Les rôles, les ensembles d'autorisations et les ensembles de modèles permettent de gérer ce que les utilisateurs peuvent faire et ce qu'ils peuvent voir. La page Rôles de la section Utilisateurs du panneau Administration vous permet d'afficher, de configurer et d'attribuer des rôles, des ensembles d'autorisations et des ensembles de modèles.
Vous pouvez rechercher des rôles, des ensembles d'autorisations et des ensembles de modèles spécifiques en saisissant un terme dans le champ de recherche en haut à droite, puis en appuyant sur Entrée.
Définitions
- Un rôle définit les droits dont un utilisateur ou un groupe disposera pour un ensemble spécifique de modèles dans Looker. Vous créez un rôle en associant un ensemble d'autorisations à un ensemble de modèles.
- Un ensemble d'autorisations définit les actions qu'un utilisateur ou un groupe peut effectuer. Vous sélectionnez une combinaison d'autorisations que vous souhaitez attribuer à un utilisateur ou à un groupe. Pour avoir un effet, il doit être utilisé dans le cadre d'un rôle.
- Un ensemble de modèles définit les données et les champs LookML qu'un utilisateur ou un groupe peut voir. Vous sélectionnez une combinaison de modèles LookML auxquels un utilisateur ou un groupe doit avoir accès. Pour avoir un effet, il doit être utilisé dans le cadre d'un rôle.
Attribution de rôles
Un rôle combine un ensemble d'autorisations et un ensemble de modèles. Il est courant de nommer les rôles en fonction des types de personnes ou de groupes de personnes au sein de votre organisation (administrateur, développeur Looker, équipe financière), bien que vous puissiez certainement suivre vos propres conventions d'attribution de noms.
Un utilisateur peut avoir plusieurs rôles dans Looker. Cela peut s'avérer utile lorsque des utilisateurs jouent plusieurs rôles dans votre entreprise ou lorsque vous souhaitez créer des systèmes d'accès complexes à vos modèles.
Créer, modifier et supprimer des rôles
Pour créer un rôle, procédez comme suit :
- Cliquez sur le bouton Nouveau rôle en haut de la page Rôles.
Looker affiche la page Nouveau rôle, sur laquelle vous pouvez configurer les paramètres suivants :
- Nom : saisissez un nom pour le rôle.
- Ensemble d'autorisations: sélectionnez un ensemble d'autorisations à associer au rôle.
- Ensemble de modèles: sélectionnez un ensemble de modèles à associer au rôle.
- Groupes: vous pouvez également sélectionner un ou plusieurs groupes auxquels attribuer le rôle.
- Utilisateurs : si vous le souhaitez, choisissez un ou plusieurs utilisateurs auxquels attribuer le rôle.
Une fois que vous avez configuré le rôle comme vous le souhaitez, cliquez sur le bouton Nouveau rôle en bas de la page.
Une fois un rôle créé, vous pouvez le modifier en cliquant sur le bouton Modifier à droite de celui-ci sur la page Rôles. Cliquez sur Modifier pour accéder à la page Modifier le rôle de ce rôle, où vous pouvez modifier le nom, l'ensemble d'autorisations, l'ensemble de modèles et les groupes ou utilisateurs auxquels le rôle est attribué.
Pour supprimer un rôle, cliquez sur le bouton Supprimer situé à droite du rôle sur la page Rôles.
Rôles par défaut
Pour les nouvelles instances, Looker crée les rôles par défaut suivants, chacun d'eux incluant un ensemble d'autorisations par défaut du même nom :
- Admin
- Développeur
- Utilisateur
- Lecteur
Ensembles d'autorisations
Un ensemble d'autorisations définit les actions qu'un utilisateur ou un groupe peut effectuer. Les administrateurs peuvent utiliser les ensembles d'autorisations par défaut de Looker ou créer des ensembles d'autorisations originaux, en tenant compte des dépendances des autorisations.
Toutes les autorisations disponibles et leur type sont décrits plus en détail dans la liste des autorisations.
Ensembles d'autorisations par défaut
Pour les nouvelles installations, Looker inclut plusieurs ensembles d'autorisations par défaut que vous pouvez utiliser pour commencer :
Ces ensembles d'autorisations s'affichent comme options lorsque vous créez un rôle. Si vous sélectionnez l'un de ces ensembles d'autorisations, Looker affiche la liste des autorisations qu'il inclut.
Vous ne pouvez pas modifier ni supprimer l'ensemble d'autorisations administrateur, ni l'attribuer à un rôle. Il est attribué uniquement au rôle d'administrateur, qui ne peut pas non plus être modifié ni supprimé. Le seul moyen d'accorder l'ensemble des autorisations d'administrateur à un utilisateur ou à un groupe est d'ajouter le rôle d'administrateur à cet utilisateur ou à ce groupe.
Créer des ensembles d'autorisations
Pour créer un ensemble d'autorisations, cliquez sur le bouton Nouvel ensemble d'autorisations en haut de la page Rôles. Looker affiche une page sur laquelle vous pouvez saisir un nom pour l'ensemble d'autorisations et sélectionner les autorisations qu'il doit inclure. Une fois que vous avez configuré l'ensemble comme vous le souhaitez, cliquez sur le bouton Nouvel ensemble d'autorisations en bas de la page.
Après avoir créé un ensemble d'autorisations, vous pouvez le modifier ou le supprimer en cliquant sur les boutons Modifier ou Supprimer à droite de l'ensemble d'autorisations sur la page Rôles.
Autorisations et dépendances
Certaines autorisations dépendent d'autres pour fonctionner correctement. Par exemple, il est logique qu'une personne qui souhaite développer en LookML doit d'abord pouvoir voir LookML.
Lorsque vous créez un ensemble d'autorisations, les autorisations disponibles s'affichent dans une liste en retrait. Si un droit est mis en retrait sous un autre privilège (parent), vous devez d'abord sélectionner le droit parent. La liste des autorisations peut se présenter comme suit :
☑️ access_data
☑️ see_lookml_dashboards
☑️ see_looks
☑️ see_user_dashboards
Dans cet exemple, Looker utilise la mise en retrait pour indiquer ce qui suit:
- Le droit
access_datapeut être sélectionné à tout moment. - Les droits
see_lookml_dashboardsetsee_looksnécessitent que le droitaccess_datasoit sélectionné en premier. - Le droit
see_user_dashboardsdépend du droitsee_looks, qui dépend à son tour du droitaccess_data.
Vous ne pouvez pas sélectionner un privilège enfant sans sélectionner d'abord son parent.
Autorisations et licences Looker
Les licences Looker classent les utilisateurs en trois types :
- Développeur (administrateur)
- Standard (créateur)
- Lecteur
Les autorisations accordées à un utilisateur déterminent sa classification dans la licence Looker :
Un utilisateur est classé comme développeur (administrateur) s'il dispose du rôle par défaut d'administrateur ou d'au moins l'une des autorisations suivantes :
Un utilisateur est classé comme utilisateur standard (créateur) s'il ne dispose d'aucune des autorisations de développeur (administrateur), mais qu'il dispose au moins de l'une des autorisations suivantes :
Un utilisateur est considéré comme Lecteur s'il dispose de l'autorisation
access_data, mais pas des autorisations de développeur (administrateur) ni des autorisations standards (créateur).
Liste des autorisations
Les autorisations suivantes interagissent avec les ensembles de modèles de manière potentiellement inattendue:
Dans l'IDE de Looker, un seul projet peut contenir plusieurs fichiers de modèle. Si vous attribuez les autorisations
developsee_lookmlmanage_modelsmanage_modelsets_restrictedmanage_project_connections_restrictedmanage_project_connectionsdevelopousee_lookmlà un utilisateur et que vous lui avez donné accès à n'importe quel modèle faisant partie d'un projet, il pourra développer ou consulter le code LookML de tous les modèles de ce projet. Toutefois, ils ne pourront pas interroger les modèles que vous n'avez pas autorisés.Si vous attribuez l'autorisationmanage_modelsà un utilisateur, celui-ci pourra accéder à tous les modèles de tous les projets de l'instance.Si vous attribuez l'autorisation
Si vous attribuez les autorisationsmanage_modelsets_restrictedà un utilisateur, celui-ci peut attribuer n'importe quel modèle d'un projet auquel il a accès.manage_project_connections_restrictedoumanage_project_connectionsà un utilisateur, celui-ci pourra afficher, modifier et créer des connexions de portée projet pour tous les projets inclus dans l'ensemble de modèles.
Les autorisations peuvent être classées dans l'un des trois types suivants:
- Propre au modèle : ce type d'autorisation ne s'applique qu'aux ensembles de modèles qui font partie du même rôle. Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, et non à l'ensemble de l'instance Looker.
- Spécifique à la connexion : ce type d'autorisation s'applique au niveau de la connexion. Un utilisateur disposant de ce type d'autorisation peut consulter le contenu des pages du panneau Administration qui utilisent une connexion associée à un modèle auquel il a accès aux données, même si cette connexion est utilisée avec un autre modèle pour lequel il n'a pas accès aux données.
- À l'échelle de l'instance:ce type d'autorisation s'applique à l'instance Looker dans son ensemble et comporte trois types:
- NN = Aucun accès au contenu, aucun accès au menu: ces autorisations permettent aux utilisateurs d'effectuer certaines fonctions sur l'ensemble de l'instance Looker, mais ne leur permettent pas d'accéder au contenu basé sur des modèles non inclus dans l'ensemble de modèles de leur rôle.
- CN = Content access, No menu access: ces autorisations permettent aux utilisateurs d'accéder au contenu et aux informations de requête dans l'ensemble de l'instance Looker, même pour les contenus et les requêtes basés sur des modèles non inclus dans l'ensemble de modèles de leur rôle.
- CM = Accès au contenu, accès au menu : ces autorisations peuvent exposer des parties du menu "Administration" aux utilisateurs non administrateurs et leur permettre de consulter des informations sur le contenu et les requêtes basées sur des modèles non inclus dans l'ensemble de modèles de leur rôle.
La liste suivante décrit toutes les autorisations disponibles dans Looker, dans l'ordre dans lequel elles apparaissent sur la page Nouvel ensemble d'autorisations de la section Administration:
| Autorisation | Dépend de | Type | Définition |
|---|---|---|---|
access_data |
Aucun | Spécifique au modèle | Les utilisateurs peuvent accéder aux données de Looker, mais uniquement celles que les administrateurs spécifient. Cette autorisation est nécessaire pour presque toutes les fonctions Looker.Un utilisateur disposant de cette autorisation, s'il est autorisé à accéder à n'importe quel modèle d'un projet donné, peut accéder à n'importe quel fichier de la section Données de ce projet (un fichier de carte personnalisé JSON, par exemple). |
see_lookml_dashboards |
access_data |
Spécifique au modèle | Les utilisateurs peuvent voir le dossier LookML Dashboards, qui inclut tous les tableaux de bord LookML. Les utilisateurs doivent disposer de l'autorisation explore pour les modèles concernés afin d'explorer ces tableaux de bord. Les utilisateurs disposant également de l'autorisation develop peuvent créer des tableaux de bord LookML. |
see_looks |
access_data |
Spécifique au modèle | Les utilisateurs peuvent voir les présentations enregistrées (mais pas les tableaux de bord) dans les dossiers. Les utilisateurs doivent disposer de l'autorisation explore pour tous les modèles pertinents afin d'explorer ces Looks. Les utilisateurs doivent également disposer du niveau d'accès au contenu View (Vue) pour voir les Looks dans des dossiers. |
see_user_dashboards |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent afficher les tableaux de bord définis par l'utilisateur dans des dossiers, mais doivent disposer de l'autorisation explore pour tous les modèles pertinents afin d'explorer ces tableaux de bord. Les utilisateurs doivent également disposer de l'accès Afficher le contenu pour afficher les tableaux de bord dans des dossiers. Les utilisateurs disposant à la fois de l'autorisation save_dashboards et de l'accès au contenu Gérer l'accès, Modifier pour un dossier peuvent créer des tableaux de bord définis par l'utilisateur dans ce dossier. |
explore |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent accéder à la page Explorer et l'utiliser pour générer des présentations et des tableaux de bord. Sans cette autorisation, les utilisateurs ne peuvent afficher que les tableaux de bord enregistrés (si see_lookml_dashboards ou see_user_dashboards a été accordé). |
create_table_calculations |
explore |
NN à l'échelle de l'instance | Les utilisateurs peuvent afficher, modifier ou ajouter des calculs de table. |
create_custom_fields |
explore |
NN à l'échelle de l'instance | Les utilisateurs peuvent consulter, modifier ou ajouter des champs personnalisés. Les utilisateurs disposant uniquement de l'autorisation explore peuvent uniquement afficher les champs personnalisés. |
can_create_forecast |
explore |
NN à l'échelle de l'instance | Les utilisateurs peuvent créer et modifier des prévisions dans des visualisations. Les utilisateurs qui ne disposent pas de cette autorisation peuvent uniquement afficher les prévisions existantes dans le contenu auquel ils ont accès. |
can_override_vis_config |
explore |
NN à l'échelle de l'instance | Les utilisateurs peuvent accéder à l'éditeur de configuration du graphique pour modifier les valeurs JSON de l'API Highchart d'une visualisation, et personnaliser l'apparence et le format de celle-ci. |
save_content |
see_looks |
NN à l'échelle de l'instance | Cette autorisation est une autorisation parente de save_dashboards, save_looks et create_public_looks. Cette autorisation doit être accordée avec save_dashboards ou save_looks. |
save_dashboards |
save_content |
NN à l'échelle de l'instance |
AJOUTÉ 24.4
Les utilisateurs peuvent enregistrer et modifier des tableaux de bord. Les utilisateurs doivent disposer de l'autorisation explore pour que tous les modèles pertinents puissent être explorés depuis ces tableaux de bord. Les utilisateurs doivent disposer des autorisations download_with_limit et/ou download_without_limit pour télécharger le contenu. |
save_looks |
save_content |
Réseau de neurones à l'échelle de l'instance |
AJOUTÉ 24.4
Les utilisateurs peuvent enregistrer et modifier des Looks. Les utilisateurs doivent disposer de l'autorisation explore pour pouvoir explorer les modèles pertinents à partir de ces looks. Les utilisateurs doivent disposer des autorisations download_with_limit et/ou download_without_limit pour télécharger le contenu. |
create_public_looks |
save_content |
Spécifique au modèle | Les utilisateurs peuvent marquer une présentation enregistrée comme publique, ce qui générera des URL accordant l'accès à cette présentation sans authentification. |
download_with_limit |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent télécharger et planifier des requêtes (au format CSV, Excel ou autre), mais ils doivent spécifier une limite de 5 000 lignes ou moins pour éviter les problèmes de mémoire liés aux téléchargements volumineux sur l'instance. |
download_without_limit |
see_looks |
Spécifique au modèle | Identique à download_with_limit, mais l'utilisateur n'a pas besoin de spécifier de limite de lignes. Le téléchargement ou la planification de tous les résultats pour certains types de requêtes peut nécessiter une mémoire importante, ce qui peut entraîner des problèmes de performances ou même faire planter l'instance Looker. |
schedule_look_emails |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent fournir tous les Looks, tableaux de bord et requêtes comportant des visualisations auxquelles ils ont accès aux données par e-mail. Les utilisateurs peuvent planifier l'envoi après qu'un datagroup a été déclenché, a géré le cache et récupéré les tables PDT pertinentes.Pour envoyer ou planifier des tableaux de bord Activité système, les utilisateurs doivent avoir accès à tous les modèles. Les utilisateurs disposant également des autorisations create_alerts peuvent envoyer des notifications d'alerte par e-mail. Les administrateurs Looker peuvent contrôler les domaines de messagerie auxquels les utilisateurs Looker et les utilisateurs intégrés peuvent envoyer des e-mails à l'aide de la liste d'autorisation des domaines de messagerie sur la page Paramètres du panneau Administration.Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, et non à l'ensemble de l'instance Looker. |
schedule_external_look_emails |
schedule_look_emails |
Spécifique au modèle | Les utilisateurs peuvent envoyer par e-mail tous les looks, tableaux de bord et requêtes avec des visualisations auxquels ils ont accès aux données. Les utilisateurs peuvent planifier l'envoi après qu'un datagroup a été déclenché, a géré le cache et récupéré les tables PDT pertinentes.Pour envoyer ou planifier des tableaux de bord Activité système, les utilisateurs doivent avoir accès à tous les modèles. Les utilisateurs disposant également des autorisations create_alerts peuvent envoyer des notifications d'alerte par e-mail. Les utilisateurs peuvent envoyer des contenus ou des notifications d'alerte par e-mail à des adresses e-mail de n'importe quel domaine, que la liste d'autorisation des domaines de messagerie de la page Paramètres du panneau Administration contienne ou non des domaines de messagerie autorisés.Cette autorisation est appliquée à des modèles ou ensembles de modèles individuels, plutôt qu'à l'ensemble de l'instance Looker. |
create_alerts |
see_looks |
NN à l'échelle de l'instance | À partir de la vignette du tableau de bord, les utilisateurs peuvent créer, dupliquer et supprimer leurs propres alertes. et peut voir et dupliquer les alertes marquées comme publiques par d'autres utilisateurs. L'utilisateur doit être connecté à Slack pour voir les alertes de vignette du tableau de bord qui envoient des notifications Slack. Les utilisateurs peuvent afficher, modifier, désactiver et activer les alertes dont ils sont propriétaires sur la page utilisateur Gérer les alertes. Les utilisateurs doivent disposer de l'autorisation schedule_look_emails ou schedule_external_look_emails pour envoyer des notifications d'alerte par e-mail. |
follow_alerts |
see_looks |
NN à l'échelle de l'instance | Les utilisateurs peuvent consulter et suivre les alertes. Affichez les alertes qu'il a suivies ou pour lesquelles il est répertorié comme destinataire sur la page utilisateur Gérer les alertes. |
send_to_s3 |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent fournir tous les Looks, tableaux de bord et requêtes comportant des visualisations auxquelles ils ont accès aux données dans un bucket Amazon S3. Les utilisateurs peuvent planifier la diffusion après qu'un groupe de données a été déclenché, géré le cache et reconstruit les tables PDT pertinentes.Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, et non à l'ensemble de l'instance Looker. |
send_to_sftp |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent envoyer à un serveur SFTP tous les looks, tableaux de bord et requêtes avec des visualisations auxquels ils ont accès aux données. Les utilisateurs peuvent planifier l'envoi après qu'un datagroup a été déclenché, a géré le cache et récupéré les tables PDT pertinentes.Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, et non à l'ensemble de l'instance Looker. |
send_outgoing_webhook |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent envoyer à un webhook n'importe quels Looks, tableaux de bord et requêtes comportant des visualisations, auxquels ils ont accès aux données. Les utilisateurs peuvent planifier la diffusion après qu'un groupe de données a été déclenché, géré le cache et reconstruit les tables PDT pertinentes.Cette autorisation est appliquée à des modèles ou ensembles de modèles individuels, plutôt qu'à l'ensemble de l'instance Looker. |
send_to_integration |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent fournir tous les looks, tableaux de bord et requêtes avec des visualisations auxquels ils ont accès aux données aux services tiers intégrés à Looker via le Looker Action Hub. Si vous utilisez des actions personnalisées avec des attributs utilisateur, les utilisateurs doivent disposer de cette autorisation et d'une valeur d'attribut utilisateur non nulle et valide pour l'attribut utilisateur spécifié afin de diffuser du contenu Looker vers cette destination d'action. Cette autorisation n'est pas liée aux actions sur les données. Les utilisateurs peuvent planifier l'envoi après qu'un datagroup a été déclenché, a géré le cache et récupéré les tables PDT pertinentes.Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, et non à l'ensemble de l'instance Looker. |
see_sql |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent accéder à l'onglet SQL pendant l'exploration et consulter les erreurs SQL causées par leurs requêtes. |
see_lookml |
see_looks |
Spécifique au modèle | Les utilisateurs disposent d'un accès en lecture seule à LookML. Les utilisateurs doivent disposer de cette autorisation pour voir le lien Accéder à LookML dans le panneau Admin.Si vous souhaitez qu'un utilisateur puisse modifier LookML, vous devez également lui accorder l'autorisation develop. REMARQUE : Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation see_lookml à un utilisateur et que vous l'avez autorisé à voir n'importe quel modèle faisant partie d'un projet, il pourra voir le code LookML de tous les modèles de ce projet. Toutefois, ils ne pourront pas interroger les modèles que vous n'avez pas autorisés. |
develop |
see_lookml |
Spécifique au modèle | Les utilisateurs peuvent apporter des modifications locales à LookML, mais ils ne les autoriseront pas à rendre ces modifications accessibles à tous, sauf s'ils disposent également de l'autorisation deploy. Cette autorisation est nécessaire pour voir l'option Obtenir de l'aide dans le menu Aide et pour voir les métadonnées dans l'IDE Looker. Les utilisateurs ont également besoin de cette autorisation pour accéder à l'option Réorganiser les tables dérivées et exécuter dans le menu en forme de roue dentée d'Exploration. Cette autorisation n'est pas spécifique au modèle. Par conséquent, si un utilisateur dispose de cette autorisation dans un modèle, il aura accès à l'outil Recompiler les tables dérivées et Exécuter dans tous les modèlesREMARQUE : Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation develop à un utilisateur et que vous lui avez permis d'afficher tous les modèles d'un projet, il pourra développer le langage LookML pour tous les modèles de ce projet. Toutefois, ils ne pourront pas interroger les modèles que vous n'avez pas autorisés. |
deploy |
develop |
NN à l'échelle de l'instance | Les utilisateurs peuvent déployer leurs modifications LookML locales en production afin que ces modifications soient mises à la disposition de tous. |
support_access_toggle |
develop |
NN à l'échelle de l'instance | Les utilisateurs peuvent activer ou désactiver l'accès des analystes Looker à votre instance Looker. |
manage_project_models |
develop |
Spécifique au modèle | Les utilisateurs peuvent ajouter, modifier ou supprimer des configurations de modèle pour les modèles autorisés sur la page Modifier la configuration du modèle. Lors de la configuration d'un modèle, les utilisateurs ne peuvent utiliser que des connexions de portée projet.REMARQUE : Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous créez un rôle disposant de l'autorisation manage_project_models, celui-ci accordera l'accès à tous les modèles qui partagent un projet avec n'importe quel modèle figurant dans les ensembles de modèles du rôle. |
use_global_connections |
manage_project_models |
Spécifique au modèle | Les utilisateurs peuvent configurer des modèles autorisés avec n'importe quelle connexion à l'échelle du projet ou à l'échelle d'une instance. |
manage_project_connections_restricted |
develop |
CM spécifique au modèle | Les utilisateurs peuvent voir la page Connexions dans le menu "Administration". Ils peuvent afficher, modifier et créer des connexions de portée projet pour tous les projets de l'ensemble de modèles. Toutefois, ils ne peuvent modifier que les paramètres de connexion suivants :
manage_project_connections_restricted à un utilisateur, celui-ci pourra voir, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles. |
manage_project_connections |
manage_project_connections_restricted |
CM spécifique au modèle | Les utilisateurs peuvent voir la page Connexions dans le menu "Administration". Ils peuvent voir, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles.REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_project_connections_restricted à un utilisateur, celui-ci pourra afficher, modifier et créer des connexions de portée projet pour tous les projets inclus dans l'ensemble de modèles. |
use_sql_runner |
see_lookml |
Spécifique au modèle | Les utilisateurs peuvent utiliser SQL Runner pour exécuter du code SQL brut sur leurs connexions autorisées. Les utilisateurs pourront également télécharger les résultats à partir de l'option Download (Télécharger) du menu SQL Runner, qu'ils disposent ou non des autorisations download_with_limit ou download_without_limit. |
clear_cache_refresh |
access_data |
Spécifique au modèle | Les utilisateurs peuvent vider le cache et actualiser les tableaux de bord internes et intégrés, les vignettes des tableaux de bord, les Looks et les explorations.L'autorisation clear_cache_refresh est automatiquement ajoutée à tous les ensembles d'autorisations préexistants qui contiennent l'une des autorisations suivantes: see_user_dashboards, see_lookml_dashboards ou explore. L'autorisation clear_cache_refresh n'est pas automatiquement appliquée aux rôles intégrés. |
see_drill_overlay |
access_data |
Spécifique au modèle | Les utilisateurs peuvent voir les résultats de l'analyse détaillée d'une carte de tableau de bord, mais ne peuvent pas les explorer. Si explore est accordée, cette autorisation est également accordée automatiquement (même si elle n'est pas cochée). Les utilisateurs doivent également disposer des autorisations explore pour télécharger les résultats de l'analyse au format PNG. |
manage_spaces |
Aucun | CN à l'échelle de l'instance | Les utilisateurs peuvent créer, modifier, déplacer et supprimer des dossiers. Les utilisateurs doivent également disposer de l'autorisation d'accès au contenu Gérer l'accès, modifier. |
manage_homepage |
Aucun | NN à l'échelle de l'instance | Les utilisateurs peuvent modifier et ajouter du contenu à la barre latérale que tous les utilisateurs de Looker voient sur la page d'accueil prédéfinie de Looker. |
manage_models |
Aucun | CN à l'échelle de l'instance | Chaque modèle LookML est mappé à un ensemble spécifique de connexions de base de données sur la page Gérer les projets LookML. Avec cette autorisation, les utilisateurs peuvent configurer ces mappages, et créer et supprimer des projets. Les utilisateurs non administrateurs qui disposent de cette autorisation auront accès à toutes les connexions autorisées par les modèles auxquels ils ont accès.REMARQUE : Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_models à un utilisateur, celui-ci pourra accéder à tous les modèles de tous les projets de l'instance. |
create_prefetches |
Aucun | À l'échelle de l'instance | Le préchargement est fortement déconseillé. Nous vous recommandons d'utiliser plutôt des groupes de données. |
login_special_email |
Aucun | À l'échelle de l'instance | Les utilisateurs peuvent se connecter à l'aide d'une adresse e-mail/d'un mot de passe traditionnels, même si d'autres mécanismes de connexion (tels que Google, LDAP ou SAML) ont été activés sur votre instance. Cela peut être utile pour les consultants ou d'autres personnes qui ne font pas partie de votre système d'authentification habituel. |
embed_browse_spaces |
Aucun | NN à l'échelle de l'instance | Active le navigateur de contenu pour les intégrations signées. Si vous utilisez des intégrations signées, vous devez accorder cette autorisation aux utilisateurs disposant de l'autorisation save_content. |
embed_save_shared_space |
Aucun | À l'échelle de l'instance | Permet aux utilisateurs disposant de l'autorisation save_content d'enregistrer du contenu dans le dossier Partagé de l'organisation, le cas échéant. Les utilisateurs disposant de l'autorisation save_content, mais pas de l'autorisation embed_save_shared_space, ne pourront enregistrer le contenu que dans leur dossier d'intégration personnel. |
manage_embed_settings |
Aucun | CM au niveau de l'instance | AJOUTÉ 24.0 Les utilisateurs peuvent modifier les paramètres d'incorporation sur la page Incorporer, dans la section Plate-forme du menu Administration. |
manage_modelsets_restricted |
Aucun | CM spécifique au modèle |
BETA 24.16
Les utilisateurs peuvent ajouter ou supprimer des modèles des ensembles de modèles inclus dans l'un de leurs rôles.REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_modelsets_restricted à un utilisateur et que vous lui avez autorisé l'accès à tous les modèles d'un projet, il pourra attribuer tous les modèles de ce projet aux ensembles de modèles auxquels il a accès. |
manage_schedules |
Aucun | CM spécifique au modèle | BÊTA 24.12 Les utilisateurs peuvent réattribuer et supprimer des planifications sur la page Planifications pour les modèles spécifiés. L'utilisateur disposant de cette autorisation ne peut pas afficher la page Historique des planifications. |
manage_themes |
Aucun | CM au niveau de l'instance | ADDED 24.0 Les utilisateurs peuvent configurer les paramètres des thèmes sur la page Thèmes de la section Plate-forme du menu Admin.Cette autorisation n'est disponible que si des thèmes ont été activés pour votre instance. |
manage_privatelabel |
Aucun | CM au niveau de l'instance | ADDED 24.0 Les utilisateurs peuvent configurer les paramètres de libellé privé sur la page Étiquette privée dans la section Plate-forme du menu Admin.Cette autorisation n'est disponible que si le libellé privé a été activé pour votre instance. |
see_alerts |
Aucun | CM au niveau de l'instance | Les utilisateurs peuvent accéder aux pages Alertes et Historique des alertes dans la section Administration. Ils peuvent ainsi consulter toutes les alertes d'une instance Looker. Les utilisateurs peuvent afficher, suivre, modifier, s'attribuer des alertes et les désactiver qui appartiennent à d'autres utilisateurs depuis la page d'administration Alertes.Les utilisateurs doivent disposer des autorisations nécessaires pour accéder au contenu sous-jacent de l'alerte afin de le consulter ou de l'explorer à partir de la visualisation de l'alerte (sur la page Détails de l'alerte) ou pour accéder à son tableau de bord. Les utilisateurs disposant de cette autorisation ne peuvent pas afficher, créer, suivre ni supprimer des alertes à partir de la vignette du tableau de bord. |
see_queries |
Aucun | CM au niveau de l'instance | Les utilisateurs peuvent consulter la page Requêtes dans la section Administration de Looker. Ce privilège ne permet pas à l'utilisateur de mettre fin à une requête sur la page Requêtes. |
see_logs |
Aucun | CM au niveau de l'instance | Les utilisateurs peuvent accéder à la page Journal dans la section Administration de Looker. |
see_users |
Aucun | CM au niveau de l'instance | Les utilisateurs peuvent consulter la page Utilisateurs (mais pas la page Groupes) dans la section Admin de Looker. Ce droit ne permet pas à l'utilisateur de créer des utilisateurs, de consulter ou de créer des identifiants d'API, de réinitialiser les mots de passe, ni de modifier d'une quelconque autre manière les utilisateurs ou les droits. Un utilisateur disposant de cette autorisation peut afficher tous les utilisateurs de tous les groupes d'une instance, même sur un système fermé. Il peut voir tous les noms de groupes et de rôles, qui peuvent être considérés comme sensibles par certaines entreprises. |
sudo |
see_users |
CM au niveau de l'instance | Les utilisateurs peuvent agir en tant qu'utilisateur et hériter temporairement des autorisations d'un autre utilisateur en cliquant sur le bouton Sudo de la page Utilisateurs.L'autorisation sudo ne permet pas à un non-administrateur d'utiliser sudo en tant qu'administrateur, mais un non-administrateur peut potentiellement élever ses privilèges avec sudo. Soyez donc prudent. |
manage_groups |
see_users |
CM au niveau de l'instance | ADDED 24.0 Les utilisateurs peuvent créer, modifier et supprimer des groupes sur la page Groupes de la section Utilisateurs du menu Admin, à l'exception de tous les groupes associés au rôle Administrateur. |
manage_roles |
manage_groups |
CM au niveau de l'instance | ADDED 24.0 Les utilisateurs peuvent créer, modifier et supprimer des rôles, à l'exception du rôle Administrateur, sur la page Rôles de la section Utilisateurs du menu Administrateur. Les utilisateurs ne peuvent toujours pas créer, modifier ni supprimer de jeux d'autorisations ni de jeux de modèles. |
manage_user_attributes |
see_users |
CM au niveau de l'instance | ADDED 24.0 Les utilisateurs peuvent créer, modifier et supprimer des attributs utilisateur sur la page Attributs utilisateur dans la section Utilisateurs du menu Admin. |
see_schedules |
Aucun | CM au niveau de l'instance | Les utilisateurs peuvent consulter les pages Planifications et Historique des planifications dans le panneau Administration de Looker. Ce privilège ne permet pas à un utilisateur de réattribuer, de modifier ni de supprimer les plannings d'autres utilisateurs sur les pages Plannings et Historique des plannings. |
see_pdts |
Aucun | Spécifique à la connexion | Les utilisateurs peuvent consulter la page Tables dérivées persistantes dans la section Administration de Looker et consulter des informations sur les tables PDT des projets qui utilisent une connexion associée aux modèles pour lesquels ils disposent d'un accès aux données.Cette autorisation est incluse dans l'ensemble d'autorisations par défaut Développeur pour les nouvelles installations Looker.Cette autorisation s'applique aux connexions auxquelles les utilisateurs ont accès aux données, plutôt qu'à l'ensemble de l'instance Looker, ou à des modèles ou ensembles de modèles individuels. |
see_datagroups |
Aucun | Spécifique au modèle | Les utilisateurs peuvent consulter la page "Groupes de données" dans la section Administration de Looker. Les utilisateurs peuvent afficher les noms de connexion et de modèle, ainsi que d'autres informations sur les groupes de données définis dans un modèle pour lequel ils disposent d'un accès aux données.Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker ou aux connexions. |
update_datagroups |
see_datagroups |
Spécifique au modèle | Les utilisateurs peuvent déclencher un groupe de données ou réinitialiser son cache sur la page Groupes de données de la section Administration de Looker. Comme les utilisateurs disposant de l'autorisation see_datagroups, les utilisateurs disposant de l'autorisation update_datagroups peuvent voir les groupes de données définis dans les projets qui utilisent un modèle pour lequel ils disposent d'un accès aux données.Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker ou aux connexions. |
see_system_activity |
Aucun | CM au niveau de l'instance | Les utilisateurs peuvent accéder aux explorations et aux tableaux de bord de l'activité système, ainsi qu'à la base de données interne i__looker pour consulter l'utilisation, l'historique et d'autres métadonnées d'une instance Looker. |
mobile_app_access |
Aucun | Réseau de neurones à l'échelle de l'instance | Les utilisateurs peuvent se connecter à votre instance sur un appareil mobile à l'aide de l'application mobile Looker. Pour que les utilisateurs puissent se connecter à l'application mobile Looker, l'option Accès à l'application mobile de la page Paramètres généraux de la section Administration de Looker doit d'abord être activée.L'autorisation mobile_app_access peut être ajoutée à un ensemble d'autorisations nouveau ou existant. Elle fait partie de tous les ensembles d'autorisations par défaut de Looker. |
Ensembles de modèles
Un ensemble de modèles définit les données et les champs LookML qu'un utilisateur ou un groupe peut voir. Chaque ensemble est une liste de modèles LookML auxquels un utilisateur ou un groupe doit avoir accès. Un ensemble de modèles s'apparente à l'exécution de deux fonctions:
- Un ensemble de modèles contrôle les modèles de votre LookML auxquels les autorisations s'appliquent (si ces autorisations sont spécifiques au modèle).
- Un ensemble de modèles limite les données et les champs LookML qu'un utilisateur peut voir, car chaque modèle est connecté à une connexion de base de données spécifique et contient certains champs LookML.
Créer un ensemble de modèles
Pour créer un ensemble de modèles :
Cliquez sur le bouton Nouveau jeu de modèles en haut de la page Rôles.
Looker affiche la page New Model Set (Nouvel ensemble de modèles). Saisissez un nom pour le nouvel ensemble de modèles.
Sélectionnez le ou les modèles à inclure dans le nouvel ensemble de modèles.
Cliquez sur le bouton Nouveau jeu de modèles en bas de la page. Le nouvel ensemble de modèles apparaît dans la section Ensembles de modèles de la page Rôles.
Les modèles inclus dans les projets en attente apparaissent dans la liste Modèles sur les pages Nouvel ensemble de modèles et Modifier l'ensemble de modèles.
La suppression ou le changement du nom d'un modèle ne modifie pas les ensembles de modèles qui l'incluent. Lorsqu'un modèle est supprimé ou renommé, nous recommandons aux administrateurs Looker de supprimer également le nom de ce modèle de tous les ensembles de modèles associés, via la page Modifier l'ensemble de modèles. Lorsque vous supprimez le nom d'un modèle supprimé d'un ensemble de modèles, vous évitez qu'un nouveau modèle portant le même nom ne soit inclus involontairement dans cet ensemble de modèles.
Pour en savoir plus sur les modèles, consultez la page de documentation Paramètres de modèle.
Créer plusieurs modèles et ensembles de modèles
L'exemple suivant montre comment utiliser plusieurs ensembles de modèles pour limiter l'accès aux données. Imaginons que vous disposiez de deux équipes, Marketing et Assistance. Dans cet exemple, ces deux équipes ne devraient pas avoir accès à l'ensemble du modèle. Vous allez donc créer un modèle distinct pour chaque équipe. Pour séparer leurs droits d'accès aux données, procédez comme suit:
- Copier le modèle dans deux nouveaux modèles
- Dans le premier des nouveaux modèles, n'incluez que les vues, les champs et les explorations auxquels l'équipe marketing doit avoir accès.
- Créez un ensemble de modèles pour l'équipe marketing qui n'inclut que ce nouveau modèle.
- Créez un rôle pour l'équipe marketing qui inclut ce nouvel ensemble de modèles et les autorisations appropriées.
- Attribuez ce nouveau rôle au groupe "Équipe marketing".
- Répétez les étapes 2 à 5 pour configurer le deuxième modèle pour l'équipe d'assistance.
Modifier un ensemble de modèles
Une fois qu'un ensemble de modèles a été créé, procédez comme suit pour le modifier:
Sur la page Rôles, cliquez sur le bouton Modifier à droite de l'ensemble de modèles que vous souhaitez modifier.
Looker affiche la page Modifier l'ensemble de modèles. Si vous le souhaitez, saisissez un nouveau nom pour le modèle défini dans le champ Nom.
Ajoutez des modèles à l'ensemble de modèles ou supprimez-en dans la section Modèles.
Cliquez sur le bouton Update Model Set (Mettre à jour l'ensemble de modèles) en bas de la page.
Les modèles inclus dans des projets en attente apparaissent dans la liste Modèles sur les pages Nouvel ensemble de modèles et Modifier l'ensemble de modèles.
Si vous supprimez ou renommez un modèle, cela n'a aucune incidence sur les ensembles de modèles qui l'incluent. Lorsqu'un modèle est supprimé ou renommé, nous recommandons aux administrateurs Looker de supprimer également le nom de ce modèle de tous les ensembles de modèles associés, via la page Modifier l'ensemble de modèles. Supprimer le nom d'un modèle supprimé d'un ensemble de modèles empêche l'inclusion involontaire d'un nouveau modèle portant le même nom dans cet ensemble.
Supprimer un ensemble de modèles
Pour supprimer un ensemble de modèles, sur la page Rôles, cliquez sur Supprimer à droite de l'ensemble de modèles que vous souhaitez supprimer.