Paramètres Admin – Rôles

Les rôles, les ensembles d'autorisations et les ensembles de modèles sont utilisés ensemble pour gérer ce que les utilisateurs peuvent faire et voir. La page Rôles de la section Utilisateurs du panneau Administration vous permet d'afficher, de configurer et d'attribuer des rôles, des ensembles d'autorisations et des ensembles de modèles.

Vous pouvez rechercher des rôles, des ensembles d'autorisations et des ensembles de modèles spécifiques en saisissant un terme dans le champ de recherche en haut à droite, puis en appuyant sur Entrée.

Définitions

  • Un rôle définit les droits dont dispose un utilisateur ou un groupe pour un ensemble spécifique de modèles dans Looker. Pour créer un rôle, vous devez combiner un ensemble d'autorisations et un ensemble de modèles.
  • Un ensemble d'autorisations définit les actions qu'un utilisateur ou un groupe peut effectuer. Vous sélectionnez une combinaison d'autorisations que vous souhaitez attribuer à un utilisateur ou à un groupe. Pour avoir un effet, il doit être utilisé dans le cadre d'un rôle.
  • Un ensemble de modèles définit les données et les champs LookML qu'un utilisateur ou un groupe peut voir. Vous sélectionnez une combinaison de modèles LookML auxquels un utilisateur ou un groupe doit avoir accès. Pour avoir un effet, il doit être utilisé dans le cadre d'un rôle.

Attribution de rôles

Un rôle est une combinaison d'un ensemble d'autorisations et d'un ensemble de modèles. Il est courant de nommer les rôles en fonction des types ou des groupes de personnes de votre organisation (administrateur, développeur Looker, équipe Finance), mais vous pouvez bien sûr suivre vos propres conventions de dénomination.

Un utilisateur peut avoir plusieurs rôles dans Looker. Cela peut s'avérer utile lorsque des utilisateurs jouent plusieurs rôles dans votre entreprise ou lorsque vous souhaitez créer des systèmes d'accès complexes à vos modèles.

Créer, modifier et supprimer des rôles

Pour créer un rôle, procédez comme suit:

  1. Cliquez sur le bouton Nouveau rôle en haut de la page Rôles.

  2. Looker affiche la page Nouveau rôle, sur laquelle vous pouvez configurer les paramètres suivants:

    • Nom: saisissez un nom pour le rôle.
    • Ensemble d'autorisations: sélectionnez un ensemble d'autorisations à associer au rôle.
    • Ensemble de modèles: choisissez un ensemble de modèles à associer au rôle.
    • Groupes: si vous le souhaitez, choisissez un ou plusieurs groupes auxquels attribuer le rôle.
    • Utilisateurs: si vous le souhaitez, choisissez un ou plusieurs utilisateurs auxquels attribuer le rôle.

  3. Une fois le rôle configuré comme vous le souhaitez, cliquez sur le bouton Nouveau rôle en bas de la page.

Une fois un rôle créé, vous pouvez le modifier en cliquant sur le bouton Modifier à droite de celui-ci sur la page Rôles. Cliquez sur Modifier pour accéder à la page Modifier le rôle de ce rôle. Vous pouvez y modifier le nom, l'ensemble d'autorisations, l'ensemble de modèles, ainsi que les groupes ou les utilisateurs attribués à ce rôle.

Pour supprimer un rôle, cliquez sur le bouton Supprimer à droite de celui-ci sur la page Rôles.

Rôles par défaut

Pour les nouvelles instances, Looker crée les rôles par défaut suivants, chacun d'eux incluant un ensemble d'autorisations par défaut du même nom:

  • Admin
  • Développeur
  • Prise en charge de l'éditeur avancé
  • Éditeur de base de l'assistance
  • Utilisateur
  • Lecteur

Les rôles Éditeur avancé de l'assistance et Éditeur de base de l'assistance ne peuvent pas être modifiés, supprimés ni attribués à d'autres utilisateurs qu'aux utilisateurs disposant d'un accès à l'assistance.

Ensembles d'autorisations

Un ensemble d'autorisations définit les actions qu'un utilisateur ou un groupe peut effectuer. Les administrateurs peuvent utiliser les ensembles d'autorisations par défaut de Looker ou créer des ensembles d'autorisations originaux, en tenant compte des dépendances des autorisations.

Toutes les autorisations disponibles et leurs types sont décrites plus en détail dans la liste des autorisations.

Ensembles d'autorisations par défaut

Pour les nouvelles installations, Looker inclut plusieurs ensembles d'autorisations par défaut que vous pouvez utiliser pour commencer:

Ensemble d'autorisations Autorisations associées
Accès Administrateur Toutes les autorisations
Développeur access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, deploy, develop, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, save_dashboards, save_looks, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards,see_looks, see_pdts, see_sql, see_user_dashboards, send_to_integration, use_sql_runner

REMARQUE: L'autorisation see_pdts n'est incluse dans l'autorisation par défaut Développeur que pour les installations Looker créées avec Looker 21.18 ou version ultérieure. Pour vérifier si l'autorisation see_pdts est incluse dans l'autorisation Développeur définie sur votre instance, accédez à la page Rôles dans le panneau Administration de l'interface utilisateur Looker.
Compatibilité avec l'éditeur avancé access_data, clear_cache_refresh, create_custom_fields, create_table_calculations, develop, explore, follow_alerts, manage_embed_settings, manage_models, manage_privatelabel, manage_project_connections, manage_project_connections_restricted, manage_project_models, manage_themes, see_admin, see_alerts, see_datagroups, see_drill_overlay, see_logs, see_lookml, see_lookml_dashboards, see_looks, see_pdts, see_queries, see_schedules, see_sql, see_system_activity, see_user_dashboards, see_users, update_datagroups, use_global_connections

REMARQUE: L'ensemble d'autorisations Éditeur avancé de l'assistance n'est pas disponible si la fonctionnalité Labs Accès à l'assistance par niveau est désactivée. Vous ne pouvez pas modifier ni supprimer l'ensemble d'autorisations Aide à l'éditeur avancé.
Utiliser l'éditeur de base access_data, clear_cache_refresh, create_custom_fields, create_table_calculations, explore, follow_alerts, manage_privatelabel, manage_themes, see_admin, see_alerts, see_drill_overlay, see_logs, see_lookml, see_lookml_dashboards, see_looks, see_pdts, see_schedules, see_sql, see_datagroups, see_system_activity, see_user_dashboards, see_users

REMARQUE: L'ensemble d'autorisations Éditeur de base de l'assistance n'est pas disponible si la fonctionnalité Labs Accès à l'assistance par niveau est désactivée. Le jeu d'autorisations Éditeur de base de l'assistance ne peut pas être modifié ni supprimé.
Utilisateur du tableau de bord LookML access_data, clear_cache_refresh, mobile_app_access, see_lookml_dashboards, send_to_integration
Utilisateur access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, save_dashboards, save_looks, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards, see_looks, see_sql, see_user_dashboards, send_to_integration
Utilisateur qui ne peut pas afficher LookML access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, save_dashboards, save_looks, schedule_look_emails, see_lookml_dashboards, see_looks, see_user_dashboards, send_to_integration
Lecteur access_data, clear_cache_refresh, download_without_limit, mobile_app_access, schedule_look_emails, see_drill_overlay, see_lookml_dashboards, see_looks, see_user_dashboards

Ces ensembles d'autorisations s'affichent en tant qu'options lorsque vous créez un rôle. Si vous sélectionnez l'un de ces ensembles d'autorisations, Looker affiche la liste des autorisations qu'il inclut.

Vous ne pouvez pas modifier ni supprimer l'ensemble d'autorisations administrateur, ni l'attribuer à un rôle. Il n'est attribué qu'au rôle Administrateur, qui ne peut pas non plus être modifié ni supprimé. Le seul moyen d'accorder l'autorisation d'administrateur à un utilisateur ou à un groupe est d'ajouter le rôle Administrateur à cet utilisateur ou à ce groupe.

Créer des ensembles d'autorisations

Pour créer un ensemble d'autorisations, cliquez sur le bouton Nouvel ensemble d'autorisations en haut de la page Rôles. Looker affiche une page sur laquelle vous pouvez attribuer un nom au jeu d'autorisations et sélectionner les autorisations qu'il doit inclure. Une fois l'ensemble configuré, cliquez sur le bouton Nouvel ensemble d'autorisations en bas de la page.

Une fois un ensemble d'autorisations créé, vous pouvez le modifier ou le supprimer en cliquant sur les boutons Modifier ou Supprimer situés à droite de l'ensemble d'autorisations sur la page Rôles.

Autorisations et dépendances

Certaines autorisations dépendent d'autres pour fonctionner correctement. Par exemple, il est logique qu'une personne qui souhaite développer en LookML doit d'abord pouvoir voir le code LookML.

Lorsque vous créez un ensemble d'autorisations, les autorisations disponibles s'affichent dans une liste avec une indentation. Si un droit est sous-ligné sous un autre (parent), vous devez d'abord sélectionner le droit parent. La liste des autorisations peut se présenter comme suit:

☑️ access_data
  ☑️ see_lookml_dashboards
  ☑️ see_looks
    ☑️ see_user_dashboards

Dans cet exemple, Looker utilise l'indentation pour indiquer les éléments suivants:

  • Le privilège access_data peut être sélectionné à tout moment.
  • Les droits see_lookml_dashboards et see_looks nécessitent que le droit access_data soit sélectionné en premier.
  • Le droit see_user_dashboards dépend du droit see_looks, qui dépend à son tour du droit access_data.

Vous ne pouvez pas sélectionner un droit enfant sans d'abord sélectionner son droit parent.

Autorisations et licences Looker

Les licences Looker classent les utilisateurs en trois types:

  • Développeur (administrateur)
  • Standard (créateur)
  • Lecteur

Les autorisations accordées à un utilisateur déterminent sa classification en vertu de la licence Looker:

Liste des autorisations

Les autorisations suivantes interagissent avec les ensembles de modèles de manière potentiellement inattendue:

Dans l'IDE de Looker, un seul projet peut contenir plusieurs fichiers de modèle. Si vous attribuez les autorisations develop ou see_lookml à un utilisateur et que vous lui avez autorisé à afficher tous les modèles d'un projet, il pourra développer ou afficher le LookML pour tous les modèles de ce projet. Toutefois, ils ne pourront toujours pas interroger les modèles que vous n'avez pas autorisés.

Si vous attribuez l'autorisation manage_models à un utilisateur, celui-ci pourra accéder à tous les modèles de tous les projets de l'instance.

Si vous attribuez l'autorisation manage_modelsets_restricted à un utilisateur, celui-ci peut attribuer n'importe quel modèle d'un projet auquel il a accès.

Si vous attribuez les autorisations manage_project_connections_restricted ou manage_project_connections à un utilisateur, celui-ci pourra afficher, modifier et créer des connexions de portée projet pour tous les projets inclus dans l'ensemble de modèles.

Les autorisations peuvent être classées en trois types:

  • Propre au modèle:ce type d'autorisation ne s'applique qu'aux ensembles de modèles qui font partie du même rôle. Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, et non à l'ensemble de l'instance Looker.
  • Spécifique à la connexion:ce type d'autorisation s'applique au niveau de la connexion. Un utilisateur disposant de ce type d'autorisation verra le contenu des pages du panneau Administration qui utilisent une connexion associée à un modèle auquel il a accès aux données, même si cette connexion est utilisée avec un autre modèle auquel il n'a pas accès aux données.
  • Au niveau de l'instance:ce type d'autorisation s'applique à l'instance Looker dans son ensemble et se décline en trois types :
    • NN = Aucun accès au contenu, aucun accès au menu: ces autorisations permettent aux utilisateurs d'effectuer certaines fonctions dans l'ensemble de l'instance Looker, mais ne leur permettent pas d'accéder au contenu basé sur des modèles non inclus dans l'ensemble de modèles de leur rôle.
    • CN = Accès au contenu, pas d'accès au menu: ces autorisations permettent aux utilisateurs d'accéder au contenu et aux informations de requête dans l'ensemble de l'instance Looker, même pour le contenu et les requêtes basés sur des modèles non inclus dans l'ensemble de modèles de leur rôle.
    • CM = Accès au contenu, accès au menu: ces autorisations peuvent exposer des parties du menu "Administration" aux utilisateurs non administrateurs et leur permettre de voir des informations sur le contenu et les requêtes basées sur des modèles qui ne sont pas inclus dans l'ensemble de modèles de leur rôle.

La liste suivante décrit toutes les autorisations disponibles dans Looker, dans l'ordre dans lequel elles apparaissent sur la page Nouveau jeu d'autorisations de la section Administration:

Autorisation Dépend de Type Définition
access_data Aucun Spécifique au modèle Les utilisateurs peuvent accéder aux données de Looker, mais uniquement celles que les administrateurs spécifient. Cette autorisation est nécessaire pour presque toutes les fonctions Looker.

Si un utilisateur dispose de cette autorisation et qu'il a accès à un modèle d'un projet donné, il peut accéder à tous les fichiers de la section "Données" de ce projet (par exemple, un fichier de carte personnalisé au format JSON).
see_lookml_dashboards access_data Spécifique au modèle Les utilisateurs peuvent voir le dossier Dashboards LookML, qui inclut tous les tableaux de bord LookML. Les utilisateurs doivent disposer de l'autorisation explore pour les modèles concernés afin d'explorer ces tableaux de bord. Les utilisateurs disposant également de l'autorisation develop peuvent créer des tableaux de bord LookML.
see_looks access_data Spécifique au modèle Les utilisateurs peuvent voir les présentations enregistrées (mais pas les tableaux de bord) dans les dossiers. Les utilisateurs doivent disposer de l'autorisation explore pour tous les modèles concernés afin d'explorer ces looks. Les utilisateurs doivent également disposer du niveau d'accès au contenu Afficher pour voir les présentations dans les dossiers.
see_user_dashboards see_looks Spécifique au modèle Les utilisateurs peuvent afficher les tableaux de bord définis par l'utilisateur dans des dossiers, mais doivent disposer de l'autorisation explore pour que les modèles concernés puissent explorer ces tableaux de bord. Les utilisateurs doivent également disposer de l'accès Afficher pour afficher les tableaux de bord dans les dossiers. Les utilisateurs disposant à la fois de l'autorisation save_dashboards et de l'accès au contenu Gérer l'accès, Modifier pour un dossier peuvent créer des tableaux de bord définis par l'utilisateur dans ce dossier.
explore see_looks Spécifique au modèle Les utilisateurs peuvent accéder à la page Explorer et l'utiliser pour générer des présentations et des tableaux de bord. Sans cette autorisation, les utilisateurs ne peuvent afficher que les tableaux de bord enregistrés (si see_lookml_dashboards ou see_user_dashboards leur a été accordée).
create_table_calculations explore NN à l'échelle de l'instance Les utilisateurs peuvent afficher, modifier ou ajouter des calculs de table.
create_custom_fields explore NN à l'échelle de l'instance Les utilisateurs peuvent afficher, modifier ou ajouter des champs personnalisés. Les utilisateurs qui ne disposent que de l'autorisation explore ne peuvent afficher que les champs personnalisés.
can_create_forecast explore NN à l'échelle de l'instance Les utilisateurs peuvent créer et modifier des prévisions dans les visualisations. Ceux qui ne disposent pas de cette autorisation ne peuvent afficher que les prévisions existantes dans le contenu auquel ils ont accès.
can_override_vis_config explore NN à l'échelle de l'instance Les utilisateurs peuvent accéder à l'éditeur de configuration des graphiques, qui leur permet de modifier les valeurs JSON de l'API Highchart d'une visualisation et de personnaliser son apparence et son format.
save_content see_looks NN à l'échelle de l'instance Cette autorisation est une autorisation parente de save_dashboards, save_looks et create_public_looks. Cette autorisation doit être accordée avec save_dashboards ou save_looks.
save_dashboards save_content NN à l'échelle de l'instance AJOUTÉ 24.4 Les utilisateurs peuvent enregistrer et modifier des tableaux de bord. Les utilisateurs doivent disposer de l'autorisation explore pour pouvoir explorer les modèles pertinents à partir de ces tableaux de bord. Les utilisateurs doivent disposer des autorisations download_with_limit et/ou download_without_limit pour télécharger le contenu.
save_looks save_content NN à l'échelle de l'instance AJOUTÉ 24.4 Les utilisateurs peuvent enregistrer et modifier des looks. Les utilisateurs doivent disposer de l'autorisation explore pour pouvoir explorer les modèles pertinents à partir de ces looks. Les utilisateurs doivent disposer des autorisations download_with_limit et/ou download_without_limit pour télécharger le contenu.
create_public_looks save_looks Spécifique au modèle Les utilisateurs peuvent marquer un look enregistré comme public. Des URL leur permettant d'y accéder sans authentification seront alors générées.
download_with_limit see_looks Spécifique au modèle Les utilisateurs peuvent télécharger des requêtes (au format CSV, Excel et autres) mais doivent spécifier une limite de 5 000 lignes ou moins pour éviter les problèmes de mémoire liés aux téléchargements volumineux sur l'instance.
download_without_limit see_looks Spécifique au modèle Identique à download_with_limit, mais l'utilisateur n'a pas besoin de spécifier de limite de lignes. Le téléchargement de tous les résultats pour certains types de requêtes peut nécessiter une quantité importante de mémoire, ce qui peut entraîner des problèmes de performances ou même un plantage de l'instance Looker.
schedule_look_emails see_looks Spécifique au modèle Les utilisateurs peuvent envoyer par e-mail tous les looks, tableaux de bord et requêtes avec des visualisations auxquels ils ont accès aux données. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la reconstruction des tables dérivées persistantes pertinentes.

Pour envoyer ou planifier des tableaux de bord Activité système, les utilisateurs doivent avoir accès à tous les modèles.

Les utilisateurs disposant également des autorisations create_alerts peuvent envoyer des notifications d'alerte par e-mail.

Les administrateurs Looker peuvent contrôler les domaines de messagerie auxquels les utilisateurs Looker et les utilisateurs intégrés peuvent envoyer des e-mails à l'aide de la liste d'autorisation des domaines de messagerie sur la page Paramètres du panneau Administration.

Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, et non à l'ensemble de l'instance Looker.
schedule_external_look_emails schedule_look_emails Spécifique au modèle Les utilisateurs peuvent envoyer par e-mail tous les looks, tableaux de bord et requêtes avec des visualisations auxquels ils ont accès aux données. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la reconstruction des tables dérivées persistantes pertinentes.

Pour envoyer ou planifier des tableaux de bord Activité système, les utilisateurs doivent avoir accès à tous les modèles.

Les utilisateurs disposant également des autorisations create_alerts peuvent envoyer des notifications d'alerte par e-mail.

Les utilisateurs peuvent envoyer des contenus ou des notifications d'alerte par e-mail à des adresses e-mail de n'importe quel domaine, que la liste d'autorisation des domaines de messagerie de la page Paramètres du panneau Administration contienne ou non des domaines de messagerie autorisés.

Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, et non à l'ensemble de l'instance Looker.
create_alerts see_looks NN à l'échelle de l'instance Dans la vignette du tableau de bord, les utilisateurs peuvent créer, dupliquer et supprimer leurs propres alertes. Ils peuvent également afficher et dupliquer les alertes marquées comme publiques par d'autres utilisateurs. L'utilisateur doit être connecté à Slack pour voir les alertes de carte de tableau de bord qui envoient des notifications Slack. Les utilisateurs peuvent afficher, modifier, désactiver et activer les alertes dont ils sont propriétaires sur la page utilisateur Gérer les alertes. Les utilisateurs doivent disposer de l'autorisation schedule_look_emails ou schedule_external_look_emails pour envoyer des notifications d'alerte par e-mail.
follow_alerts see_looks NN à l'échelle de l'instance Les utilisateurs peuvent consulter et suivre les alertes. consulter les alertes qu'il a suivies ou pour lesquelles il est destinataire sur la page utilisateur Gérer les alertes ;
send_to_s3 see_looks Spécifique au modèle Les utilisateurs peuvent envoyer des présentations, des tableaux de bord et des requêtes avec des visualisations auxquelles ils ont accès aux données vers un bucket Amazon S3. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la reconstruction des tables dérivées persistantes pertinentes.

Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, et non à l'ensemble de l'instance Looker.
send_to_sftp see_looks Spécifique au modèle Les utilisateurs peuvent envoyer à un serveur SFTP tous les looks, tableaux de bord et requêtes avec des visualisations auxquels ils ont accès aux données. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la reconstruction des tables dérivées persistantes pertinentes.

Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, et non à l'ensemble de l'instance Looker.
send_outgoing_webhook see_looks Spécifique au modèle Les utilisateurs peuvent envoyer à un webhook tous les looks, tableaux de bord et requêtes avec des visualisations auxquels ils ont accès aux données. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la reconstruction des tables dérivées persistantes pertinentes.

Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, et non à l'ensemble de l'instance Looker.
send_to_integration see_looks Spécifique au modèle Les utilisateurs peuvent envoyer tous les looks, tableaux de bord et requêtes avec des visualisations auxquels ils ont accès aux données aux services tiers intégrés à Looker via le Looker Action Hub. Si vous utilisez des actions personnalisées avec des attributs utilisateur, les utilisateurs doivent disposer de cette autorisation et avoir une valeur d'attribut utilisateur non nulle et valide pour l'attribut utilisateur spécifié afin de diffuser du contenu Looker vers cette destination d'action. Cette autorisation n'est pas liée aux actions sur les données. Les utilisateurs peuvent planifier l'envoi après le déclenchement d'un groupe de données, la gestion du cache et la reconstruction des tables dérivées persistantes pertinentes.

Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, et non à l'ensemble de l'instance Looker.
see_sql see_looks Spécifique au modèle Les utilisateurs peuvent accéder à l'SQL pendant l'exploration et consulter les erreurs SQL causées par leurs requêtes.
see_lookml see_looks Spécifique au modèle Les utilisateurs disposent d'un accès en lecture seule à LookML. Les utilisateurs doivent disposer de cette autorisation pour voir le lien Accéder à LookML dans le panneau Administration.

Si vous souhaitez qu'un utilisateur puisse modifier LookML, vous devez également lui accorder l'autorisation develop.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation see_lookml à un utilisateur et que vous lui avez permis d'afficher tous les modèles faisant partie d'un projet, il pourra afficher le code LookML de tous les modèles de ce projet. Toutefois, ils ne pourront toujours pas interroger les modèles que vous n'avez pas autorisés.
develop see_lookml Spécifique au modèle Les utilisateurs peuvent apporter des modifications locales au langage LookML, mais ne peuvent pas les rendre disponibles pour tous les utilisateurs, sauf s'ils disposent également de l'autorisation deploy.

Cette autorisation est requise pour afficher l'option Obtenir de l'aide dans le menu Aide et pour afficher les métadonnées dans l'IDE Looker. Les utilisateurs ont également besoin de cette autorisation pour accéder à l'option Réorganiser les tables dérivées et exécuter dans le menu en forme de roue dentée d'Exploration. Cette autorisation n'est pas spécifique au modèle. Par conséquent, si un utilisateur dispose de cette autorisation dans un modèle, il aura accès à Réorganiser les tables dérivées et exécuter dans tous les modèles.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation develop à un utilisateur et que vous lui avez permis d'afficher tous les modèles d'un projet, il pourra développer le langage LookML pour tous les modèles de ce projet. Toutefois, ils ne pourront pas interroger les modèles que vous n'avez pas autorisés.
deploy develop NN à l'échelle de l'instance Les utilisateurs peuvent mettre en production leurs modifications LookML locales afin qu'elles soient disponibles pour tous.
support_access_toggle develop NN à l'échelle de l'instance Les utilisateurs peuvent activer ou désactiver l'accès des analystes Looker à votre instance Looker.
manage_project_models develop Spécifique au modèle Les utilisateurs peuvent ajouter, modifier ou supprimer des configurations de modèle pour les modèles autorisés sur la page Modifier la configuration du modèle. Lors de la configuration d'un modèle, les utilisateurs ne peuvent utiliser que des connexions de portée projet.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous créez un rôle avec l'autorisation manage_project_models, il accordera l'accès à tous les modèles qui partagent un projet avec l'un des modèles des ensembles de modèles du rôle.
use_global_connections manage_project_models Spécifique au modèle Les utilisateurs peuvent configurer les modèles autorisés avec n'importe quelle connexion de portée projet ou de portée instance.
manage_project_connections_restricted develop CM spécifique au modèle Les utilisateurs peuvent accéder à la page Connexions dans le menu "Administration". Ils peuvent afficher, modifier et créer des connexions de portée projet pour tous les projets de l'ensemble de modèles. Toutefois, ils ne peuvent modifier que les paramètres de connexion suivants: Les utilisateurs ne peuvent modifier aucun autre paramètre de la section Paramètres supplémentaires. Ils ne peuvent pas non plus modifier les paramètres de la section Tables dérivées persistantes (PDT).

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_project_connections_restricted à un utilisateur, celui-ci pourra afficher, modifier et créer des connexions de portée projet pour tous les projets inclus dans l'ensemble de modèles.
manage_project_connections manage_project_connections_restricted CM spécifique au modèle Les utilisateurs peuvent accéder à la page Connexions dans le menu "Administration". Ils peuvent afficher, modifier et créer des connexions de portée projet pour tous les projets inclus dans l'ensemble de modèles.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_project_connections_restricted à un utilisateur, celui-ci pourra afficher, modifier et créer des connexions de portée projet pour tous les projets inclus dans l'ensemble de modèles.
use_sql_runner see_lookml Spécifique au modèle Les utilisateurs peuvent utiliser SQL Runner pour exécuter du code SQL brut sur leurs connexions autorisées. Les utilisateurs pourront également télécharger les résultats à partir de l'option Télécharger dans le menu en forme de roue dentée de SQL Runner, qu'ils disposent ou non des autorisations download_with_limit ou download_without_limit.
clear_cache_refresh access_data Spécifique au modèle Les utilisateurs peuvent vider le cache et actualiser les tableaux de bord, les cartes de tableau de bord, les présentations et les explorations internes et intégrés.

L'autorisation clear_cache_refresh est automatiquement ajoutée à tous les ensembles d'autorisations préexistants contenant l'une des autorisations suivantes: see_user_dashboards, see_lookml_dashboards ou explore. L'autorisation clear_cache_refresh n'est pas automatiquement appliquée aux rôles intégrés.
see_drill_overlay access_data Spécifique au modèle Les utilisateurs peuvent voir les résultats de l'analyse détaillée d'une carte de tableau de bord, mais ne peuvent pas les explorer. Si explore est accordée, cette autorisation est également accordée automatiquement (même si elle n'est pas cochée). Les utilisateurs doivent également disposer des autorisations explore pour télécharger les résultats de l'analyse au format PNG.
manage_spaces Aucun CN au niveau de l'instance Les utilisateurs peuvent créer, modifier, déplacer et supprimer des dossiers. Les utilisateurs doivent également disposer de l'autorisation d'accès au contenu Gérer l'accès, modifier.
manage_homepage Aucun NN à l'échelle de l'instance Les utilisateurs peuvent modifier et ajouter du contenu à la barre latérale que tous les utilisateurs de Looker voient sur la page d'accueil prédéfinie de Looker.
manage_models Aucun CN au niveau de l'instance Chaque modèle LookML est mappé à un ensemble spécifique de connexions de base de données sur la page Gérer les projets LookML. Avec cette autorisation, les utilisateurs peuvent configurer ces mises en correspondance, créer des projets et en supprimer. Les utilisateurs non administrateurs qui disposent de cette autorisation auront accès à toutes les connexions autorisées par les modèles auxquels ils ont accès.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_models à un utilisateur, celui-ci pourra accéder à tous les modèles de tous les projets de l'instance.
create_prefetches Aucun À l'échelle de l'instance Le préchargement est fortement déconseillé. Nous vous recommandons d'utiliser plutôt des datagroups.
login_special_email Aucun À l'échelle de l'instance Les utilisateurs peuvent se connecter avec des identifiants e-mail/mot de passe classiques, même si d'autres mécanismes de connexion (tels que Google, LDAP ou SAML) ont été activés sur votre instance. Cela peut être utile pour les consultants ou d'autres personnes qui ne font pas partie de votre système d'authentification normal.
embed_browse_spaces Aucun NN à l'échelle de l'instance Active le navigateur de contenu pour les intégrations signées. Si vous utilisez des intégrations signées, vous devez accorder cette autorisation aux utilisateurs disposant de l'autorisation save_content.
embed_save_shared_space Aucun À l'échelle de l'instance Permet à l'utilisateur disposant de l'autorisation save_content d'enregistrer du contenu dans le dossier Partagé de l'organisation, le cas échéant. Les utilisateurs disposant de l'autorisation save_content, mais pas de l'autorisation embed_save_shared_space, ne pourront enregistrer le contenu que dans leur dossier d'intégration personnel.
manage_embed_settings Aucun CM au niveau de l'instance AJOUTÉ 24.0 Les utilisateurs peuvent modifier les paramètres d'intégration sur la page Incorporer, dans la section Plate-forme du menu Administration.
manage_modelsets_restricted Aucun CM spécifique au modèle BETA 24.16 Les utilisateurs peuvent ajouter ou supprimer des modèles des ensembles de modèles inclus dans l'un de leurs rôles.

REMARQUE: Cette autorisation interagit avec les ensembles de modèles de manière potentiellement inattendue. Si vous attribuez l'autorisation manage_modelsets_restricted à un utilisateur et que vous lui avez accordé l'accès à tous les modèles d'un projet, il pourra attribuer tous les modèles de ce projet aux ensembles de modèles auxquels il a accès.
manage_schedules Aucun CM spécifique au modèle BETA 24.12 Les utilisateurs peuvent réattribuer et supprimer des planifications sur la page Planifications pour les modèles spécifiés. Cette autorisation ne permet pas à l'utilisateur d'afficher la page Historique des planifications.
manage_themes Aucun CM au niveau de l'instance AJOUTÉ 24.0 Les utilisateurs peuvent configurer les paramètres de thème sur la page Thèmes, dans la section Plate-forme du menu Administration.

Cette autorisation n'est disponible que si les thèmes ont été activés pour votre instance.
manage_privatelabel Aucun CM au niveau de l'instance AJOUTÉ 24.0 Les utilisateurs peuvent configurer les paramètres de la marque privée sur la page Marque privée, dans la section Plate-forme du menu Administration.

Cette autorisation n'est disponible que si la marque privée a été activée pour votre instance.
see_alerts Aucun CM au niveau de l'instance Les utilisateurs peuvent accéder aux pages Alertes et Historique des alertes de la section Administration. Ils peuvent ainsi consulter toutes les alertes d'une instance Looker. Les utilisateurs peuvent consulter, suivre, modifier, s'attribuer et désactiver les alertes appartenant à d'autres utilisateurs sur la page administrateur Alertes.

Les utilisateurs doivent disposer des autorisations nécessaires pour accéder au contenu sous-jacent de l'alerte afin de le consulter ou de l'explorer à partir de la visualisation de l'alerte (sur la page Détails de l'alerte) ou pour accéder à son tableau de bord. Cette autorisation ne permet pas aux utilisateurs de consulter, de créer, de suivre ni de supprimer des alertes depuis la carte du tableau de bord.
see_queries Aucun CM au niveau de l'instance Les utilisateurs peuvent accéder à la page Requêtes dans la section Administration de Looker. Ce privilège ne permet pas à l'utilisateur de mettre fin à une requête sur la page Requêtes.
see_logs Aucun CM au niveau de l'instance Les utilisateurs peuvent accéder à la page Journal dans la section Administration de Looker.
see_users Aucun CM au niveau de l'instance Les utilisateurs peuvent afficher la page Utilisateurs (mais pas la page Groupes) dans la section Administration de Looker. Ce droit ne permet pas à l'utilisateur de créer d'autres utilisateurs, d'afficher ou de créer des identifiants d'API, de réinitialiser des mots de passe, ni de modifier les utilisateurs ou les droits d'accès. Un utilisateur auquel cette autorisation est accordée peut voir tous les utilisateurs de tous les groupes d'une instance, même dans un système fermé. Un utilisateur peut voir tous les noms de groupes et tous les noms de rôles, que certaines entreprises peuvent considérer comme sensibles.
sudo see_users CM au niveau de l'instance Les utilisateurs peuvent exécuter une commande sudo (en d'autres termes, agir en tant qu'un autre utilisateur et hériter temporairement de ses autorisations) en cliquant sur le bouton Sudo de la page Utilisateurs.

L'autorisation sudo n'autorise pas un utilisateur non administrateur à utiliser sudo en tant qu'administrateur, mais un utilisateur non administrateur peut potentiellement accroître ses privilèges en utilisant sudo. Par conséquent, soyez prudent.
manage_groups see_users CM au niveau de l'instance AJOUTÉ 24.0 Les utilisateurs peuvent créer, modifier et supprimer des groupes sur la page Groupes de la section Utilisateurs du menu Administration, à l'exception des groupes associés au rôle Administrateur.
manage_roles manage_groups CM au niveau de l'instance AJOUTÉ 24.0 Les utilisateurs peuvent créer, modifier et supprimer des rôles, à l'exception du rôle Administrateur, sur la page Rôles de la section Utilisateurs du menu Admin. Les utilisateurs ne peuvent toujours pas créer, modifier ni supprimer de jeux d'autorisations ni de jeux de modèles.
manage_user_attributes see_users CM au niveau de l'instance AJOUTÉ 24.0 Les utilisateurs peuvent créer, modifier et supprimer des attributs utilisateur sur la page Attributs utilisateur, dans la section Utilisateurs du menu Admin.
see_schedules Aucun CM au niveau de l'instance Les utilisateurs peuvent accéder aux pages Calendriers et Historique des calendriers depuis le panneau Administration de Looker. Ce privilège ne permet pas à un utilisateur de réattribuer, de modifier ou de supprimer les plannings d'autres utilisateurs sur les pages Plannings et Historique des plannings.
see_pdts Aucun Spécifique à la connexion Les utilisateurs peuvent consulter la page Tables dérivées persistantes dans la section Administration de Looker et afficher des informations sur les PDT à partir de projets qui utilisent une connexion associée à des modèles pour lesquels ils ont accès aux données.

Cette autorisation est incluse dans le set d'autorisations par défaut pour les développeurs pour les nouvelles installations de Looker.

Cette autorisation s'applique aux connexions auxquelles les utilisateurs ont accès aux données, plutôt qu'à l'ensemble de l'instance Looker ou à des modèles ou ensembles de modèles individuels.
see_datagroups Aucun Spécifique au modèle Les utilisateurs peuvent accéder à la page Datagroups (Groupes de données) dans la section Admin (Administration) de Looker. Les utilisateurs peuvent voir les noms de connexion, les noms de modèle et d'autres informations sur les groupes de données définis dans un modèle pour lequel ils ont accès aux données.

Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, plutôt qu'à l'ensemble de l'instance Looker ou aux connexions.
update_datagroups see_datagroups Spécifique au modèle Les utilisateurs peuvent déclencher un groupe de données ou réinitialiser son cache sur la page Groupes de données de la section Administration de Looker. Comme les utilisateurs disposant de l'autorisation see_datagroups, les utilisateurs disposant de l'autorisation update_datagroups peuvent voir les groupes de données définis dans les projets qui utilisent un modèle pour lequel ils disposent d'un accès aux données.

Cette autorisation s'applique à des modèles ou des ensembles de modèles individuels, plutôt qu'à l'ensemble de l'instance Looker ou aux connexions.
see_system_activity Aucun CM au niveau de l'instance Les utilisateurs peuvent accéder aux explorations et aux tableaux de bord de l'activité système, ainsi qu'à la base de données interne i__looker pour consulter l'utilisation, l'historique et d'autres métadonnées d'une instance Looker.
see_admin Aucun CM au niveau de l'instance Les utilisateurs peuvent avoir un accès en lecture seule aux ressources d'administration, y compris aux pages du panneau Administration, à l'exception des pages suivantes:

  • Accès à l'assistance
  • Labs
  • Anciennes fonctionnalités
  • Exporter
  • Accès au contenu
  • Actions (si la page n'affiche que les états activés ou désactivés des actions)

Cette autorisation n'autorise pas l'accès aux pages "Activité système".
mobile_app_access Aucun NN à l'échelle de l'instance Les utilisateurs peuvent se connecter à votre instance sur un appareil mobile à l'aide de l'application mobile Looker. Pour que les utilisateurs puissent se connecter à l'application mobile Looker, l'option Accès à l'application mobile de la page Paramètres généraux de la section Administration de Looker doit d'abord être activée.

L'autorisation mobile_app_access peut être ajoutée à un ensemble d'autorisations nouveau ou existant. Elle fait partie de tous les ensembles d'autorisations par défaut de Looker.

Ensembles de modèles

Un ensemble de modèles définit les données et les champs LookML qu'un utilisateur ou un groupe peut voir. Chaque ensemble est une liste de modèles LookML auxquels un utilisateur ou un groupe doit avoir accès. Un ensemble de modèles peut être considéré comme remplissant deux fonctions:

  1. Un ensemble de modèles contrôle les modèles de votre LookML auxquels les autorisations s'appliquent (si ces autorisations sont spécifiques au modèle).
  2. Un ensemble de modèles limite les données et les champs LookML qu'un utilisateur peut voir, car chaque modèle est connecté à une connexion de base de données spécifique et contient certains champs LookML.

Créer un ensemble de modèles

Pour créer un ensemble de modèles:

  1. Cliquez sur le bouton Nouveau jeu de modèles en haut de la page Rôles.

  2. Looker affiche la page New Model Set (Nouvel ensemble de modèles). Saisissez un nom pour le nouvel ensemble de modèles.

  3. Sélectionnez le ou les modèles à inclure dans le nouvel ensemble de modèles.

  4. Cliquez sur le bouton Nouveau jeu de modèles en bas de la page. Le nouvel ensemble de modèles apparaît dans la section Ensembles de modèles de la page Rôles.

Les modèles inclus dans des projets en attente apparaissent dans la liste Modèles sur les pages Nouveau jeu de modèles et Modifier un jeu de modèles.

Supprimer ou renommer un modèle ne modifie pas les ensembles de modèles qui l'incluent. Lorsqu'un modèle est supprimé ou renommé, nous recommandons aux administrateurs Looker de supprimer également son nom de tous les ensembles de modèles associés à l'aide de la page Modifier l'ensemble de modèles. Supprimer le nom d'un modèle supprimé d'un ensemble de modèles empêche l'inclusion involontaire d'un nouveau modèle portant le même nom dans cet ensemble.

Pour en savoir plus sur les modèles, consultez la page de documentation Paramètres du modèle.

Créer plusieurs modèles et ensembles de modèles

L'exemple suivant montre comment utiliser plusieurs ensembles de modèles pour limiter l'accès aux données. Imaginons que vous disposiez de deux équipes, Marketing et Assistance. Dans cet exemple, ces deux équipes ne doivent pas avoir accès à l'ensemble du modèle. Vous devez donc créer un modèle distinct pour chacune d'elles. Pour séparer leur accès aux données, procédez comme suit:

  1. Copiez le modèle dans deux nouveaux modèles.
  2. Dans le premier des nouveaux modèles, n'incluez que les vues, les champs et les explorations auxquels l'équipe marketing doit avoir accès.
  3. Créez un ensemble de modèles pour l'équipe marketing qui n'inclut que ce nouveau modèle.
  4. Créez un rôle pour l'équipe marketing qui inclut ce nouvel ensemble de modèles et les autorisations appropriées pour l'équipe marketing.
  5. Attribuez ce nouveau rôle au groupe "Équipe marketing".
  6. Répétez les étapes 2 à 5 pour configurer le deuxième modèle pour l'équipe d'assistance.

Modifier un ensemble de modèles

Une fois un ensemble de modèles créé, procédez comme suit pour le modifier:

  1. Sur la page Rôles, cliquez sur le bouton Modifier à droite de l'ensemble de modèles que vous souhaitez modifier.

  2. Looker affiche la page Edit Model Set (Modifier l'ensemble de modèles). Si vous le souhaitez, saisissez un nouveau nom pour le modèle défini dans le champ Nom.

  3. Ajoutez ou supprimez des modèles de l'ensemble de modèles dans la section Modèles.

  4. Cliquez sur le bouton Update Model Set (Mettre à jour l'ensemble de modèles) en bas de la page.

Les modèles inclus dans des projets en attente apparaissent dans la liste Modèles sur les pages Nouveau jeu de modèles et Modifier un jeu de modèles.

Supprimer ou renommer un modèle ne modifie pas les ensembles de modèles qui l'incluent. Lorsqu'un modèle est supprimé ou renommé, nous recommandons aux administrateurs Looker de supprimer également son nom de tous les ensembles de modèles associés à l'aide de la page Modifier l'ensemble de modèles. Supprimer le nom d'un modèle supprimé d'un ensemble de modèles empêche l'inclusion involontaire d'un nouveau modèle portant le même nom dans cet ensemble.

Supprimer un ensemble de modèles

Pour supprimer un ensemble de modèles, sur la page Rôles, cliquez sur Supprimer à droite de l'ensemble de modèles que vous souhaitez supprimer.