Paramètres d'administration – Rôles

Les rôles, les ensembles d'autorisations et les ensembles de modèles permettent de gérer ce que les utilisateurs peuvent faire et ce qu'ils peuvent voir. La page Rôles de la section Utilisateurs du panneau Administration vous permet d'afficher, de configurer et d'attribuer des rôles, des ensembles d'autorisations et des ensembles de modèles.

Vous pouvez rechercher des rôles, des ensembles d'autorisations et des ensembles de modèles spécifiques en saisissant un terme dans le champ de recherche en haut à droite, puis en appuyant sur Entrée.

Définitions

  • Un rôle définit les droits dont un utilisateur ou un groupe disposera pour un ensemble spécifique de modèles dans Looker. Vous créez un rôle en associant un ensemble d'autorisations à un ensemble de modèles.
  • Un ensemble d'autorisations définit les actions d'un utilisateur ou d'un groupe. Vous sélectionnez une combinaison d'autorisations que vous souhaitez attribuer à un utilisateur ou à un groupe. Elle doit être utilisée dans un rôle pour avoir un effet.
  • Un ensemble de modèles définit les données et les champs LookML qu'un utilisateur ou un groupe peut voir. Vous sélectionnez une combinaison de modèles LookML à laquelle un utilisateur ou un groupe doit avoir accès. Elle doit être utilisée dans un rôle pour avoir un effet.

Attribution de rôles

Un rôle combine un ensemble d'autorisations et un ensemble de modèles. Il est courant de nommer les rôles en fonction des types de personnes ou de groupes de personnes au sein de votre organisation (administrateur, développeur Looker, équipe financière), bien que vous puissiez certainement suivre vos propres conventions d'attribution de noms.

Un utilisateur peut avoir plusieurs rôles dans Looker. Cela peut être utile lorsque certains de vos utilisateurs occupent plusieurs rôles dans votre entreprise ou lorsque vous souhaitez créer des systèmes complexes d'accès à vos modèles.

Créer, modifier et supprimer des rôles

Pour créer un rôle, procédez comme suit:

  1. Cliquez sur le bouton Nouveau rôle en haut de la page Rôles.

  2. Looker affiche la page Nouveau rôle, dans laquelle vous pouvez configurer les paramètres suivants:

    • Nom: saisissez le nom du rôle.
    • Ensemble d'autorisations: sélectionnez un ensemble d'autorisations à associer au rôle.
    • Ensemble de modèles: sélectionnez un ensemble de modèles à associer au rôle.
    • Groupes: vous pouvez également sélectionner un ou plusieurs groupes auxquels attribuer le rôle.
    • Utilisateurs: vous pouvez également choisir un ou plusieurs utilisateurs auxquels attribuer le rôle.

  3. Une fois que vous avez configuré le rôle comme vous le souhaitez, cliquez sur le bouton Nouveau rôle en bas de la page.

Une fois qu'un rôle a été créé, vous pouvez le modifier en cliquant sur le bouton Modifier situé à droite du rôle sur la page Rôles. Cliquez sur Modifier pour accéder à la page Modifier le rôle de ce rôle, où vous pouvez modifier le nom, l'ensemble d'autorisations, l'ensemble de modèles et les groupes ou utilisateurs auxquels le rôle est attribué.

Pour supprimer un rôle, cliquez sur le bouton Supprimer situé à droite du rôle sur la page Rôles.

Rôles par défaut

Pour les nouvelles instances, Looker crée les rôles par défaut suivants, chacun incluant un ensemble d'autorisations par défaut du même nom:

  • Administrateur
  • Développeur
  • Utilisateur
  • Lecteur

Ensembles d'autorisations

Un ensemble d'autorisations définit les actions d'un utilisateur ou d'un groupe. Les administrateurs peuvent utiliser les ensembles d'autorisations par défaut de Looker ou créer des ensembles d'autorisations d'origine, en gardant à l'esprit les dépendances des autorisations.

Toutes les autorisations disponibles et leur type sont décrits plus en détail dans la liste des autorisations.

Ensembles d'autorisations par défaut

Pour les nouvelles installations, Looker inclut plusieurs ensembles d'autorisations par défaut avec lesquels vous pouvez commencer:

Ensemble d'autorisations Autorisations associées
Administration Toutes les autorisations
Développeur access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, deploy, develop, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards,see_looks, see_pdts, see_sql, see_user_dashboards, send_to_integration, use_sql_runner

REMARQUE: L'autorisation see_pdts est incluse dans l'autorisation par défaut Développeur uniquement pour les installations Looker créées avec Looker 21.18 ou version ultérieure. Pour vérifier si l'autorisation see_pdts est incluse dans l'autorisation Développeur définie sur votre instance, accédez à la page Rôles du panneau Administration de l'UI Looker.
Utilisateur de tableaux de bord LookML access_data, clear_cache_refresh, mobile_app_access, see_lookml_dashboards, send_to_integration
Utilisateur access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards, see_looks, see_sql, see_user_dashboards, send_to_integration
Utilisateur ne pouvant pas afficher LookML access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, schedule_look_emails, see_lookml_dashboards, see_looks, see_user_dashboards, send_to_integration
Lecteur access_data, clear_cache_refresh, download_without_limit, mobile_app_access, schedule_look_emails, see_drill_overlay, see_lookml_dashboards, see_looks, see_user_dashboards

Ces ensembles d'autorisations s'affichent comme options lorsque vous créez un rôle. Si vous sélectionnez l'un de ces ensembles d'autorisations, Looker affichera la liste des autorisations incluses.

L'ensemble d'autorisations d'administrateur ne peut pas être modifié ni supprimé. Il ne peut pas non plus être attribué à un rôle. Il est attribué uniquement au rôle Administrateur, qui ne peut pas non plus être modifié ni supprimé. Le seul moyen d'accorder l'ensemble des autorisations d'administrateur à un utilisateur ou à un groupe est d'ajouter le rôle d'administrateur à cet utilisateur ou à ce groupe.

Créer des ensembles d'autorisations

Pour créer un ensemble d'autorisations, cliquez sur le bouton Nouvel ensemble d'autorisations en haut de la page Rôles. Looker affiche une page sur laquelle vous pouvez saisir un nom pour l'ensemble d'autorisations et sélectionner les autorisations à inclure. Une fois que vous avez configuré l'ensemble comme vous le souhaitez, cliquez sur le bouton Nouvel ensemble d'autorisations en bas de la page.

Après avoir créé un ensemble d'autorisations, vous pouvez le modifier ou le supprimer en cliquant sur les boutons Modifier ou Supprimer à droite de l'ensemble d'autorisations sur la page Rôles.

Autorisations et dépendances

Certaines autorisations dépendent d'autres autorisations pour fonctionner correctement. Par exemple, il est logique que quelqu'un qui souhaite développer dans LookML doive d'abord être en mesure de voir LookML.

Lorsque vous créez un ensemble d'autorisations, les autorisations disponibles s'affichent dans une liste en retrait. Si un droit est mis en retrait sous un autre privilège (parent), vous devez d'abord sélectionner le droit parent. La liste des autorisations peut se présenter comme suit:

☑️ access_data
  ☑️ see_lookml_dashboards
  ☑️ see_looks
    ☑️ see_user_dashboards

Dans cet exemple, Looker utilise la mise en retrait pour indiquer ce qui suit:

  • Le droit access_data peut être sélectionné à tout moment.
  • Les droits see_lookml_dashboards et see_looks nécessitent d'abord le droit access_data.
  • Le droit see_user_dashboards dépend du droit see_looks, qui à son tour dépend du droit access_data.

Vous ne pouvez pas sélectionner un privilège enfant sans sélectionner d'abord son parent.

Autorisations et licences Looker

Les licences Looker classent les utilisateurs en trois types:

  • Développeur (administrateur)
  • Standard (créateur)
  • Lecteur

Les autorisations accordées à un utilisateur déterminent sa classification dans la licence Looker:

Liste des autorisations

Les autorisations suivantes interagissent avec les ensembles de modèles de manière potentiellement inattendue:

Dans l'IDE de Looker, un même projet peut contenir plusieurs fichiers de modèle. Si vous attribuez les autorisations develop ou see_lookml à un utilisateur et que vous lui avez donné accès à n'importe quel modèle faisant partie d'un projet, il pourra développer ou consulter le code LookML de tous les modèles de ce projet. Toutefois, ils ne pourront toujours pas interroger les modèles que vous n'avez pas autorisés.

Si vous attribuez l'autorisation manage_models à un utilisateur, celui-ci pourra accéder à tous les modèles de tous les projets de l'instance.

Si vous attribuez les autorisations manage_project_connections_restricted ou manage_project_connections à un utilisateur, celui-ci pourra voir, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles.

Les autorisations peuvent être classées dans l'un des trois types suivants:

  • Spécifique au modèle:ce type d'autorisation n'est appliqué qu'aux ensembles de modèles qui font partie du même rôle. Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker.
  • Spécifique à la connexion:ce type d'autorisation est appliqué au niveau de la connexion. Un utilisateur disposant de ce type d'autorisation peut consulter le contenu des pages du panneau Administration qui utilisent une connexion associée à un modèle auquel il a accès aux données, même si cette connexion est utilisée avec un autre modèle pour lequel il n'a pas accès aux données.
  • À l'échelle de l'instance:ce type d'autorisation s'applique à l'instance Looker dans son ensemble et comporte trois types :
    • NN = Aucun accès au contenu, aucun accès au menu: ces autorisations permettent aux utilisateurs d'effectuer certaines fonctions sur l'ensemble de l'instance Looker, mais ne leur permettent pas d'accéder au contenu basé sur des modèles non inclus dans l'ensemble de modèles de leur rôle.
    • CN = Content access, No menu access: ces autorisations permettent aux utilisateurs d'accéder au contenu et aux informations de requête sur l'ensemble de l'instance Looker, même pour les contenus et les requêtes basés sur des modèles non inclus dans l'ensemble de modèles de leur rôle.
    • CM = Accès au contenu, accès au menu: ces autorisations peuvent exposer des parties du menu "Administration" aux utilisateurs non administrateurs, et leur permettre de voir des informations sur le contenu et les requêtes en fonction de modèles non inclus dans leur ensemble de modèles.

La liste suivante décrit toutes les autorisations disponibles dans Looker, dans l'ordre dans lequel elles apparaissent sur la page Nouvel ensemble d'autorisations de la section Administration:

Autorisation Dépend de Type Définition
access_data Aucune Spécifique au modèle Les utilisateurs peuvent accéder aux données de Looker, mais uniquement aux données spécifiées par les administrateurs. Cette autorisation est nécessaire pour presque toutes les fonctions Looker.

Un utilisateur disposant de cette autorisation, s'il est autorisé à accéder à n'importe quel modèle d'un projet donné, peut accéder à n'importe quel fichier de la section Données de ce projet (un fichier de carte personnalisé JSON, par exemple).
see_lookml_dashboards access_data Spécifique au modèle Les utilisateurs peuvent voir le dossier LookML Dashboards, qui inclut tous les tableaux de bord LookML. Les utilisateurs doivent disposer de l'autorisation explore pour tous les modèles pertinents afin d'explorer ces tableaux de bord. Les utilisateurs disposant également de l'autorisation develop peuvent créer des tableaux de bord LookML.
see_looks access_data Spécifique au modèle Les utilisateurs peuvent voir les Looks enregistrés (mais pas les tableaux de bord) dans les dossiers. Les utilisateurs doivent disposer de l'autorisation explore pour tous les modèles pertinents afin d'explorer ces Looks. Les utilisateurs doivent également disposer du niveau d'accès au contenu View (Vue) pour voir les Looks dans des dossiers.
see_user_dashboards see_looks Spécifique au modèle Les utilisateurs peuvent afficher les tableaux de bord définis par l'utilisateur dans des dossiers, mais ils doivent disposer de l'autorisation explore pour tous les modèles pertinents afin de pouvoir les explorer. Les utilisateurs doivent également disposer d'un accès View au contenu pour afficher les tableaux de bord dans des dossiers. Les utilisateurs qui disposent également de l'autorisation save_dashboards et de l'autorisation Gérer l'accès, modifier pour un dossier peuvent créer des tableaux de bord définis par l'utilisateur dans ce dossier.
explore see_looks Spécifique au modèle Les utilisateurs peuvent accéder à la page Explorer et l'utiliser pour générer des rapports. Sans cette autorisation, les utilisateurs ne peuvent afficher que les tableaux de bord enregistrés (si see_lookml_dashboards ou see_user_dashboards a été accordé).
create_table_calculations explore NN à l'échelle de l'instance Les utilisateurs peuvent consulter, modifier ou ajouter des calculs de table.
create_custom_fields explore NN à l'échelle de l'instance ADDED 22.4 Les utilisateurs peuvent afficher, modifier ou ajouter des champs personnalisés. Les utilisateurs disposant uniquement de l'autorisation explore peuvent uniquement les afficher.
can_create_forecast explore NN à l'échelle de l'instance AJOUTÉ 22.12 Les utilisateurs peuvent créer et modifier des prévisions dans des visualisations. Les utilisateurs qui ne disposent pas de cette autorisation ne peuvent voir que les prévisions existantes dans le contenu auquel ils ont accès.
can_override_vis_config explore NN à l'échelle de l'instance AJOUTÉ 23.8 Les utilisateurs peuvent accéder à l'éditeur pour la configuration du graphique, qui leur permet de modifier les valeurs JSON de l'API Highchart d'une visualisation, et de personnaliser l'apparence et le format de celle-ci.
save_content see_looks NN à l'échelle de l'instance Cette autorisation est une autorisation parente de save_dashboards, save_looks et create_public_looks. Cette autorisation doit être accordée avec save_dashboards ou save_looks.
save_dashboards save_content NN à l'échelle de l'instance AJOUTÉ 24.4 Les utilisateurs peuvent enregistrer et modifier des tableaux de bord. Les utilisateurs doivent disposer de l'autorisation explore pour que tous les modèles pertinents puissent être explorés depuis ces tableaux de bord. Les utilisateurs doivent disposer des autorisations download_with_limit et/ou download_without_limit pour télécharger le contenu.
save_looks save_content NN à l'échelle de l'instance AJOUTÉ 24.4 Les utilisateurs peuvent enregistrer et modifier des Looks. Les utilisateurs doivent disposer de l'autorisation explore pour que tous les modèles pertinents puissent explorer à partir de ces Looks. Les utilisateurs doivent disposer des autorisations download_with_limit et/ou download_without_limit pour télécharger le contenu.
create_public_looks save_content Spécifique au modèle Les utilisateurs peuvent marquer une présentation enregistrée comme publique, ce qui générera des URL leur permettant d'accéder à ce rapport sans authentification.
download_with_limit see_looks Spécifique au modèle Les utilisateurs peuvent télécharger des requêtes (au format CSV, Excel ou autre), mais ils doivent spécifier une limite de 5 000 lignes ou moins pour éviter les problèmes de mémoire liés aux téléchargements volumineux sur l'instance.
download_without_limit see_looks Spécifique au modèle Identique à download_with_limit, mais ne nécessite pas que l'utilisateur spécifie une limite de lignes. Le téléchargement de tous les résultats pour certains types de requêtes peut nécessiter une mémoire importante, ce qui peut entraîner des problèmes de performances ou même faire planter l'instance Looker.
schedule_look_emails see_looks Spécifique au modèle Les utilisateurs peuvent fournir tous les Looks, tableaux de bord et requêtes comportant des visualisations auxquelles ils ont accès aux données par e-mail. Les utilisateurs peuvent planifier l'envoi après qu'un groupe de données a été déclenché, a géré le cache et récupéré les tables PDT pertinentes.

Pour envoyer ou planifier des tableaux de bord Activité du système, les utilisateurs doivent avoir accès à tous les modèles.

Les utilisateurs qui disposent également d'autorisations create_alerts peuvent envoyer des notifications d'alerte par e-mail.

Les administrateurs Looker peuvent contrôler les domaines de messagerie vers lesquels les utilisateurs Looker et les utilisateurs intégrés peuvent envoyer des e-mails à l'aide de la liste d'autorisation des domaines de messagerie sur la page Paramètres du panneau Administration.

Cette autorisation est appliquée à des modèles ou ensembles de modèles individuels, plutôt qu'à l'ensemble de l'instance Looker.
schedule_external_look_emails schedule_look_emails Spécifique au modèle Les utilisateurs peuvent fournir tous les Looks, tableaux de bord et requêtes comportant des visualisations auxquelles ils ont accès aux données par e-mail. Les utilisateurs peuvent planifier l'envoi après qu'un groupe de données a été déclenché, a géré le cache et récupéré les tables PDT pertinentes.

Pour envoyer ou planifier des tableaux de bord Activité du système, les utilisateurs doivent avoir accès à tous les modèles.

Les utilisateurs qui disposent également d'autorisations create_alerts peuvent envoyer des notifications d'alerte par e-mail.

Les utilisateurs peuvent envoyer du contenu ou envoyer des alertes par e-mail aux adresses e-mail de n'importe quel domaine, que la liste d'autorisation des domaines de messagerie de la page Paramètres du panneau Administration contienne ou non tous les domaines de messagerie de la liste d'autorisation.

Cette autorisation est appliquée à des modèles ou ensembles de modèles individuels, plutôt qu'à l'ensemble de l'instance Looker.
create_alerts see_looks NN à l'échelle de l'instance À partir de la vignette du tableau de bord, les utilisateurs peuvent créer, dupliquer et supprimer leurs propres alertes. Ils peuvent aussi voir et dupliquer les alertes marquées comme Publique par d'autres utilisateurs. L'utilisateur doit être connecté à Slack pour voir les alertes de vignette du tableau de bord qui envoient des notifications Slack. Les utilisateurs peuvent afficher, modifier, désactiver et activer les alertes dont ils sont propriétaires sur la page utilisateur Gérer les alertes.
follow_alerts see_looks NN à l'échelle de l'instance Les utilisateurs peuvent consulter et suivre les alertes. Affichez les alertes qu'il a suivies ou pour lesquelles il est répertorié comme destinataire sur la page utilisateur Gérer les alertes.
send_to_s3 see_looks Spécifique au modèle Les utilisateurs peuvent fournir tous les Looks, tableaux de bord et requêtes comportant des visualisations auxquelles ils ont accès aux données dans un bucket Amazon S3. Les utilisateurs peuvent planifier l'envoi après qu'un groupe de données a été déclenché, a géré le cache et récupéré les tables PDT pertinentes.

Cette autorisation est appliquée à des modèles ou ensembles de modèles individuels, plutôt qu'à l'ensemble de l'instance Looker.
send_to_sftp see_looks Spécifique au modèle Les utilisateurs peuvent envoyer à un serveur SFTP tous les Looks, tableaux de bord et requêtes comportant des visualisations auxquelles ils ont accès aux données. Les utilisateurs peuvent planifier l'envoi après qu'un groupe de données a été déclenché, a géré le cache et récupéré les tables PDT pertinentes.

Cette autorisation est appliquée à des modèles ou ensembles de modèles individuels, plutôt qu'à l'ensemble de l'instance Looker.
send_outgoing_webhook see_looks Spécifique au modèle Les utilisateurs peuvent envoyer à un webhook n'importe quels Looks, tableaux de bord et requêtes comportant des visualisations, auxquels ils ont accès aux données. Les utilisateurs peuvent planifier l'envoi après qu'un groupe de données a été déclenché, a géré le cache et récupéré les tables PDT pertinentes.

Cette autorisation est appliquée à des modèles ou ensembles de modèles individuels, plutôt qu'à l'ensemble de l'instance Looker.
send_to_integration see_looks Spécifique au modèle Les utilisateurs peuvent livrer tous les Looks, tableaux de bord et requêtes avec des visualisations auxquelles ils ont accès aux données pour les services tiers intégrés à Looker via Looker Action Hub. Si vous utilisez des actions personnalisées avec des attributs utilisateur, les utilisateurs doivent disposer de cette autorisation et avoir une valeur d'attribut utilisateur non nulle et valide pour l'attribut utilisateur spécifié afin de diffuser le contenu Looker vers cette destination d'action. Cette autorisation n'est pas liée aux actions sur les données. Les utilisateurs peuvent planifier l'envoi après qu'un groupe de données a été déclenché, a géré le cache et récupéré les tables PDT pertinentes.

Cette autorisation est appliquée à des modèles ou ensembles de modèles individuels, plutôt qu'à l'ensemble de l'instance Looker.
see_sql see_looks Spécifique au modèle Les utilisateurs peuvent accéder à l'onglet SQL pendant leur exploration et aux erreurs SQL causées par leurs requêtes.
see_lookml see_looks Spécifique au modèle Les utilisateurs disposent d'un accès en lecture seule à LookML. Les utilisateurs doivent disposer de cette autorisation pour voir le lien Accéder à LookML dans le panneau Admin.

Si vous souhaitez qu'un utilisateur puisse modifier LookML, vous devez également lui accorder l'autorisation develop.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation see_lookml à un utilisateur et que vous l'avez autorisé à voir n'importe quel modèle faisant partie d'un projet, il pourra voir le code LookML de tous les modèles de ce projet. Toutefois, ils ne pourront toujours pas interroger les modèles que vous n'avez pas autorisés.
develop see_lookml Spécifique au modèle Les utilisateurs peuvent apporter des modifications locales à LookML, mais ils ne les autoriseront pas à rendre ces modifications accessibles à tous, sauf s'ils disposent également de l'autorisation deploy.

Cette autorisation est nécessaire pour voir l'option Obtenir de l'aide dans le menu Aide et pour voir les métadonnées dans l'IDE Looker. Les utilisateurs ont également besoin de cette autorisation pour accéder à l'option Rebuild Derived Tables & Run (Recompiler les tables dérivées et exécuter les tables dérivées) dans le menu Outils d'exploration. Cette autorisation n'est pas spécifique au modèle. Par conséquent, si un utilisateur dispose de cette autorisation dans un modèle, il aura accès à Recompiler les tables dérivées et exécuter dans tous les modèles.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation develop à un utilisateur et que vous l'avez autorisé à voir n'importe quel modèle faisant partie d'un projet, il pourra développer le code LookML pour tous les modèles de ce projet. Toutefois, ils ne pourront toujours pas interroger les modèles que vous n'avez pas autorisés.
deploy develop NN à l'échelle de l'instance Les utilisateurs peuvent déployer leurs modifications LookML locales en production afin que ces modifications soient mises à la disposition de tous.
support_access_toggle develop NN à l'échelle de l'instance Les utilisateurs peuvent activer ou désactiver l'accès des analystes Looker à votre instance Looker.
manage_project_models develop Spécifique au modèle AJOUTÉ 23.14 Les utilisateurs peuvent ajouter, modifier ou supprimer des configurations pour les modèles autorisés sur la page Modifier la configuration du modèle. Lors de la configuration d'un modèle, les utilisateurs ne peuvent utiliser que des connexions à l'échelle du projet.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous créez un rôle disposant de l'autorisation manage_project_models, celui-ci accordera l'accès à tous les modèles qui partagent un projet avec n'importe quel modèle figurant dans les ensembles de modèles du rôle.
use_global_connections manage_project_models Spécifique au modèle AJOUTÉ 23.14 Les utilisateurs peuvent configurer des modèles autorisés avec n'importe quelle connexion à l'échelle du projet ou à l'échelle d'une instance.
manage_project_connections_restricted develop CM spécifique au modèle AJOUTÉ 23.18 Les utilisateurs peuvent voir la page Connexions dans le menu "Administration". Ils peuvent voir, modifier et créer des connexions à l'échelle du projet pour tous les projets de l'ensemble de modèles. Toutefois, ils ne peuvent modifier que les paramètres de connexion suivants: Les utilisateurs ne peuvent pas modifier d'autres paramètres dans la section Paramètres supplémentaires. Ils ne peuvent pas non plus modifier les paramètres de la section Tables dérivées persistantes (PDT).

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_project_connections_restricted à un utilisateur, celui-ci pourra voir, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles.
manage_project_connections manage_project_connections_restricted CM spécifique au modèle AJOUTÉ 23.14 Les utilisateurs peuvent voir la page Connexions dans le menu "Administration". Ils peuvent voir, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_project_connections_restricted à un utilisateur, celui-ci pourra voir, modifier et créer des connexions à l'échelle du projet pour tous les projets inclus dans l'ensemble de modèles.
use_sql_runner see_lookml Spécifique au modèle Les utilisateurs peuvent se servir de SQL Runner pour exécuter du code SQL brut sur leurs connexions autorisées. Les utilisateurs pourront également télécharger les résultats à partir de l'option Download (Télécharger) du menu SQL Runner, qu'ils disposent ou non des autorisations download_with_limit ou download_without_limit.
clear_cache_refresh access_data Spécifique au modèle Les utilisateurs peuvent vider le cache et actualiser les tableaux de bord internes et intégrés, les vignettes des tableaux de bord, les Looks et les explorations.

L'autorisation clear_cache_refresh est automatiquement ajoutée à tous les ensembles d'autorisations préexistants qui contiennent l'une des autorisations suivantes: see_user_dashboards, see_lookml_dashboards ou explore. L'autorisation clear_cache_refresh n'est pas automatiquement appliquée aux rôles intégrés.
see_drill_overlay access_data Spécifique au modèle Les utilisateurs peuvent voir les résultats de l'analyse détaillée d'une vignette de tableau de bord, mais ne peuvent pas les explorer. Si l'autorisation explore est accordée, cette autorisation est automatiquement accordée (même si elle n'est pas cochée). Les utilisateurs doivent également disposer des autorisations explore pour télécharger les résultats d'analyse au format PNG.
manage_spaces Aucune CN à l'échelle de l'instance Les utilisateurs peuvent créer, modifier, déplacer et supprimer des dossiers. Les utilisateurs doivent également disposer de l'autorisation d'accès au contenu Gérer l'accès, modifier.
manage_homepage Aucune NN à l'échelle de l'instance Les utilisateurs peuvent modifier et ajouter du contenu dans la barre latérale que tous les utilisateurs de Looker voient sur la page d'accueil Looker prédéfinie.
manage_models Aucune CN à l'échelle de l'instance Chaque modèle LookML est mappé à un ensemble spécifique de connexions de base de données sur la page Gérer les projets LookML. Avec cette autorisation, les utilisateurs peuvent configurer ces mappages, et créer et supprimer des projets. Les utilisateurs non administrateurs qui disposent de cette autorisation ont accès à toutes les connexions autorisées par les modèles auxquels ils ont accès.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_models à un utilisateur, celui-ci pourra accéder à tous les modèles de tous les projets de l'instance.
create_prefetches Aucune À l'échelle de l'instance Le préchargement est vivement déconseillé. Nous vous recommandons d'utiliser plutôt des groupes de données.
login_special_email Aucune À l'échelle de l'instance Les utilisateurs peuvent se connecter à l'aide d'une adresse e-mail/d'un mot de passe traditionnels, même si d'autres mécanismes de connexion (tels que Google, LDAP ou SAML) ont été activés sur votre instance. Cela peut être utile pour les consultants ou d'autres personnes qui ne font pas partie de votre système d'authentification habituel.
embed_browse_spaces Aucune NN à l'échelle de l'instance Active le navigateur de contenu pour les intégrations signées. Si vous utilisez des intégrations signées, vous devez accorder cette autorisation aux utilisateurs disposant de l'autorisation save_content.
embed_save_shared_space Aucune À l'échelle de l'instance ADDED 21.4 Permet à l'utilisateur disposant de l'autorisation save_content d'enregistrer du contenu dans le dossier Shared de l'organisation, le cas échéant. Les utilisateurs disposant de l'autorisation save_content, mais pas de l'autorisation embed_save_shared_space, pourront uniquement enregistrer du contenu dans leur dossier d'intégration personnel.
manage_embed_settings Aucune CM au niveau de l'instance ADDED 24.0 Les utilisateurs peuvent modifier les paramètres d'intégration sur la page Intégrer dans la section Plate-forme du menu Administration.
manage_themes Aucune CM au niveau de l'instance ADDED 24.0 Les utilisateurs peuvent configurer les paramètres des thèmes sur la page Thèmes, dans la section Plate-forme du menu Administration.

Cette autorisation n'est disponible que si des thèmes ont été activés pour votre instance.
manage_privatelabel Aucune CM au niveau de l'instance ADDED 24.0 Les utilisateurs peuvent configurer les paramètres de libellé privé sur la page Étiquette privée de la section Plate-forme du menu Administration.

Cette autorisation n'est disponible que si le libellé privé a été activé pour votre instance.
see_alerts Aucune CM au niveau de l'instance AJOUTÉ 21.16 Les utilisateurs peuvent accéder aux pages Alertes et Historique des alertes dans la section Administration, ce qui leur permet de voir toutes les alertes d'une instance Looker. Les utilisateurs peuvent afficher, suivre, modifier, s'attribuer des alertes et les désactiver qui appartiennent à d'autres utilisateurs depuis la page d'administration Alertes.

Les utilisateurs doivent être autorisés à accéder au contenu sous-jacent de l'alerte afin de l'afficher ou de l'explorer à partir de la visualisation de l'alerte (sur la page Détails de l'alerte) ou pour accéder à son tableau de bord. Les utilisateurs disposant de cette autorisation ne peuvent pas afficher, créer, suivre ni supprimer des alertes à partir de la vignette du tableau de bord.
see_queries Aucune CM au niveau de l'instance Les utilisateurs peuvent consulter la page Requêtes dans la section Administration de Looker. Ce droit ne permet pas à l'utilisateur d'arrêter une requête sur la page Requêtes.
see_logs Aucune CM au niveau de l'instance Les utilisateurs peuvent consulter la page Journal dans la section Administration de Looker.
see_users Aucune CM au niveau de l'instance Les utilisateurs peuvent consulter la page Utilisateurs (mais pas la page Groupes) dans la section Admin de Looker. Ce droit ne permet pas à l'utilisateur de créer des utilisateurs, de consulter ou de créer des identifiants d'API, de réinitialiser les mots de passe, ni de modifier d'une quelconque autre manière les utilisateurs ou les droits. Un utilisateur disposant de cette autorisation peut afficher tous les utilisateurs de tous les groupes d'une instance, même sur un système fermé. Il peut voir tous les noms de groupes et de rôles, qui peuvent être considérés comme sensibles par certaines entreprises.
sudo see_users CM au niveau de l'instance Les utilisateurs peuvent agir en tant qu'utilisateur et hériter temporairement des autorisations d'un autre utilisateur en cliquant sur le bouton Sudo de la page Utilisateurs.

L'autorisation sudo ne permet pas à un non-administrateur d'utiliser sudo en tant qu'administrateur, mais un non-administrateur peut potentiellement élever ses privilèges avec sudo. Soyez donc prudent.
manage_groups see_users CM au niveau de l'instance ADDED 24.0 Les utilisateurs peuvent créer, modifier et supprimer des groupes sur la page Groupes de la section Utilisateurs du menu Admin, à l'exception des groupes associés au rôle Administrateur.
manage_roles manage_groups CM au niveau de l'instance ADDED 24.0 Les utilisateurs peuvent créer, modifier et supprimer des rôles, à l'exception du rôle Administrateur, sur la page Rôles de la section Utilisateurs du menu Admin. Les utilisateurs ne peuvent toujours pas créer, modifier ni supprimer des ensembles d'autorisations ou des ensembles de modèles.
manage_user_attributes see_users CM au niveau de l'instance ADDED 24.0 Les utilisateurs peuvent créer, modifier et supprimer des attributs utilisateur sur la page Attributs utilisateur de la section Utilisateurs du menu Admin.
see_schedules Aucune CM au niveau de l'instance Les utilisateurs peuvent consulter les pages Planifications et Historique des planifications dans le panneau Administration de Looker. Ce droit ne permet pas aux utilisateurs de réattribuer, de modifier ni de supprimer les plannings d'autres utilisateurs sur les pages Planning et Historique des planifications.
see_pdts Aucune Spécifique à la connexion Les utilisateurs peuvent consulter la page Tables dérivées persistantes dans la section Administration de Looker et consulter des informations sur les tables PDT des projets qui utilisent une connexion associée aux modèles pour lesquels ils disposent d'un accès aux données.

AJOUTÉ 21.18 Cette autorisation est incluse dans l'ensemble d'autorisations par défaut de développeur pour les nouvelles installations Looker.

Cette autorisation est appliquée aux connexions auxquelles les utilisateurs ont accès aux données, et non à l'ensemble de l'instance Looker, ou aux modèles ou ensembles de modèles individuels.
see_datagroups Aucune Spécifique au modèle Les utilisateurs peuvent consulter la page "Groupes de données" dans la section Administration de Looker. Les utilisateurs peuvent afficher les noms de connexion et de modèle, ainsi que d'autres informations sur les groupes de données définis dans un modèle pour lequel ils disposent d'un accès aux données.

Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker ou aux connexions.
update_datagroups see_datagroups Spécifique au modèle Les utilisateurs peuvent déclencher un groupe de données ou réinitialiser son cache via la page Groupes de données de la section Admin de Looker. Comme les utilisateurs disposant de l'autorisation see_datagroups, ceux disposant de l'autorisation update_datagroups peuvent voir les groupes de données définis dans les projets qui utilisent un modèle pour lequel ils ont accès aux données.

Cette autorisation est appliquée à des modèles individuels ou à des ensembles de modèles, plutôt qu'à l'ensemble de l'instance Looker ou aux connexions.
see_system_activity Aucune CM au niveau de l'instance Les utilisateurs peuvent accéder aux explorations et aux tableaux de bord de l'activité du système, ainsi qu'à la base de données i__looker interne pour consulter l'utilisation, l'historique et d'autres métadonnées concernant une instance Looker.
mobile_app_access Aucune NN à l'échelle de l'instance AJOUTÉ 21.16 Les utilisateurs peuvent se connecter à votre instance sur un appareil mobile à l'aide de l'application mobile Looker. Pour qu'ils puissent se connecter à l'application mobile Looker, vous devez d'abord activer l'option Accès aux applications mobiles sur la page Paramètres généraux de la section Administration de Looker.

L'autorisation mobile_app_access peut être ajoutée à un ensemble d'autorisations nouveau ou existant. Elle fait partie de tous les ensembles d'autorisations par défaut de Looker.

Ensembles de modèles

Un ensemble de modèles définit les données et les champs LookML qu'un utilisateur ou un groupe peut voir. Chaque ensemble est une liste de modèles LookML auxquels un utilisateur ou un groupe doit avoir accès. Un ensemble de modèles s'apparente à l'exécution de deux fonctions:

  1. Un ensemble de modèles contrôle les modèles de votre LookML auxquels les autorisations s'appliquent (si ces autorisations sont spécifiques à un modèle).
  2. Un ensemble de modèles limite les données et les champs LookML qu'un utilisateur peut voir, car chaque modèle est connecté à une connexion de base de données spécifique et contient certains champs LookML.

Créer un ensemble de modèles

Pour créer un ensemble de modèles:

  1. En haut de la page Rôles, cliquez sur le bouton Nouvel ensemble de modèles.

  2. Looker affiche la page Nouvel ensemble de modèles. Saisissez un nom pour le nouvel ensemble de modèles.

  3. Sélectionnez le ou les modèles à inclure dans le nouvel ensemble de modèles.

  4. Cliquez sur le bouton Nouvel ensemble de modèles en bas de la page. Le nouvel ensemble de modèles apparaît dans la section Ensembles de modèles de la page Rôles.

Les modèles inclus dans les projets en attente apparaissent dans la liste Modèles sur les pages Nouvel ensemble de modèles et Modifier l'ensemble de modèles.

La suppression ou le changement du nom d'un modèle ne modifie pas les ensembles de modèles qui l'incluent. Lorsqu'un modèle est supprimé ou renommé, nous recommandons aux administrateurs Looker de supprimer également le nom de ce modèle de tous les ensembles de modèles associés, via la page Modifier l'ensemble de modèles. Lorsque vous supprimez le nom d'un modèle supprimé d'un ensemble de modèles, vous évitez qu'un nouveau modèle portant le même nom ne soit inclus involontairement dans cet ensemble de modèles.

Pour en savoir plus sur les modèles, consultez la page de documentation Paramètres de modèle.

Créer plusieurs modèles et ensembles de modèles

L'exemple suivant montre comment utiliser plusieurs ensembles de modèles pour limiter l'accès aux données. Imaginons que vous ayez deux équipes : le marketing et l'assistance. Dans cet exemple, ces deux équipes ne devraient pas avoir accès à l'ensemble du modèle. Vous allez donc créer un modèle distinct pour chaque équipe. Pour séparer leurs droits d'accès aux données, procédez comme suit:

  1. Copier le modèle dans deux nouveaux modèles
  2. Dans le premier des nouveaux modèles, incluez uniquement les vues, les champs et les explorations auxquels l'équipe marketing doit avoir accès.
  3. Créez un ensemble de modèles destiné à l'équipe marketing qui n'inclut que ce nouveau modèle.
  4. Créez un rôle pour l'équipe marketing comprenant ce nouvel ensemble de modèles et les autorisations appropriées pour l'équipe marketing.
  5. Attribuez ce nouveau rôle au groupe de l'équipe marketing.
  6. Répétez les étapes 2 à 5 pour configurer le deuxième modèle pour l'équipe d'assistance.

Modifier un ensemble de modèles

Une fois qu'un ensemble de modèles a été créé, procédez comme suit pour le modifier:

  1. Sur la page Rôles, cliquez sur le bouton Modifier à droite de l'ensemble de modèles que vous souhaitez modifier.

  2. Looker affiche la page Modifier l'ensemble de modèles. Si vous le souhaitez, saisissez un nouveau nom pour l'ensemble de modèles dans le champ Nom.

  3. Ajoutez des modèles à l'ensemble de modèles ou supprimez-en dans la section Modèles.

  4. Cliquez sur le bouton Mettre à jour l'ensemble de modèles en bas de la page.

Les modèles inclus dans les projets en attente apparaissent dans la liste Modèles sur les pages Nouvel ensemble de modèles et Modifier l'ensemble de modèles.

La suppression ou le changement du nom d'un modèle ne modifie pas les ensembles de modèles qui l'incluent. Lorsqu'un modèle est supprimé ou renommé, nous recommandons aux administrateurs Looker de supprimer également le nom de ce modèle de tous les ensembles de modèles associés, via la page Modifier l'ensemble de modèles. Lorsque vous supprimez le nom d'un modèle supprimé d'un ensemble de modèles, vous évitez qu'un nouveau modèle portant le même nom ne soit inclus involontairement dans cet ensemble de modèles.

Supprimer un ensemble de modèles

Pour supprimer un ensemble de modèles, sur la page Rôles, cliquez sur Supprimer à droite de l'ensemble de modèles à supprimer.