Les rôles, les ensembles d'autorisations et les ensembles de modèles permettent de gérer ce que les utilisateurs peuvent faire et ce qu'ils peuvent voir. La page Rôles de la section Utilisateurs du panneau Administration vous permet d'afficher, de configurer et d'attribuer des rôles, des ensembles d'autorisations et des ensembles de modèles.
Vous pouvez rechercher des rôles, des autorisations et des ensembles de modèles spécifiques en saisissant un terme dans le champ de recherche en haut à droite, puis en appuyant sur Entrée.
Définitions
- Un rôle définit les droits d'un utilisateur ou d'un groupe sur un ensemble spécifique de modèles dans Looker. Pour créer un rôle, vous devez combiner un ensemble d'autorisations à un ensemble de modèles.
- Un ensemble d'autorisations définit ce qu'un utilisateur ou un groupe peut faire. Vous sélectionnez une combinaison d'autorisations que vous souhaitez attribuer à un utilisateur ou à un groupe. Il doit être utilisé dans un rôle pour avoir un effet.
- Un ensemble de modèles définit les données et les champs LookML qu'un utilisateur ou un groupe peut voir. Vous sélectionnez une combinaison de modèles LookML à laquelle un utilisateur ou un groupe doit avoir accès. Il doit être utilisé dans un rôle pour avoir un effet.
Attribution de rôles
Un rôle combine un ensemble d'autorisations et un ensemble de modèles. Il est courant de nommer les rôles d'après les types de personnes ou de groupes de personnes de votre organisation (administrateur, développeur Looker, équipe financière), bien que vous puissiez suivre vos propres conventions d'attribution de noms.
Un utilisateur peut avoir plusieurs rôles dans Looker. Cela peut être utile lorsque certains de vos utilisateurs ont plusieurs rôles dans votre entreprise ou lorsque vous souhaitez créer des systèmes complexes d'accès à vos modèles.
Créer, modifier et supprimer des rôles
Pour créer un rôle, procédez comme suit:
- Cliquez sur le bouton Nouveau rôle en haut de la page Rôles.
Looker affiche la page Nouveau rôle, dans laquelle vous pouvez configurer les paramètres suivants:
- Nom: saisissez le nom du rôle.
- Ensemble d'autorisations: sélectionnez un ensemble d'autorisations à associer au rôle.
- Ensemble de modèles: choisissez un ensemble de modèles à associer au rôle.
- Groupes: vous pouvez choisir un ou plusieurs groupes auxquels attribuer le rôle.
- Utilisateurs: vous pouvez choisir un ou plusieurs utilisateurs auxquels attribuer le rôle.
Une fois que vous avez configuré le rôle comme vous le souhaitez, cliquez sur le bouton Nouveau rôle en bas de la page.
Une fois qu'un rôle a été créé, vous pouvez le modifier en cliquant sur le bouton Modifier à droite du rôle sur la page Rôles. Lorsque vous cliquez sur Modifier, la page Modifier le rôle du rôle s'ouvre. Vous pouvez y modifier le nom, l'ensemble d'autorisations, l'ensemble de modèles, ainsi que les groupes ou les utilisateurs auxquels le rôle est attribué.
Pour supprimer un rôle, cliquez sur le bouton Supprimer situé à droite du rôle sur la page Rôles.
Rôles par défaut
Pour les nouvelles instances, Looker crée les rôles par défaut suivants, chacun d'entre eux comprenant un ensemble d'autorisations par défaut du même nom:
- Administration
- Développeur
- Utilisateur
- Lecteur
Ensembles d'autorisations
Un ensemble d'autorisations définit ce qu'un utilisateur ou un groupe peut faire. Les administrateurs peuvent utiliser les ensembles d'autorisations par défaut de Looker ou créer des ensembles d'autorisations originaux, en gardant à l'esprit les dépendances des autorisations.
Toutes les autorisations disponibles et leur type sont abordés plus en détail ci-dessous.
Ensembles d'autorisations par défaut
Pour les nouvelles installations, Looker inclut plusieurs ensembles d'autorisations par défaut avec lesquels vous pouvez commencer:
Ces ensembles d'autorisations s'affichent sous forme d'options lorsque vous créez un rôle. Si vous sélectionnez l'un de ces ensembles d'autorisations, Looker affiche la liste des autorisations qu'il inclut.
L'ensemble d'autorisations d'administrateur ne peut être ni modifié, ni supprimé, et ne peut pas être attribué à un rôle. Il est uniquement attribué au rôle Administrateur, qui ne peut pas non plus être modifié ni supprimé. Le seul moyen d'accorder l'autorisation d'administration à un utilisateur ou à un groupe consiste à ajouter le rôle d'administrateur à cet utilisateur ou à ce groupe.
Créer des ensembles d'autorisations
Pour créer un ensemble d'autorisations, cliquez sur le bouton Nouvel ensemble d'autorisations en haut de la page Rôles. Looker affiche une page dans laquelle vous pouvez saisir un nom pour l'ensemble d'autorisations et sélectionner les autorisations qu'il doit inclure. Une fois que vous avez configuré l'ensemble comme vous le souhaitez, cliquez sur le bouton Nouvel ensemble d'autorisations en bas de la page.
Une fois qu'un ensemble d'autorisations a été créé, vous pouvez le modifier ou le supprimer en cliquant sur les boutons Modifier ou Supprimer situés à droite de l'ensemble d'autorisations, sur la page Rôles.
Autorisations et dépendances
Certaines autorisations dépendent d'autres pour fonctionner correctement. Par exemple, il est logique qu'une personne souhaitant développer du code LookML doive d'abord pouvoir le consulter.
Lorsque vous créez un ensemble d'autorisations, les autorisations disponibles s'affichent dans une liste en retrait. Si un droit est mis en retrait sous un autre droit (parent), vous devez d'abord sélectionner ce droit. La liste des autorisations peut se présenter comme suit:
☑️ access_data ☑️ see_lookml_dashboards ☑️ see_looks ☑️ see_user_dashboards
Dans cet exemple, Looker utilise la mise en retrait pour indiquer les éléments suivants:
- Le droit
access_data
peut être sélectionné à tout moment. - Les droits
see_lookml_dashboards
etsee_looks
nécessitent d'abord que le droitaccess_data
soit sélectionné. - Le droit
see_user_dashboards
dépend du droitsee_looks
, qui lui-même dépend du droitaccess_data
.
Vous ne pouvez pas sélectionner un droit enfant sans sélectionner d'abord son parent.
Autorisations et licences Looker
Les licences Looker classent les utilisateurs en trois types:
- Développeur (administrateur)
- Standard (créateur)
- Lecteur
Les autorisations accordées à un utilisateur déterminent sa classification avec la licence Looker:
Un utilisateur est considéré comme un développeur (administrateur) s'il dispose du rôle par défaut d'administrateur ou de l'une au moins des autorisations suivantes:
Un utilisateur est considéré comme un utilisateur standard (créateur) s'il ne dispose d'aucune des autorisations de développeur (administrateur), mais possède au moins l'une des autorisations suivantes:
Un utilisateur est considéré comme lecteur s'il dispose de l'autorisation
access_data
, mais pas des autorisations de développeur (administrateur) ni des autorisations standards (créateur).
Liste des autorisations
Les autorisations suivantes interagissent avec les ensembles de modèles de manière potentiellement inattendue:
Dans l'IDE de Looker, un même projet peut contenir plusieurs fichiers de modèle. Si vous attribuez les autorisationsdevelop
ousee_lookml
à un utilisateur et que vous lui avez donné accès à tous les modèles faisant partie d'un projet, il pourra développer ou consulter le code LookML de tous les modèles de ce projet. Toutefois, ils ne pourront toujours pas interroger les modèles que vous n'avez pas autorisés.Si vous attribuez l'autorisationmanage_models
à un utilisateur, celui-ci pourra accéder à tous les modèles de tous les projets de l'instance.Si vous attribuez les autorisationsmanage_project_connections_restricted
oumanage_project_connections
à un utilisateur, celui-ci pourra afficher, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles.
Les autorisations peuvent être classées dans l'un des trois types suivants:
- Spécifique au modèle:ce type d'autorisation n'est appliqué qu'aux ensembles de modèles qui font partie du même rôle. Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker.
- Spécifique à la connexion:ce type d'autorisation est appliqué au niveau de la connexion. Un utilisateur disposant de ce type d'autorisation peut consulter le contenu des pages du panneau Administration qui utilisent une connexion associée à un modèle auquel il a accès aux données, même si cette connexion est utilisée avec un autre modèle auquel il n'a pas accès aux données.
- À l'échelle de l'instance:ce type d'autorisation s'applique à l'instance Looker dans son ensemble et comporte trois types :
- NN = Aucun accès au contenu, pas d'accès au menu: ces autorisations permettent aux utilisateurs d'exécuter certaines fonctions sur l'ensemble de l'instance Looker, mais ne leur permettent pas d'accéder à du contenu basé sur des modèles non inclus dans leur ensemble de modèles de rôle.
- CN = accès au contenu, pas d'accès aux menus: ces autorisations permettent aux utilisateurs d'accéder au contenu et d'interroger des informations dans l'ensemble de l'instance Looker, même pour le contenu et les requêtes basés sur des modèles non inclus dans leur modèle de rôle.
- CM = Accès au contenu, accès au menu: ces autorisations peuvent permettre aux utilisateurs non administrateurs de voir certaines parties du menu "Administration" et de consulter des informations sur le contenu et les requêtes en fonction de modèles non inclus dans l'ensemble de modèles de leur rôle.
La liste suivante décrit toutes les autorisations disponibles dans Looker, dans l'ordre dans lequel elles apparaissent sur la page Nouvel ensemble d'autorisations de la section Administration:
Autorisation | Dépend de | Type | Définition |
---|---|---|---|
access_data |
Aucune | Spécifique au modèle | Les utilisateurs peuvent accéder aux données de Looker, mais uniquement à celles spécifiées par les administrateurs. Cette autorisation est nécessaire pour presque toutes les fonctions Looker.S'il dispose de l'accès à n'importe quel modèle dans un projet donné, un utilisateur doté de cette autorisation peut accéder à n'importe quel fichier de la section Données de ce projet (un fichier de mappage JSON personnalisé, par exemple). |
see_lookml_dashboards |
access_data |
Spécifique au modèle | Les utilisateurs peuvent voir le dossier LookML Dashboards , qui comprend tous les tableaux de bord LookML. Les utilisateurs doivent disposer de l'autorisation explore pour tous les modèles pertinents afin d'explorer ces tableaux de bord. Les utilisateurs qui disposent également de l'autorisation develop peuvent créer des tableaux de bord LookML. |
see_looks |
access_data |
Spécifique au modèle | Les utilisateurs peuvent voir les Looks enregistrés (mais pas les tableaux de bord) dans les dossiers. Les utilisateurs doivent disposer de l'autorisation explore pour que tous les modèles pertinents puissent explorer ces Looks. Les utilisateurs devront également disposer du niveau d'accès au contenu Afficher pour voir les Looks dans les dossiers. |
see_user_dashboards |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent afficher les tableaux de bord définis par l'utilisateur dans des dossiers, mais doivent disposer de l'autorisation explore pour tous les modèles pertinents pour les explorer. Les utilisateurs doivent également disposer d'un accès au contenu Afficher pour voir les tableaux de bord dans les dossiers. Les utilisateurs qui disposent à la fois de l'autorisation save_dashboards et du droit d'accès Gérer l'accès, modifier à un dossier peuvent créer des tableaux de bord définis par l'utilisateur dans ce dossier. |
explore |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent accéder à la page "Explorer" et l'utiliser pour générer des rapports. Sans cette autorisation, les utilisateurs ne peuvent afficher que les tableaux de bord enregistrés (si l'autorisation see_lookml_dashboards ou see_user_dashboards a été accordée). |
create_table_calculations |
explore |
NN au niveau de l'instance | Les utilisateurs peuvent afficher, modifier ou ajouter des calculs de tables. |
create_custom_fields |
explore |
NN au niveau de l'instance |
ADDED 22.4
Les utilisateurs peuvent afficher, modifier ou ajouter des champs personnalisés. Les utilisateurs disposant uniquement de l'autorisation explore peuvent uniquement afficher les champs personnalisés. |
can_create_forecast |
explore |
NN au niveau de l'instance | ADDED 22.12 Les utilisateurs peuvent créer et modifier des prévisions dans les visualisations. Les utilisateurs qui ne disposent pas de cette autorisation ne peuvent voir que les prévisions existantes dans le contenu auquel ils ont accès. |
can_override_vis_config |
explore |
NN au niveau de l'instance | ADDED 23.8 Les utilisateurs peuvent accéder à l'éditeur de configuration de graphique, qui leur permet de modifier les valeurs JSON de l'API Highchart d'une visualisation, et de personnaliser l'apparence et le format de celle-ci. |
save_content |
see_looks |
NN au niveau de l'instance | Cette autorisation est une autorisation parente de save_dashboards , save_looks et create_public_looks . Cette autorisation doit être accordée avec save_dashboards ou save_looks . |
save_dashboards |
save_content |
NN au niveau de l'instance |
ADDED 24.4
Les utilisateurs peuvent enregistrer et modifier les tableaux de bord. Les utilisateurs doivent disposer de l'autorisation explore pour tous les modèles pertinents à explorer à partir de ces tableaux de bord. Les utilisateurs doivent disposer des autorisations download_with_limit et/ou download_without_limit pour télécharger le contenu. |
save_looks |
save_content |
NN au niveau de l'instance |
ADDED 24.4
Les utilisateurs peuvent enregistrer et modifier des Looks. Les utilisateurs doivent disposer de l'autorisation explore pour tous les modèles pertinents à explorer à partir de ces Looks. Les utilisateurs doivent disposer des autorisations download_with_limit et/ou download_without_limit pour télécharger le contenu. |
create_public_looks |
save_content |
Spécifique au modèle | Les utilisateurs peuvent marquer un Look enregistré comme public, ce qui générera ensuite des URL autorisant l'accès à ce rapport sans authentification. |
download_with_limit |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent télécharger des requêtes (au format CSV, Excel ou autre), mais doivent spécifier une limite de 5 000 lignes ou moins pour éviter les problèmes de mémoire dus à des téléchargements volumineux sur l'instance. |
download_without_limit |
see_looks |
Spécifique au modèle | Identique à download_with_limit , à la différence que l'utilisateur n'a pas besoin de spécifier de nombre maximal de lignes. Le téléchargement de tous les résultats pour certains types de requêtes peut nécessiter une mémoire importante, ce qui peut entraîner des problèmes de performances ou même planter l'instance Looker. |
schedule_look_emails |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent transmettre des Looks, des tableaux de bord et des requêtes avec des visualisations auxquelles ils ont accès aux données aux e-mails. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la recréation des PDT pertinentes.Pour envoyer ou planifier des tableaux de bord Activité du système, les utilisateurs doivent avoir accès à tous les modèles. Les utilisateurs qui disposent également de l'autorisation create_alerts peuvent envoyer des notifications d'alerte par e-mail. Les administrateurs Looker peuvent contrôler les domaines de messagerie auxquels les utilisateurs Looker et les utilisateurs intégrés peuvent envoyer des e-mails à l'aide de la liste d'autorisation des domaines de messagerie sur la page Paramètres du panneau Admin.Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker. |
schedule_external_look_emails |
schedule_look_emails |
Spécifique au modèle | Les utilisateurs peuvent transmettre des Looks, des tableaux de bord et des requêtes avec des visualisations auxquelles ils ont accès aux données aux e-mails. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la recréation des PDT pertinentes.Pour envoyer ou planifier des tableaux de bord Activité du système, les utilisateurs doivent avoir accès à tous les modèles. Les utilisateurs qui disposent également de l'autorisation create_alerts peuvent envoyer des notifications d'alerte par e-mail. Les utilisateurs peuvent envoyer du contenu par e-mail ou envoyer des notifications aux adresses e-mail de n'importe quel domaine, que la liste d'autorisation des domaines de messagerie de la page Paramètres du panneau Admin contienne ou non les domaines de messagerie figurant sur la liste d'autorisation.Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker. |
create_alerts |
see_looks |
NN au niveau de l'instance | À partir de la vignette du tableau de bord, les utilisateurs peuvent créer, dupliquer et supprimer leurs propres alertes, et afficher et dupliquer les alertes marquées comme Publiques par d'autres utilisateurs. L'utilisateur doit être connecté à Slack pour voir les alertes de vignette du tableau de bord qui envoient des notifications Slack. Les utilisateurs peuvent afficher, modifier, désactiver et activer les alertes dont ils sont propriétaires sur la page utilisateur Gérer les alertes. |
follow_alerts |
see_looks |
NN au niveau de l'instance | Les utilisateurs peuvent afficher et suivre les alertes. Consultez les alertes qu'il a suivies ou pour lesquelles il est répertorié comme destinataire sur la page des utilisateurs Gérer les alertes. |
send_to_s3 |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent fournir des Looks, des tableaux de bord et des requêtes avec des visualisations auxquelles ils ont accès aux données à un bucket Amazon S3. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la recréation des PDT pertinentes.Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker. |
send_to_sftp |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent diffuser des Looks, des tableaux de bord et des requêtes avec des visualisations auxquelles ils ont accès aux données à un serveur SFTP. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la recréation des PDT pertinentes.Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker. |
send_outgoing_webhook |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent diffuser des Looks, des tableaux de bord et des requêtes avec des visualisations auxquelles ils ont accès aux données via un webhook. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la recréation des PDT pertinentes.Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker. |
send_to_integration |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent fournir des Looks, des tableaux de bord et des requêtes avec des visualisations pour lesquelles ils ont accès aux données aux services tiers intégrés à Looker via Looker Action Hub. Si vous utilisez des actions personnalisées avec des attributs utilisateur, les utilisateurs doivent disposer de cette autorisation et d'une valeur d'attribut utilisateur valide et non nulle pour l'attribut utilisateur spécifié afin de pouvoir diffuser du contenu Looker vers la destination de l'action. Cette autorisation n'est pas liée aux actions sur les données. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la recréation des PDT pertinentes.Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker. |
see_sql |
see_looks |
Spécifique au modèle | Les utilisateurs peuvent accéder à l'onglet SQL lors de l'exploration et aux erreurs SQL causées par leurs requêtes. |
see_lookml |
see_looks |
Spécifique au modèle | Les utilisateurs disposent d'un accès en lecture seule à LookML. Les utilisateurs doivent disposer de cette autorisation pour voir le lien Accéder à LookML dans le panneau Administration.Si vous souhaitez qu'un utilisateur puisse modifier le code LookML, vous devez également lui accorder l'autorisation develop . REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation see_lookml à un utilisateur et que vous lui avez donné accès à tous les modèles faisant partie d'un projet, il pourra consulter le code LookML de tous les modèles de ce projet. Toutefois, ils ne pourront toujours pas interroger les modèles que vous n'avez pas autorisés. |
develop |
see_lookml |
Spécifique au modèle | Les utilisateurs peuvent apporter des modifications locales au code LookML, mais ne les autoriseront pas à rendre ces modifications accessibles à tous, sauf s'ils disposent également de l'autorisation deploy . Cette autorisation est nécessaire pour afficher l'option Obtenir de l'aide dans le menu Aide et voir les métadonnées dans l'IDE Looker. Les utilisateurs ont également besoin de cette autorisation pour accéder à l'option Recréer les tables dérivées et exécuter dans le menu en forme de roue dentée de l'exploration. Cette autorisation n'est pas spécifique au modèle. Par conséquent, si un utilisateur dispose de cette autorisation dans un modèle, il aura accès à Recréer les tables dérivées et exécuter dans tous les modèles.REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation develop à un utilisateur et que vous lui avez donné accès à tous les modèles faisant partie d'un projet, il pourra développer le code LookML pour tous les modèles de ce projet. Toutefois, ils ne pourront toujours pas interroger les modèles que vous n'avez pas autorisés. |
deploy |
develop |
NN au niveau de l'instance | Les utilisateurs peuvent déployer leurs modifications LookML locales en production afin que ces modifications deviennent disponibles pour tous. |
support_access_toggle |
develop |
NN au niveau de l'instance | Les utilisateurs peuvent activer ou désactiver l'accès des analystes Looker à votre instance Looker. |
manage_project_models |
develop |
Spécifique au modèle |
ADDED 23.14
Les utilisateurs peuvent ajouter, modifier ou supprimer des configurations de modèle pour les modèles autorisés sur la page Modifier la configuration du modèle. Lors de la configuration d'un modèle, les utilisateurs ne peuvent utiliser que des connexions à l'échelle du projet.REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous créez un rôle avec l'autorisation manage_project_models , celui-ci accordera l'accès à tous les modèles qui partagent un projet avec l'un des modèles des ensembles de modèles du rôle. |
use_global_connections |
manage_project_models |
Spécifique au modèle | ADDED 23.14 Les utilisateurs peuvent configurer des modèles autorisés avec n'importe quelle connexion à l'échelle du projet ou à l'échelle de l'instance. |
manage_project_connections_restricted |
develop |
CM spécifique au modèle |
ADDED 23.18
Les utilisateurs peuvent voir la page Connexions dans le menu "Administration". Ils peuvent afficher, modifier et créer des connexions à l'échelle du projet pour tous les projets de l'ensemble de modèles. Toutefois, il ne peut modifier que les paramètres de connexion suivants:
manage_project_connections_restricted à un utilisateur, celui-ci pourra afficher, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles. |
manage_project_connections |
manage_project_connections_restricted |
CM spécifique au modèle |
ADDED 23.14
Les utilisateurs peuvent voir la page Connexions dans le menu "Administration". Ils peuvent afficher, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles.REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_project_connections_restricted à un utilisateur, celui-ci pourra afficher, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles. |
use_sql_runner |
see_lookml |
Spécifique au modèle | Les utilisateurs peuvent se servir de SQL Runner pour exécuter du code SQL brut sur les connexions autorisées. Les utilisateurs pourront également télécharger les résultats à partir de l'option Download (Télécharger) du menu en forme de roue dentée de SQL Runner, qu'ils disposent ou non des autorisations download_with_limit ou download_without_limit . |
clear_cache_refresh |
access_data |
Spécifique au modèle | Les utilisateurs peuvent vider le cache et actualiser les tableaux de bord internes et intégrés, les vignettes des tableaux de bord, les Looks et les explorations.L'autorisation clear_cache_refresh est automatiquement ajoutée à tous les ensembles d'autorisations préexistants contenant l'une des autorisations suivantes: see_user_dashboards , see_lookml_dashboards ou explore . L'autorisation clear_cache_refresh n'est pas automatiquement appliquée aux rôles intégrés. |
see_drill_overlay |
access_data |
Spécifique au modèle | Les utilisateurs peuvent voir les résultats de l'exploration détaillée d'une vignette de tableau de bord, mais ne peuvent pas les explorer. Si explore est accordé, cette autorisation est automatiquement accordée (même si elle n'est pas cochée). Les utilisateurs doivent également disposer de l'autorisation explore pour télécharger des résultats d'analyse au format PNG. |
manage_spaces |
Aucune | CN au niveau de l'instance | Les utilisateurs peuvent créer, modifier, déplacer et supprimer des dossiers. Les utilisateurs doivent également disposer de l'autorisation d'accès au contenu Gérer l'accès, modifier. |
manage_homepage |
Aucune | NN au niveau de l'instance | Les utilisateurs peuvent modifier et ajouter du contenu à la barre latérale que tous les utilisateurs de Looker voient sur la page d'accueil Looker prédéfinie. |
manage_models |
Aucune | CN au niveau de l'instance | Chaque modèle LookML est mappé à un ensemble spécifique de connexions de base de données sur la page Gérer les projets LookML. Avec cette autorisation, les utilisateurs peuvent configurer ces mappages, et créer et supprimer des projets. Les utilisateurs non administrateurs disposant de cette autorisation auront accès à toutes les connexions autorisées par les modèles auxquels ils ont accès.REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_models à un utilisateur, celui-ci pourra accéder à tous les modèles de tous les projets de l'instance. |
create_prefetches |
Aucune | À l'échelle de l'instance | Le préchargement est vivement déconseillé. Nous vous recommandons plutôt d'utiliser des groupes de données. |
login_special_email |
Aucune | À l'échelle de l'instance | Les utilisateurs peuvent se connecter avec des identifiants traditionnels (adresse e-mail/mot de passe), même si d'autres mécanismes de connexion (tels que Google, LDAP ou SAML) ont été activés sur votre instance. Cela peut être utile pour les consultants ou d'autres personnes qui ne font peut-être pas partie de votre système d'authentification normal. |
embed_browse_spaces |
Aucune | NN au niveau de l'instance | Active le navigateur de contenu pour les intégrations signées. Si vous utilisez des intégrations signées, nous vous conseillons d'accorder cette autorisation aux utilisateurs disposant de l'autorisation save_content . |
embed_save_shared_space |
Aucune | À l'échelle de l'instance |
ADDED 21.4
Autorise l'utilisateur disposant de l'autorisation save_content à enregistrer du contenu dans le dossier Partagé de l'organisation, le cas échéant. Les utilisateurs disposant de l'autorisation save_content , mais pas de l'autorisation embed_save_shared_space , peuvent uniquement enregistrer du contenu dans leur dossier d'intégration personnel. |
manage_embed_settings |
Aucune | CM au niveau de l'instance | ADDED 24.0 Les utilisateurs peuvent modifier les paramètres d'intégration sur la page Intégrer de la section Plate-forme du menu Admin. |
manage_themes |
Aucune | CM au niveau de l'instance | ADDED 24.0 Les utilisateurs peuvent configurer les paramètres des thèmes sur la page Thèmes de la section Plate-forme du menu Admin.Cette autorisation n'est disponible que si les thèmes ont été activés pour votre instance. |
manage_privatelabel |
Aucune | CM au niveau de l'instance | AJOUT 24.0 Les utilisateurs peuvent configurer les paramètres des libellés privés sur la page Libellé privé de la section Plate-forme du menu Admin.Cette autorisation n'est disponible que si le libellé privé a été activé pour votre instance. |
see_alerts |
Aucune | CM au niveau de l'instance | ADDED 21.16 Les utilisateurs peuvent accéder aux pages Alertes et Historique des alertes dans la section Admin, ce qui leur permet d'afficher toutes les alertes d'une instance Looker. Sur la page d'administration Alertes, les utilisateurs peuvent afficher, suivre, modifier, attribuer eux-mêmes et désactiver les alertes appartenant à d'autres utilisateurs.Les utilisateurs doivent être autorisés à accéder au contenu sous-jacent de l'alerte pour le consulter ou l'explorer à partir de la visualisation de l'alerte (sur la page Détails de l'alerte) ou pour accéder à son tableau de bord. Cette autorisation ne donne pas aux utilisateurs la possibilité d'afficher, de créer, de suivre ou de supprimer des alertes depuis la vignette du tableau de bord. |
see_queries |
Aucune | CM au niveau de l'instance | Les utilisateurs peuvent consulter la page Requêtes dans la section Administration de Looker. Ce droit ne permet pas à un utilisateur de mettre fin à une requête depuis la page Requêtes. |
see_logs |
Aucune | CM au niveau de l'instance | Les utilisateurs peuvent consulter la page Journal dans la section Administration de Looker. |
see_users |
Aucune | CM au niveau de l'instance | Les utilisateurs peuvent voir la page Utilisateurs (mais pas la page Groupes) dans la section Admin de Looker. Ce droit ne permet pas aux utilisateurs de créer des utilisateurs, de consulter ou de créer des identifiants pour les API, de réinitialiser des mots de passe, ni de modifier des utilisateurs ou des droits. Un utilisateur disposant de cette autorisation peut afficher tous les utilisateurs de tous les groupes d'une instance, même sur un système fermé. Un utilisateur peut voir tous les noms de groupes et de rôles, que certaines entreprises peuvent considérer comme sensibles. |
sudo |
see_users |
CM au niveau de l'instance | Les utilisateurs peuvent sudo ; en d'autres termes, agir en tant que et hériter temporairement des autorisations d'un autre utilisateur en cliquant sur le bouton Sudo de la page Utilisateurs.L'autorisation sudo ne permet pas à un utilisateur non administrateur d'utiliser sudo en tant qu'administrateur, mais un non-administrateur peut potentiellement élever ses privilèges en utilisant sudo, alors soyez prudent. |
manage_groups |
see_users |
CM au niveau de l'instance | ADDED 24.0 Les utilisateurs peuvent créer, modifier et supprimer des groupes sur la page Groupes de la section Utilisateurs du menu Admin, à l'exception des groupes associés au rôle Administrateur. |
manage_roles |
manage_groups |
CM au niveau de l'instance | ADDED 24.0 Les utilisateurs peuvent créer, modifier et supprimer des rôles, à l'exception du rôle Administrateur, sur la page Rôles de la section Utilisateurs du menu Admin. Les utilisateurs ne peuvent toujours pas créer, modifier ou supprimer des ensembles d'autorisations ou des ensembles de modèles. |
manage_user_attributes |
see_users |
CM au niveau de l'instance | ADDED 24.0 Les utilisateurs peuvent créer, modifier et supprimer des attributs utilisateur sur la page Attributs utilisateur de la section Utilisateurs du menu Admin. |
see_schedules |
Aucune | CM au niveau de l'instance | Les utilisateurs peuvent consulter les pages Planning et Historique des planifications à partir du panneau Administration de Looker. Ce droit ne permet pas aux utilisateurs de réattribuer, de modifier ni de supprimer les plannings d'autres utilisateurs sur les pages Planning et Historique des planifications. |
see_pdts |
Aucune | Spécifique à la connexion | Les utilisateurs peuvent consulter la page Tables dérivées persistantes dans la section Administration de Looker et afficher des informations sur les PDT issues des projets utilisant une connexion associée à des modèles pour lesquels ils disposent d'un accès aux données. ADDED 21.18 Cette autorisation est incluse dans l'ensemble d'autorisations par défaut du développeur pour les nouvelles installations Looker.Cette autorisation est appliquée aux connexions pour lesquelles les utilisateurs ont accès aux données, plutôt qu'à l'ensemble de l'instance Looker ou à des modèles individuels ou à des ensembles de modèles. |
see_datagroups |
Aucune | Spécifique au modèle | Les utilisateurs peuvent consulter la page "Groupes de données" dans la section Administration de Looker. Les utilisateurs peuvent voir les noms des connexions, les noms des modèles et d'autres informations sur les groupes de données définis dans un modèle pour lequel ils ont accès aux données.Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, et non à l'ensemble de l'instance Looker ou aux connexions. |
update_datagroups |
see_datagroups |
Spécifique au modèle | Les utilisateurs peuvent déclencher un groupe de données ou réinitialiser son cache via la page Groupes de données de la section Administration de Looker. Comme les utilisateurs disposant de l'autorisation see_datagroups , les utilisateurs disposant de update_datagroups peuvent voir les groupes de données définis dans les projets qui utilisent un modèle pour lequel ils ont accès aux données.Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, et non à l'ensemble de l'instance Looker ou aux connexions. |
see_system_activity |
Aucune | CM au niveau de l'instance | Les utilisateurs peuvent accéder aux explorations et aux tableaux de bord de l'activité du système, ainsi qu'à la base de données i__looker interne pour consulter l'utilisation, l'historique et d'autres métadonnées concernant une instance Looker. |
mobile_app_access |
Aucune | NN au niveau de l'instance |
ADDED 21.16
Les utilisateurs peuvent se connecter à votre instance sur un appareil mobile à l'aide de l'application mobile Looker. Pour qu'ils puissent se connecter à l'application mobile Looker, l'option Accès aux applications mobiles sur la page Paramètres généraux de la section Admin de Looker doit d'abord être activée.L'autorisation mobile_app_access peut être ajoutée à un ensemble d'autorisations nouveau ou existant et fait partie de tous les ensembles d'autorisations par défaut de Looker. |
Ensembles de modèles
Un ensemble de modèles définit les données et les champs LookML qu'un utilisateur ou un groupe peut voir. Chaque ensemble est une liste de modèles LookML auxquels un utilisateur ou un groupe devrait avoir accès. Vous pouvez considérer qu'un ensemble de modèles remplit deux fonctions:
- Un ensemble de modèles contrôle les modèles de votre code LookML auxquels s'appliquent les autorisations (si celles-ci sont spécifiques à un modèle).
- Un ensemble de modèles limite les données et les champs LookML qu'un utilisateur peut voir, car chaque modèle est connecté à une connexion de base de données spécifique et contient certains champs LookML.
Créer un ensemble de modèles
Pour créer un ensemble de modèles, procédez comme suit:
Cliquez sur le bouton Nouvel ensemble de modèles en haut de la page Rôles.
Looker affiche la page Nouvel ensemble de modèles. Saisissez un nom pour le nouvel ensemble de modèles.
Sélectionnez le ou les modèles à inclure dans le nouvel ensemble de modèles.
Cliquez sur le bouton Nouvel ensemble de modèles en bas de la page. Le nouvel ensemble de modèles apparaît dans la section Ensembles de modèles de la page Rôles.
Les modèles inclus dans les projets en attente apparaissent dans la liste Modèles sur les pages Nouvel ensemble de modèles et Modifier l'ensemble de modèles.
Le fait de supprimer ou de renommer un modèle ne modifie pas les ensembles de modèles qui l'incluent. Lorsqu'un modèle est supprimé ou renommé, nous recommandons aux administrateurs Looker de supprimer également son nom de tous les ensembles de modèles associés, sur la page Modifier l'ensemble de modèles. En supprimant le nom d'un modèle supprimé d'un ensemble de modèles, vous empêchez l'inclusion involontaire d'un nouveau modèle portant le même nom dans cet ensemble.
Pour en savoir plus sur les modèles, consultez la page de documentation Paramètres de modèle.
Créer plusieurs modèles et ensembles de modèles
L'exemple suivant montre comment utiliser plusieurs ensembles de modèles pour limiter l'accès aux données. Imaginons que vous ayez deux équipes : une équipe marketing et une équipe d'assistance. Dans cet exemple, ces deux équipes ne devraient pas avoir accès à l'intégralité du modèle. Vous devez donc créer un modèle distinct pour chaque équipe. Pour séparer leur accès aux données, procédez comme suit:
- Copiez le modèle dans deux nouveaux modèles.
- Dans le premier des nouveaux modèles, n'incluez que les vues, les champs et les explorations auxquels l'équipe marketing doit avoir accès.
- Créez un ensemble de modèles pour l'équipe marketing qui n'inclut que ce nouveau modèle.
- Créez un rôle pour l'équipe marketing, qui inclut ce nouvel ensemble de modèles et les autorisations appropriées pour l'équipe marketing.
- Attribuez ce nouveau rôle au groupe de l'équipe marketing.
- Répétez les étapes 2 à 5 afin de configurer le deuxième modèle pour l'équipe d'assistance.
Modifier un ensemble de modèles
Une fois qu'un ensemble de modèles a été créé, procédez comme suit pour le modifier:
Sur la page Rôles, cliquez sur le bouton Modifier à droite de l'ensemble de modèles à modifier.
Looker affiche la page Modifier l'ensemble de modèles. Si vous le souhaitez, saisissez un nouveau nom pour l'ensemble de modèles dans le champ Nom.
Ajoutez ou supprimez des modèles dans l'ensemble de modèles dans la section Modèles.
Cliquez sur le bouton Mettre à jour l'ensemble de modèles en bas de la page.
Les modèles inclus dans les projets en attente apparaissent dans la liste Modèles sur les pages Nouvel ensemble de modèles et Modifier l'ensemble de modèles.
Le fait de supprimer ou de renommer un modèle ne modifie pas les ensembles de modèles qui l'incluent. Lorsqu'un modèle est supprimé ou renommé, nous recommandons aux administrateurs Looker de supprimer également son nom de tous les ensembles de modèles associés, sur la page Modifier l'ensemble de modèles. En supprimant le nom d'un modèle supprimé d'un ensemble de modèles, vous empêchez l'inclusion involontaire d'un nouveau modèle portant le même nom dans cet ensemble.
Supprimer un ensemble de modèles
Pour supprimer un ensemble de modèles, accédez à la page Rôles, puis cliquez sur Supprimer à droite de l'ensemble de modèles à supprimer.