Paramètres d'administration – Rôles

Les rôles, les ensembles d'autorisations et les ensembles de modèles permettent de gérer ce que les utilisateurs peuvent faire et ce qu'ils peuvent voir. La page Rôles de la section Utilisateurs du panneau Administration vous permet d'afficher, de configurer et d'attribuer des rôles, des ensembles d'autorisations et des ensembles de modèles.

Vous pouvez rechercher des rôles, des autorisations et des ensembles de modèles spécifiques en saisissant un terme dans le champ de recherche en haut à droite, puis en appuyant sur Entrée.

Définitions

  • Un rôle définit les droits d'un utilisateur ou d'un groupe sur un ensemble spécifique de modèles dans Looker. Pour créer un rôle, vous devez combiner un ensemble d'autorisations à un ensemble de modèles.
  • Un ensemble d'autorisations définit ce qu'un utilisateur ou un groupe peut faire. Vous sélectionnez une combinaison d'autorisations que vous souhaitez attribuer à un utilisateur ou à un groupe. Il doit être utilisé dans un rôle pour avoir un effet.
  • Un ensemble de modèles définit les données et les champs LookML qu'un utilisateur ou un groupe peut voir. Vous sélectionnez une combinaison de modèles LookML à laquelle un utilisateur ou un groupe doit avoir accès. Il doit être utilisé dans un rôle pour avoir un effet.

Attribution de rôles

Un rôle combine un ensemble d'autorisations et un ensemble de modèles. Il est courant de nommer les rôles d'après les types de personnes ou de groupes de personnes de votre organisation (administrateur, développeur Looker, équipe financière), bien que vous puissiez suivre vos propres conventions d'attribution de noms.

Un utilisateur peut avoir plusieurs rôles dans Looker. Cela peut être utile lorsque certains de vos utilisateurs ont plusieurs rôles dans votre entreprise ou lorsque vous souhaitez créer des systèmes complexes d'accès à vos modèles.

Créer, modifier et supprimer des rôles

Pour créer un rôle, procédez comme suit:

  1. Cliquez sur le bouton Nouveau rôle en haut de la page Rôles.

  2. Looker affiche la page Nouveau rôle, dans laquelle vous pouvez configurer les paramètres suivants:

    • Nom: saisissez le nom du rôle.
    • Ensemble d'autorisations: sélectionnez un ensemble d'autorisations à associer au rôle.
    • Ensemble de modèles: choisissez un ensemble de modèles à associer au rôle.
    • Groupes: vous pouvez choisir un ou plusieurs groupes auxquels attribuer le rôle.
    • Utilisateurs: vous pouvez choisir un ou plusieurs utilisateurs auxquels attribuer le rôle.

  3. Une fois que vous avez configuré le rôle comme vous le souhaitez, cliquez sur le bouton Nouveau rôle en bas de la page.

Une fois qu'un rôle a été créé, vous pouvez le modifier en cliquant sur le bouton Modifier à droite du rôle sur la page Rôles. Lorsque vous cliquez sur Modifier, la page Modifier le rôle du rôle s'ouvre. Vous pouvez y modifier le nom, l'ensemble d'autorisations, l'ensemble de modèles, ainsi que les groupes ou les utilisateurs auxquels le rôle est attribué.

Pour supprimer un rôle, cliquez sur le bouton Supprimer situé à droite du rôle sur la page Rôles.

Rôles par défaut

Pour les nouvelles instances, Looker crée les rôles par défaut suivants, chacun d'entre eux comprenant un ensemble d'autorisations par défaut du même nom:

  • Administration
  • Développeur
  • Utilisateur
  • Lecteur

Ensembles d'autorisations

Un ensemble d'autorisations définit ce qu'un utilisateur ou un groupe peut faire. Les administrateurs peuvent utiliser les ensembles d'autorisations par défaut de Looker ou créer des ensembles d'autorisations originaux, en gardant à l'esprit les dépendances des autorisations.

Toutes les autorisations disponibles et leur type sont abordés plus en détail ci-dessous.

Ensembles d'autorisations par défaut

Pour les nouvelles installations, Looker inclut plusieurs ensembles d'autorisations par défaut avec lesquels vous pouvez commencer:

Ensemble d'autorisations Autorisations associées
Administration Toutes les autorisations
Développeur access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, deploy, develop, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards,see_looks, see_pdts, see_sql, see_user_dashboards, send_to_integration, use_sql_runner

REMARQUE: L'autorisation see_pdts n'est incluse dans l'autorisation par défaut Developer que pour les installations Looker créées avec Looker 21.18 ou version ultérieure. Pour vérifier si l'autorisation see_pdts est incluse dans l'ensemble d'autorisations Développeur sur votre instance, accédez à la page Rôles du panneau Administration de l'UI Looker.
Utilisateur du tableau de bord LookML access_data, clear_cache_refresh, mobile_app_access, see_lookml_dashboards, send_to_integration
Utilisateur access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards, see_looks, see_sql, see_user_dashboards, send_to_integration
Utilisateur ne pouvant pas afficher LookML access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, schedule_look_emails, see_lookml_dashboards, see_looks, see_user_dashboards, send_to_integration
Lecteur access_data, clear_cache_refresh, download_without_limit, mobile_app_access, schedule_look_emails, see_drill_overlay, see_lookml_dashboards, see_looks, see_user_dashboards

Ces ensembles d'autorisations s'affichent sous forme d'options lorsque vous créez un rôle. Si vous sélectionnez l'un de ces ensembles d'autorisations, Looker affiche la liste des autorisations qu'il inclut.

L'ensemble d'autorisations d'administrateur ne peut être ni modifié, ni supprimé, et ne peut pas être attribué à un rôle. Il est uniquement attribué au rôle Administrateur, qui ne peut pas non plus être modifié ni supprimé. Le seul moyen d'accorder l'autorisation d'administration à un utilisateur ou à un groupe consiste à ajouter le rôle d'administrateur à cet utilisateur ou à ce groupe.

Créer des ensembles d'autorisations

Pour créer un ensemble d'autorisations, cliquez sur le bouton Nouvel ensemble d'autorisations en haut de la page Rôles. Looker affiche une page dans laquelle vous pouvez saisir un nom pour l'ensemble d'autorisations et sélectionner les autorisations qu'il doit inclure. Une fois que vous avez configuré l'ensemble comme vous le souhaitez, cliquez sur le bouton Nouvel ensemble d'autorisations en bas de la page.

Une fois qu'un ensemble d'autorisations a été créé, vous pouvez le modifier ou le supprimer en cliquant sur les boutons Modifier ou Supprimer situés à droite de l'ensemble d'autorisations, sur la page Rôles.

Autorisations et dépendances

Certaines autorisations dépendent d'autres pour fonctionner correctement. Par exemple, il est logique qu'une personne souhaitant développer du code LookML doive d'abord pouvoir le consulter.

Lorsque vous créez un ensemble d'autorisations, les autorisations disponibles s'affichent dans une liste en retrait. Si un droit est mis en retrait sous un autre droit (parent), vous devez d'abord sélectionner ce droit. La liste des autorisations peut se présenter comme suit:

☑️ access_data
  ☑️ see_lookml_dashboards
  ☑️ see_looks
    ☑️ see_user_dashboards

Dans cet exemple, Looker utilise la mise en retrait pour indiquer les éléments suivants:

  • Le droit access_data peut être sélectionné à tout moment.
  • Les droits see_lookml_dashboards et see_looks nécessitent d'abord que le droit access_data soit sélectionné.
  • Le droit see_user_dashboards dépend du droit see_looks, qui lui-même dépend du droit access_data.

Vous ne pouvez pas sélectionner un droit enfant sans sélectionner d'abord son parent.

Autorisations et licences Looker

Les licences Looker classent les utilisateurs en trois types:

  • Développeur (administrateur)
  • Standard (créateur)
  • Lecteur

Les autorisations accordées à un utilisateur déterminent sa classification avec la licence Looker:

Liste des autorisations

Les autorisations suivantes interagissent avec les ensembles de modèles de manière potentiellement inattendue:

Dans l'IDE de Looker, un même projet peut contenir plusieurs fichiers de modèle. Si vous attribuez les autorisations develop ou see_lookml à un utilisateur et que vous lui avez donné accès à tous les modèles faisant partie d'un projet, il pourra développer ou consulter le code LookML de tous les modèles de ce projet. Toutefois, ils ne pourront toujours pas interroger les modèles que vous n'avez pas autorisés.

Si vous attribuez l'autorisation manage_models à un utilisateur, celui-ci pourra accéder à tous les modèles de tous les projets de l'instance.

Si vous attribuez les autorisations manage_project_connections_restricted ou manage_project_connections à un utilisateur, celui-ci pourra afficher, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles.

Les autorisations peuvent être classées dans l'un des trois types suivants:

  • Spécifique au modèle:ce type d'autorisation n'est appliqué qu'aux ensembles de modèles qui font partie du même rôle. Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker.
  • Spécifique à la connexion:ce type d'autorisation est appliqué au niveau de la connexion. Un utilisateur disposant de ce type d'autorisation peut consulter le contenu des pages du panneau Administration qui utilisent une connexion associée à un modèle auquel il a accès aux données, même si cette connexion est utilisée avec un autre modèle auquel il n'a pas accès aux données.
  • À l'échelle de l'instance:ce type d'autorisation s'applique à l'instance Looker dans son ensemble et comporte trois types :
    • NN = Aucun accès au contenu, pas d'accès au menu: ces autorisations permettent aux utilisateurs d'exécuter certaines fonctions sur l'ensemble de l'instance Looker, mais ne leur permettent pas d'accéder à du contenu basé sur des modèles non inclus dans leur ensemble de modèles de rôle.
    • CN = accès au contenu, pas d'accès aux menus: ces autorisations permettent aux utilisateurs d'accéder au contenu et d'interroger des informations dans l'ensemble de l'instance Looker, même pour le contenu et les requêtes basés sur des modèles non inclus dans leur modèle de rôle.
    • CM = Accès au contenu, accès au menu: ces autorisations peuvent permettre aux utilisateurs non administrateurs de voir certaines parties du menu "Administration" et de consulter des informations sur le contenu et les requêtes en fonction de modèles non inclus dans l'ensemble de modèles de leur rôle.

La liste suivante décrit toutes les autorisations disponibles dans Looker, dans l'ordre dans lequel elles apparaissent sur la page Nouvel ensemble d'autorisations de la section Administration:

Autorisation Dépend de Type Définition
access_data Aucune Spécifique au modèle Les utilisateurs peuvent accéder aux données de Looker, mais uniquement à celles spécifiées par les administrateurs. Cette autorisation est nécessaire pour presque toutes les fonctions Looker.

S'il dispose de l'accès à n'importe quel modèle dans un projet donné, un utilisateur doté de cette autorisation peut accéder à n'importe quel fichier de la section Données de ce projet (un fichier de mappage JSON personnalisé, par exemple).
see_lookml_dashboards access_data Spécifique au modèle Les utilisateurs peuvent voir le dossier LookML Dashboards, qui comprend tous les tableaux de bord LookML. Les utilisateurs doivent disposer de l'autorisation explore pour tous les modèles pertinents afin d'explorer ces tableaux de bord. Les utilisateurs qui disposent également de l'autorisation develop peuvent créer des tableaux de bord LookML.
see_looks access_data Spécifique au modèle Les utilisateurs peuvent voir les Looks enregistrés (mais pas les tableaux de bord) dans les dossiers. Les utilisateurs doivent disposer de l'autorisation explore pour que tous les modèles pertinents puissent explorer ces Looks. Les utilisateurs devront également disposer du niveau d'accès au contenu Afficher pour voir les Looks dans les dossiers.
see_user_dashboards see_looks Spécifique au modèle Les utilisateurs peuvent afficher les tableaux de bord définis par l'utilisateur dans des dossiers, mais doivent disposer de l'autorisation explore pour tous les modèles pertinents pour les explorer. Les utilisateurs doivent également disposer d'un accès au contenu Afficher pour voir les tableaux de bord dans les dossiers. Les utilisateurs qui disposent à la fois de l'autorisation save_dashboards et du droit d'accès Gérer l'accès, modifier à un dossier peuvent créer des tableaux de bord définis par l'utilisateur dans ce dossier.
explore see_looks Spécifique au modèle Les utilisateurs peuvent accéder à la page "Explorer" et l'utiliser pour générer des rapports. Sans cette autorisation, les utilisateurs ne peuvent afficher que les tableaux de bord enregistrés (si l'autorisation see_lookml_dashboards ou see_user_dashboards a été accordée).
create_table_calculations explore NN au niveau de l'instance Les utilisateurs peuvent afficher, modifier ou ajouter des calculs de tables.
create_custom_fields explore NN au niveau de l'instance ADDED 22.4 Les utilisateurs peuvent afficher, modifier ou ajouter des champs personnalisés. Les utilisateurs disposant uniquement de l'autorisation explore peuvent uniquement afficher les champs personnalisés.
can_create_forecast explore NN au niveau de l'instance ADDED 22.12 Les utilisateurs peuvent créer et modifier des prévisions dans les visualisations. Les utilisateurs qui ne disposent pas de cette autorisation ne peuvent voir que les prévisions existantes dans le contenu auquel ils ont accès.
can_override_vis_config explore NN au niveau de l'instance ADDED 23.8 Les utilisateurs peuvent accéder à l'éditeur de configuration de graphique, qui leur permet de modifier les valeurs JSON de l'API Highchart d'une visualisation, et de personnaliser l'apparence et le format de celle-ci.
save_content see_looks NN au niveau de l'instance Cette autorisation est une autorisation parente de save_dashboards, save_looks et create_public_looks. Cette autorisation doit être accordée avec save_dashboards ou save_looks.
save_dashboards save_content NN au niveau de l'instance ADDED 24.4 Les utilisateurs peuvent enregistrer et modifier les tableaux de bord. Les utilisateurs doivent disposer de l'autorisation explore pour tous les modèles pertinents à explorer à partir de ces tableaux de bord. Les utilisateurs doivent disposer des autorisations download_with_limit et/ou download_without_limit pour télécharger le contenu.
save_looks save_content NN au niveau de l'instance ADDED 24.4 Les utilisateurs peuvent enregistrer et modifier des Looks. Les utilisateurs doivent disposer de l'autorisation explore pour tous les modèles pertinents à explorer à partir de ces Looks. Les utilisateurs doivent disposer des autorisations download_with_limit et/ou download_without_limit pour télécharger le contenu.
create_public_looks save_content Spécifique au modèle Les utilisateurs peuvent marquer un Look enregistré comme public, ce qui générera ensuite des URL autorisant l'accès à ce rapport sans authentification.
download_with_limit see_looks Spécifique au modèle Les utilisateurs peuvent télécharger des requêtes (au format CSV, Excel ou autre), mais doivent spécifier une limite de 5 000 lignes ou moins pour éviter les problèmes de mémoire dus à des téléchargements volumineux sur l'instance.
download_without_limit see_looks Spécifique au modèle Identique à download_with_limit, à la différence que l'utilisateur n'a pas besoin de spécifier de nombre maximal de lignes. Le téléchargement de tous les résultats pour certains types de requêtes peut nécessiter une mémoire importante, ce qui peut entraîner des problèmes de performances ou même planter l'instance Looker.
schedule_look_emails see_looks Spécifique au modèle Les utilisateurs peuvent transmettre des Looks, des tableaux de bord et des requêtes avec des visualisations auxquelles ils ont accès aux données aux e-mails. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la recréation des PDT pertinentes.

Pour envoyer ou planifier des tableaux de bord Activité du système, les utilisateurs doivent avoir accès à tous les modèles.

Les utilisateurs qui disposent également de l'autorisation create_alerts peuvent envoyer des notifications d'alerte par e-mail.

Les administrateurs Looker peuvent contrôler les domaines de messagerie auxquels les utilisateurs Looker et les utilisateurs intégrés peuvent envoyer des e-mails à l'aide de la liste d'autorisation des domaines de messagerie sur la page Paramètres du panneau Admin.

Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker.
schedule_external_look_emails schedule_look_emails Spécifique au modèle Les utilisateurs peuvent transmettre des Looks, des tableaux de bord et des requêtes avec des visualisations auxquelles ils ont accès aux données aux e-mails. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la recréation des PDT pertinentes.

Pour envoyer ou planifier des tableaux de bord Activité du système, les utilisateurs doivent avoir accès à tous les modèles.

Les utilisateurs qui disposent également de l'autorisation create_alerts peuvent envoyer des notifications d'alerte par e-mail.

Les utilisateurs peuvent envoyer du contenu par e-mail ou envoyer des notifications aux adresses e-mail de n'importe quel domaine, que la liste d'autorisation des domaines de messagerie de la page Paramètres du panneau Admin contienne ou non les domaines de messagerie figurant sur la liste d'autorisation.

Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker.
create_alerts see_looks NN au niveau de l'instance À partir de la vignette du tableau de bord, les utilisateurs peuvent créer, dupliquer et supprimer leurs propres alertes, et afficher et dupliquer les alertes marquées comme Publiques par d'autres utilisateurs. L'utilisateur doit être connecté à Slack pour voir les alertes de vignette du tableau de bord qui envoient des notifications Slack. Les utilisateurs peuvent afficher, modifier, désactiver et activer les alertes dont ils sont propriétaires sur la page utilisateur Gérer les alertes.
follow_alerts see_looks NN au niveau de l'instance Les utilisateurs peuvent afficher et suivre les alertes. Consultez les alertes qu'il a suivies ou pour lesquelles il est répertorié comme destinataire sur la page des utilisateurs Gérer les alertes.
send_to_s3 see_looks Spécifique au modèle Les utilisateurs peuvent fournir des Looks, des tableaux de bord et des requêtes avec des visualisations auxquelles ils ont accès aux données à un bucket Amazon S3. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la recréation des PDT pertinentes.

Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker.
send_to_sftp see_looks Spécifique au modèle Les utilisateurs peuvent diffuser des Looks, des tableaux de bord et des requêtes avec des visualisations auxquelles ils ont accès aux données à un serveur SFTP. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la recréation des PDT pertinentes.

Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker.
send_outgoing_webhook see_looks Spécifique au modèle Les utilisateurs peuvent diffuser des Looks, des tableaux de bord et des requêtes avec des visualisations auxquelles ils ont accès aux données via un webhook. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la recréation des PDT pertinentes.

Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker.
send_to_integration see_looks Spécifique au modèle Les utilisateurs peuvent fournir des Looks, des tableaux de bord et des requêtes avec des visualisations pour lesquelles ils ont accès aux données aux services tiers intégrés à Looker via Looker Action Hub. Si vous utilisez des actions personnalisées avec des attributs utilisateur, les utilisateurs doivent disposer de cette autorisation et d'une valeur d'attribut utilisateur valide et non nulle pour l'attribut utilisateur spécifié afin de pouvoir diffuser du contenu Looker vers la destination de l'action. Cette autorisation n'est pas liée aux actions sur les données. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la recréation des PDT pertinentes.

Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker.
see_sql see_looks Spécifique au modèle Les utilisateurs peuvent accéder à l'onglet SQL lors de l'exploration et aux erreurs SQL causées par leurs requêtes.
see_lookml see_looks Spécifique au modèle Les utilisateurs disposent d'un accès en lecture seule à LookML. Les utilisateurs doivent disposer de cette autorisation pour voir le lien Accéder à LookML dans le panneau Administration.

Si vous souhaitez qu'un utilisateur puisse modifier le code LookML, vous devez également lui accorder l'autorisation develop.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation see_lookml à un utilisateur et que vous lui avez donné accès à tous les modèles faisant partie d'un projet, il pourra consulter le code LookML de tous les modèles de ce projet. Toutefois, ils ne pourront toujours pas interroger les modèles que vous n'avez pas autorisés.
develop see_lookml Spécifique au modèle Les utilisateurs peuvent apporter des modifications locales au code LookML, mais ne les autoriseront pas à rendre ces modifications accessibles à tous, sauf s'ils disposent également de l'autorisation deploy.

Cette autorisation est nécessaire pour afficher l'option Obtenir de l'aide dans le menu Aide et voir les métadonnées dans l'IDE Looker. Les utilisateurs ont également besoin de cette autorisation pour accéder à l'option Recréer les tables dérivées et exécuter dans le menu en forme de roue dentée de l'exploration. Cette autorisation n'est pas spécifique au modèle. Par conséquent, si un utilisateur dispose de cette autorisation dans un modèle, il aura accès à Recréer les tables dérivées et exécuter dans tous les modèles.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation develop à un utilisateur et que vous lui avez donné accès à tous les modèles faisant partie d'un projet, il pourra développer le code LookML pour tous les modèles de ce projet. Toutefois, ils ne pourront toujours pas interroger les modèles que vous n'avez pas autorisés.
deploy develop NN au niveau de l'instance Les utilisateurs peuvent déployer leurs modifications LookML locales en production afin que ces modifications deviennent disponibles pour tous.
support_access_toggle develop NN au niveau de l'instance Les utilisateurs peuvent activer ou désactiver l'accès des analystes Looker à votre instance Looker.
manage_project_models develop Spécifique au modèle ADDED 23.14 Les utilisateurs peuvent ajouter, modifier ou supprimer des configurations de modèle pour les modèles autorisés sur la page Modifier la configuration du modèle. Lors de la configuration d'un modèle, les utilisateurs ne peuvent utiliser que des connexions à l'échelle du projet.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous créez un rôle avec l'autorisation manage_project_models, celui-ci accordera l'accès à tous les modèles qui partagent un projet avec l'un des modèles des ensembles de modèles du rôle.
use_global_connections manage_project_models Spécifique au modèle ADDED 23.14 Les utilisateurs peuvent configurer des modèles autorisés avec n'importe quelle connexion à l'échelle du projet ou à l'échelle de l'instance.
manage_project_connections_restricted develop CM spécifique au modèle ADDED 23.18 Les utilisateurs peuvent voir la page Connexions dans le menu "Administration". Ils peuvent afficher, modifier et créer des connexions à l'échelle du projet pour tous les projets de l'ensemble de modèles. Toutefois, il ne peut modifier que les paramètres de connexion suivants: Les utilisateurs ne peuvent modifier aucun autre paramètre dans la section Paramètres supplémentaires. Ils ne peuvent pas non plus modifier les paramètres de la section Tables dérivées persistantes (PDT).

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_project_connections_restricted à un utilisateur, celui-ci pourra afficher, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles.
manage_project_connections manage_project_connections_restricted CM spécifique au modèle ADDED 23.14 Les utilisateurs peuvent voir la page Connexions dans le menu "Administration". Ils peuvent afficher, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_project_connections_restricted à un utilisateur, celui-ci pourra afficher, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles.
use_sql_runner see_lookml Spécifique au modèle Les utilisateurs peuvent se servir de SQL Runner pour exécuter du code SQL brut sur les connexions autorisées. Les utilisateurs pourront également télécharger les résultats à partir de l'option Download (Télécharger) du menu en forme de roue dentée de SQL Runner, qu'ils disposent ou non des autorisations download_with_limit ou download_without_limit.
clear_cache_refresh access_data Spécifique au modèle Les utilisateurs peuvent vider le cache et actualiser les tableaux de bord internes et intégrés, les vignettes des tableaux de bord, les Looks et les explorations.

L'autorisation clear_cache_refresh est automatiquement ajoutée à tous les ensembles d'autorisations préexistants contenant l'une des autorisations suivantes: see_user_dashboards, see_lookml_dashboards ou explore. L'autorisation clear_cache_refresh n'est pas automatiquement appliquée aux rôles intégrés.
see_drill_overlay access_data Spécifique au modèle Les utilisateurs peuvent voir les résultats de l'exploration détaillée d'une vignette de tableau de bord, mais ne peuvent pas les explorer. Si explore est accordé, cette autorisation est automatiquement accordée (même si elle n'est pas cochée). Les utilisateurs doivent également disposer de l'autorisation explore pour télécharger des résultats d'analyse au format PNG.
manage_spaces Aucune CN au niveau de l'instance Les utilisateurs peuvent créer, modifier, déplacer et supprimer des dossiers. Les utilisateurs doivent également disposer de l'autorisation d'accès au contenu Gérer l'accès, modifier.
manage_homepage Aucune NN au niveau de l'instance Les utilisateurs peuvent modifier et ajouter du contenu à la barre latérale que tous les utilisateurs de Looker voient sur la page d'accueil Looker prédéfinie.
manage_models Aucune CN au niveau de l'instance Chaque modèle LookML est mappé à un ensemble spécifique de connexions de base de données sur la page Gérer les projets LookML. Avec cette autorisation, les utilisateurs peuvent configurer ces mappages, et créer et supprimer des projets. Les utilisateurs non administrateurs disposant de cette autorisation auront accès à toutes les connexions autorisées par les modèles auxquels ils ont accès.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_models à un utilisateur, celui-ci pourra accéder à tous les modèles de tous les projets de l'instance.
create_prefetches Aucune À l'échelle de l'instance Le préchargement est vivement déconseillé. Nous vous recommandons plutôt d'utiliser des groupes de données.
login_special_email Aucune À l'échelle de l'instance Les utilisateurs peuvent se connecter avec des identifiants traditionnels (adresse e-mail/mot de passe), même si d'autres mécanismes de connexion (tels que Google, LDAP ou SAML) ont été activés sur votre instance. Cela peut être utile pour les consultants ou d'autres personnes qui ne font peut-être pas partie de votre système d'authentification normal.
embed_browse_spaces Aucune NN au niveau de l'instance Active le navigateur de contenu pour les intégrations signées. Si vous utilisez des intégrations signées, nous vous conseillons d'accorder cette autorisation aux utilisateurs disposant de l'autorisation save_content.
embed_save_shared_space Aucune À l'échelle de l'instance ADDED 21.4 Autorise l'utilisateur disposant de l'autorisation save_content à enregistrer du contenu dans le dossier Partagé de l'organisation, le cas échéant. Les utilisateurs disposant de l'autorisation save_content, mais pas de l'autorisation embed_save_shared_space, peuvent uniquement enregistrer du contenu dans leur dossier d'intégration personnel.
manage_embed_settings Aucune CM au niveau de l'instance ADDED 24.0 Les utilisateurs peuvent modifier les paramètres d'intégration sur la page Intégrer de la section Plate-forme du menu Admin.
manage_themes Aucune CM au niveau de l'instance ADDED 24.0 Les utilisateurs peuvent configurer les paramètres des thèmes sur la page Thèmes de la section Plate-forme du menu Admin.

Cette autorisation n'est disponible que si les thèmes ont été activés pour votre instance.
manage_privatelabel Aucune CM au niveau de l'instance AJOUT 24.0 Les utilisateurs peuvent configurer les paramètres des libellés privés sur la page Libellé privé de la section Plate-forme du menu Admin.

Cette autorisation n'est disponible que si le libellé privé a été activé pour votre instance.
see_alerts Aucune CM au niveau de l'instance ADDED 21.16 Les utilisateurs peuvent accéder aux pages Alertes et Historique des alertes dans la section Admin, ce qui leur permet d'afficher toutes les alertes d'une instance Looker. Sur la page d'administration Alertes, les utilisateurs peuvent afficher, suivre, modifier, attribuer eux-mêmes et désactiver les alertes appartenant à d'autres utilisateurs.

Les utilisateurs doivent être autorisés à accéder au contenu sous-jacent de l'alerte pour le consulter ou l'explorer à partir de la visualisation de l'alerte (sur la page Détails de l'alerte) ou pour accéder à son tableau de bord. Cette autorisation ne donne pas aux utilisateurs la possibilité d'afficher, de créer, de suivre ou de supprimer des alertes depuis la vignette du tableau de bord.
see_queries Aucune CM au niveau de l'instance Les utilisateurs peuvent consulter la page Requêtes dans la section Administration de Looker. Ce droit ne permet pas à un utilisateur de mettre fin à une requête depuis la page Requêtes.
see_logs Aucune CM au niveau de l'instance Les utilisateurs peuvent consulter la page Journal dans la section Administration de Looker.
see_users Aucune CM au niveau de l'instance Les utilisateurs peuvent voir la page Utilisateurs (mais pas la page Groupes) dans la section Admin de Looker. Ce droit ne permet pas aux utilisateurs de créer des utilisateurs, de consulter ou de créer des identifiants pour les API, de réinitialiser des mots de passe, ni de modifier des utilisateurs ou des droits. Un utilisateur disposant de cette autorisation peut afficher tous les utilisateurs de tous les groupes d'une instance, même sur un système fermé. Un utilisateur peut voir tous les noms de groupes et de rôles, que certaines entreprises peuvent considérer comme sensibles.
sudo see_users CM au niveau de l'instance Les utilisateurs peuvent sudo ; en d'autres termes, agir en tant que et hériter temporairement des autorisations d'un autre utilisateur en cliquant sur le bouton Sudo de la page Utilisateurs.

L'autorisation sudo ne permet pas à un utilisateur non administrateur d'utiliser sudo en tant qu'administrateur, mais un non-administrateur peut potentiellement élever ses privilèges en utilisant sudo, alors soyez prudent.
manage_groups see_users CM au niveau de l'instance ADDED 24.0 Les utilisateurs peuvent créer, modifier et supprimer des groupes sur la page Groupes de la section Utilisateurs du menu Admin, à l'exception des groupes associés au rôle Administrateur.
manage_roles manage_groups CM au niveau de l'instance ADDED 24.0 Les utilisateurs peuvent créer, modifier et supprimer des rôles, à l'exception du rôle Administrateur, sur la page Rôles de la section Utilisateurs du menu Admin. Les utilisateurs ne peuvent toujours pas créer, modifier ou supprimer des ensembles d'autorisations ou des ensembles de modèles.
manage_user_attributes see_users CM au niveau de l'instance ADDED 24.0 Les utilisateurs peuvent créer, modifier et supprimer des attributs utilisateur sur la page Attributs utilisateur de la section Utilisateurs du menu Admin.
see_schedules Aucune CM au niveau de l'instance Les utilisateurs peuvent consulter les pages Planning et Historique des planifications à partir du panneau Administration de Looker. Ce droit ne permet pas aux utilisateurs de réattribuer, de modifier ni de supprimer les plannings d'autres utilisateurs sur les pages Planning et Historique des planifications.
see_pdts Aucune Spécifique à la connexion Les utilisateurs peuvent consulter la page Tables dérivées persistantes dans la section Administration de Looker et afficher des informations sur les PDT issues des projets utilisant une connexion associée à des modèles pour lesquels ils disposent d'un accès aux données.

ADDED 21.18 Cette autorisation est incluse dans l'ensemble d'autorisations par défaut du développeur pour les nouvelles installations Looker.

Cette autorisation est appliquée aux connexions pour lesquelles les utilisateurs ont accès aux données, plutôt qu'à l'ensemble de l'instance Looker ou à des modèles individuels ou à des ensembles de modèles.
see_datagroups Aucune Spécifique au modèle Les utilisateurs peuvent consulter la page "Groupes de données" dans la section Administration de Looker. Les utilisateurs peuvent voir les noms des connexions, les noms des modèles et d'autres informations sur les groupes de données définis dans un modèle pour lequel ils ont accès aux données.

Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, et non à l'ensemble de l'instance Looker ou aux connexions.
update_datagroups see_datagroups Spécifique au modèle Les utilisateurs peuvent déclencher un groupe de données ou réinitialiser son cache via la page Groupes de données de la section Administration de Looker. Comme les utilisateurs disposant de l'autorisation see_datagroups, les utilisateurs disposant de update_datagroups peuvent voir les groupes de données définis dans les projets qui utilisent un modèle pour lequel ils ont accès aux données.

Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, et non à l'ensemble de l'instance Looker ou aux connexions.
see_system_activity Aucune CM au niveau de l'instance Les utilisateurs peuvent accéder aux explorations et aux tableaux de bord de l'activité du système, ainsi qu'à la base de données i__looker interne pour consulter l'utilisation, l'historique et d'autres métadonnées concernant une instance Looker.
mobile_app_access Aucune NN au niveau de l'instance ADDED 21.16 Les utilisateurs peuvent se connecter à votre instance sur un appareil mobile à l'aide de l'application mobile Looker. Pour qu'ils puissent se connecter à l'application mobile Looker, l'option Accès aux applications mobiles sur la page Paramètres généraux de la section Admin de Looker doit d'abord être activée.

L'autorisation mobile_app_access peut être ajoutée à un ensemble d'autorisations nouveau ou existant et fait partie de tous les ensembles d'autorisations par défaut de Looker.

Ensembles de modèles

Un ensemble de modèles définit les données et les champs LookML qu'un utilisateur ou un groupe peut voir. Chaque ensemble est une liste de modèles LookML auxquels un utilisateur ou un groupe devrait avoir accès. Vous pouvez considérer qu'un ensemble de modèles remplit deux fonctions:

  1. Un ensemble de modèles contrôle les modèles de votre code LookML auxquels s'appliquent les autorisations (si celles-ci sont spécifiques à un modèle).
  2. Un ensemble de modèles limite les données et les champs LookML qu'un utilisateur peut voir, car chaque modèle est connecté à une connexion de base de données spécifique et contient certains champs LookML.

Créer un ensemble de modèles

Pour créer un ensemble de modèles, procédez comme suit:

  1. Cliquez sur le bouton Nouvel ensemble de modèles en haut de la page Rôles.

  2. Looker affiche la page Nouvel ensemble de modèles. Saisissez un nom pour le nouvel ensemble de modèles.

  3. Sélectionnez le ou les modèles à inclure dans le nouvel ensemble de modèles.

  4. Cliquez sur le bouton Nouvel ensemble de modèles en bas de la page. Le nouvel ensemble de modèles apparaît dans la section Ensembles de modèles de la page Rôles.

Les modèles inclus dans les projets en attente apparaissent dans la liste Modèles sur les pages Nouvel ensemble de modèles et Modifier l'ensemble de modèles.

Le fait de supprimer ou de renommer un modèle ne modifie pas les ensembles de modèles qui l'incluent. Lorsqu'un modèle est supprimé ou renommé, nous recommandons aux administrateurs Looker de supprimer également son nom de tous les ensembles de modèles associés, sur la page Modifier l'ensemble de modèles. En supprimant le nom d'un modèle supprimé d'un ensemble de modèles, vous empêchez l'inclusion involontaire d'un nouveau modèle portant le même nom dans cet ensemble.

Pour en savoir plus sur les modèles, consultez la page de documentation Paramètres de modèle.

Créer plusieurs modèles et ensembles de modèles

L'exemple suivant montre comment utiliser plusieurs ensembles de modèles pour limiter l'accès aux données. Imaginons que vous ayez deux équipes : une équipe marketing et une équipe d'assistance. Dans cet exemple, ces deux équipes ne devraient pas avoir accès à l'intégralité du modèle. Vous devez donc créer un modèle distinct pour chaque équipe. Pour séparer leur accès aux données, procédez comme suit:

  1. Copiez le modèle dans deux nouveaux modèles.
  2. Dans le premier des nouveaux modèles, n'incluez que les vues, les champs et les explorations auxquels l'équipe marketing doit avoir accès.
  3. Créez un ensemble de modèles pour l'équipe marketing qui n'inclut que ce nouveau modèle.
  4. Créez un rôle pour l'équipe marketing, qui inclut ce nouvel ensemble de modèles et les autorisations appropriées pour l'équipe marketing.
  5. Attribuez ce nouveau rôle au groupe de l'équipe marketing.
  6. Répétez les étapes 2 à 5 afin de configurer le deuxième modèle pour l'équipe d'assistance.

Modifier un ensemble de modèles

Une fois qu'un ensemble de modèles a été créé, procédez comme suit pour le modifier:

  1. Sur la page Rôles, cliquez sur le bouton Modifier à droite de l'ensemble de modèles à modifier.

  2. Looker affiche la page Modifier l'ensemble de modèles. Si vous le souhaitez, saisissez un nouveau nom pour l'ensemble de modèles dans le champ Nom.

  3. Ajoutez ou supprimez des modèles dans l'ensemble de modèles dans la section Modèles.

  4. Cliquez sur le bouton Mettre à jour l'ensemble de modèles en bas de la page.

Les modèles inclus dans les projets en attente apparaissent dans la liste Modèles sur les pages Nouvel ensemble de modèles et Modifier l'ensemble de modèles.

Le fait de supprimer ou de renommer un modèle ne modifie pas les ensembles de modèles qui l'incluent. Lorsqu'un modèle est supprimé ou renommé, nous recommandons aux administrateurs Looker de supprimer également son nom de tous les ensembles de modèles associés, sur la page Modifier l'ensemble de modèles. En supprimant le nom d'un modèle supprimé d'un ensemble de modèles, vous empêchez l'inclusion involontaire d'un nouveau modèle portant le même nom dans cet ensemble.

Supprimer un ensemble de modèles

Pour supprimer un ensemble de modèles, accédez à la page Rôles, puis cliquez sur Supprimer à droite de l'ensemble de modèles à supprimer.