Configuración del administrador: Roles

Los roles, los conjuntos de permisos y los conjuntos de modelos se usan en conjunto para administrar lo que pueden hacer los usuarios y lo que pueden ver. La página Roles en la sección Users del panel Admin te permite ver, configurar y asignar roles, conjuntos de permisos y conjuntos de modelos.

Para buscar roles, conjuntos de permisos y conjuntos de modelos específicos, ingresa un término de búsqueda en el cuadro de búsqueda de la esquina superior derecha y presiona Intro.

Definiciones

• Un rol define los privilegios que tendrá un usuario o un grupo para un conjunto específico de modelos en Looker. Puedes crear un rol combinando un conjunto de permisos con un conjunto de modelos.
• Un conjunto de permisos define lo que puede hacer un usuario o un grupo. Debes seleccionar una combinación de permisos que desees asignar a un usuario o grupo. Se debe usar como parte de un rol para tener algún efecto.
• Un conjunto de modelos define qué datos y campos de LookML puede ver un usuario o un grupo. Seleccionas una combinación de modelos de LookML a los que un usuario o grupo debería tener acceso. Se debe usar como parte de un rol para tener algún efecto.

Asigna roles

Un rol es una combinación de un conjunto de permisos y un conjunto de modelos. Es una convención común nombrar los roles según los tipos de personas o grupos de personas de tu organización (administrador, desarrollador de Looker o equipo de finanzas), aunque sin dudas puedes seguir tus propias convenciones de nombres.

Un usuario puede tener más de un rol en Looker. Esto puede ser útil cuando tienes usuarios que desempeñan varios roles en tu empresa o cuando quieres crear sistemas complejos de acceso a tus modelos.

Crea, edita y borra roles

Para crear un rol, sigue estos pasos:

1. Haz clic en el botón Nuevo rol en la parte superior de la página Roles.

2. Looker muestra la página Nuevo rol, en la que puedes establecer los siguientes parámetros de configuración:

   • Nombre: Ingresa un nombre para el rol.
   • Conjunto de permisos: Elige un conjunto de permisos para asociarlo con el rol.
   • Conjunto de modelos: Elige un conjunto de modelos para asociarlo con el rol.
   • Grupos: De manera opcional, elige uno o más grupos para asignar el rol.
   • Usuarios: De manera opcional, elige uno o más usuarios a los que asignarles el rol.

3. Una vez que hayas configurado el rol deseado, haz clic en el botón Nuevo rol en la parte inferior de la página.

Después de crear un rol, puedes editarlo haciendo clic en el botón Editar a la derecha del rol en la página Roles. Si haces clic en Editar, accederás a la página Editar rol de ese rol. Allí podrás editar el nombre, el conjunto de permisos, el conjunto de modelos y los grupos o usuarios que están asignados al rol.

Para borrar un rol, haz clic en el botón Borrar a la derecha del rol en la página Roles.

Funciones predeterminadas

Para instancias nuevas, Looker crea los siguientes roles predeterminados, cada uno de los cuales incluye un conjunto de permisos predeterminados con el mismo nombre:

• Administrador
• Desarrollador
• Usuario
• Visualizador

Conjuntos de permisos

Un conjunto de permisos define lo que puede hacer un usuario o un grupo. Los administradores pueden usar los conjuntos de permisos predeterminados de Looker o crear conjuntos de permisos originales, teniendo en cuenta las dependencias de los permisos.

Todos los permisos disponibles y sus tipos se analizan con más detalle en la lista de permisos.

Conjuntos de permisos predeterminados

Para las nuevas instalaciones, Looker incluye varios conjuntos de permisos predeterminados con los que puedes comenzar:

Conjunto de permisos	Permisos incluidos
Administrador	Todos los permisos
Desarrollador	access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, deploy, develop, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards,see_looks, see_pdts, see_sql, see_user_dashboards, send_to_integration, use_sql_runner NOTA: El permiso see_pdts se incluye en el permiso predeterminado para desarrolladores solo para las instalaciones de Looker creadas con Looker 21.18 o versiones posteriores. Para verificar si el permiso see_pdts se incluye en el conjunto de permisos de desarrollador de tu instancia, ve a la página Roles del panel Administrador de la IU de Looker.
Usuario del panel de LookML	access_data, clear_cache_refresh, mobile_app_access, see_lookml_dashboards, send_to_integration
Usuario	access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards, see_looks, see_sql, see_user_dashboards, send_to_integration
Usuario que no puede ver LookML	access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, schedule_look_emails, see_lookml_dashboards, see_looks, see_user_dashboards, send_to_integration
Visualizador	access_data, clear_cache_refresh, download_without_limit, mobile_app_access, schedule_look_emails, see_drill_overlay, see_lookml_dashboards, see_looks, see_user_dashboards

Verás que estos conjuntos de permisos aparecen como opciones cuando crees un rol nuevo. Si seleccionas uno de estos conjuntos de permisos, Looker mostrará la lista de permisos que incluye.

El conjunto de permisos de administrador no se puede editar ni borrar, ni asignarse a un rol. Se asigna solo al rol de administrador, que tampoco puede editarse ni borrarse. La única forma de otorgar el permiso de administrador configurado para un usuario o un grupo es agregar el rol de administrador a ese usuario o grupo.

Crea conjuntos de permisos

Para crear un conjunto de permisos, haz clic en el botón Nuevo conjunto de permisos ubicado en la parte superior de la página Funciones. Looker mostrará una página en la que puedes ingresar un nombre para el conjunto de permisos y seleccionar los permisos que debe incluir. Una vez que hayas configurado el conjunto como desees, haz clic en el botón New Permission Set, que se encuentra en la parte inferior de la página.

Después de crear un conjunto de permisos, puedes editarlo o borrarlo si haces clic en los botones Editar o Borrar a la derecha del conjunto de permisos en la página Funciones.

Permisos y dependencias

Algunos permisos dependen de otros para funcionar correctamente. Por ejemplo, tiene sentido que alguien que quiera desarrollar en LookML primero deba poder ver LookML.

Cuando crees un conjunto de permisos, verás los permisos disponibles en una lista con sangría. Si un privilegio tiene una sangría bajo otro privilegio (de nivel superior), primero debes seleccionar el privilegio superior. La lista de permisos podría verse de la siguiente manera:

☑️ access_data
  ☑️ see_lookml_dashboards
  ☑️ see_looks
    ☑️ see_user_dashboards

En este ejemplo, Looker usa sangría para indicar lo siguiente:

• El privilegio access_data se puede seleccionar en cualquier momento.
• Los privilegios see_lookml_dashboards y see_looks requieren que se seleccione el privilegio access_data primero.
• El privilegio see_user_dashboards depende del privilegio see_looks, que, a su vez, depende del privilegio access_data.

No puedes seleccionar un privilegio secundario sin seleccionar primero al superior.

Permisos y licencias de Looker

Las licencias de Looker clasifican a los usuarios en tres tipos:

• Desarrollador (administrador)
• Estándar (creador)
• Visualizador

Los permisos que se otorgan a un usuario determinan cómo se clasifica a este según la licencia de Looker:

• Un usuario se clasifica como usuario desarrollador (administrador) si tiene el rol predeterminado de administrador o al menos uno de los siguientes permisos:

  • develop
  • manage_models
  • see_datagroups
  • see_logs
  • see_pdts
  • sudo

• Un usuario se clasifica como un usuario estándar (creador) si no tiene ninguno de los permisos de desarrollador (administrador), pero cuenta con al menos uno de los siguientes permisos:

  • create_prefetches
  • explore
  • manage_homepage
  • manage_spaces
  • save_content
  • see_queries
  • see_schedules
  • see_system_activity
  • see_users
  • use_sql_runner

• Los usuarios se clasifican como visualizador si tienen el permiso access_data, pero no tienen los permisos de desarrollador (administrador) ni los permisos estándar (de creador).

Lista de permisos

Los siguientes permisos interactúan con los conjuntos de modelos de una manera potencialmente inesperada:

• develop
• see_lookml
• manage_models
• manage_project_connections_restricted
• manage_project_connections

En el IDE de Looker, un solo proyecto puede contener varios archivos de modelos. Si le asignas los permisos develop o see_lookml a un usuario y le otorgaste permiso para ver cualquier modelo que forme parte de un proyecto, podrá desarrollar o ver LookML para todos los modelos de ese proyecto. Sin embargo, aún no podrán consultar modelos que no hayas permitido.

Si asignas el permiso manage_models a un usuario, este podrá acceder a todos los modelos de todos los proyectos de la instancia.

Si asignas los permisos manage_project_connections_restricted o manage_project_connections a un usuario, este podrá ver, editar y crear conexiones con alcance de proyecto para cualquier proyecto incluido en el conjunto de modelos.

Los permisos se pueden clasificar en uno de los siguientes tres tipos:

• Específico del modelo: Este tipo de permiso se aplica solo a los conjuntos de modelos que forman parte del mismo rol. Este permiso se aplica a modelos individuales o conjuntos de modelos, en lugar de a toda la instancia de Looker.
• Específico de la conexión: Este tipo de permiso se aplica a nivel de la conexión. Un usuario con este tipo de permiso verá contenido en las páginas del panel Administrador que usa una conexión asociada con un modelo al que tiene acceso a los datos, incluso si esa conexión se utiliza con otro modelo al que no tiene acceso a datos.
• Instancia amplia: Este tipo de permiso se aplica a toda la instancia de Looker y tiene tres tipos:
  • NN = Sin acceso al contenido, sin acceso al menú: Estos permisos permiten a los usuarios realizar ciertas funciones en toda la instancia de Looker, pero no permiten que accedan al contenido según modelos no incluidos en el conjunto de modelos de su rol.
  • CN = Acceso al contenido, sin acceso al menú: Con estos permisos, los usuarios pueden acceder al contenido y consultar información en toda la instancia de Looker, incluso para el contenido y las búsquedas basadas en modelos no incluidos en el conjunto de modelos de su rol.
  • CM = Acceso al contenido, Acceso al menú: Estos permisos pueden exponer partes del menú Administrador a los usuarios que no son administradores y permitirles ver información sobre el contenido y las búsquedas en función de modelos no incluidos en el conjunto de modelos de su rol.

En la siguiente lista, se describen todos los permisos que están disponibles en Looker, en el orden en que aparecen en la página Nuevo conjunto de permisos, en la sección Administrador:

Permiso	Depende de	Tipo	Definición
access_data	Ninguno	Específico del modelo	Los usuarios pueden acceder a los datos de Looker, pero solo a los datos que especifiquen los administradores. Este permiso es necesario para casi todas las funciones de Looker. Un usuario con este permiso, si se le otorga acceso a cualquier modelo en un proyecto determinado, puede acceder a cualquier archivo de la sección Datos de ese proyecto (como un archivo de mapa personalizado JSON).
see_lookml_dashboards	access_data	Específico del modelo	Los usuarios pueden ver la carpeta Dashboards de LookML, que incluye todos los paneles de LookML. Los usuarios deben tener el permiso explore para que cualquier modelo relevante explore esos paneles. Los usuarios que también tienen el permiso develop pueden crear paneles de LookML.
see_looks	access_data	Específico del modelo	Los usuarios pueden ver las Vistas guardadas (pero no los paneles) dentro de las carpetas. Los usuarios deben tener el permiso explore para que cualquier modelo relevante explore esas vistas. Los usuarios también necesitarán el nivel de acceso Ver al contenido para ver las vistas en las carpetas.
see_user_dashboards	see_looks	Específico del modelo	Los usuarios pueden ver paneles definidos por los usuarios en carpetas, pero deben tener el permiso explore para que cualquier modelo relevante los explore. Los usuarios también necesitan acceso al contenido de Ver para ver los paneles en carpetas. Los usuarios que también tengan el permiso save_dashboards y el acceso al contenido Administrar acceso y editar a una carpeta pueden crear paneles definidos por el usuario en esa carpeta.
explore	see_looks	Específico del modelo	Los usuarios pueden acceder a la página Explorar y usarla para generar informes. Sin este permiso, los usuarios solo podrán ver los paneles guardados (si se otorgaron see_lookml_dashboards o see_user_dashboards).
create_table_calculations	explore	NN de toda la instancia	Los usuarios pueden ver, editar o agregar cálculos de tablas.
create_custom_fields	explore	NN de toda la instancia	Los usuarios pueden ver, editar o agregar campos personalizados. los usuarios que solo tienen el permiso explore pueden ver únicamente los campos personalizados.
can_create_forecast	explore	NN de toda la instancia	Los usuarios pueden crear y editar previsiones en las visualizaciones. Los usuarios que no tienen este permiso solo pueden ver las previsiones existentes en el contenido al que tienen acceso.
can_override_vis_config	explore	NN de toda la instancia	Los usuarios pueden acceder al Editor de configuración de gráficos, que les permite modificar los valores de JSON de la API de Highchart de una visualización y personalizar su aspecto y formato.
save_content	see_looks	NN de toda la instancia	Este permiso es un permiso parental de save_dashboards, save_looks y create_public_looks. Este permiso se debe otorgar con save_dashboards o save_looks.
save_dashboards	save_content	NN de toda la instancia	AGREGA 24.4 . Los usuarios pueden guardar y editar paneles. Los usuarios deben tener el permiso explore para que cualquier modelo relevante explore desde esos paneles. Los usuarios deben tener los permisos download_with_limit o download_without_limit para descargar el contenido.
save_looks	save_content	NN de toda la instancia	AGREGA 24.4 . Los usuarios pueden guardar y editar las vistas. Los usuarios deben tener el permiso explore para que los modelos relevantes exploren a partir de esas vistas. Los usuarios deben tener los permisos download_with_limit o download_without_limit para descargar el contenido.
create_public_looks	save_content	Específico del modelo	Los usuarios pueden marcar una vista guardada como pública, lo que generará URLs que otorgan acceso a ese informe sin autenticación.
download_with_limit	see_looks	Específico del modelo	Los usuarios pueden descargar y programar consultas (como CSV, Excel y otros formatos), pero deben especificar un límite de filas de 5,000 o menos para evitar problemas de memoria debido a descargas grandes en la instancia.
download_without_limit	see_looks	Específico del modelo	Es igual que download_with_limit, pero no requiere que el usuario especifique un límite de filas. Descargar o programar todos los resultados para algunos tipos de consultas puede requerir una cantidad considerable de memoria, lo que podría causar problemas de rendimiento o incluso generar una falla en la instancia de Looker.
schedule_look_emails	see_looks	Específico del modelo	Los usuarios pueden enviar Vistas, paneles y consultas con visualizaciones a las que tienen acceso a los datos para enviar correos electrónicos. Los usuarios pueden programar la publicación para que se produzca después de que se active un grupo de datos, se haya administrado la caché y haya recompilado las PDT relevantes. Para enviar o programar paneles de Actividad del sistema, los usuarios deben tener acceso a todos los modelos. Los usuarios que también tienen permisos de create_alerts pueden enviar notificaciones de alerta por correo electrónico. Los administradores de Looker pueden controlar los dominios de correo electrónico a los que los usuarios incorporados y de Looker pueden enviar entregas de correo electrónico con la Lista de dominios de correo electrónico permitidos en la página Configuración del panel Administrador. Este permiso se aplica a modelos individuales o conjuntos de modelos, en lugar de a toda la instancia de Looker.
schedule_external_look_emails	schedule_look_emails	Específico del modelo	Los usuarios pueden enviar Vistas, paneles y consultas con visualizaciones a las que tienen acceso a los datos para enviar correos electrónicos. Los usuarios pueden programar la publicación para que se produzca después de que se active un grupo de datos, se haya administrado la caché y haya recompilado las PDT relevantes. Para enviar o programar paneles de Actividad del sistema, los usuarios deben tener acceso a todos los modelos. Los usuarios que también tienen permisos de create_alerts pueden enviar notificaciones de alerta por correo electrónico. Los usuarios pueden enviar por correo electrónico entregas de contenido o notificaciones de alerta a las direcciones de correo electrónico de cualquier dominio, independientemente de si la lista de dominios de correo electrónico permitidos en la página Configuración del panel Administrador contiene dominios de correo electrónico incluidos en la lista de entidades permitidas. Este permiso se aplica a modelos individuales o conjuntos de modelos, en lugar de a toda la instancia de Looker.
create_alerts	see_looks	NN de toda la instancia	Desde el mosaico del panel, los usuarios pueden crear, duplicar y borrar sus propias alertas. y pueden ver y duplicar las alertas que otros usuarios marcaron como Pública. El usuario debe acceder a Slack para ver las alertas del mosaico del panel que envían notificaciones de Slack. Los usuarios pueden ver, editar, inhabilitar y habilitar las alertas de su propiedad en la página del usuario Administrar alertas.
follow_alerts	see_looks	NN de toda la instancia	Los usuarios pueden ver y seguir alertas. Consulta las alertas que siguieron o para las que figuran como destinatarios en la página del usuario Administrar alertas.
send_to_s3	see_looks	Específico del modelo	Los usuarios pueden entregar cualquier Vista, panel y consulta con visualizaciones a las que tienen acceso a los datos de un bucket de Amazon S3. Los usuarios pueden programar la publicación para que se produzca después de que se active un grupo de datos, se haya administrado la caché y haya recompilado las PDT relevantes. Este permiso se aplica a modelos individuales o conjuntos de modelos, en lugar de a toda la instancia de Looker.
send_to_sftp	see_looks	Específico del modelo	Los usuarios pueden enviar a un servidor SFTP las Vistas, los paneles y las consultas con visualizaciones a las que tengan acceso a los datos. Los usuarios pueden programar la publicación para que se produzca después de que se active un grupo de datos, se haya administrado la caché y haya recompilado las PDT relevantes. Este permiso se aplica a modelos individuales o conjuntos de modelos, en lugar de a toda la instancia de Looker.
send_outgoing_webhook	see_looks	Específico del modelo	Los usuarios pueden entregar cualquier Vista, panel y consulta con visualizaciones a las que tengan acceso a los datos a un webhook. Los usuarios pueden programar la publicación para que se produzca después de que se active un grupo de datos, se haya administrado la caché y haya recompilado las PDT relevantes. Este permiso se aplica a modelos individuales o conjuntos de modelos, en lugar de a toda la instancia de Looker.
send_to_integration	see_looks	Específico del modelo	Los usuarios pueden entregar cualquier Vista, panel y consulta con visualizaciones a las que tienen acceso a los datos a los servicios de terceros integrados en Looker a través del Action Hub de Looker. Si usas acciones personalizadas con atributos de usuario, los usuarios deben tener este permiso y un valor de atributo de usuario no nulo y válido para el atributo de usuario especificado para entregar contenido de Looker a ese destino de acción. Este permiso no está relacionado con las acciones de datos. Los usuarios pueden programar la publicación para que se produzca después de que se active un grupo de datos, se haya administrado la caché y haya recompilado las PDT relevantes. Este permiso se aplica a modelos individuales o conjuntos de modelos, en lugar de a toda la instancia de Looker.
see_sql	see_looks	Específico del modelo	Los usuarios pueden acceder a la pestaña SQL mientras exploran, así como cualquier error de SQL causado por sus consultas.
see_lookml	see_looks	Específico del modelo	Los usuarios tienen acceso de solo lectura a LookML. Los usuarios deben tener este permiso para ver el vínculo Ir a LookML en el panel Administrador. Si quieres que un usuario pueda editar LookML, también debes otorgarle el permiso develop. NOTA: Este permiso interactúa con los conjuntos de modelos de una manera potencialmente inesperada. Si le asignas el permiso see_lookml a un usuario y le otorgaste permiso para ver cualquier modelo que forme parte de un proyecto, podrá ver LookML de todos los modelos de ese proyecto. Sin embargo, aún no podrán consultar modelos que no hayas permitido.
develop	see_lookml	Específico del modelo	Los usuarios pueden hacer cambios locales en LookML, pero no les permitirán que esos cambios estén disponibles para todos, a menos que también tengan el permiso deploy. Este permiso es necesario para ver la opción Obtener asistencia en el menú Ayuda y para ver los metadatos en el IDE de Looker. Los usuarios también necesitan este permiso para acceder a Reconstruir tablas derivadas y Run del menú de ajustes de Explorar. Esto no es específico del modelo, por lo que si un usuario tiene este permiso en un modelo, tendrá acceso a Volver a compilar tablas derivadas y Se ejecuta en todos los modelos. NOTA: Este permiso interactúa con los conjuntos de modelos de una manera potencialmente inesperada. Si le asignas el permiso develop a un usuario y le otorgaste permiso para ver cualquier modelo que forme parte de un proyecto, podrá desarrollar LookML para todos los modelos de ese proyecto. Sin embargo, aún no podrán consultar modelos que no hayas permitido.
deploy	develop	NN de toda la instancia	Los usuarios pueden enviar sus cambios locales de LookML a producción para que estén disponibles para todos.
support_access_toggle	develop	NN de toda la instancia	Los usuarios pueden habilitar o inhabilitar el acceso de los analistas de Looker a tu instancia de Looker.
manage_project_models	develop	Específico del modelo	Los usuarios pueden agregar, editar o borrar parámetros de configuración para los modelos permitidos en la página Editar configuración del modelo. Cuando se configura un modelo, los usuarios solo pueden usar conexiones con alcance de proyecto. NOTA: Este permiso interactúa con los conjuntos de modelos de una manera potencialmente inesperada. Si creas un rol con el permiso manage_project_models, el rol otorgará acceso a todos los modelos que comparten un proyecto con cualquiera de los modelos en los conjuntos de modelos del rol.
use_global_connections	manage_project_models	Específico del modelo	Los usuarios pueden configurar los modelos permitidos con cualquier conexión con alcance de proyecto o cualquier conexión para toda la instancia.
manage_project_connections_restricted	develop	CM específica del modelo	Los usuarios pueden ver la página Conexiones en el menú Administrador. Pueden ver, editar y crear conexiones con alcance de proyecto para cualquier proyecto en el conjunto de modelos. Sin embargo, solo puede editar la siguiente configuración de conexión: Toda la configuración de la sección Configuración general Toda la configuración de la sección Servidor SSH Todos los parámetros de configuración de la sección Zona horaria Los parámetros de configuración de Parámetros adicionales de JDBC, SSL, Verificar SSL y Usar TNS en la sección Configuración adicional Los usuarios no podrán editar ningún otro parámetro de configuración en la sección Configuración adicional. Tampoco pueden editar ningún parámetro de configuración de la sección Tablas derivadas persistentes (PDT). NOTA: Este permiso interactúa con los conjuntos de modelos de una manera potencialmente inesperada. Si asignas el permiso manage_project_connections_restricted a un usuario, este podrá ver, editar y crear conexiones con alcance de proyecto para cualquier proyecto incluido en el conjunto de modelos.
manage_project_connections	manage_project_connections_restricted	CM específica del modelo	Los usuarios pueden ver la página Conexiones en el menú Administrador. Pueden ver, editar y crear conexiones con alcance de proyecto para cualquier proyecto incluido en el conjunto de modelos. NOTA: Este permiso interactúa con los conjuntos de modelos de una manera potencialmente inesperada. Si asignas el permiso manage_project_connections_restricted a un usuario, este podrá ver, editar y crear conexiones con alcance de proyecto para cualquier proyecto incluido en el conjunto de modelos.
use_sql_runner	see_lookml	Específico del modelo	Los usuarios pueden usar el ejecutor de SQL para ejecutar SQL sin procesar en las conexiones permitidas. Los usuarios también podrán descargar los resultados desde la opción Download en el menú de ajustes de SQL Runner, sin importar si tienen los permisos download_with_limit o download_without_limit.
clear_cache_refresh	access_data	Específico del modelo	Los usuarios pueden borrar la caché y actualizar los paneles, los mosaicos de paneles, las Vistas y las Exploraciones incorporados e incorporados. El permiso clear_cache_refresh se agrega automáticamente a cualquier conjunto de permisos preexistente que contenga cualquiera de los siguientes permisos: see_user_dashboards, see_lookml_dashboards o explore. El permiso clear_cache_refresh no se aplica automáticamente a ninguna función incorporada.
see_drill_overlay	access_data	Específico del modelo	Los usuarios pueden ver los resultados de desglosar un mosaico del panel, pero no pueden explorarlos. Si se otorga explore, este permiso también se otorga automáticamente (incluso si no está marcado). Los usuarios también deben tener permisos de explore para descargar resultados de desgloses en formato PNG.
manage_spaces	Ninguno	CN de toda la instancia	Los usuarios pueden crear, editar, mover y borrar carpetas. Los usuarios también necesitarán el permiso Administrar el acceso y editar el acceso al contenido.
manage_homepage	Ninguno	NN de toda la instancia	Los usuarios pueden editar y agregar contenido a la barra lateral que todos los usuarios de Looker verán en la página principal de Looker compilada previamente.
manage_models	Ninguno	CN de toda la instancia	Cada modelo de LookML se asigna a un conjunto específico de conexiones de bases de datos en la página Administrar proyectos de LookML. Con este permiso, los usuarios pueden configurar estas asignaciones, crear proyectos nuevos y borrar proyectos. Los usuarios que no sean administradores a los que se les otorgue este permiso tendrán acceso a todas las conexiones que permitan los modelos a los que tienen acceso. NOTA: Este permiso interactúa con los conjuntos de modelos de una manera potencialmente inesperada. Si asignas el permiso manage_models a un usuario, este podrá acceder a todos los modelos de todos los proyectos de la instancia.
create_prefetches	Ninguno	Ancho de la instancia	No se recomienda la carga previa. Recomendamos usar grupos de datos en su lugar.
login_special_email	Ninguno	Ancho de la instancia	Los usuarios pueden acceder con credenciales tradicionales de correo electrónico y contraseña, incluso si se habilitaron otros mecanismos de acceso en tu instancia (como Google, LDAP o SAML). Esto puede ser útil para asesores o personas que quizás no formen parte de tu sistema de autenticación habitual.
embed_browse_spaces	Ninguno	NN de toda la instancia	Habilita el navegador de contenido para las incorporaciones firmadas. Si usas incorporaciones firmadas, debes conceder este permiso a los usuarios que tengan el permiso save_content.
embed_save_shared_space	Ninguno	Ancho de la instancia	Permite que el usuario con el permiso save_content guarde el contenido en la carpeta Shared de la organización, si la hay. Los usuarios que tengan el permiso save_content, pero no el permiso embed_save_shared_space, solo podrán guardar contenido en su carpeta de incorporación personal.
manage_embed_settings	Ninguno	CM de toda la instancia	AGREGA 24.0 . Los usuarios pueden editar la configuración de incorporación en la página Incorporar en la sección Plataforma del menú Administrador.
manage_schedules	Ninguno	CM específica del modelo	BETA 24.12 . Los usuarios pueden reasignar y borrar programas en la página Programas para los modelos especificados. Este permiso no autoriza al usuario a ver la página Historial de programación.
manage_themes	Ninguno	CM de toda la instancia	AGREGA 24.0 . Los usuarios pueden configurar los temas en la página Temas, en la sección Plataforma del menú Administrador. Este permiso solo está disponible si se habilitaron los temas para tu instancia.
manage_privatelabel	Ninguno	CM de toda la instancia	AGREGA 24.0 . Los usuarios pueden establecer la configuración de etiquetas privadas en la página Etiqueta privada, en la sección Plataforma del menú Administrador. Este permiso solo está disponible si se habilitó la etiqueta privada para tu instancia.
see_alerts	Ninguno	CM de toda la instancia	Los usuarios pueden acceder a las páginas Alertas e Historial de alertas en la sección Administrador, lo que les permite ver todas las alertas en una instancia de Looker. Los usuarios pueden ver, seguir, editar, autoasignar o inhabilitar las alertas que pertenecen a otros usuarios desde la página de administrador de Alertas. Los usuarios deben tener permisos para acceder al contenido subyacente de la alerta y poder verlo o explorarlo desde su visualización (en la página Detalles de la alerta) o navegar hasta el panel. Este permiso no otorga a los usuarios la capacidad de ver, crear, seguir ni borrar alertas del mosaico del panel.
see_queries	Ninguno	CM de toda la instancia	Los usuarios pueden ver la página Consultas en la sección Administrador de Looker. Este privilegio no le otorga al usuario la capacidad de finalizar una consulta en la página Consultas.
see_logs	Ninguno	CM de toda la instancia	Los usuarios pueden ver la página Registro en la sección Administrador de Looker.
see_users	Ninguno	CM de toda la instancia	Los usuarios pueden ver la página Usuarios (pero no la página Grupos) en la sección Administrador de Looker. Este privilegio no le otorga al usuario la capacidad de crear usuarios nuevos, ver o crear credenciales de API, restablecer contraseñas ni modificar usuarios o privilegios de otro modo. Los usuarios a los que se les otorga este permiso pueden ver a todos los usuarios de todos los grupos de una instancia, incluso en un sistema cerrado. Un usuario puede ver todos los nombres de grupos y roles, que algunas empresas pueden considerar sensibles.
sudo	see_users	CM de toda la instancia	Los usuarios pueden usar el sudo (es decir, actuar como y heredar temporalmente los permisos de otro) si hacen clic en el botón Sudo en la página Usuarios. El permiso sudo no permite que una persona que no es administrador use sudo como administrador, pero es posible que una persona que no sea administrador pueda escalar sus privilegios usando sudo, por lo que debes tener cuidado.
manage_groups	see_users	CM de toda la instancia	AGREGA 24.0 . Los usuarios pueden crear, editar y borrar grupos en la página Grupos de la sección Usuarios del menú Administrador, excepto en el caso de los grupos asociados con el rol de Administrador.
manage_roles	manage_groups	CM de toda la instancia	AGREGA 24.0 . Los usuarios pueden crear, editar y borrar roles, excepto el rol de Administrador, en la página Roles de la sección Usuarios del menú Administrador. Los usuarios aún no pueden crear, editar ni borrar conjuntos de permisos ni conjuntos de modelos.
manage_user_attributes	see_users	CM de toda la instancia	AGREGA 24.0 . Los usuarios pueden crear, editar y borrar atributos de usuario en la página Atributos del usuario de la sección Usuarios del menú Administrador.
see_schedules	Ninguno	CM de toda la instancia	Los usuarios pueden ver las páginas Programas y Historial de programas en el panel Administrador de Looker. Este privilegio no le da al usuario la capacidad de reasignar, editar o borrar las credenciales programaciones en las páginas Programas e Historial de programas.
see_pdts	Ninguno	Específico de la conexión	Los usuarios pueden ver la página Tablas derivadas persistentes en la sección Administrador de Looker y ver información sobre las PDT de proyectos que usan cualquier conexión asociada con modelos para los que tienen acceso a los datos. Este permiso se incluye en el conjunto de permisos predeterminados del desarrollador para las nuevas instalaciones de Looker. Este permiso se aplica a las conexiones a las que los usuarios tienen acceso a los datos, en lugar de en toda la instancia de Looker o a modelos individuales o conjuntos de modelos.
see_datagroups	Ninguno	Específico del modelo	Los usuarios pueden ver la página Grupos de datos en la sección Administrador de Looker. Los usuarios pueden ver los nombres de las conexiones, los nombres de los modelos y otra información sobre los grupos de datos definidos en un modelo al que tienen acceso a los datos. Este permiso se aplica a modelos individuales o conjuntos de modelos, en lugar de a toda la instancia de Looker o a las conexiones.
update_datagroups	see_datagroups	Específico del modelo	Los usuarios pueden activar un grupo de datos o restablecer su caché a través de la página Grupos de datos en la sección Administrador de Looker. Al igual que los usuarios que tienen el permiso see_datagroups, los que tienen el permiso update_datagroups pueden ver los grupos de datos definidos en proyectos que usan un modelo para el que tienen acceso a los datos. Este permiso se aplica a modelos individuales o conjuntos de modelos, en lugar de a toda la instancia de Looker o a las conexiones.
see_system_activity	Ninguno	CM de toda la instancia	Los usuarios pueden acceder a las Explorar y los paneles de la actividad del sistema, y a la base de datos interna de i__looker para ver el uso, el historial y otros metadatos sobre una instancia de Looker.
mobile_app_access	Ninguno	NN de toda la instancia	Los usuarios pueden acceder a tu instancia en un dispositivo móvil con la app para dispositivos móviles de Looker. Para que los usuarios puedan acceder a la app de Looker para dispositivos móviles, primero se debe habilitar la opción Acceso a aplicaciones para dispositivos móviles en la página Configuración general de la sección Administrador de Looker. El permiso mobile_app_access se puede agregar a un conjunto de permisos nuevo o existente, y forma parte de todos los conjuntos de permisos predeterminados de Looker.

Conjuntos de modelos

Un conjunto de modelos define qué datos y campos de LookML puede ver un usuario o un grupo. Cada conjunto es una lista de modelos de LookML a los que un usuario o grupo debe tener acceso. Se puede pensar que un conjunto de modelos realiza dos funciones:

1. Un conjunto de modelos controla a qué modelos de tu LookML se aplican los permisos (si esos permisos son específicos del modelo).
2. Un conjunto de modelos limita los datos y campos de LookML que puede ver un usuario, ya que cada modelo está conectado a una conexión de base de datos específica y contiene ciertos campos de LookML.

Crear un conjunto de modelos

Para crear un conjunto de modelos, sigue estos pasos:

1. Haz clic en el botón Nuevo conjunto de modelos en la parte superior de la página Roles.

   

2. Looker muestra la página Nuevo conjunto de modelos. Ingresa un nombre para el conjunto de modelos nuevo.

3. Selecciona los modelos que deben incluirse en el conjunto de modelos nuevo.

4. Haz clic en el botón Nuevo conjunto de modelos en la parte inferior de la página. El nuevo conjunto de modelos aparecerá en la sección Conjuntos de modelos de la página Funciones.

Los modelos que se incluyen en proyectos pendientes aparecen en la lista Modelos de las páginas Nuevo conjunto de modelos y Editar conjunto de modelos.

Borrar un modelo o cambiarle el nombre no cambiará ningún conjunto de modelos que lo incluya. Cuando se quita o cambia el nombre de un modelo, recomendamos que los administradores de Looker también quiten el nombre de ese modelo de cualquier conjunto de modelos asociado a través de la página Editar conjunto de modelos. Quitar el nombre de un modelo borrado de un conjunto de modelos evita que se incluya accidentalmente un modelo nuevo con el mismo nombre en ese conjunto de modelos.

Para obtener más información sobre los modelos, consulta la página de documentación Parámetros del modelo.

Crea varios modelos y conjuntos de modelos

En el siguiente ejemplo, se ilustra cómo puedes usar varios conjuntos de modelos para limitar el acceso a los datos. Imagina una situación en la que tienes dos equipos, Marketing y Asistencia. En este ejemplo, estos dos equipos no deberían tener acceso a todo el modelo, por lo que crearías un modelo separado para cada equipo. Para separar su acceso a los datos, debes realizar los siguientes pasos:

1. Copia el modelo en dos modelos nuevos.
2. En el primero de los nuevos modelos, incluye solo las vistas, los campos y las Exploraciones a las que el equipo de Marketing debería tener acceso.
3. Crear un conjunto de modelos para el equipo de Marketing que incluya solo este modelo nuevo
4. Crear un rol nuevo para el equipo de Marketing que incluya este nuevo conjunto de modelos y los permisos adecuados para el equipo de Marketing
5. Asigna esta nueva función al grupo del equipo de Marketing.
6. Repite los pasos del 2 al 5 con el objetivo de configurar el segundo modelo para el equipo de asistencia al cliente.

Editar un conjunto de modelos

Después de crear un conjunto de modelos, sigue estos pasos para editarlo:

1. En la página Roles, haz clic en el botón Edit a la derecha del conjunto de modelos que deseas editar.

2. Looker muestra la página Editar conjunto de modelos. Si lo deseas, ingresa un nuevo nombre para el conjunto de modelos en el campo Nombre.

3. Agrega o quita modelos del conjunto de modelos en la sección Modelos.

4. Haz clic en el botón Actualizar conjunto de modelos en la parte inferior de la página.

Los modelos que se incluyen en proyectos pendientes aparecen en la lista Modelos de las páginas Nuevo conjunto de modelos y Editar conjunto de modelos.

Borrar un modelo o cambiarle el nombre no cambiará ningún conjunto de modelos que lo incluya. Cuando se quita o cambia el nombre de un modelo, recomendamos que los administradores de Looker también quiten el nombre de ese modelo de cualquier conjunto de modelos asociado a través de la página Editar conjunto de modelos. Quitar el nombre de un modelo borrado de un conjunto de modelos evita que se incluya accidentalmente un modelo nuevo con el mismo nombre en ese conjunto de modelos.

Borra un conjunto de modelos

Para borrar un conjunto de modelos, en la página Funciones, haz clic en Borrar a la derecha del conjunto de modelos que deseas borrar.