构的方案。
首先,除非您希望所有用户对系统中的所有内容都有修改权限,否则请点击共享文件夹的管理访问权限,然后将所有用户从管理访问权限、修改更改为查看。
然后,如果您打算仅向特定群组显示特定子文件夹,请继续阅读下一部分。
从您不希望他人查看的文件夹中移除所有用户群组
如需将文件夹设为仅供特定子群组的用户访问,请使用文件夹访问权限级别右侧的 X 将所有用户完全从这些文件夹中移除。现在,该文件夹只会向您明确列出的用户和群组显示。
配置封闭式系统
Looker 提供封闭系统选项,可进行以下更改:
- 移除所有用户群组。您将无法将系统中的所有用户视为一个群组。相反,Looker 管理员应为每个租户(即客户)创建一个群组,如配置群组以提供精细访问权限部分所述。在本讨论中,我们假设每个客户都是一家公司。
- 默认情况下,将所有用户文件夹设为私享。用户仍然可以选择与群组中的其他成员共享文件夹中的内容。
阻止用户查看除自己以外的其他用户,除非他们同属一个群组。因此,如果用户是公司 C 群组的成员,则该用户只会看到公司 C 的其他成员,而不会看到公司 A 和 B 的成员。
首页:最近查看的内容是 Looker 中的一个示例位置,该用户在该位置只能看到公司 C 的其他成员及其内容。
以下步骤将帮助您配置封闭系统:
- 请求使用封闭式系统选项。
- 规划结构。
- 配置群组以提供精细的访问权限。
- 在管理面板中启用封闭式系统。
- 向系统中的每个公司群组授予对“共享”文件夹的查看权限。
- 为“共享”文件夹的每个子文件夹配置访问权限级别。
- 将内容迁移到子文件夹中。
这些步骤假定“共享”文件夹中不存储任何多租户用户的内容。如需将内容封闭在封闭系统中,并防止客户或其他群组看到彼此的内容,请先将所有此类内容从“共享”文件夹移出,放入单独的子文件夹中,然后再开始执行以下步骤。
询问“封闭式系统”选项
如需请求为您的实例启用封闭式系统选项,请与 Google Cloud 销售专员联系或创建支持请求。
规划结构
如果您提前设置好方案,则可以更轻松地设置系统。需要考虑以下两个主要方面:
首先,请务必为每个公司创建一个组。公司群组会将每家公司的所有用户关联在一起,并将这些用户与其他公司的用户区分开来。
其次,考虑您是否希望多个公司查看同一个文件夹(例如,查看与所有公司相关的信息中心),或者是否希望为每个公司创建一个顶级文件夹(用于存放仅适用于单个公司的独特内容)。
配置群组以提供精细的访问权限
虽然每个公司都应至少有一个组,但该大组中可能还包含子组。如果您想允许某个公司的部分用户修改和管理内容,而允许其他用户仅查看内容,则可以为不同类型的用户创建单独的子群组。例如,您可以先创建 Company A 作为总括群组,然后添加两个子群组:Company A 的编辑者和 Company A 的查看者。
如需了解如何配置组,请参阅组文档页面。
在管理面板中启用“封闭式系统”选项
最好先启用封闭系统选项,然后再为文件夹设置任何访问控制,因为启用封闭系统选项会更改系统(请参阅本页面上配置封闭系统的简介)。此选项位于 Looker 的管理部分中常规面板的设置部分。
向每个公司群组授予对共享文件夹的“查看”权限
向每个公司群组授予对共享文件夹的查看权限。这样,这些群组的成员就可以访问“共享”文件夹,并在其中查看自己公司所在的文件夹。如果某个群组没有对共享文件夹的查看权限,则无法看到自己所在公司的文件夹。您可以在管理面板的内容访问部分管理这些设置。
为每个子文件夹配置访问权限级别
设置访问权限级别,以确定哪些人可以查看或修改每个子文件夹中的内容。在您更改设置之前,子文件夹会默认采用其父级文件夹的访问权限设置。也就是说,除非您限制对相应子文件夹的访问权限,否则对共享文件夹拥有查看权限的公司可以查看另一家公司的子文件夹中的内容。检查每个子文件夹,并相应地限制访问权限。
将内容迁移到子文件夹
如果贵公司允许用户查看自己的文件夹和其他个人文件夹,我们建议您将这些个人文件夹中的所有内容迁移到“共享”主层次结构中的相应文件夹。